№4(29) апрель 2005

подписной индекс 81655

www.samag.ru

Почтовая система
Alt-N MDaemon
Базовая настройка
маршрутизатора Cisco
Windows Server Update Services
Apache как прокси-сервер
Виртуальная машина SVISTA
Архивируем данные
с помощью Bacula
Защита коммуникаций
Windows Mobile
Система создания
документации POD
Оптимизация циклов
№4(29) апрель 2005

под Linux
 оглавление

СОБЫТИЯ 3 Базовая настройка маршрутизатора

Cisco начального уровня
ТЕНДЕНЦИИ 5, 6 Андрей Маркелов
АДМИНИСТРИРОВАНИЕ andrew@markelov.net 48
Windows Server Update Services Slackware на ракетном топливе,
или Обзор VectorLinux 5.0.1 SOHO
Сергей Сергеев
sergs13@yandex.ru 8 Сергей Яремчук
grinder@ua.fm 51
Автоматизация MS Windows,
или AutoIt как мечта эникейщика Реинкарнация данных
Часть 1
Сергей Супрунов
Алексей Барабанов amsand@rambler.ru 54
alekseybb@mail.ru 11
БЕЗОПАСНОСТЬ
Чудо-юдо Resource Kit
Защита коммуникаций Windows Mobile
Александр Шибенко
pulse@hotmail.r 16 Наталья Мельникова
hataha@yandex.ru 60
Alt-N MDaemon – почтовая система
для средних и крупных компаний Управление безопасностью
Internet Explorer
Роман Марков
stepan-razin@newmail.ru 18 Наталья Мельникова
hataha@yandex.ru 66
Kaspersky Anti-Spam 2.0 + Sendmail
ПРОГРАММИРОВАНИЕ
Денис Городецкий
denik27@nm.ru 25 Система создания документации POD
Часть 2
Система вещания на основе
Windows Media Services 9 Алексей Мичурин
alexey@office-a.mtu-net.ru 72
Михаил Платов
platov@cs.vsu.ru 28 Техника оптимизации под Linux
Часть 3
Apache как прокси-сервер
Крис Касперски
Валентин Синицын kk@sendmail.ru 78
val@linuxcenter.ru 34
ОБРАЗОВАНИЕ
SVISTAть всех наверх!
Сервер для школ
Сергей Яремчук
grinder@ua.fm 38 Сергей Яремчук
grinder@ua.fm 88
Архивируем данные с помощью Bacula
Алексей Гринько
КНИЖНАЯ ПОЛКА 93
zeiba@zeiba.org.ua 42 BUGTRAQ 87, 94

Спешите оформить подписку на второе полугодие 2005 года!

Подписной купон на стр. 95

¹4, àïðåëü 2005 1

 конкурс
IT-ТУРНИР СТУДЕНЧЕСКИХ КОМАНД
«КУБОК СЕТЕВЫХ ПРОЕКТОВ MICROSOFT»
Какому человеку, постоянно или время от времени выпол-
няющему роль системного администратора, не хочется ра-
сти профессионально и получать достойную оплату? Хотя
студенческий турнир IT-команд «Кубок сетевых проектов
Microsoft» и не решает проблему роста (профессионально-
го и зарплаты) кардинально, он тем не менее дает всем
участникам возможность набраться опыта, заработать де-
нег и получить весьма неплохие призы.
«Кубок сетевых проектов Microsoft» – это конкурс сту-
денческих проектов по созданию функциональной компь-
ютерной сети небольшого предприятия. Проект требует пер-
воначального планирования, согласно заданному техничес-
кому заданию, а затем выполняется на реальном оборудо-
вании командой студентов и защищается перед независи-
мой комиссией. В ходе проекта студентам предстоит на-
строить серверы и рабочие станции, соединить удаленные
офисы предприятия, обеспечить беспроводной доступ и по-
думать о проблемах безопасности.
В составе команды может быть 3 или 4 человека. За
каждым человеком закрепляется определенная функция:
Руководитель проекта, Исполнитель решения, Составитель
проектной документации или Демонстратор решения.
Чтобы защитить оборудование от совершенных «чай-
ников», студенты, претендующие на роли Руководителя про-
екта или Исполнителя решения, должны будут пройти не-
большой технический тест.
Организаторы турнира:
Информационная поддержка:
2
Среди призов следует особо отметить домашний ин-
тернет-центр ZyXEL P-662 HW ЕЕ, лицензионную копию
Windows XP Professional и бесплатное обучение по любому
курсу Microsoft с последующей международной сертифи-
кацией. Участники лучшей команды получат в подарок го-
довую подписку на журнал «Системный администратор».
К участию в турнире приглашаются студенты всех мос-
ковских вузов. При этом организаторы заявляют, что «Ку-
бок сетевых проектов Microsoft» – это не олимпиада и не
соревнование «для самых умных», так как не всем в ко-
манде нужна техническая подготовка. Многое в итоге бу-
дет зависеть не только от тех, кто будет настраивать обо-
рудование, а от тех, кто будет писать техническую доку-
ментацию и демонстрировать проект независимой комис-
сии. Для всех, кто сомневается в собственных силах, Учеб-
ный центр ВМК МГУ & SoftLine Academy (на базе которого
проводится турнир) будет проводить специальное обучение,
готовящее к выполнению проекта.
Поскольку турнир командный, главное – собрать коман-
ду и зарегистрироваться on-line на сайте до 31 мая. Лучше
всего собрать собственную команду из своих друзей. Мож-
но также участвовать индивидуально и собрать свою ко-
манду на специальном семинаре позже.
Само выполнение проекта на оборудовании начнется 1
июня, а награждение победителей состоится 1 октября.
По описанию турнир кажется достаточно интересным,
чтобы принять в нем участие, потратить немного собствен-
ного времени и вплотную познакомиться с современными
IT-технологиями, такими как ADSL, VPN, беспроводной до-
ступ, распределенная система Active Directory, WEP/WPA и
802.1x. Если учесть, что в рамках турнира также предлага-
ется и обучение, в ближайшее время организаторам сле-
дует ждать настоящего шквала заявок на участие.
Турнир организован компаниями Microsoft и SoftLine при
поддержке московского представительства компании ZyXEL.
Регистрация на него открыта с 4 апреля 2005 г. на сайте
http://www.it-university.ru/itproject.
Генеральный партнер:
Ãëàâíûé ïðèç îò êîìïàíèè ZyXEL – èíòåðíåò-öåíòð P-662 HW ÅÅ

Open Source Forum Russia:
27-29 все двери открытому коду
АПРЕЛЯ открыты!
Как мы уже писали в одном из последних номеров, с 27 по
29 апреля в Москве будет проходить Open Source Forum
Russia – первое в России информационно-выставочное ме-
роприятие, которое соберет вместе российских, американ-
ских и европейских лидеров индустрии Open Source, веду-
щих поставщиков технологий с открытым исходным кодом
и заказчиков, заинтересованных в развертывании надеж-
ных и экономичных Linux-решений, а также российские IT-
компании, которые намерены развивать собственные ре-
шения на базе программного обеспечения Open Source.
Сообщаем вам подробности предстоящего события.
события
рен приехать в Россию, чтобы выступить с докладом на
Open Source World Russia. Именно Ларри Уолл в 1987 году
создал язык программирования Perl. Он удостоился пер-
вой награды Free Software Foundations за продвижение ПО
на открытом коде. Господин Уолл также известен как соав-
тор знаменитой книги «Programming Perl» и создатель про-
граммы для чтения новостей rn Usenet.
Свою заинтересованность в участии в конференции под-
твердил Рич Боуен (Rich Bowen) СТО компании Cooper
McGregor CTO и эксперт по Apache. Он является соавтором
книг «Apache Administrator’s Handbook», «Apache Server
Unleashed». Господин Боуен внес огромный вклад в проект по
развитию Apache, и он регулярно принимает участие в меж-
дународных конференциях, посвященных открытому коду.

Узнайте о новых возможностях Развивайте свой бизнес

Open Source Forum Russia откроет для посетителей мир но- Open Source Forum Russia соберет лучших IT-профессио-
вейших технологий с открытым исходным кодом, совершен- налов, работающих над созданием и продвижением техно-
ных бизнес-приложений на платформе Linux и IT-услуг кор- логий с открытым исходным кодом. На сегодня это мероп-
поративного уровня. Главными темами первого российско- риятие – наилучшая в России площадка для завязывания
го Open Source Forum станут безопасность программных деловых контактов, установления и развития партнерских
продуктов и технологий, возможности и преимущества ис- связей в сфере продуктов, решений и услуг Open Source.
пользования Linux-решений в государственных учреждени- Участвуя в первом российском Open Source Forum, вы оп-
ях России, а также перспективы использования продуктов ределяете дальнейшие пути влияния Linux и технологий
Open Source в корпоративном секторе. Open Source на развитие общественных структур, бизнеса
и технологий России.
Обсуждайте стратегии с лидерами Вход свободный – регистрация обязательна!
мировой ИТ-индустрии Подробную информацию и регистрационную форму
На выставке и конференции Open Source Forum Russia бу- можно найти здесь: http://www.opensource-forum.ru.
дут представлены все лидирующие мировые поставщики IT,
активно участвующие в развитии технологий Open Source, –
IBM, Novell, Hewlett Packard и др. Руководители высшего
звена глобальных корпораций – Ричард Зайбт (President
Novell EMEA) и Адам Джолланс (IBM) – обратятся напря-
мую к представителям государственных организаций и ча-
стных компаний России. Посетив Open Source Forum Russia,
вы получите уникальную возможность услышать выступ-
ления выдающихся экспертов по Linux-технологиям, обсу-
дить с руководителями мировых корпораций стратегичес-
кие тенденции мира Open Source, а также опробовать в дей-
ствии и оценить новейшие продукты и решения на базе ПО
с открытым исходным кодом.
Специально для выступления в конференции в Москву
приезжает Джон «мэддог» Холл (John maddog Hall), испол-
нительный директор Linux International. Господин Холл –
один из основателей движения сторонников открытого кода.
Его перу принадлежит книга «Linux for Dummies», и он яв-
ляется автором многочисленных статей, посвященных спе-
цифике открытого кода.
Свое участие подтвердил один из основателей MySQL –
Дэвид Аксмарк (David Axmark). Господин Аксмарк более 20
лет работает в качестве консультанта в области разработ-
ки ПО. В 80-е годы он увлекся идей свободного программ-
ного обеспечения, и сейчас он является сторонником биз-
нес-модели, основанной на технологиях открытого кода.
В MySQL господин Аксмарк работал над стратегией и ас-
пектами, касающихся бизнеса и коммерции, установки и
документации.
СЕО компании Perl Ларри Уолл (Larry Wall) также наме-

¹4, àïðåëü 2005 3


Новости проекта
OpenNet.ru
Завершен первый конкурс разработчи-
ков открытого программного обеспече-
ния, проводимый проектом OpenNet.ru
совместно с ассоциацией РУССОФТ,
компанией LinuxCenter и журналом «Си-
стемный администратор».
Всего на участие в конкурсе было
подано 25 заявок, из которых, путем от-
крытого голосования, определились три
победителя:
! 1 место – Глеб Смирнов (525 бал-
лов). Разработчик и коммиттер опе-
рационной cистемы FreeBSD.
! 2 место – Андрей Бешков (254 бал-
ла). Автор статей и редактор жур-
нала «Системный Администратор»,
занимается локализацией и про-
движением системы Nagios.
! 3 место – Михаил Кашкин (223 бал-
ла). Занимается поддержкой и про-
движением проектов python, zope,
plone и системы Asterisk. Является
автором сайтов: plone.org.ru, xen.ru,
cook.python.ru.
Конкурсанты, занявшие призовые
места, примут бесплатное участие в
форуме Open Source Forum Russia.
Также победителям конкурса вручена
годовая подписка на журнал «Систем-
ный администратор» от редакции из-
дания и комплект призов от компании
LinuxCenter. Кроме того, специальный
приз от проекта OpenNet.ru, в виде 3
тысяч рублей, вручается Константину
Осипову, принимающему активное уча-
стие в разработке СУБД MySQL.
В десятке лидеров:
! 4 место (201 балл) Максим Коше-
лев (автор Downloader for X);
! 5 место (142 балла) Руслан Стари-
цын (WIPFW – Windows-порт пакет-
ного фильтра ipfw);
! 6 место (141 балл) Владислав Хар-
чев (автор патчей к огромному чис-
лу проектов);
! 7 место (140 баллов) Юрий Хныкин
(CLIP – Clipper/xBase-совместимый
компилятор);
! 8 место (122 балла) Виктор Костро-
мин (автор нескольких книг по Linux,
поддерживает проект rus-linux.net);
! 9 место (118 баллов) Андрей Мар-
келов (статьи и переводы);
! 10 место (102 балла) Андрей Елсу-
ков (статьи, патчи, помощь в фору-
мах).
¹4, àïðåëü 2005
тенденции
Планируется, что проводимое в рамках
OpenNet.ru мероприятие получит про-
должение в серии конкурсов, направ-
ленных на поддержание и стимулиро-
вание русскоязычных разработчиков
открытых программ.
Максим Чирков
64-битные серверные
платформы от HP
Пресс-конференция HP, посвященная
презентации нового поколения серве-
ров HP ProLiant ML570 G3 и DL580 G3,
состоялась 5 апреля в отеле «Катери-
на» в Москве. Главной темой стали 4-х
процессорные сервера третьего поко-
ления на базе новейших 64-разрядных
процессоров Intel Xeon MP Cranford
(3.66 ГГц и 1 Mб L2) и Potomac (3.33 ГГц
и 8 Mб L3). В этом секторе рынка HP
лидирует (44%) и новые сервера, по-
строенные с использованием чипсета
Intel Twin Castle, лишь усиливают от-
рыв от конкурентных аналогов. Четы-
ре процессора, соединенные с четырь-
мя контроллерами памяти двумя ши-
нами, могут работать с общей памя-
тью, как с однородным пространством.
Такое архитектурное решение, кроме
значительного увеличения объема опе-
ративной памяти, позволяет реализо-
вать на ней новые технологии, ранее
доступные только для дисковой памя-
ти: зеркалирование, RAID-5 и горячая
замена (Hot Plug RAID memory). В слу-
чае отказа происходит определение
поврежденного модуля памяти и опе-
ративное восстановление информации
за счет избыточности RAID, что позво-
ляет, отключив соответствующий блок
памяти, вынуть его из корпуса и про-
извести замену поврежденного моду-
ля, естественно, все без разгрузки сер-
вера. Добавив к этому RAID6 на дис-
ковом массиве вместе с бэкапной ба-
тареей на 72 часа для write-back кеша
SCSI контроллера получаем превос-
ходную платформу для систем высокой
степени готовности, ориентированных
на приложения с интенсивным исполь-
зованием памяти. И не удивительно,
что на эталонном тесте SAP ® Standard
Application Benchmark сервер DL580 G3
обеспечил работу на 270 пользовате-
лей больше, чем его предшественник
второго поколения, что обозначило
рост производительности на 40%!
Алексей Барабанов
5
 тенденции
Уменьшение числа
лицензий Open Source
Организация Open Source Initiative, как
и обещала, начала инициативу по сни-
жению числа используемых лицензий
Open Source. По словам представителей
OSI, группа вводит трехбалльную сис-
тему оценки и в качестве «предпочти-
тельных» будет называть лишь неболь-
шое число открытых лицензий. Какие
из действующих лицензий удостоятся
этого статуса, пока еще не решили.
Кроме того, OSI приняла три новых ад-
министративных постановления, что
помогут проводить проверку появляю-
щихся лицензий для выяснения меры
их бесполезности. Реакция на данное
решение не заставила себя ждать: ком-
пания Intel отозвала свою открытую ли-
цензию, основанную на BSD License.
Linux-инициативы Novell
Компания не перестает активное выс-
тупление на ИТ-сцене со своими Linux-
предложениями. Сначала Novell объяв-
ляет о том, что до октября 2005 года
агентства государственного сектора
Германии с числом пользователей до
500 человек получают скидку в разме-
ре 60% на все продукты, объявив глав-
ной целью акции популяризацию идей
миграции на ОС Linux. Позже совмест-
но с HP и Red Hat запускает веб-сайт
VersiBa, предназначенный для немец-
ких банков и страховых компаний, же-
лающих воспользоваться Linux-услуга-
ми. На новом портале представлена
информация о ПО, специально разра-
ботанном для финансовой области, а
также об офисных и коммуникационных
Linux-предложениях от Novell, Red Hat
и других независимых поставщиков.
Mandrakesoft меняет
название на Mandriva
Причин произошедшей смены назва-
ния было две: недавнее слияние ком-
пании Mandrakesoft с бразильским
Linux-производителем Conectiva, а так-
же судебное разбирательство с корпо-
рацией Hearst, для завершения кото-
рого, как решили, куда проще пойти на
некоторые уступки. Все сервисы и про-
дукты Mandrakesoft получили соответ-
ствующие наименования: дистрибутив
Mandriva Linux, клуб пользователей
Mandriva Club и т. п. Официальный веб-
сайт теперь доступен по адресу
www.mandriva.com.
6
Изменение курса
Mozilla Foundation
Некоммерческая организация Mozilla
Foundation объявила о том, что более
не будет обновлять веб-браузер Mozilla,
отдав предпочтение другим откры-
тым продуктам: Firefox и Thunderbird.
По словам разработчиков, несмотря на
предварительные редакции Mozilla 1.8,
альфа- и бета-релизы которой, как вы-
яснилось, были предназначены для те-
стирования движка, финальная версия
«Seamonkey» так и не увидит свет, а
ветка 1.7.x станет последней для
Mozilla. Однако совсем забывать про
Mozilla Suite в ближайших планах
Mozilla Foundation нет: уже 21 марта
выходит очередное обновление – 1.7.6
(одновременно с релизом Thunderbird
1.0.2), ни о каких окончательных сро-
ках прекращения поддержки Mozilla не
сообщается.
Составил Дмитрий Шурупов
по материалам www.nixp.ru
HDDlife PRO:
профессиональный
подход к мониторингу
состояния жесткого диска
Компания BinarySense объявила о вы-
ходе профессиональной версии HDD
life – удобной и функциональной про-
граммы, позволяющей пользователю
полностью контролировать состояние
жесткого диска своего компьютера и
предотвратить таким образом потерю
данных. Использование принципиально
новой уникальной технологии JustNow,
реализованной в программе HDDlife
Pro, делает возможным получение ин-
формации о состоянии здоровья и про-
изводительности жестких дисков ком-
пьютера при первом же запуске про-
граммы, исключая необходимость дли-
тельного предварительного контроля.
Функция AnywhereView обеспечивает
возможность увидеть эти данные из лю-
бой программы и приложения: в меню
«Мой компьютер», в окне «Открыть
файл» в Microsoft Word и т. д. Програм-
ма поддерживает все распространен-
ные виды жестких дисков (IDE, Serial
ATA, SCSI), обладает удобным и краси-
вым пользовательским интерфейсом,
переведенным на 15 языков, а также
возможностью настройки проверки по
расписанию и рассылки уведомлений о
проблемах по e-mail.
 администрирование
WINDOWS SERVER UPDATE SERVICES
Одним из необходимых мероприятий по обеспечению на-
дежного и безопасного функционирования современной ин-
формационной системы является своевременная установка
обновлений для существующих программных продуктов. На
компьютерах под управлением операционной системы
Microsoft Windows загрузкой и установкой критических об-
новлений системных компонентов занимается служба
8
СЕРГЕЙ СЕРГЕЕВ
Automatic Updates (автоматическое обновление). В крупных
компьютерных сетях Windows отслеживание и установка об-
новлений без специального средства может занимать зна-
чительную часть рабочего времени системного админист-
ратора, либо увеличивать трафик интернет-соединения.
Начиная с 2002 года Microsoft предоставляет бесплатный
продукт для управления обновлениями в сетях Windows.

Сначала это был сервер Software Update Services (SUS), и,
наконец, 22 марта 2005 года на сайте Microsoft (http://
www.microsoft.com/windowsserversystem/updateservices/
default.mspx) была опубликована информация о выходе в
свет Release Candidate-версии нового продукта – Windows
Server Update Services (WSUS RC). Документация и файлы
установки WSUS RC доступны для свободной загрузки с
сайта Microsoft.
Служба WSUS предназначена для централизованного
управления обновлениями и исправлениями корпоративных
продуктов Microsoft: Windows XP Professional, Windows 2000,
Windows Server 2003, Office XP, Office 2003, SQL Server 2000,
SQL Server 2000 Desktop Engine (MSDE) 2000, Exchange
Server 2000 и Exchange Server 2003. Скорее всего, набор
поддерживаемых продуктов будет увеличиваться. Это под-
тверждается тем фактом, что при первой же синхрониза-
ции WSUS с сайтом Microsoft Update список обновляемых
продуктов в окне настройки параметров синхронизации зна-
чительно вырос.
От предыдущего продукта Microsoft для управления об-
новлениями (SUS), WSUS отличается значительным набо-
ром функций и возможностей:
! расширен набор обновляемых продуктов;
! объединение клиентских компьютеров в группы, на-
стройка правил обновлений для каждой группы;
! возможность автоматической загрузки и установки не-
обходимых обновлений без ручного вмешательства ад-
министратора;
! развитая система отчетов позволяет получать инфор-
мацию о клиентских компьютерах, а также о требуемых,
загруженных и установленных обновлениях;
! использование базы данных для хранения настроек сер-
вера, описаний обновлений, состояния клиентских ком-
пьютеров;
! возможность загрузки так называемых файлов эксп-
ресс-установки, обеспечивающих ускоренную загрузку
и установку обновлений на клиентские компьютеры, но
увеличивающих время получения обновлений сервером;
! дочерние серверы WSUS могут управляться как цент-
рализованно основным сервером, так и независимо от
него;
! применение технологии Background Intelligent Transfer
Service (BITS) 2.0 для более эффективного использова-
ния сетевого трафика сервером и клиентом WSUS;
! передача базы обновлений между серверами WSUS че-
рез переносные устройства хранения информации;
! специальная утилита WSUSUTIL позволяет управлять
сервером WSUS из командной строки;
! возможна установка WSUS поверх существующего сер-
вера SUS, а также при помощи специальной утилиты
импорт базы обновлений с другого сервера SUS;
! возможность доверять локальным администраторам са-
мим настраивать порядок загрузки и установки обнов-
лений на управляемые ими компьютеры.
WSUS является весьма полезным инструментом для си-
стемных администраторов сетей разных масштабов. Эта
служба позволяет снизить трафик интернет-соединения
организации за счет однократной загрузки обновлений с
¹4, àïðåëü 2005
администрирование
сайта Microsoft Update, централизованно управлять обнов-
лениями программных продуктов Microsoft в сети органи-
зации.
Интерфейс консоли администрирования WSUS, доступ
к которой осуществляется по протоколу http через Internet
Explorer версии 6.0 или старше, достаточно понятен и удо-
бен для работы. Доступ к средствам администрирования
из другого интернет-браузера, а также из операционных си-
стем ниже Windows 2000, не поддерживается.
Ðèñóíîê 1. Ãëàâíîå îêíî êîíñîëè àäìèíèñòðèðîâàíèÿ WSUS
Существует возможность настроить службу таким об-
разом, что обновления не будут храниться локально на сер-
вере WSUS, а загружаться по запросу клиентов с сайта
Microsoft. Тем не менее этот вариант в большинстве случа-
ев представляется менее целесообразным, особенно в сред-
них и крупных сетях с большим количеством компьютеров
с одинаковым набором программного обеспечения.
Для сетей с развитой инфраструктурой возможно исполь-
зование последовательности (цепочки) серверов WSUS, один
из которых загружает обновления с сайта Microsoft Update,
а остальные синхронизируют свою базу обновлений с ба-
зой этого (или вышестоящего) сервера. Причем имеется
возможность передачи обновлений с одного сервера WSUS
на другой не только по каналам связи, но и при помощи
процедуры выгрузки на переносное устройство хранения
информации с последующей загрузкой на другой сервер.
Это особенно актуально для территориально удаленных
подразделений организаций в случае отсутствия или низ-
кой скорости и качества каналов связи с ними (рис. 2).
WSUS состоит из серверной и клиентской частей. Сер-
верная часть устанавливается на компьютеры с операци-
онными системами Windows 2000 Server или Windows Server
2003. Клиентами WSUS могут быть компьютеры под уп-
равлением Windows 2000 с установленными Service Pack 3
или 4, Windows XP Professional Service Pack 1 или 2, Windows
Server 2003.
Для своей работы WSUS использует сервер баз данных
MS SQL Server 2000. Возможно использование как полно-
9
 администрирование
функциональной версии MS SQL Server 2000, так и бесплат-
ной Microsoft SQL Server 2000 Desktop Engine (MSDE) (дос-
тупна для загрузки на сайте Microsoft) при установке на ком-
пьютер с операционной системой Windows 2000 Server; или
Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE),
которая включена в состав дистрибутива WSUS и доступ-
на только при установке на Windows Server 2003. В базе
данных хранятся описания обновлений, конфигурация сер-
вера WSUS, информация о состоянии обновлений клиент-
ских компьютеров.
Ðèñóíîê 2. Îäíà èç âîçìîæíûõ ñõåì îðãàíèçàöèè ðàáîòû WSUS
Клиент WSUS – служба Automatic Updates (автомати-
ческое обновление) – работает с сервером по протоколу
http, поэтому на сервере должна быть установлена и запу-
щена служба WWW (World Wide Web) из состава сервера
IIS (Internet Information Services).
Администратор сервера WSUS имеет возможность вы-
бирать обновления для синхронизации по версии продук-
та, типу (классу) обновления (драйверы, критические об-
новления, накопительные пакеты обновлений, обновления
системы безопасности, и т. д.) и языку. К сожалению, нет
возможности выбирать конкретные классы обновлений и
языки интерфейса в зависимости от продукта. Например,
невозможно настроить WSUS так, чтобы синхронизировать
список обновлений Windows 2000 только для английской
версии и в то же время обновлений Windows XP только для
русской версии. При включении в списке языков русского и
английского будут синхронизироваться обновления на обо-
их языках и для Windows 2000, и для Windows XP (есте-
ственно, при условии включения загрузки обновлений этих
операционных систем в настройках списка продуктов). Син-
хронизацию списка обновлений сервера WSUS с базой
Microsoft Update можно выполнять как в ручном режиме,
так и автоматически ежедневно в заданное время. После
получения списка доступных обновлений и, как правило,
после сбора информации о состоянии обновлений клиент-
ских компьютеров («обнаружения»), можно отметить для
10
загрузки и установки («одобрить», в терминологии WSUS)
только необходимые обновления. Есть возможность авто-
матизировать операции одобрения обнаружения и установ-
ки обновлений, задав соответствующие условия для пра-
вил. Другими словами, WSUS можно настроить таким об-
разом, что синхронизация с Microsoft Update и установка
обновлений будет выполняться в полностью автоматичес-
ком режиме.
В сетях, использующих Active Directory (AD), настройка
параметров автоматического обновления клиентов выпол-
няется при помощи групповой политики, в сетях без AD –
настройкой параметров реестра операционных систем
Windows клиентских компьютеров. Параметры службы ав-
томатических обновлений позволяют настроить получение
и установку обновлений как с участием конечного пользо-
вателя, так и автоматически с последующим уведомлени-
ем о необходимости перезагрузки компьютера.
Протоколирование работы службы WSUS ведется в жур-
налах событий, а также в файлах с расширением *.log, и на
сервере, и на клиенте. Исходя из собственного опыта и со-
общений в форумах, можно сделать вывод, что основные
проблемы при внедрении WSUS возникают при подключе-
нии клиентов к серверу, установке клиентской части WSUS
и необходимых программ для загрузки обновлений. Зачас-
тую диагностика и определение источника проблемы вы-
зывает затруднение даже у опытных администраторов. К
примеру, возникали проблемы при подключении компью-
тера с операционной системой Windows 2000 Professional
SP4 к серверу WSUS. В файле WindowsUpdate.log фикси-
ровалась серия ошибок с кодом 0x80244001. Проблему уда-
лось решить только с помощью специалистов Microsoft, об-
ратившись на сайт Beta News. Она заключалась в непра-
вильной настройке компонентов Internet Explorer 5.0 на кли-
ентском компьютере. После установки Internet Explorer 6.0
ошибка исчезла. Поэтому хотелось бы, чтобы содержание
сообщений WSUS (особенно об ошибках) было более ин-
формативным.
Окончательный выход WSUS намечен на конец второго
квартала 2005 года. Согласно информации от Microsoft, для
пользователей WSUS RC будет возможно обновление до
финальной версии. На данный момент WSUS RC доступен
только на двух языках: английском и японском. Окончатель-
ная версия продукта будет локализована для всех языков,
поддерживаемых серверными и клиентскими операцион-
ными системами Windows.
Развертывание службы WSUS в сети организации прак-
тически не связано с дополнительными затратами. Эту
службу можно установить на уже существующий сервер,
при этом нужно использовать либо имеющийся сервер баз
данных MS SQL Server 2000, либо бесплатный MSDE. Служ-
бу можно настроить так, что пользователи даже не будут
знать о ее существовании. Несмотря на явные выгоды от
внедрения систем управления обновлениями, многие ад-
министраторы все еще не используют их в своих сетях.
Думается, что с выходом такого мощного и в то же время
простого и удобного в администрировании средства, как
WSUS, количество организаций, использующих централи-
зованные средства управления установкой обновлений,
увеличится.

АВТОМАТИЗАЦИЯ MS WINDOWS,
ИЛИ AUTOIT КАК МЕЧТА ЭНИКЕЙЩИКА
ЧАСТЬ 1
Со дня появления компьютеров человечество разделилось
на пользователей и «компьютерщиков». Они стояли по раз-
ные стороны от электронной вычислительной машины, иног-
да путаясь в точной принадлежности к своему классу или
группе. Но постепенно всё и все стали на свои места. Чис-
ло пользователей увеличивалось, а число «компьютерщи-
ков» лишь уточнялось. Пока компьютеров было мало, и они
представляли собой большие инженерные сооружения, об-
служиваемые целыми бригадами «компьютерщиков», в
составе которых находилось изрядно механиков и элект-
риков, то и число пользователей, приходящееся на один
компьютер, старались сделать максимально большим. Об-
щее соотношение пользователей к «компьютерщикам»
мало кого интересовало, поскольку главным ресурсом были
именно компьютеры. Но с появлением персональных ком-
пьютеров, когда пропорция их числа к количеству пользо-
вателей бесповоротно перешла в разряд целых чисел,
иметь бригаду для обслуживания каждого компьютера ста-
ло очень накладно. Именно с этого момента, с момента со-
здания персональных компьютеров, разработчики как обо-
рудования, так и программного обеспечения стали задумы-
ваться о снижении затрат на обслуживание своих изделий.
Именно тогда абстрактные «компьютерщики» стали пре-
вращаться в системных администраторов, специализиру-
ющихся на обслуживании компьютерных систем. Одновре-
менно с этим стали появляться и специальные программ-
ные продукты, предназначенные именно для системных ад-
министраторов или ориентированные в первую очередь на
решение задач обслуживания.
1
Здесь и далее, околокомпьютерный фольклор.
¹4, àïðåëü 2005
администрирование
Если не работает ксерокс,
вызывайте сисадмина.
Это ведь электронный прибор,
разве нет?1
АЛЕКСЕЙ БАРАБАНОВ
Например, пользователи IBM 360, работающие в среде
DOS, должны были так или иначе знать и уметь применять
язык управления заданиями JCL, а если они работали в кон-
сольном режиме, то и язык управления работой всей сис-
темы. А вот те же пользователи IBM PS/2, работающие в
среде OS/2, уже могли ничего не знать про настройки сис-
темы и довольствоваться лишь тем, что им предоставляет
графический интерфейс.
Таким образом, вопрос отличия пользователей от сис-
темных администраторов свелся к отличию применяемых
ими интерфейсов. Пользователь компьютера, встроенного
в мобильный телефон, управляет устройством с помощью
графического интерфейса и кнопок на корпусе аппарата, а
техник, обслуживающий этот же телефон, пользуется кон-
сольными командами или графическим интерфейсом про-
граммы специального компьютера, к которому упомянутый
телефон подключается через технологический разъем JTAG.
Другими словами, интерфейс должен соответствовать ре-
шаемым задачам. Но для персональных компьютеров ин-
терфейс имел поистине судьбоносное значение. Ведь са-
мое главное отличие их от компьютеров, использующихся
коллективно, заключался в монопольном предоставлении
всех ресурсов одному пользователю. Это не могло не ска-
заться на способе решения проблемы интерфейса. Многие
из первых персональных компьютеров продавались как при-
ставка к телевизору, например Sinclair. То есть без телеви-
зора это был еще не компьютер, а вот после его подключе-
ния компьютером уже можно было пользоваться. В этом
проявлялась важность интерфейса.
11
 администрирование
Коммерческий успех ПК в очень большой степени зави-
сел от того, как решался вопрос интерфейса, и насколько
легко этим интерфейсом могли пользоваться неподготовлен-
ные потребители. Если бы первые ПК имели такой же тек-
стовый интерфейс, как мейн-фреймы (для сведения, JCL
многие за сверхзапутанность называли «птичьим языком»),
то, скорее всего, лишь появившись, эти устройства канули
бы в Лету. Но этого не произошло именно благодаря доступ-
ному и привлекательному графическому интерфейсу. Сна-
чала главное было в самом экране, то есть в телевизионной
трубке. Вероятно, людей привлекало то, что с помощью ее
можно было просматривать не только новости и кинофиль-
мы. Но затем в компании Xerox прошли удачные опыты по
обучению разумных прямоходящих млекопитающих навыкам
использования манипулятора «мышь» с одной кнопкой. Это
было поистине революционным событием. И хотя «мышь» с
того времени успела увеличить число кнопок, но предложен-
ный способ взаимодействия с ПК путем нажатия на кнопки
мыши, или «кликов», прочно вошел в обиход компьютерных
пользователей. И точно так же однозначно заставил принять
системных администраторов негативную позицию к этому
процессу – «мышиному» кликанью.
Интерфейсы
Если сисадмин по телефону говорит вам,
какие кнопки надо нажимать, почитайте газету.
Hа самом деле я не хочу, чтобы вы что-то делали.
Мне просто нравится звук моего голоса.
Чем же «мышки» так не устроили сисадминов? Дело было
не столько в манипуляторах «мышь», а в особенностях при-
меняемого тогда графического интерфейса. Поскольку
главным показателем уровня системного администрирова-
ния стало число обслуживаемых одним сотрудником ком-
пьютеров, то средства обеспечения автоматизации систем-
ных операций, установки ОС, ее настройки и управления,
приобретали решающее значение. И вплотную решение
этого вопроса соприкасалось с обеспечением всех этих же
работ по каналам удаленного доступа. Естественно, для
платформ с текстовым интерфейсом и первое, и второе
решалось легко. Существовали простые скриптовые язы-
ки, которые позволяли очень быстро запрограммировать
любую операцию управления ОС, и средства обеспечения
удаленного доступа в текстовом режиме обеспечивались
на достаточно слабом технологическом уровне коммуника-
ций. Например, так решались вопросы администрирования
в ОС семейства UNIX. Но в операционных системах, ори-
ентированных на работу в графической среде, все было не
так просто. Во-первых, графический интерфейс с семанти-
ческой точки зрения полностью определяется прикладной
программой. То есть, реакция на активацию кнопки «ОК» в
графическом меню зависит от фазы диалога и от назначе-
ния программы, его обслуживающей. Во-вторых, обеспе-
чение удаленной работы в графической среде требовало
гораздо большей пропускной полосы от каналов связи, чем
работа в текстовом интерфейсе. Все это привело к тому,
что автоматизация графических настроек практически не
развивалась. Ну разве что самим разработчиком ОС, в дан-
ном случае Microsoft, путем увеличения сложности вложен-
ных меню. И для системных администраторов работа в сре-
12
де Microsoft Windows превращалась в бесконечную трени-
ровку кистевых мышц, поскольку ничем практически их воз-
можности не отличались от тех, что были предоставлены
рядовым пользователям, менялись лишь заголовки и со-
держание выпадающих окон. Это сыграло свою положи-
тельную роль – манипулятор типа «мышь» за последнее вре-
мя из примитивной «каталки» с крыльчатками и обрези-
ненным шариком превратился в высокотехнологическое ус-
тройство на основе оптического (лазерного) сканера и ос-
нащенное радиоканалом для связи с компьютером. Но ясно,
что даже если манипулятор «мышь» будет преобразован в
имплантант с компьютерным интерфейсом, это все равно
не позволит одному системному администратору обслужи-
вать одновременно большее число компьютеров, как этого
требует современная IT-индустрия, подчиняющаяся жест-
ким рамкам TCO: http://www.telecominfo.ru/?t=2012, табли-
ца 2. И рост показателя числа одновременно обслуживае-
мых пользовательских компьютеров (Full Time Equivalent –
FTE) сдерживался неразвитостью средств автоматизации
системных работ в ОС, построенных на основе графичес-
ких интерфейсов.
Нельзя сказать, что все было ограничено лишь техно-
логическими проблемами. Дело в том, что на платформе
MS Windows, которая долгое время была безальтернатив-
ной для персональных компьютеров, применяются в основ-
ном проприетарные программные продукты. А решение
проблемы их массовой установки идет в разрез с требова-
ниями соблюсти обязательную процедуру регистрации (ле-
гализации, активации) каждой копии программы. Обычно
процедура регистрации копии обставлена специальными
защитными протокольными и не всегда техническими дей-
ствиями, например, требуется согласиться с лицензией, вве-
сти серийный номер с бокса или CD-диска, вставить клю-
чевой диск в лоток привода, провести активацию через
Интернет и многое иное, что взбредет в голову озабочен-
ного получением прибыли разработчика. Даже сама ОС MS
Windows в ее коробочном воплощении не предназначена
для создания автоматизированных систем установки на ее
основе. В чем смысл автоматического размножения одной
копии, если по маркетинговому замыслу все продаваемые
копии этой системы требуют оригинальной для каждой из
них процедуры регистрации. Были, конечно, оставлены ла-
зейки и прочие оговорки. Ну не могли же «отцы-основате-
ли» этой софтверной «пирамиды» просто низвести весь ин-
ститут системных администраторов до положения «эникей-
щиков». Поэтому существовали так называемые «корпо-
ративные» версии, которые допускали серийную установ-
ку, как копирование одной и той же установочной процеду-
ры на множество компьютеров. Правда, в отместку там вво-
дились иные ограничения, например, на установку обнов-
лений. Но даже такую суррогатную свободу автоматизации
рутинных операций установки собственной продукции мог-
ла позволить далеко не каждая фирма-производитель про-
граммного обеспечения. Поэтому еще одна проблема ав-
томатизации работ в среде GUI заключена в том, что мно-
гие программные продукты не предназначены для автома-
тической установки и настройки в силу дизайна, так как
требовали в процессе установки именно «человеческих»
действий.

Анимация вместо автоматизации
Если вы увидели сообщение «Are you sure?»,
нажмите «Yes» как можно быстрее!
Черт побери, если бы вы не были уверены,
вы бы не делали этого, не так ли?
И вот все эти проблемы получили свое решение. Появи-
лось средство автоматизации операций в графической
оконной среде, которое имитировало работу человека-опе-
ратора, названное AutoIt и предназначенное изначально для
автоматизации операций установки программ. Сейчас мож-
но воспользоваться версией 2.64, загрузив ее с http://
www.hiddensoft.com/AutoIt, и версией 3.1.0, доступной по
адресу: http://www.autoitscript.com/autoit3/index.php .Эти про-
граммы распространяются под открытыми лицензиями. Вер-
сия 2.64, написанная Джонатаном Беннетом (Jonathan
Bennet), в некоммерческих проектах может быть использо-
вана без ограничений, а в коммерческих необходимо вме-
сте с продуктом указывать ссылку на сайт разработчика.
Версия 3.1.0, авторство которой принадлежит упомянуто-
му Джонатану Беннету вместе с AutoIt Team, уже идет под
GNU GPL, что свидетельствует о зрелости подхода и о не-
возможности в дальнейшем изъять эту программу из сво-
бодного оборота, переведя под какую-нибудь закрытую
лицензию. На обе версии есть, кроме прилагаемого файла
Help на английском языке, еще и русская версия докумен-
тации в формате chm, подготовленная Валерием Ивановым.
Если рассмотреть эту программу отдельно от контекста
предполагаемого применения, то это всего лишь средство
перехвата анализа состояния оконного интерфейса и эму-
ляции нужных сообщений якобы от лица оператора. Прак-
тически смотрится как демонстрационная мультипликация.
Но с точки зрения языковой машины, например, юниксово-
го bash, интерпретирующей некоторый скрипт, все действия
выглядят точно так же мультипликативно. Только это нико-
му не заметно, если происходит не на экране, а в текстовой
консоли. И тем более что в текстовых интерпретаторах есть
возможность прятать и перенаправлять обрабатываемые
потоки символов. Но можно назвать и полную текстовую
аналогию из мира *nix обсуждаемой здесь программе. Это
известное средство expect. Оно позволяет заменить для
некоторой прикладной программы общение с текстовыми
терминалами и тем самым автоматизировать работу опе-
ратора путем эмуляции процесса его работы. Применяется
это обычно для автоматизации работ с интерактивными
средами, например с ftp. Примечательно, что и expect, и
AutoIt имеют в своем составе средство, облегчающее со-
здание сценариев путем записи перехваченных реальных
интерфейсных данных. Конечно, в AutoIt это пока очень
незрелое ручное средство, которое в модальном окне по-
казывает характеристики выбранного элемента графичес-
кого интерфейса.
С точки зрения технологии AutoIt всего лишь использует
возможности, заложенные в API графического интерфейса.
Того же самого результата можно добиться с помощью Visual
Basic или даже C++. Но в том-то и разница, что использо-
вание AutoIt позволяет избежать программирования на «тя-
желых» языках. Ибо сисадмин не программист, и ему нуж-
но не писать программы, а лишь решать стандартные про-
блемы автоматизации, возникающие в ходе его работы.
¹4, àïðåëü 2005
администрирование
Итак, как же это работает. Такое средство должно иметь
возможность ввести в управляемую им среду все необхо-
димые данные, проанализировать ответ и в меру стандар-
тных языковых возможностей организовать интерактивное
выполнение описанного процесса. Все! Если интерфейс
текстовый, что верно в отношении expect, то такая система
должна вводить строковые последовательности, принимать
и анализировать ответные строки и в зависимости от ре-
зультата и в силу возможностей своего синтаксиса органи-
зовывать некоторый алгоритмический процесс. Если интер-
фейс графический, то к перечисленному добавляется GUI-
специфика. К вводимым данным добавляются управление
поведением окон (обнаружение, активация, минимизация,
закрытие и проч.), закладок и других элементов оконного
интерфейса, передвижение мыши и нажатия кнопок на ней.
Точно так же, к получаемым данным добавляются события
по созданию, активации и прочим операциям с окнами. Ну
а оставшееся всецело определяется дизайном встроенно-
го языка. В версии 2.* используется язык с синтаксисом
подобным ассемблерному с разделителями в виде запятых
и примитивными управляющими операторами, основанны-
ми на условных переходах. В 3-й версии это уже практи-
чески полноценный язык программирования с привычны-
ми управляющими структурами, включая функции, и как
следствие goto из употребления в этом релизе изъят. И та
и другая версии позволяют, как интерпретировать опера-
торы, записанные в отдельный скриптовой файл, так и со-
здавать исполняемую версию на основе runtime-компонен-
тов. Но версия 3.* «тяжелее» в полтора раза. Поэтому ис-
полняемые файлы на основе 2-й версии имеют размер от
40 Кб, а версии 3.* – от 116 Кб. Вероятно, из-за большего
числа встроенных функций. Кроме уже перечисленного вер-
сия 3.* имеет встроенные тайм-ауты в операторах ожида-
ния, что позволяет решать проблемы «зависаний» неустой-
чивых приложений, но в практике автоматизации стандар-
тных действий можно с успехом обойтись и без этого. Дру-
гими словами, решения, построенные на версии 2.* не ут-
ратили актуальности для 90% задач, решаемых с помощью
AutoIt, но релиз 3.* позволяет создавать полноценные при-
ложения, если такое нужно. В интернет-ресурсах, посвящен-
ных AutoIt есть даже примеры игровых программ.
Установка программного обеспечения
Если вы занимаетесь на вечерних компьютерных курсах,
обязательно проверьте свои знания на своем
и всех соседских компьютерах.
Мы любим работать до 2:30 ночи, исправляя это.
Думаю, теории достаточно. Далее рассмотрим разнообраз-
ные примеры реального использования предложенной тех-
нологии. Здесь не ставится целью писать большие и изощ-
ренные программы. Главное, чтобы это были работоспо-
собные и применимые в практике скрипты и программы.
Часть из них будет разобрана в тексте, другая просто ука-
зана в ссылках и предназначена для самостоятельного изу-
чения. Многие из них будут использованы в заключитель-
ном комплексном примере создания диска для автомати-
ческой установки MS Windows. Начиная с самой простой
предложенные программы будут усложняться постепенно,
что не мешает после прочтения всей статьи вернуться к
13
 администрирование
началу и переработать рассмотренные программы с исполь- // óñòàíîâèì ðåæèì äåòåêòèðîâàíèÿ ñêðûòîãî òåêñòà â îêíàõ
зованием всего арсенала AutoIt. SetTitleMatchMode, 2
DetectHiddenText, on
В качестве первого практического примера рассмотрим // óáåðåì âñå îêíà ñ ýêðàíà
автоматизацию установки самого AutoIt. Поскольку мы рас- WinMinimizeAll
// ïîäîæäåì ñåêóíäó
полагаем сразу двумя работоспособными релизами, 2-м и Sleep, 1000
3-м, то решим задачу автоматической установки AutoIt вер- // çàïóñòèì óñòàíîâêó èç òîé æå äèðåêòîðèè
Run, autoit-v3-setup.exe
сии 3 с помощью скрипта для 2-й. Для этого установим AutoIt // äîæäåìñÿ íóæíîãî îêíà è íàæìåì Next
версии 2 в систему и создадим с помощью текстового ре- WinWaitActive, AutoIt v3.1.0 Setup
Send, {ENTER}
дактора Notepad файл setup_autoit3.aut. Расширение «aut» // âûâåäåì îêîøêî ñ ñîîáùåíèåì
является стандартным для скриптов AutoIt2. Запишем сле- MsgBox, 0, AutoIt, Setup done
// çàâåðøåíèå
дующую последовательность операторов: Exit

// óñòàíîâèì ðåæèì äåòåêòèðîâàíèÿ ñêðûòîãî òåêñòà â îêíàõ Для проверки отменим установку и запустим скрипт по
SetTitleMatchMode, 2
DetectHiddenText, on новой.
// óáåðåì âñå îêíà ñ ýêðàíà После остановки снова завершим наш скрипт, развер-
WinMinimizeAll
// ïîäîæäåì ñåêóíäó нем все окна и проанализируем результат, изображенный
Sleep, 1000 на рисунке.
// çàïóñòèì óñòàíîâêó èç òîé æå äèðåêòîðèè
Run, autoit-v3-setup.exe
// âûâåäåì îêîøêî ñ ñîîáùåíèåì
MsgBox, 0, AutoIt, Setup done
// çàâåðøåíèå
Exit

Это очень короткая программка станет основой разра-

батываемого скрипта. Все операторы снабжены коммента-
риями и совершенно очевидны по содержанию. Но прежде
чем запускать ее на выполнение загрузим «AutoIt Reveal
Mode» – специальное средство для просмотра информации,
скрытой в структурах связанных, с окнами в MS Windows.
Затем запустим скрипт и дождемся завершения. После
появления сообщения о завершении закроем его нажати-
ем на кнопку «ОК» и снова развернем все окна. Должно
получиться так, как показано на рисунке.

Ðèñóíîê 2
Здесь аналогично первому запуску проследим за участ-
ками, отмеченными красным. Задача заключается в том, что
надо «отловить» новое окно и активировать нужное действие.
Но окно имеет такое же название, что и предыдущее! Тогда
смотрим в окошке перехватчика, какие еще строковые зна-
чения нам доступны. Находим строку «License Agreement».
Эта строка как нельзя лучше отражает специфическое зна-
чение полученного окна. И поскольку здесь снова нужное
действие сразу стоит по умолчанию, то после обнаружения
этого окна нужно снова отправить в него Enter. Меняем текст
следующим образом:

// óñòàíîâèì ðåæèì äåòåêòèðîâàíèÿ ñêðûòîãî òåêñòà â îêíàõ

SetTitleMatchMode, 2
DetectHiddenText, on
Ðèñóíîê 1 // óáåðåì âñå îêíà ñ ýêðàíà
WinMinimizeAll
Здесь обратите внимание, что в окне AutiIt v2.64 приво- // ïîäîæäåì ñåêóíäó
дится весь перечень текстовых строк с активного окна, на- Sleep, 1000
// çàïóñòèì óñòàíîâêó èç òîé æå äèðåêòîðèè
чиная с его заголовка. Именно на эти строки и будет далее Run, autoit-v3-setup.exe
«ловиться» установщик в нашем скрипте, и поскольку кноп- // äîæäåìñÿ íóæíîãî îêíà è íàæìåì Next
WinWaitActive, AutoIt v3.1.0 Setup
ка Next уже выделена как активная, то сразу, как только Send, {ENTER}
скрипт дождется активности окна с названием «AutoIt v3.1.0. // àíàëîãè÷íî äîæäåìñÿ license agreement
WinWaitActive, , License Agreement
Setup», можно отправлять этому окну Enter, что приведет к Send, {ENTER}
нажатию активной кнопки, то есть к переходу на следую- // âûâåäåì îêîøêî ñ ñîîáùåíèåì
MsgBox, 0, AutoIt, Setup done
щий экран установщика. Вот текст следующей, более слож- // çàâåðøåíèå
ной фазы разработки: Exit

14

Обратите внимание, как изменился синтаксис операто-
ра WinWaitActive, поскольку теперь нужно определить окно
не по названию, а по тексту внутри, то детектируемая стро-
ка записывается в третьем поле. Снова прекратим установ-
ку и проделаем те же операции, что и в предыдущем запус-
ке. После остановки должен получиться результат, сходный
с изображенным на рисунке.
Ðèñóíîê 3
Здесь все аналогично второму такту разработки скрип-
та автоматизации. Находим строку для детектирования
окна, определяем, какие кнопки надо нажать. Все записы-
ваем в скрипт. Точно так же происходит разработка и чет-
вертого такта. Собственно, можно прогнать всю установку
в непрерывном цикле и просто запоминать строки, опреде-
ляющие каждое из окон установщика, и записывать клави-
атурные коды, которые вводятся в этом процессе. Програм-
мирование в AutoIt чрезвычайно простое занятие. В итоге
получается следующая программа:
// óñòàíîâèì ðåæèì äåòåêòèðîâàíèÿ ñêðûòîãî òåêñòà â îêíàõ
SetTitleMatchMode, 2
DetectHiddenText, on
// óáåðåì âñå îêíà ñ ýêðàíà
WinMinimizeAll
// ïîäîæäåì ñåêóíäó
Sleep, 1000
// çàïóñòèì óñòàíîâêó èç òîé æå äèðåêòîðèè
Run, autoit-v3-setup.exe
// äîæäåìñÿ íóæíîãî îêíà è íàæìåì Next
WinWaitActive, AutoIt v3.1.0 Setup
Send, {ENTER}
// àíàëîãè÷íî äîæäåìñÿ license agreement
WinWaitActive, , License Agreement
Send, {ENTER}
// îêíî ñ âûáîðîì ìåñòà óñòàíîâêè
WinWaitActive, , Choose Install Location
Send, {ENTER}
// çàâåðøåíèå óñòàíîâêè
WinWaitActive, , Click Finish to close
Send, {ENTER}
// âûâåäåì îêîøêî ñ ñîîáùåíèåì
MsgBox, 0, AutoIt, Setup done
// çàâåðøåíèå
Exit
Эта программа устанавливает AutoIt v3 в автоматичес-
ком режиме. Её можно преобразовать в исполняемый, а не
интерпретируемый код. Но предлагаю прогнать ее полнос-
тью и далее перейти к работе в AutoIt v3, который как раз и
будет установлен к этому моменту. Прежде всего, восполь-
зуемся утилитой перевода тестов из 2-й версии в 3-ю «v2
¹4, àïðåëü 2005
администрирование
to v3 Converter». Такой подход позволяет сразу получить
синтаксически верную программу. Вот результат:
// V2.64 to V3.0.100 (Version 1.0.6)
// Converted with AutoItV2toV3 [Version 1.0.6]
// (C) Copyright 2004 J-Paul Mesnage.
// óñòàíîâèì ðåæèì äåòåêòèðîâàíèÿ ñêðûòîãî òåêñòà â îêíàõ
AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
// óáåðåì âñå îêíà ñ ýêðàíà
WinMinimizeAll ( )
// ïîäîæäåì ñåêóíäó
Sleep ( 1000 )
// çàïóñòèì óñòàíîâêó èç òîé æå äèðåêòîðèè
Run ( 'autoit-v3-setup.exe' )
// äîæäåìñÿ íóæíîãî îêíà è íàæìåì Next
WinWaitActive ( 'AutoIt v3.1.0 Setup' )
Send ( '{ENTER}' )
// àíàëîãè÷íî äîæäåìñÿ license agreement
WinWaitActive ( '', 'License Agreement' )
Send ( '{ENTER}' )
// îêíî ñ âûáîðîì ìåñòà óñòàíîâêè
WinWaitActive ( '', 'Choose Install Location' )
Send ( '{ENTER}' )
// çàâåðøåíèå óñòàíîâêè
WinWaitActive ( '', 'Click Finish to close' )
Send ( '{ENTER}' )
// âûâåäåì îêîøêî ñ ñîîáùåíèåì
$__msgbox = MsgBox ( 0, 'AutoIt', 'Setup done' )
// çàâåðøåíèå
Exit
Как видно по тексту, никаких существенных изменений
новый синтаксис не несет. Скрипт после конвертации был
помещен в файл setup_autoit3.au3, расширение у которого
имеет стандартное для версии 3 значение. Но программа
делает все то же самое. Если преобразовать ее в исполня-
емый код с помощью имеющегося в версии 3 компилятора,
то после удаления AutiIt v3 из системы его можно снова ус-
тановить с помощью новой программы. Это и будет про-
веркой работоспособности.
Совершенно таким же способом можно создать сред-
ства автоматической установки практически любого про-
граммного обеспечения вне зависимости от особенностей
использованного разработчиками установщика. Конечно
же, в реальной работе можно сразу начать создание скрипта
в среде AutoIt версии 3, и тогда для определения строк, по
которым происходит детектирование нужных окон, надо
будет воспользоваться «перехватчиком» окон из версии 3,
который называется «AutoIt v3 Active Window Info». Но в ос-
тальном последовательность действий будет точно такой
же: запускаются приложения, определяются названия окон
или тексты внутри них, записываются клавиатурные нажа-
тия (например, клавиша ALT как активатор меню) и все это
переводится в скрипты AutoIt. Полученные скрипты, преоб-
разованные в исполняемые файлы, можно разместить в
соответствующих дистрибутивных директориях под крас-
норечивыми названиями auto_setup.exe. И в практической
деятельности установку очередного 1С клиента можно све-
сти к запуску только одной программы. Более того, можно
даже поделиться почетной обязанностью установить 1С с
тем бухгалтером, которому это нужно. Чего же проще –
кликнуть один раз!
Но точно так же, как не вся работа системного админи-
стратора сводится лишь к установке прикладного программ-
ного обеспечения, так и возможности AutoIt не ограничива-
ются лишь обслуживанием программ типа setup.exe. Но об
этом в следующей части.
15
 администрирование

ЧУДО-ЮДО RESOURCE KIT

В многолетнем споре между приверженцами Linux1 и сто-
ронниками Windows первые в качестве одного из аргумен-
тов часто утверждают, что большинство задач по управле-
нию производимыми компанией Microsoft ОС невозможно
выполнить без графического интерфейса, и администра-
тор фактически становится его заложником. Что ж, доля
истины в этом есть, но целиком согласиться с ним можно,
только если забыть (или не знать) о том, что в дополнение
к операционным системам «парни из Редмонда» уже дав-
но выпускают Resource Kit2, включающие комплект отпеча-
танной документации и набор утилит.
АЛЕКСАНДР ШИБЕНКО
Что же такое Windows 2000 Resource Kit? Это семь то-
мов документации и установочный CD. После инсталляции
пакета, а она необходима, если нужна его полная функцио-
нальность3, на жестком диске появляется занимающий по-
чти 60 Мб каталог C:\Program Files\Resource Kit. Он содер-
жит электронные версии вышеупомянутых семи книг и еще
четырех справочников, руководство и документацию по ути-
литам, а также сами утилиты общим числом около трехсот.
Выражаясь языком Хрюна Моржова: «Внушает»...
Описывать здесь каждую утилиту в отдельности не име-
ет смысла. Имеющаяся документация достаточно подроб-

1
Именно Linux, т.к. по наблюдениям знатоки AIX, HP-UX, Solaris и других *nix-подобных систем редко тратят время на участие в подобных
дебатах.
2
Правда, за отдельную плату и с определенными лицензионными ограничениями.
3
Многие утилиты нормально работают и без инсталляции.

16

на, кроме синтаксиса, хорошо структурирована, содержит
еще и примеры. В зависимости от решаемых задач утили-
ты в ней разделены на следующие основные группы:
! Утилиты управления компьютером (computer manage-
ment tools). Сюда входят инструменты для работы с ре-
естром, для управления сервисами и процессами и для
обработки журналов событий.
! Утилиты для развервертывания системы (deployment
tools). Типичный представитель утилит этой группы – не-
безызвестная sysprep.exe.
! Диагностические средства (diagnostic tools). Это несколь-
ко утилит по отображению информации о распределе-
нии так называемой «кучи»4, snmp-монитор, компилятор
MIB и ряд других.
! Утилиты для работы с файлами и дисками (file and disk
tools). Основные представители этой группы – разнооб-
разные средства для копирования.
! Инструментарий для Internet Information Service (IIS tools).
Здесь можно найти сканер безопасности, стресс-тест
для веб-сервера и предопределенные шаблоны безо-
пасности для его конфигурирования.
! Утилиты управления сетью (network monitor tools). Боль-
шая часть утилит этой группы позволяет из командной
строки управлять пользователями и группами и выпол-
нять другие администраторские задачи на локальном и
удаленном компьютерах.
! Утилиты оценки производительности (performance tools).
Их назначение понятно и без комментариев.
Кроме этих, достаточно представительных групп, суще-
ствует еще несколько, объединяющих всего по нескольку
утилит:
! утилиты отладки (debugging tools);
! утилиты рабочего стола (desktop tools);
! утилиты для Internet Explorer (IE tools);
! инструментарий для сценариев (scripting tools);
! утилиты безопасности (security tools).
Многие утилиты позволяют получать информацию или
выполнять какие-либо действия не только на локальном ком-
пьютере, но и при наличии соответствующих прав, на уда-
ленном. Так, c помощью команды вида:
netsvc /list \\REMOTESERVER
можно получить список запущенных сервисов на компью-
тере REMOTESERVER, а команда:
shutdown \\REMOTESERVER /r
его перезагрузит. Даже этой информации достаточно для
того, чтобы понять, какие возможности открываются перед
системными администраторами и каким мощным потенци-
алом обладают эти средства. Усилия, затраченные на их
освоение, с лихвой окупятся за счет так любимой и цени-
мой юниксоидами автоматизации многих рутинных задач.
Правда, для полноценной обработки информации крайне
4
Куча – пул оперативной памяти, из которого программы ее запрашивают под динамические переменные.
¹4, àïðåëü 2005
администрирование
желательно, а может, даже и необходимо использовать до-
полнительный инструментарий вроде Excel или Access.
В завершение приведем примеры из реальной практи-
ки. Наверняка во многих организациях руководство спра-
шивает у системного администратора, кто из пользовате-
лей на каких принтерах и в каких количествах распечаты-
вает документы. Для решения воспользуемся входящей в
группу диагностических средств утилитой dumpel, позво-
ляющей обрабатывать журналы событий:
dumpel -f pr.txt -l system -m print -e 10
В данном случае из системного журнала (ключ -l system)
выбираются события «печать» (ключ -m print) с кодом, соот-
ветствующим постановке задания в очередь печати (ключ -e
10) и помещаются в текстовый файл pr.txt. Каждая строка
файла соответствует одному заданию. Как видно, здесь при-
сутствует и имя пользователя, и название принтера, и коли-
чество напечатанных страниц (последнее число в строке).
Наиболее простым способом получения требуемого отчета
мне представляется написание макроса в Excel. Приводить
его здесь, пожалуй, не стоит. Для умеющего программиро-
вать человека сделать это не составит большого труда, а
новичку подобную задачу вполне можно рекомендовать в
качестве имеющего прикладное значение практикума.
И еще один пример. Однажды возникла необходимость
после перезагрузки компьютера копировать на него с сер-
вера некий каталог, в свою очередь, содержащий подката-
логи и файлы. Но необходимо было получить «зеркальную
копию» серверного каталога за исключением пустых подка-
талогов. Для этого был написан следующий командный файл,
который вызывался штатным планировщиком задач по со-
бытию «загрузка системы» от имени администратора:
@echo off
sleep 60
now.exe > c:\log\copy.log
net use m: \\server\backup /user:oper 123
if errorlevel 1 echo net use error >> c:\log\copy.log
robocopy.exe m:\daily\ d:\archive\ ↵
/log:c:\log\rc.log /np /mir /s
if errorlevel 1 echo robocopy error >> c:\log\copy.log
Утилиты now.exe, sleep.exe и robocopy.exe входят в со-
став Resource Kit. Now.exe выдает в стандартный вывод те-
кущую дату и время. Sleep.exe нужна для того, чтобы под-
ключить каталог сервера после того, как запустятся все не-
обходимые службы и сервисы. Иначе команда net use мо-
жет просто не выполниться. Ну а требуемую величину за-
держки можно подобрать опытным путем. И наконец, зер-
кальное копирование (ключ /mir) с помощью robocopy.exe
содержимого каталога m:\daily\ в d:\archive\. При этом если
d:\archive\ содержит каталоги и файлы, не имеющие ана-
логов в m:\daily\, они будут удалены. Ключ /s запрещает
копировать пустые каталоги, а /np подавляет вывод на эк-
ран информации о ходе копирования. Ключ /log:c:\log\rc.log,
надеюсь, понятен без комментариев.
На самом деле robocopy.exe обладает широкими воз-
можностями, включая копирование разрешений NTFS, что
может оказаться весьма полезным.
17
 администрирование
ALT-N MDAEMON –
ПОЧТОВАЯ СИСТЕМА
ДЛЯ СРЕДНИХ И КРУПНЫХ
КОМПАНИЙ
Alt-N MDaemon – почтовый сервер корпоративного уровня
для ОС семейства Windows. Уже с первых версий данный
продукт пользовался заслуженной популярностью среди ад-
министраторов Windows-систем, благодаря чему постоян-
но совершенствовался и дополнялся новыми возможнос-
тями. На сегодняшний день MDaemon – это SMTP/POP/IMAP
сервер с полным набором возможностей: защита от спама,
безопасный доступ к почте через веб-интерфейс при помо-
щи обычного браузера, удаленное администрирование, а
также при установленном MDaemon AntiVirus защита вашей
системы от почтовых вирусов.
MDaemon AntiVirus был разработан Alt-N совместно с
Kaspersky Labs для обеспечения хорошего уровня встроен-
ной защиты для пользователей MDaemon. Он перехватыва-
ет, подвергает карантину, исправляет и/или удаляет любое
сообщение, в котором найден вирус. Большой набор гибких
правил для Content Filter позволяет производить дополнитель-
ный анализ, сортировку и обработку писем. Например, яв-
ное запрещение вложений в виде исполняемых файлов по-
зволяет максимально защититься от новых вирусов, сигна-
туры которых еще не включены в антивирусную базу.
К сожалению, антивирусные продукты других произво-
дителей не анонсированы на официальном сайте Alt-N, что
является минусом для администраторов, предпочитающих
другие решения. Однако «прикрутить» к Mdaemon другой
антивирус все же можно, используя нетривиальные подхо-
ды. Например, правила сортировки с запуском сторонней
программы при поступлении письма, а также запуск про-
граммы при наличии сообщений в очереди. Помимо этого
можно использовать online-сканирование папок, в которых
сохраняются временные файлы при получении письма, а
также папок пользователей. Причина отсутствия штатной
интеграции с другими антивирусами автору данной статьи,
к сожалению, неизвестна.
Помимо этого с MDaemon интегрируются следующие
продукты от Alt-N:
! LDaemon – LDAPv3-сервер (Lightweight Directory Access
Protocol). С LDaemon ваши адресные книги путешеству-
ют вместе с вами. LDaemon скачивается отдельно и
предлагается пользователям MDaemon бесплатно.
! MDaemon GroupWare – вместе с MDaemon Pro раскры-
вает функции групповой работы Microsoft Outlook, ис-
пользуя MDaemon в качестве серверной платформы.
Пользователи Outlook могут совместно использовать
папки Календаря, Задач, Контактов, Заметок и Дневни-
ка без применения Microsoft Exchange Server.
18
РОМАН МАРКОВ
! RelayFax – факс-сервер с возможностями OCR и под-
держкой TWAIN. Входящие и исходящие факсы марш-
рутизируются в соответствии с гибкими правилами и
могут включать различные критерии, такие как OCR,
Caller-ID или факс-аппарат.
Системные требования
и первоначальная установка
MDaemon не слишком требователен к ресурсам при мини-
мальной нагрузке, однако при ее возрастании (увеличение
количества учетных записей, многочисленные правила сор-
тировки, большой поток писем) эти требования резко ме-
няются. Прежде всего необходимо обеспечить достаточно
большой объем оперативной памяти. Именно ее может не
хватить при большой нагрузке на почтовый сервер. Произ-
водитель (www.altn.com) указывает следующие минималь-
ные требования к оборудованию:
! Pentium III 500 МГц и выше.
! 512 Мб RAM (рекомендуется 1 Гб).
! Свободное место на диске для установки – 30 Мб + до-
полнительное место под хранение писем, а также log-
файлов.
! Microsoft Windows 95 OSR2/98/ME/XP/NT/2000/2003.
! Winsock 2 (для старых версий ОС).
! Internet Explorer 4.0 и выше.
К сожалению, на сайте производителя не указывается,
для какой нагрузки необходимы именно такие требования.
Поэтому ниже приведены проверенные автором на практи-
ке данные о необходимых ресурсах.
Многолетний опыт использования почтового сервера
MDaemon (начиная с версии 3.xx и до сегодняшней – 7.xx)
показал, что он идеально подходит для организаций любого
масштаба – от малого бизнеса до крупной компании. Поэто-
му использование этого продукта даже для сети из 5-10 ком-
пьютеров оправдано: гибкая система сортировки практичес-
ки по любым условиям и в зависимости от этих условий –
выполнение разнообразных действий (например, при нали-
чии в письме вложения с «запароленным» архивом – отсечь
вложение, отправить автоответ, запустить указанную про-
грамму, и изменив тему письма, доставить пользователю),
наличие веб-интерфейса и другие описанные выше возмож-
ности помогают сделать любую почтовую систему безопас-
ной и удобной. Причем минимальные системные требова-
ния, указанные производителем, являются несколько завы-
шенными применительно к объему оперативной памяти.

Автор статьи использует в качестве почтового сервера на
базе MDaemon 7.xx компьютер с объемом оперативной па-
мяти 256 Мб. При этом в системе функционирует около 200
почтовых ящиков, встроенный антивирус, веб-интерфейс,
а также довольно много правил сортировки. Правда, одно-
временное использование всех возможностей, дополни-
тельных модулей, а также дальнейший рост количества
пользователей как раз и увеличит этот лимит до 512 Мб.
Для установки почтового сервера рекомендуется ис-
пользовать ОС семейства Windows NT (Windows NT/2000/
XP/2003), так как MDaemon, как и любое серверное прило-
жение, лучше устанавливать в качестве системной служ-
бы. Дистрибутив скачиваем с официального сайта: http://
www.altn.com/download.
В этой статье описывается установка и настройка анг-
лийской версии MDaemon. Существует локализованная сто-
ронней компанией русская версия (www.MDaemon.ru), од-
нако чаще всего системные администраторы не доверяют
«нефирменным» локализациям, предпочитая оригинальные
версии от производителя продукта.
Если система будет масштабной и критичной к сбоям,
выбираем качественный и надежный носитель, например,
RAID-1 из SCSI-дисков. В окне «Registration Information» вво-
дим имя приобретенной лицензии и имя компании, а также
регистрационный ключ. Продукт имеет 30-дневный trial-пе-
риод, в течение которого его можно протестировать бес-
платно. После окончания срока работы пробной версии не-
обходимо будет активировать продукт.
Сразу после установки запустится мастер, при помощи
которого можно ввести первоначальную информацию о по-
чтовой системе. В первом окне «What is your domain name»
введите имя своего домена (то, что находится справа от
символа @, не включая сам символ). Например, тестовый
домен: lagman.spb.ru. Здесь же можно кликнуть по ссылке
и воспользоваться услугами бесплатного сервиса по реги-
страции доменов «dns4you». Однако такой способ хорош
только для тестового режима.
Для создания корпоративной почтовой системы реко-
мендуется зарегистрировать доменное имя, воспользовав-
шись услугами провайдеров. В следующем окне «Please
Setup your first account» необходимо ввести первую учет-
ную запись нашей почтовой системы, которой автомати-
чески будут делегированы полные права по конфигуриро-
ванию домена, а также сопоставлен alias «Postmaster» как
обязательный согласно требованиям RFC. Вводим имя,
предпочитаемый вами login (без символа @ и имени доме-
на – они будут автоматически добавлены при создании), а
также пароль. Помните, что пароль этой учетной записи дол-
жен быть сложным. Убедимся, что флажок «This account is
an administrator – full configuration access is granted» уста-
новлен и перейдем на следующую страницу мастера. В окне
«Please Setup Your DNS» вводим адреса DNS-серверов, пре-
доставленных нам провайдером подключения к сети Ин-
тернет, либо других доступных DNS-серверов. Флажок «Use
Windows DNS-settings» снимаем – такие настройки лучше
прописывать явно.
В следующем окне мастера выбираем режим, в кото-
ром будет запускаться сервер – Easy или Advanced. Отли-
чия данных режимов описаны на сайте производителя в раз-
¹4, àïðåëü 2005
администрирование
деле Features. Мы выбираем полный функционал – Run
MDaemon in «Advanced Mode». В следующем окне будет
предложено установить MDaemon в качестве системной
службы. Устанавливаем флажок «Setup MDaemon as a
system service». Оставляем флажок «Start MDaemon» в пос-
леднем окне мастера и выбираем «Finish». Сервер должен
запуститься. Если по каким-либо причинам этого не про-
изошло при первоначальной установке, выберите из меню
«Пуск → MDaemon» ярлык «Start MDaemon». Если вы ис-
пользуете не тестовую, а полноценную версию программы,
прежде всего необходимо активировать ваш программный
продукт. Делается это в меню «Help → Activate your
software». Запустится мастер активации. Вам будет пред-
ложено активировать автоматически через интернет или
вручную, введя код активации. На этом установка завер-
шена, и сервер готов к настройке.
Начальная настройка почтового сервера
Настройка почтового сервера начинается с конфигуриро-
вания системных параметров. Не будем расписывать все
опции каждого меню конфигурирования – это тема отдель-
ного справочника. К тому же встроенная справочная сис-
тема подробно и полностью описывает назначение каждой
настройки (на английском языке). Опишем только те опции,
которые необходимо изменить либо проверить их значение.
Для настройки в качестве примера можно использовать при-
веденные скриншоты.
Меню «Setup → Miscellaneous Options». На закладке GUI
задаем параметры запуска сервера MDaemon. Тут все ин-
дивидуально и зависит от личных предпочтений. Скажем
лишь, что полезно установить опцию «Start MDaemon…» в
«In the system tray» и «Create Sessions…» в «In a hidden
window». Первая при старте сворачивает MDaemon в сис-
темный трей, а вторая задает запуск активных сессий (от-
правка и получение почты) в скрытом окне, которое не бу-
дет мешать при просмотре логов и настроек. Параметр «Max
number of log lines…» задает количество строк, которое бу-
дет отображаться в окнах протоколирования сессий перед
их затиранием. Обращаем внимание на то, что эти пара-
метры влияют только на количество отображаемых на эк-
ране строк – размер лог-файлов задается в другом меню.
Раздел «Composite log windows contains» позволяет вклю-
чить/отключить отображение требуемых окон протоколиро-
вания. То есть если мы не используем LDAP и IMAP – мож-
но смело отключить вывод этих окон (рис. 1).
На закладе Servers оставляем почти все, как есть. В поле
«POP/IMAP server always accept connections from IP» устанав-
ливаем адрес локальной петли 127.0.0.1 или IP-адрес на-
шего сервера. Подключения с этого адреса будут возмож-
ны всегда, независимо от параметров защиты MDaemon.
Если ваш сервер предоставляет POP3 доступ для клиен-
тов с тонкими и нестабильными интернет-каналами, полез-
но установить флажок «POP DELE command immediately
removes messages from mailbox». Тогда уже полученные
клиентами сообщения будут удаляться немедленно и при
обрыве связи получение продолжится с первого еще не
доставленного сообщения (в обычном режиме полученные
сообщения удаляются только после завершения сессии
POP3, и при обрыве связи доставка начинается с начала,
19
 администрирование
дублируя уже полученные письма и создавая лишний тра-
фик). При необходимости можно установить лимит на объем
отсылаемых/получаемых по протоколу SMTP писем. Для
этого предназначены опции Data Transfer Limits. Крайне ре-
комендуется установить значение Max acceptable SMTP
message size отличным от 0. В противном случае неопыт-
ные пользователи будут беспрепятственно отсылать пись-
ма любой величины (частый пример – огромные фотогра-
фии или видеоролики). Приемлемое значение – от 2500 до
10000 Кб. Не рекомендуется устанавливать значение ме-
нее 2500 Кб, так как стандартный размер дискеты 1.44 Мб
при пересылке достигает примерного объема 2,2 Мб. Бо-
лее 10 Мб также устанавливать не стоит – приучайте пользо-
вателей разбивать файлы на части. Даже если ваш почто-
вый сервер отправит такое сообщение – не всякий почто-
вый сервер его примет. В итоге сообщение вернется к вам,
создав никому не нужный входящий трафик. Если передаю-
щий клиент поддерживает команду ESMTP SIZE, то соеди-
нение будет разорвано сразу. В противном случае MDaemon
начнет прием сообщения, и после завершения соединения
отвергнет его доставку адресату. Опция «Kill the connection
if data transmission exceeds» позволяет задать суммарный
объем данных на сессию, при превышении которого дан-
ное соединение будет разорвано (рис. 2).
Ðèñóíîê 1
На следующем скриншоте видно, что сеанс был завер-
шен принимающим сервером сразу после того, как обна-
ружилось несоответствие размера принимаемого письма
и заданного на сервере ограничения (рис. 3).
Следующие закладки до «Misc» пропускаем – для нашей
настройки они пока не нужны. На закладке «Misc» проверяем
и устанавливаем флажки «Create ‘Everyone Lists’», «Create
‘MasterEveryone’ Lists». В предыдущих версиях MDaemon дан-
ные опции были включены по умолчанию. Они создают спис-
ки рассылки. Everyone@<domain> включает в себя все почто-
вые адреса конкретного почтового домена (почтовых доме-
нов может быть несколько), а MasterEveryone@<domain> – аб-
20
солютно все почтовые адреса почтового сервера. Данные
списки позволяют организовывать корпоративную рассыл-
ку для всех сотрудников, что является очень удобным спо-
собом оповещения работников предприятия. При соблюде-
нии политики сложных паролей и прочих параметров безо-
пасности можно быть уверенным, что спаммеры не восполь-
зуются данным списком, так как по умолчанию отправить
письмо для списка рассылки может только администратор
почтовой системы либо пользователь, которому админист-
ратором явно делегировано такое право.
Ðèñóíîê 2
Ðèñóíîê 3
Флажок «Require strong passwords» предписывает исполь-
зовать только сложные пароли (не менее 6 символов, вклю-
чающие в себя буквы и цифры в разных регистрах, а также
не содержащие частей названия ящика) к ящикам для пре-
дотвращения возможности несанкционированного доступа.
Если вы будете предоставлять доступ к почтовому серверу
извне – крайне рекомендуем использовать именно такие
пароли, причем увеличить их длину до 8 символов. Мини-
мальная длина пароля задается в файле MDaemon.ini
(MDaemon\Apps) → Секция [Special] → MinPassword
Length=XX. Пароли для всех протоколов едины и задаются в
свойствах каждой учетной записи (либо, если используется
сквозная аутентификация в домене NT/AD, берутся из соот-
ветствующей БД).
Флаг «Periodically check for new MDaemon updates» раз-
решает серверу MDaemon самостоятельно проверять на-
личие обновлений на сайте производителя. В случае появ-
ления новой версии значок в трее будет мигать (рис. 4).
 администрирование
вание старых файлов, возраст которых превысил количе-
ство дней, задаваемое в поле «Automatically ZIP and archive
log file older than ….. days». При этом следует помнить, что
данная опция действует, только если на предыдущей зак-
ладке выбрана опция «Create a standard set of log files».
На закладке Options отмечаем те службы, протокол ра-
боты которых необходимо записывать в log-файлы. Также
устанавливаем флажки «Always log to screen» и «Log session
in real time». Первая опция устанавливает одновременный
вывод протоколов, записываемых в log-файлы на экран, а
вторая – разрешает этот вывод в режиме реального вре-
мени, а не постфактум после осуществления операции. Это
полезно при анализе и устранении возможных ошибок.

Ðèñóíîê 4
Теперь настроим размер и расположение log-файлов.
По непонятной причине (ошибка разработчиков или сомни-
тельная задумка) независимо от пути установки MDaemon
создает на диске C: папку MDaemon и в ней подпапку Logs,
куда и записывается часть log-файлов. Сразу исправим эту
ошибку: остановим сервис MDaemon, откроем файл \Apps\
MDaemon.ini и заменим значение переменной LogFiles в
секции [Directories] на путь установки MDaemon. После это-
го перенесем все файлы из папки C:\MDaemon\Logs в пап-
ку установки, удалим с диска C: уже ненужный каталог и
снова запустим службу. Затем в окне «Setup → Logging»
настроим необходимые нам параметры.
На закладке «Log Mode» необходимо выбрать вид имен
log-файлов (стандартные или основанные на дате/дне неде- Ðèñóíîê 5
ли). Для общего комплексного анализа рекомендуется выс-
тавить «Create a standard set of log files». Если необходимо Настройка доменной почтовой системы
осуществлять поиск записей по дням – лучше воспользовать- Определимя со способом доставки почты. MDaemon – пол-
ся набором log-файлов с именами, основанными на днях нофункциональный почтовый сервер и имеет различные ме-
недели или дате. То же самое с опциями «Log detailed mail- ханизмы для получения почты, которые при необходимости
sessions» (записывать подробный протокол сессий) и «Log могут использоваться одновременно. Первый способ – на-
summarized mail sessions» (записывать краткий протокол сес- стройка MX-записи с наивысшим приоритетом в DNS-запи-
сий). Если необходимо будет анализировать возможные про- сях вашего домена на внешний IP-адрес сервера MDaemon.
блемы с отправкой/приемом писем по протоколу SMTP – Помните, что такой способ требует от вас внимательной на-
лучше записывать подробный протокол. Это может понадо- стройки безопасности почтового сервера. В противном слу-
биться при рассмотрении жалоб пользователей, связанных чае вы рискуете предоставить спамерам открытый relay, что
с функционированием системы доставки почты. Если log- неизбежно повлечет за собой жалобы вашему провайдеру,
файл служит только для краткого анализа успеха/неудачи а также создаст большой паразитный трафик.
(например, анализ системой подсчета трафика) – лучше Замечание. Если почтовый сервер, на который установ-
выбирать краткий формат файлов. Разумеется, что подроб- лен MDaemon, находится внутри локальной сети и выходит в
ное протоколирование требует гораздо большего дисково- Интернет, используя технологию NAT, необходимо органи-
го пространства. Опция «Log each service into separate log зовать проброс портов (Port-Map) с 25-го порта внешнего ин-
file» позволяет разделять протоколы различных служб терфейса сети на внутренний интерфейс почтового серве-
MDaemon по отдельным файлам, что, несомненно, удоб- ра. Также не забудьте прописать шлюз по умолчанию и DNS-
нее при поиске необходимой информации. сервера в свойствах TCP/IP-соединения по локальной сети.
Опции закладки «Maintenance» позволяют задать макси- Второй способ – это создание провайдером доменного
мальный размер log-файлов, а также настроить архивиро- почтового ящика, в который будут доставляться абсолют-

¹4, àïðåëü 2005 21

 администрирование
но все письма, посланные на ваш почтовый домен (или до-
мены, если их несколько). MDaemon будет получать пись-
ма с этого ящика по протоколу POP3, сортировать и скла-
дывать в папки существующих пользователей. В этом слу-
чае при расположении сервера MDaemon на интернет-шлю-
зе компании не забудьте о принудительном запрете входя-
щих подключений к порту TCP/25 внешнего интерфейса для
предотвращения попыток несанкционированной рассылки
с использованием вашего сервера. В некоторых случаях
порт TCP/25 требуется открыть, например, если вы разре-
шите использовать ваш сервер в качестве SMTP-сервера
для обладателей ящика на нем. В этом случае необходимо
очень тщательно спланировать безопасность, например,
включив обязательную авторизацию SMTP-сессий и задав
всем учетным записям сложные пароли. Mdaemon поддер-
живает шифрованные протоколы аутентификации, а так-
же STARTTLS, STLS для SMTP, POP3, IMAP-сессий. Поми-
мо этого имеется возможность шифровать сессии веб-дос-
тупа к почтовым ящикам. Настройку можно произвести в
меню Security – SSL/TLS/Certificates.
В обоих случаях мы получаем полную независимость
от провайдера (кроме содержания DNS-записи, если, ко-
нечно, вы не делаете это своими средствами) и возмож-
ность управления своими почтовыми ящиками внутри на-
шей сети, мгновенно активизируя внесенные изменения.
Поддерживается и третий способ получения почты –
ETRN. Он объединяет в себе преимущества первого метода
и безопасность второго и заключается в том, что провай-
дер собирает всю адресованную вам почту в одну очередь,
которую и перенаправляет на ваш IP-адрес по протоколу
SMTP, когда ваш хост доступен, либо по сигналу от вашего
сервера на разбор очереди. В этом случае мы должны бу-
дем разрешить входящие подключения на порт TCP/25 толь-
ко для Relay-сервера провайдера.
Устанавливаем расписание обмена почтой: «Setup →
Event Scheduling». Для постоянной доставки почты через
определенный интервал времени устанавливаем флажок
«Deliver/collect remote mail at this interval» и передвигаем ука-
затель интервала на необходимое нам время. Также уста-
навливаем флаг «Deliver remote mail immediately upon
reception» для того, чтобы полученные письма сразу достав-
лялись пользователю. Если вам необходимо создать другое,
более гибкое расписание, то в вашем распоряжении все сред-
ства для этого. Снимаем флаг: «Deliver/collect remote mail at
this interval» и вручную настраиваем любое расписание. Если
вы используете Dial-Up, то здесь же можно настроить пара-
метры подключения и отключения (RAS setup).
Помните, что если почтовый сервер будет получать пись-
ма напрямую от отправителей по протоколу SMTP, то пись-
ма начнут доставляться сразу после создания домена, по-
этому если вы переводите на MDaemon уже существующую
внешнюю систему, сначала необходимо завести учетные
записи пользователей (почтовые ящики), а только затем
производить открытие порта TCP/25 на вход. Однако это
спорное решение, т.к. в данном случае отправителям бу-
дут возвращены все письма, которые были посланы ими в
момент перевода MX-записи домена на ваш IP-адрес. Если
же сначала открыть порт TCP/25, а затем заводить пользо-
вателей, то в зависимости от настройки условий доставки
22
писем для неопознанных адресатов, такие сообщения бу-
дут либо приняты и направлены пользователю Postmaster,
либо – так же, как и в предыдущем случае – возвращены
отправителю. Как выход, при грамотном планировании пе-
ревода почтовой системы от провайдера к себе можно на-
строить MX-запись с более высоким приоритетом на свой
IP-адрес уже после полной настройки почтового сервера.
В случае перевода на MDaemon системы с получением
почты по протоколу POP3 с единого ящика, перед настрой-
кой параметров в DomainPOP (см. далее) необходимо со-
здать все необходимые ящики.
Произведем настройку нашего почтового домена (Primary
Domain). Меню «Setup → Primary Domain». На закладке
«Domain» уже указаны настройки, которые мы ввели во вре-
мя установки почтового сервера. При необходимости их
можно изменить. Если используется прямое получение по-
чтовым сервером почты по протоколу SMTP (MX-запись со-
ответствует нашему внешнему IP-адресу), то в поле «Primary
Domain IP» указываем именно этот IP-адрес. В противном
случае можно указать либо внутренний IP, либо адрес ло-
кальной петли 127.0.0.1.
На закладке «Delivery» указывается способ отправки пи-
сем нашим почтовым сервером во внешний мир:
! «Always send every outbound email to the server specified
below» – всегда отправлять исходящие сообщения на
сервер, указанный в поле «Mail server». В поле «Mail
server» указывается SMTP-сервер вашего провайдера.
! «Try direct delivery but send problem emails to the server
specified below» – пытаться отправить напрямую, а в слу-
чае неудачи – через хост, указанный в поле «Mail Server».
! «Always send all outbound email directly to the recipient’s
mail server» – всегда отправлять почту только напрямую
получателям.
Закладка Ports позволяет изменить стандартные при-
вязки служб MDaemon к портам. В случае если вы поменя-
ли какое-либо значение, для вступления изменений в силу
необходимо нажать «Bind to new port values now». В про-
тивном случае изменения вступят в силу только после пе-
резагрузки службы MDaemon.
В закладке «DNS» находятся данные об используемых
почтовым сервером DNS-серверах, указанные нами еще на
этапе установки. При необходимости их можно сменить. По-
мимо этого можно настроить параметры опроса MX- и A-за-
писей, согласно которым будут производиться действия над
письмами в случае получения сообщений об ошибках. В ча-
стности, установка флага «Use ‘A’ record IP addresses found
within MX record packets» разрешает серверу MDaemon при
отсутствии MX-записи для домена попытаться доставить
сообщения по IP-адресу, возвращенному A-записью получа-
теля. Более подробно о протоколе SMTP можно прочитать в
RFC1891 (для хорошего понимания принципов обмена по
почтовым протоколам настойчиво рекомендуется это сде-
лать). Установка флага «Immediately return mail when DNS says
domain does not exists» позволит сразу же возвращать от-
правителю письмо, если DNS-запрос имени домена возвра-
тил результат «Домен не существует». Это предотвратит
постановку такого письма в очередь системы повтора, что, в
общем-то, является в данном случае бесполезным (исклю-

чения составляют некорректные переносы зон их держате-
лями, однако это редкое исключение из правил).
Раздел «Timers» предоставляет возможность изменить
величины тайм-аутов на различные события при соединении.
На закладке «Sessions» рекомендуется настроить пре-
дельное количество одновременных сессий различных ти-
пов. При медленной исходящей скорости канала рекомен-
дуется установить величину «Maximum concurrent SMTP
outbound sessions» значением не более 2-4. В любом слу-
чае даже при наличии быстрого канала не стоит злоупот-
реблять этим параметром. Приемлемая величина этой пе-
ременной для быстрых каналов (512 kbit/s и более) – 10-20.
Параметр «Maximum concurrent SMTP inbound sessions»
влияет на максимальное количество одновременно входящих
сессий по протоколу SMTP. В случае превышения заданной
величины клиенты получат сообщение «Server too busy».
Закладка «Unknown mail» позволяет указать на действие,
которое необходимо производить с письмами, адресат кото-
рых не опознан. Подразумевается, что доменный адрес в до-
ставленном письме соответствует обслуживаемым доменам
MDaemon, однако такого пользователя в системе не существу-
ет. Имеется возможность возвращать письмо отправителю
с комментарием «No such user», а также отправлять копию
такого письма администратору почтового сервера (копия от-
правляется как вложение). Возврат письма отправителю воз-
можен только при получении почты по протоколу SMTP.
На закладке «Pruning» задаются образцы доменных
квот. Здесь рекомендуется задать значения, отличные от
0, так как в противном случае редко проверяемые ящики,
на которые приходит большое количество писем, будут за-
нимать много места на диске. Это же замечание относится
к ящикам пользователей, которые бездумно устанавлива-
ют в свойствах почтового клиента опцию «Оставлять пись-
ма на сервере», не указывая максимальный срок их хране-
ния. Разумные сроки удаления неактивных учетных запи-
сей и устаревших писем для каждой организации свои.
Просто рекомендуем не забывать про наличие этого раз-
дела. Письма в Mdaemon хранятся для каждого ящика от-
дельно, в папке Users. Каждое письмо представляет собой
отдельный файл с расширением *.msg.
Раздел «Archival» позволяет отправлять копию абсолют-
но всех входящих и исходящих писем указанным пользова-
телям (адреса разделяются запятой), а также архивировать
их в общую IMAP-папку, доступ к которой по умолчанию
имеет только Postmaster. Данная опция применяется для
контроля службой безопасности любой проходящей через
ваш почтовый сервер информации.
«Dequeue» – данная закладка служит для настройки по-
лучения почты от провайдера по ETRN. Укажите здесь ад-
рес, по которому ваш сервер должен посылать сигнал о на-
чале сеанса доставки вам почты по протоколу SMTP со сто-
роны провайдера.
Если у нас несколько почтовых доменов, то необходимо
их сконфигурировать. Заходим в Setup – Secondary Domains,
указываем имя для вторичного домена, в поле Ip Address
указываем IP адрес для этого домена. Если подключение к
вторичному почтовому домену будет осуществляться с ис-
пользованием IP адреса, не совпадающего с IP адресом пер-
вичного домена, необходимо указать Bind sockets to this IP
¹4, àïðåëü 2005
администрирование
only. При этом создаваемые нами учетные записи пользова-
телей уникальны и принадлежат только конкретному доме-
ну. То есть при создании новой учетной записи через Account
Manager в системе с несколькими доменами нам необходи-
мо ввести его Login, а также указать, к какому домену он
принадлежит, выбрав из выпадающего списка требуемый.
При импорте пользователей из базы NT/AD необходимо выб-
рать, в какой домен будут внесены записи. Если необходи-
мо, чтобы один пользователь получал почту с разных доме-
нов, необходимо создать соответствующие алиасы.
Если почтовый сервер будет забирать почту у провайде-
ра по протоколу POP3 c доменного почтового ящика, то пос-
ледним шагом первоначальной настройки MDaemon будет
указание свойств этого ящика (их может быть несколько).
Меню «Setup → DomainPOP». На закладке Account устанав-
ливаем переключатель «Enable DomainPOP mail collection
engine» и вводим адрес POP3-сервера, имя и пароль для
доступа. Если ящиков, с которых будет доставляться почта,
несколько (например, при наличии нескольких почтовых до-
менов), то можно задать параметры остальных ящиков, на-
жав «Extra hosts» и отредактировав текстовый конфигура-
ционный файл по указанному в нем же шаблону. После при-
нятия изменений MDaemon будет собирать почту с указан-
ных ящиков согласно расписанию, созданному нами в меню
«Event Scheduling». Можно задать дополнительные парамет-
ры, например, оставлять письма на сервере – «Leave a copy
of message on host server», не скачивать (и при необходимо-
сти удалять прямо с сервера) письма, размер которых боль-
ше, чем указанная величина, – «Don’t download messages
larger than [XX] KB (0 = no limit)». При медленном входящем
канале полезно установить опцию «Download messages
according to size (small messages first)». В этом случае сооб-
щения будут скачиваться согласно их размеру – меньшие по
размеру в первую очередь. Это позволит большому количе-
ству малых по размеру сообщений быть полученными быст-
рее, не заставляя многих получателей страдать из-за одно-
го пользователя, которому было послано многомегабайтное
письмо. На закладке «Foreign mail» обязательно установите
опцию «Do not deliver mail addressed to non-local addresses».
При парсинге полученных сообщений в поле TO: могут по-
падаться другие, нелокальные для вас адреса. Данная оп-
ция запретит пересылать такие письма указанным адреса-
там. Она наиболее безопасна с точки зрения защиты от не-
санкционированной рассылки с использованием вашего по-
чтового сервера.
Заведение учетных записей
пользователей
Управление учетными записями производится при помощи
меню Accounts. MDaemon поддерживает импорт учетных за-
писей пользователей из домена NT/Active Directory и сквоз-
ную аутентификацию пользователей. Для этого выбираем
из меню Accounts – Importing опцию «Import accounts from the
NT SAM database». Если имя домена NT/AD не совпадает с
созданным нами, то в открывшемся окне указываем домен,
из которого будет производиться импорт, а также имя сер-
вера, если оно не было найдено автоматически, и нажима-
ем кнопку Refresh. Если учетные записи для импорта не по-
явились (либо появились далеко не все – например, только
23
 администрирование
учетные записи администраторов домена), то скорее всего
учетная запись, от имени которой запущена служба MDaemon
не имеет привилегии «SE_TCB_NAME» в указанном доме-
не. Для выхода из этой ситуации необходимо создать в до-
мене учетную запись с минимальными правами доступа,
единственной задачей которой будет получение доступа на
чтение базы учетных записей домена. Затем в свойствах
службы MDaemon необходимо настроить ее запуск с этими
учетными данными и перезапустить службу (эту настройку
можно произвести в меню «Setup → System Service»). После
этого перезапускаем процедуру импорта, выделяем требуе-
мые учетные записи, указываем способ задания паролей для
создаваемых пользователей почтового сервера, и подтвер-
ждаем выбор кнопкой «Import Selected Account». Не стоит
устанавливать опцию «Set account passwords equal to account
names», так как это выходит за рамки любых требований
безопасности. Лучше всего установить сквозную аутентифи-
кацию в домене (не забыв при этом усилить политику безо-
пасности паролей в домене), либо вручную задать единый
сложный пароль и затем вручную генерировать и изменять
пароли для каждой учетной записи. По умолчанию пользо-
ватели могут изменять свои пароли двумя способами – че-
рез веб-интерфейс и при помощи специально сформирован-
ного письма на адрес Mdaemon@domain содержащего в поле
письма адрес электронной почты и пароль (однако паро-
ли, которые проверяются через сквозную аутентификацию
NT/AD, изменить таким образом не удастся). Если данные
аутентификации совпадают, то тело письма интерпретиру-
ется сервером как последовательность инструкций. Более
подробно о них можно узнать из встроенной системы по- Ðèñóíîê 6
мощи. Из соображений безопасности рекомендуется сме- «Forwarding» – позволяет отсылать копии письма на ука-
нить стандартные шаблоны прав пользователей, по умол- занные (через запятую) адреса. Установив флаг «Retain a
чанию запретив им изменение собственных настроек – осо- local copy of forwarded mail», копия письма будет оставать-
бенно возможность самостоятельной смены пароля, адре- ся в ящике пользователя.
сов пересылки и автоответчика (меню «Accounts → Account «Admin» – здесь можно делегировать пользователю пра-
Manager → New Account Default»). В любом случае при пра- ва глобального администратора (имеющего полный доступ
вильной политике паролей сменить данные настройки воз- к администрированию почтового сервера), либо только ад-
можно, только зная пароль учетной записи. Кстати, из сооб- министратора домена, который обладает только правами по
ражений безопасности тема таких писем не записывается в конфигурированию данного домена, используя WebAdmin
файлы и окна протоколирования (рис. 6). (описывается в разделе «Настройка веб-доступа»).
Дальнейшее управление учетными записями пользова- «Quota» – здесь настраиваются персональные квоты
телей, а также заведение пользователей, не используя им- пользователей. Если опция квотирования включена, то при
порт из домена, производится через меню Accounts, исполь- превышении заданного количества сообщений или объе-
зуя консоль Account Manager, а также другие функции дан- ма, занимаемого письмами, последующие письма для та-
ного меню. Рассмотрим свойства отдельной учетной запи- кого пользователя будут отвергаться с сообщением «User
си, прокомментировав назначение некоторых параметров over quota». В отличие от квот домена по умолчанию, кото-
в различных закладках. рые первоначально применяются на все ящики, данная оп-
«Account» – кроме понятных всем стандартных парамет- ция перекрывает общие настройки, задавая персональные
ров имеется кнопка «Aliases», нажав на которую можно за- квоты. Таким образом можно выделять привилегированных
дать для учетной записи так называемые «Алиасы» (допол- или наоборот, более ограниченных пользователей.
нительные почтовые адреса, почта для которых также бу- Последним действием при запуске системы в действие
дет доставляться данному пользователю). То есть для ука- является проверка запуска минимально необходимых сер-
зания множества почтовых адресов, письма с которых дол- висов MDaemon – POP3, SMTP, Antivirus, DomainPOP. Это
жны адресоваться одному пользователю, достаточно со- делается в левой части основного окна программы. Если
здать для него алиас. Например, после создания алиаса нужный нам сервис имеет статус «Inactive», дважды кликни-
vasya@domain.com для пользователя user2@domain.ru все те по нему и проконтролируйте, что статус изменился на
полученные письма, в поле адресата которых будет встре- «Active».
чаться адрес vasya@domain.com, будут доставляться в ящик В следующем номере читайте продолжение статьи про
пользователя user2@domain.ru. более тонкую первоначальную настройку MDaemon.

24

KASPERSKY ANTI-SPAM 2.0 + SENDMAIL
Ответив на простой вопрос: «Сколько ненужных писем было
удалено из почтового ящика?», вы легко можете рассчи-
тать, какие объемы занимает трафик, создаваемый ненуж-
ной почтой. Спамеры забрасывают нас рекламой в таком
количестве, что при чистке своего ящика удалить «полез-
ное письмо» можно, даже не заметив его среди мусора.
Способов борьбы с этими преступниками довольно мно-
го. Рассматривать все сразу в одной статье смысла особо-
го не имеет, разве что в виде краткого обзора.
Предлагаю остановиться на рассмотрении следующей
схемы: Kaspersky Anti-Spam (KAS) + Sendmail.
Первое, что мне поручили, когда я пришел на новое мес-
то работы, – это борьба со спамом. Читая документацию и
разбираясь в конфигурации, был приятно удивлен тем, что
разработчики данного продукта на славу потрудились, до
того как представить его для повсеместного использования.
Итак, что такое KAS 2.0 и каковы принципы его работы.
Как и большинство ныне действующих фильтров, KAS
фильтрует почтовое сообщение в процессе приема, т.е до
того как письмо попадет в почтовый ящик пользователя. KAS
обрабатывает сообщение и, руководствуясь правилами и
действиями, установленными администратором, может:
! доставлять получателю в неизменном виде;
! блокировать получение;
! генерировать сообщение о невозможности приема пись-
ма;
! добавлять или изменять заголовок.
¹4, àïðåëü 2005
администрирование
ДЕНИС ГОРОДЕЦКИЙ
Все правила и профили уже предустановлены, на этом
мы остановимся чуть позже, но подробно описывать каж-
дое из них мы не будем, т.к. эта тема отдельной статьи. Вы
можете сами понять, что необходимо, а что вы не будете
использовать, после того как ответите на несколько вопро-
сов: какая информация нужна, а какая нет, критично ли по-
терять «полезное письмо», можно ли пропустить несколь-
ко «ненужных» писем и т. п.
Что нужно, чтобы KAS смог работать:
! Операционная система Linux или FreeBSD 4.х, 5.х (тес-
тирование проходило на Red Hat 9.0).
! Процессор Intel Pentium III с частотой не менее 500 МГц.
! Оперативная память не менее 256 Mб.
! Наличие установленных программ wget, bzip2.
! Наличие одной из почтовых систем: Sendmail, Postfix,
Exim, Qmail, Communigate Pro.
Замечание. Перед установкой я всегда рекомендую де-
лать резервные копии тех конфигурационных файлов, ко-
торые будут затронуты, в данном случае это файлы с на-
стройками вашего почтового агента.
Внедрение продукта не требует особенных знаний и
навыков, т.к. все делается при помощи входящих в пакет
инсталляторов, начиная от установки программ из состава
KAS и заканчивая интеграцией в почтовую систему.
# rpm -i <èìÿ ïàêåòà>
25
 администрирование
подразумевает:
! создание пользователя и группы mailflt;
! установку всех программ, входящих в состав KAS, со-
здание и установку скрипта запуска всех сервисов, ко-
торый выполняется при перезапуске операционной си-
стемы;
! запуск необходимых программ и сервисов;
! создание записи в crontab пользователя mailflt для ав-
томатического запуска скрипта загрузки обновлений
базы контентной фильтрации.
Затем командой:
# /usr/local/ap-mailfilter/bin/install-key ↵
<èìÿ_êëþ÷åâîãî_ôàéëà>
устанавливаем лицензионный ключ.
Перед началом работы необходимо создать список ли-
цензированных почтовых адресов, для которых почта бу-
дет проверяться на наличие спама.
Интеграция в почтовую программу происходит тоже до-
статочно легко и безболезненно.
Запускаете:
# /usr/local/ap-mailfilter/bin/MTA-config.pl
Это универсальный скрипт, который определит тип по-
чтового агента и изменит его конфигурацию.
Также для каждой почтовой системы существуют конк-
ретные программы настройки. Особых отличий я не нашел,
и в том случае, если ваш МТА настроен нестандартно, все
равно нужно будет указать правильное размещение фай-
лов конфигурации МТА.
Для Sendmail скрипт-интегратор запускается командой:
#/usr/local/ap-mailfilter/bin/sendmail-config.pl
Для интеграции kas-milter с Sendmail в конфигурацион-
ном файле /etc/sendmail.cf прописывается:
Xfilter1, S=local:/usr/local/ap-mailfilter/run/ ↵
kasmilter.sock, F=R
O InputMailFilters=kasfi
Подробное описание настройки фильтров в sendmail.cf
приведено в документации по Sendmail
На этом будем считать процесс установки законченным
и перейдем к конфигурированию.
Конфигурационные файлы Kaspersky Anti-Spam находят-
ся в каталоге /usr/local/ap-mailfilter/conf/src (далее . CONFSRC)
и его подкаталогах.
Непосредственно в CONFSRC находятся файлы с фик-
сированными именами:
! profiles.xml – список профилей фильтрации;
! emails.xml – набор списков e-mail-адресов;
! iplists.xml – набор списков IP-адресов;
! dnsblacklists.xml – набор списков служб DNS-based RBL;
! samples.xml – список пользовательских образцов спа-
мерских писем;
! settings.xml – файл дополнительных настроек фильт-
ра.
26
В каталоге CONFSRC имеются следующие подкаталоги:
! CONFSRC/profiles – каталог, содержащий файлы с опи-
саниями профилей;
! CONFSRC/emails – каталог, включающий файлы со
списками адресов e-mail;
! CONFSRC/iplists – каталог файлов со списками IP-ад-
ресов;
! CONFSRC/dnsblacklists – каталог файлов со списками
служб DNSbasedRBL;
! CONFSRC/samples – каталог, содержащий файлы с об-
разцами спамерских писем.
Собственно говоря, разработчиками было сделано мно-
гое, чтобы упростить жизнь администратора, и все конфи-
гурационные файлы после инсталляции, мной, были остав-
лены без изменения за исключением blacklist_ip.xml (о нем
мы поговорим позже) и kas-thhtpd.conf (в данном файле оп-
ределены настройки для доступа к конфигурации через веб-
интерфейс). Здесь была изменена всего одна строка.
# document root
dir=/usr/local/ap-mailfilter/www
user=mailflt
port=2880
host=0.0.0.0 # ïî óìîë÷àíèþ çíà÷èòñÿ 127.0.0.1,
# ÷òî îçíà÷àåò äîñòóï ê êîíôèãóðàöèè
# ÷åðåç âåá òîëüêî ñ ëîêàëüíîãî õîñòà
pidfile=/usr/local/ap-mailfilter/run/kas-thttpd.pid
Конфигурирование через веб предоставляет удобный,
интуитивно понятный интерфейс. В нем есть свои плюсы и
минусы. Данный инструмент позволит человеку, заменяю-
щему системного администратора, быстро и с минималь-
ными усилиями управлять настройками фильтра, даже если
он ни разу не работал с UNIX-подобными системами. Од-
нако самому же администратору для понимания принципов
функционирования системы я бы рекомендовал изменять
конфигурационные файлы используя редакторы, входящие
в состав ОС.
Действия с письмами, определенными как спам, могут
быть как самыми жесткими (отказ принять сообщение), так
и достаточно мягкими (например, приписать сообщению до-
полнительный заголовок-«ярлык» для последующей обра-
ботки в почтовой программе пользователя). Применение
различных действий к спаму – прерогатива администрато-
ра почтового сервиса. Скажу лишь одно, в состав KAS вхо-
дит несколько предустановленных профилей с определен-
ными наборами правил и действий по этим правилам. Для
тех, кто не хочет, и даже для тех, кто хочет изобретать ве-
лосипед, того, что есть, хватит с лихвой. Существующие
общие профили различаются «строгостью» оценки призна-
ков спама (профили Soft признают спамом меньше писем,
а профили Hard, больше писем) , использованием или не
использованием проверок по RBL (а также на наличие име-
ни посылающего сервера в DNS).
Оставив общим профилем тот, который был по умолча-
нию, проблем с распознаванием спама я не обнаружил. За
месяц после изменения настроек антиспамного фильтра
фильтр отследил порядка 25000 спам писем (и это всего на
10 лицензированных пользователей) при этом произошло
всего лишь одно ложное срабатывание.

Сделать активным профиль можно редактируя файл:
# /usr/local/ap-mailfilter/conf/src/profiles.xml
<?xml version="1.0" encoding="koi8-r"?>
<Profiles>
<Common>
<ProfileRef active="no" file="detect-standard.xml"
name="Spam Detection Standard"/>
<ProfileRef active="yes" ↵
file="detect-standard-no-rbl.xml" ↵
name="Spam Detection Standard (no RBL &amp;
DNS check)"/>
<ProfileRef active="no" file="detect-soft.xml" ↵
name="Spam Detection Soft"/>
<ProfileRef active="no" file="detect-soft-no-rbl.xml"
name="Spam Detection Soft (no RBL &amp; ↵
DNS check)"/>
<ProfileRef active="no" file="detect-hard.xml" ↵
name="Spam Detection Hard"/>
<ProfileRef active="no" file="detect-hard-no-rbl.xml"
name="Spam Detection Hard (no RBL &amp; ↵
DNS check)"/>
<ProfileRef active="yes" file="syslog.xml" ↵
name="Logging"/>
</Common>
<Personal>
<ProfileRef active="yes" file="rcpt-root.xml" ↵
name="root: No Filtering"/>
<ProfileRef active="no" file="do-mark-subject.xml"
name="Marking Spam - Subject"/>
<ProfileRef active="no" file="do-mark-keywords.xml"
name="Marking Spam - Keywords"/>
<ProfileRef active="yes" file="do-archive.xml" ↵
name="Archiving Spam"/>
<ProfileRef active="no" ↵
file="do-archive-or-reject.xml" ↵
name="Archiving/Rejecting Spam"/>
</Personal>
</Profiles>
На выходе данного этапа в письмо добавляются следу-
ющие специальные заголовки:
! X-SpamTest-Categories – заголовок, содержащий инфор-
мацию о том, какие контентные категории были присво-
ены письму по результатам фильтрации.
! X-SpamTest-Status – заголовок, указывающий на окон-
чательный статус письма по результатам всех прове-
рок: SPAM, Probable Spam, Trusted или Not detected.
Данный заголовок используется при последующей об-
работке письма персональными профилями. Он может
также использоваться для обработки письма почтовым
клиентом получателя.
Как мы видим, из персональных профилей активиро-
ван тот, который пересылает спамные письма в выделен-
ный почтовый ящик (пока это сделано в целях получения
статистической информации, в дальнейшем планируется
применить «Archiving/Rejecting Spam»).
В примере конфигурационного файла активного персо-
нального профиля приводим лишь ту часть, которая пре-
терпела изменения.
...
<Rule>
<Conditions>
<HeaderMatch header="X-SpamTest-Status" ↵
regexp="SPAM" />
</Conditions>
<Actions>
# íåîáõîäèìî çàìåíèòü àäðåñ íà ðåàëüíî ñóùåñòâóþùèé
<DoRcptReplaceAll new="spam@domain.ru" />
<!-- Must be changed to a real address -->
<DoAccept />
</Actions>
¹4, àïðåëü 2005
администрирование
</Rule>
...
</Profile>
Теперь пришло время остановиться на файле blacklist_
↵ ip.xml. Выглядит он примерно вот так:
<?xml version="1.0" encoding="koi8-r"?>
<IPList description="This list contains ip-addresses
↵
of spam senders relays. Must be filled up by user."
name="Spam Senders' Relays">
<IP mask="0.0.0.0"/>
↵ <IP mask="212.185.0.0/16"/>
<IP mask="66.112.0.0/17"/>
<IP mask="62.84.0.0/16"/>
...
↵
<IP mask="141.156.192.0/18/>
<IP mask="24.239.0.0/16/>
</IPList>
Значение атрибута mask может быть указано в двух
форматах: aaa.bbb.ccc.ddd/nn или aaa.bbb.ccc.ddd (равно-
↵ значно aaa.bbb.ccc.ddd/32).
↵ Поддерживая его в актуальном состоянии, вы можете
быть уверенными, что 95% тех писем, которые нам не же-
лательно получать, будут распознаваться, и дальнейшая их
судьба будет определена в соответствии с вашими поже-
ланиями.
В итоге, приложив немного усилий, поэкспериментиро-
вав с профилями и правилами, получаем эффективный
антиспамный фильтр.
По сравнению с решением на основе SpamAssasin по-
нравились следующие удобные особенности KAS:
! простая установка и интеграция в почтовую систему;
! легкая и гибкая конфигурация;
! возможность применять персональные профили к от-
дельным пользователям или группам;
! отсутствие балловой оценки (хотя кому-то это покажет-
ся не плюсом, а минусом, поскольку не позволит прово-
дить тонких граней в оценке письма);
! меньшая загрузка системы.
Единственное чего, как мне кажется, не хватает – от-
сутствие возможности самобучения распознавания спама,
которое позволило бы администратору более гибко исполь-
зовать фильтрацию. Фильтр, конечно, позволяет добавлять
образцы спамерских писем в базу, кроме того, он ее сам
регулярно обновляет, но поскольку спамеры постоянно са-
мосовершенствуются, то и стиль написания меняется, и как
следствие, некоторые письма все равно просачиваются и
обычно это не одно, а сразу несколько одинаковых писем.
Вот поэтому считаю необходимым добавить следущее свой-
ство – фильтр отслеживает повторяющиеся письма и при
достижении определенного количества самостоятельно
добавляет их в базу. Так же дело обстоит и с IP-адресами
сервера отправителя, поскольку хакерами ежедневно взла-
мывается несколько новых, через которые идет рассылка,
и они не успевают попадать в black-листы и обновления.
Особую благодарность хочу выразить Таранову Алек-
сандру, ведущему инженеру ЗАО «Телепорт-ТП», за содей-
ствие и интеллектуальную поддержку при написании статьи.
27
 администрирование
СИСТЕМА ВЕЩАНИЯ НА ОСНОВЕ
WINDOWS MEDIA SERVICES 9
Вы когда-нибудь слушали интернет-радио? Смотрели люби-
мые телепередачи через спутник или Интернет? Или, быть
может, работали с системой видеонаблюдения через сеть?
Если ответ на любой из этих вопросов положительный, мо-
жете смело причислять себя к пользователям систем ве-
щания! Впрочем, даже если вышеприведенные вещи вам
не знакомы, не расстраиваетесь, потому что после прочте-
ния этой статьи вы не только узнаете, что это такое и как
оно работает, но и получите представление о том, что про-
исходит «по ту сторону кулис», а именно – о создании сис-
тем вещания. Предметом нашего изучения будет один из
наиболее популярных продуктов организации систем ме-
диавещания – Microsoft Windows Media Services 9.
Теоретическое отступление
А каким оно вообще бывает, это «вещание»? Человек, ко-
торый работал с системами вещания на уровне пользова-
теля, скажет «аудио и видео», люди, которые общались с
28
МИХАИЛ ПЛАТОВ
ними с другой стороны, скорее всего, приведут иную клас-
сификацию – по способу доставки медиаданных:
! системы с одноадресным вещанием (unicast);
! системы с многоадресным вещанием (broadcast, multi-
cast).
Для того чтобы понять, в чем заключаются плюсы и ми-
нусы каждого из способов, давайте более пристально по-
смотрим на процесс передачи данных. В случае одноадрес-
ного вещания данные передаются в рамках установленно-
го TCP-соединения. Соответственно для каждого клиента,
подключающегося к нашему серверу, будет создан соб-
ственный «канал», по которому клиент получит запраши-
ваемую информацию. На первый взгляд никаких подвод-
ных камней здесь нет, ведь этот же принцип лежит в осно-
ве большинства служб Интернета, однако с увеличением
количества одновременно обслуживаемых клиентов начи-
нает проявляться проблема, казавшаяся ранее несуще-

ственной. Давайте рассмотрим простой пример: пусть у нас
есть один аудиопоток с битрейтом 64 Кбит, который необ-
ходимо доставлять 100 клиентам одновременно. Для реше-
ния этой задачи с использованием режима unicast нам по-
требуется канал с пропускной способностью 6,4 Мбит1!
Во втором подходе данная проблема отсутствует, так как
при использовании многоадресного вещания сервер пере-
дает данные либо сразу на всю подсеть (режим broadcast),
либо на определенную группу многоадресной рассылки (multi-
cast group, адрес сети класса D стандарта 802.3 Ethernet).
Соответственно в нашем примере для передачи потока 64
Кбит от сервера требуется возможность обеспечить канал
именно в 64 Кбит, независимо от количества подключен-
ных в данный момент клиентов (0 или 10000). Минусом же
является то, что сетевая инфраструктура, используемая для
передачи вещаемых данных, должна быть соответствую-
щим образом сконфигурирована для передачи multicast –
трафика2. Как правило, это легко достижимо в корпоратив-
ных сетях и с трудом реализуемо в масштабах современ-
ного Интернета (представьте себе dial-up-пользователя, ко-
торый вынужден принимать multicast-поток от радиостан-
ции провайдера при каждом соединении). Поэтому истори-
чески сложилась следующая ситуация:
! multicast используется в корпоративных сетях, при орга-
низации «вещания» для большого количества клиентов,
получающих один и тот же неинтерактивный контент (ин-
тернет-радио, IP-телевидение, видеоконференции с
большим числом «зрителей»);
! unicast же используется при передаче в Интернете, а так-
же для организации дополнительных сервисов, персо-
нифицированных с конкретным абонентом (Video on
Demand, Time Shift, и другие сервисы, при которых кли-
ент может «управлять» передаваемым ему потоком).
А как же обстоит дело с реальными продуктами? Если
рассматривать системы коммерческого видеовещания, то
безусловными лидерами здесь являются компании Microsoft
c продуктом Windows Media Services 9 (вещание в формате
wma и wmv) и Real Media с системой вещания Helix Server
(в самой функциональной редакции поддерживает веща-
ние в 55 различных форматах). Оба решения поддержива-
ют вещание как аудио, так и видеоданных, нацелены на один
сектор рынка и архитектурно очень похожи.
Из «открытых» решений хотелось бы упомянуть о про-
екте VideoLAN [1], первоначально ориентированном на орга-
низации вещания спутниковых DVB-каналов в локальную
сеть. На данный момент поддерживается гораздо большее
число видов источников, все широкоиспользуемые форма-
ты видеоданных (MPEG1, MPEG2, MPEG4, divx) и большин-
ство распространенных кодеков.
Для поклонников Macintosh и формата QuickTime суще-
ствует продукт QuickTime Streaming Server 5 (входит в со-
став Mac OS X Server) и его «открытый» брат Darwin Streaming
Server (доступный в том числе и для x86), позволяющие рас-
1
В случае видеовещания требуемая пропускная способность потребуется еще больше.
2
Для передачи в нескольких сетях требуется настройка маршрутизаторов. Если же локальная сеть построена на неуправляемых свитчах и
хабах (без маршрутизаторов), то и настраивать ничего не придется.
3
Кроме Windows Server 2003 Web Edition.
¹4, àïðåëü 2005
администрирование
пространять медиаданные в форматах MPEG4 и 3GPP (од-
нако, по моим субъективным впечатлениям, функциональ-
ность Darwin Streaming Server сильно уступает ближайшим
конкурентам от Microsoft и Real Networks).
Среди систем аудиовещания хотелось бы упомянуть
NullSoft ShoutCast (продукт, созданный авторами Winamp) и
Open Source-проекты iceCast [2] и SlimServer [3], описание
настройки которой можно найти в [4]. На этом позвольте за-
кончить теоретическое отступление и перейти к описанию
нашего сегодняшнего героя – Windows Media Services 9.
Так вот он какой, серверный олень!
Windows Media Services (WMS) – это программный продукт,
разработанный и распространяемый корпорацией Microsoft
как средство для организации вещания аудио- и видеоин-
формации в локальных сетях, Интернете и беспроводных
сетях. Данный продукт представляет собой набор компо-
нентов, работающих под управлением различных версий
операционных систем семейства Windows. Помимо средств,
позволяющих быстро и просто организовывать различные
виды вещания аудио- и видеоинформации, в состав WMS
также входят компоненты, обеспечивающие тесную интег-
рацию с Active Directory и IIS, средства оценки и контроля
производительности сервера, а также инструменты сбора
статистики об общей работе служб. Серверная часть WMS
является частью ОС Windows 2000 Server и Windows Server
20033. Клиентская же часть доступна практически для всех
ОС от Microsoft (от Windows 9х до Windows Mobile 2005. Кро-
ме того, поддержка видео в формате Windows Media при-
сутствует в двух наиболее популярных проигрывателях для
Linux – xine [5] и mplayer [6].
Спектр применения Windows Media Services достаточно
широк. На их основе может быть организована как неболь-
шая интернет-радиостанция с небольшим (менее ста) ко-
личеством обслуживаемых одновременно пользователей,
так и крупный медиапортал в Интернет, ежедневно обслу-
живающий десятки тысяч посетителей. Секрет этой гибко-
сти кроется в структуре самой системы:
Ðèñóíîê 1
29
 администрирование
Итак, в состав Windows Media Services входят следую-
щие основные компоненты:
! Сервер Windows Media. Этот компонент по праву мож-
но считать «сердцем» системы WMS. Именно он зани-
мается организацией самого процесса вещания и отве-
чает за «раздачу» медиапотоков конечным пользовате-
лям. В качестве источника этих потоков могут высту-
пать .wma-, .wmv- и .mp3-файлы (расположенные либо
локально на самом сервере, либо на файл-сервере, до-
ступном по протоколу SMB), а также потоки, получае-
мые с других серверов или непосредственно с кодиров-
щика Windows Media. Ядро сервера реализовано в виде
набора DCOM-компонентов и системных служб, для уп-
равления которыми используется стандартный для про-
дуктов Microsoft инструмент – консоль MMC (Microsoft
Management Console).
! Кодировщик Windows Media. Задачей этого компонента
является приведение информации к форме, пригодной
для передачи сервером Windows Media, или, проще го-
воря, перекодирование входных данных (будь то аудио-
или видеофайлы, сигнал с TV-тюнера или веб-камеры)
в потоковый формат .wma или .wmv. Кодировщик рас-
пространяется свободно и может быть загружен с сайта
Microsoft. В состав этого продукта входят две програм-
мы: Windows Media Encoder с графическим интерфей-
сом и консольный скрипт WMCmd.vbs на языке Visual
Basic Scripting. Кроме того, с сайта Microsoft также мож-
но загрузить пакет разработчика (SDK), содержащий все
необходимое для разработки собственных приложений,
использующих интерфейсы кодировщика Windows
Media. Таким образом, можно добавить возможности ко-
дирования в уже существующие приложения.
! Проигрыватель Windows Media. Задача этого компонен-
та в системе вещания достаточно очевидна – декоди-
рование и воспроизведение потока информации, полу-
чаемого с сервера Windows Media. В качестве отличи-
тельных особенностей этого проигрывателя можно от-
метить поддержку защиты авторских прав (DRM) и по-
токовых кодеков Windows Media.
! Веб-сервер. Играет вспомогательную функцию и исполь-
зуется для размещения информации об имеющихся на
медиасервере потоках. В отличие от предыдущих ком-
понентов в качестве веб-сервера может использовать-
ся практически любой веб-сервер.
Теперь, после того как мы получили общее представле-
ние о системе, самое время перейти непосредственно к ее
настройке.
Тяжело в учении – легко в бою!
Однако прежде давайте определимся, что же мы все-таки
хотим получить. Будем считать, что у нас есть маленькая
корпоративная сеть, пользователям которой мы хотим пре-
доставить следующие сервисы:
4
Для поддержки multicast-вещания нам понадобится Enterprise или Datacenter редакция ОС Windows Server 2003.
5
Например, «очередь к окошку кассы в период зарплаты», хроники событий в местном буфете или просто «панорама города» или автосто-
янка перед офисом.
6
Для простоты будем считать, что у нас есть набор AVI-файлов, выбор их содержимого пусть будет за вами.
30
! круглосуточное вещание музыки (локальный аналог ин-
тернет-радио);
! multicast-вещание4 в сеть телевизионного канала с TV-
тюнера;
! multicast-вещание в сеть картинки с веб-камер, распо-
ложенных в интересующих нас местах5;
! доступ к обширному видеоархиву «важных производ-
ственных мероприятий»6.
Кроме того, будем считать, что у нас есть «толстый» ка-
нал в Интернет и нам не жалко отдавать наружу одновре-
менно несколько потоков музыки и пару потоков с «избран-
ной» веб-камеры, общим объемом не более 500 Кбит/сек.
При реализации будем руководствоваться общей структур-
ной схемой Windows Media Services (см. выше). Заметим,
что для каждого «внешнего» устройства (TV-тюнера или
веб-камеры) нам, скорее всего, понадобится отдельная ма-
шина. Аудиофайлы для радиостанции и файлы видеоархи-
ва будем хранить либо на самом медиасервере, либо на
удаленном общем ресурсе (хоть бы и на самбе, включен-
ной в Windows-домен). Также нам понадобится веб-сервер,
в качестве которого мы для простоты будем использовать
IIS6.0, установленный на компьютере с медиасервером (хотя
все то же самое будет великолепно работать практически
на любом Linux веб-сервере, включенном в Windows-домен
согласно способу, описанному в [7]).
С постановкой задачи мы определились, и теперь мож-
но плавно перейти к ее реализации.
Настройка сервера Windows Media
Сервер Windows Media Services поставляется вместе с опе-
рационной системой. Для его установки необходимо вос-
пользоваться мастером установки и удаления компонентов
системы: «Start → Control Panel → Add/Remove Programs/
Add/Remove Windows components».
Выберем пункт «Windows Media Services», нажмем на
«Details» и выберем компоненты «Windows Media Services»
и «Windows Media Services Snap-in». При нажатии кнопки
«Next» выбранные компоненты будут установлены на ком-
пьютер. После завершения процесса установки в списке ос-
насток появится новая запись – «Windows Media Services»,
с помощью которой мы и будем управлять нашим серве-
ром (рис. 2).
Проблем у нас пока нет, кэшировать мы тоже пока ни-
чего не будем, поэтому прямиком направляемся в раздел
«Publishing Points». В оснастке WMS точки распростране-
ния можно создать двумя способами: с помощью «масте-
ра» и с помощью более функционального «диалогового
окна». Интерфейс «мастера» вполне понятен и разобрать-
ся с ним самостоятельно не составит большого труда, а вот
на содержимом «диалогового окна» хотелось бы остано-
вится поподробнее (рис. 3).
Первым делом мы определяем тип точки распростра-
нения: В WMS их может быть 2:
 администрирование
! Точки для «загрузки по требованию». Представляют со- ранения (режим push)9. Выбор того или иного режима оп-
бой инструмент для организации централизованных хра- ределяется характером кодируемых данных. Так, если ко-
нилищ медиаданных. Преимуществами таких хранилищ дировщик работает постоянно (24/7), то имеет смысл ис-
являются централизованный доступ к размещаемым ме- пользовать более легкий в настройке режим pull. Если же
диаресурсам 7, возможность создания динамических кодируемые данные носят периодический характер (не-
play-листов с навигацией (остановка, пауза, переход к сколько часов в день), то лучше использовать режим push.
следующему файлу и т. д.) между ними8, легкая интег- В нашем случае можно использовать режим pull для рет-
рация с различными веб-приложениями, возможность рансляции TV-канала, и режим push для веб-камер.
контроля доступа к каждому ресурсу и т. д. Работа с
такими точками распространения сильно персонифици-
рована, поэтому для передачи данных может использо-
ваться только режим unicast. В нашем примере мы бу-
дем использовать on-demand точки распространения для
создания маленькой корпоративной видеотеки;
! Точки для «вещания». При использовании точек распро-
странения этого типа возможна организация потоково-
го аудио- и видеовещания (без возможностей останов-
ки, пауз, перемотки и т. д.). В качестве способа дос-
тавки видеоданных может использоваться как unicast,
так и multicast. Именно этот тип точек распростране-
ния будет основным при реализации описанных выше
задач.

Затем мы определяем источник медиаданных. В каче-

стве источников могут использоваться:
! отдельный медиафайл;
! папка с файлами;
! play-лист;
! cgi-скрипт, возвращающий play-лист;
! кодировщик Windows Media Encoder;
! другая точка распространения (unicast или multicast).
Ðèñóíîê 2
При использовании в качестве источника кодировщика
возможны два способа получения данных: либо сервер WMS
самостоятельно «забирает» поток (режим pull), либо актив-
ной стороной выступает кодировщик, помещающий поток
на сервер и создающий соответствующую точку распрост-
Ðèñóíîê 3
Итак, создадим on-demand точку распространения с на-
званием «library», источником которой будет являться пап-
ка «c:\library», содержащая архивные видеозаписи в фор-
мате wmv (рис. 4).
Теперь создадим анонс для точки вещания. Для этого
перейдем в раздел «Properties» и в закладке «General» вклю-
чим опцию «Enable access to directory content using wildcards».
После этого перейдем на закладку «Announce» и нажмем
на кнопку «Run Unicast Announcement Wizard». В качестве
источников файлов выберем «All files in the directory», путь
подключения оставим без изменений, для местоположения
.asx-файла укажем одну из папок, доступную для веб-сер-
вера. На завершающем шаге мастера убедимся, что фла-
жок «Test files when this wizard finished» отмечен, и нажмем
«Finish» (рис. 5).
Если все было сделано правильно, то после нажатия на
кнопку «Test» запустится Media Player, воспроизводящий
play-лист, состоящий из всех файлов, находящихся в дан-
ной папке.
Перейдем к следующему номеру нашей программы –
настройке вещания телевизионного канала с TV-тюнера.

7
При этом сами ресурсы физически могут находиться на различных компьютерах.
8
Например, тематическая инструкция, разбитая на главы с возможностью перехода между ними.
9
Вообще говоря, в оснастке WMS мы не можем создать работающую push-точку вещания (это может сделать только кодировщик). Все, что
мы можем сделать – шаблон, который будет использован кодировщиком при создании точки на сервере.

¹4, àïðåëü 2005 31

 администрирование
Для выполнения этого этапа нам понадобится машина10 с вое» вещание с TV-тюнера, так что выберем наиболее под-
TV-тюнером. В моем случае это был AverMedia Model 203 с ходящий нам шаблон «Broadcast a live event».
драйверами от Ивана Ускова [8].

Ðèñóíîê 6
С помощью соответствующих кнопок «Configure» на-
страиваем параметры TV-тюнера11 и звуковой карты. На-
жимаем «Next» и переходим к следующему окну. Здесь мы
выбираем режим доставки закодированного потока до сер-
Ðèñóíîê 4 вера (pull или push). Выберем pull с портом 2187 и перейдем
к следующему шагу – настройке кодеков. Из списка предоп-
ределенных шаблонов выберем Live broadcast video и CD
Quality Audio для видео и звукового потока соответственно.
Разрешение и битрейт оставим по умолчанию – 320x240 и
323 Кбит. Для всех остальных шагов оставим стандартные
значения. После завершения мастера кодирования мы уви-
дим следующее сообщение:

Ðèñóíîê 5
Первым делом нам нужно установить кодировщик
Windows Media Encoder 9. Для этого идем на сайт http://
www.microsoft.com, вводим в поле поиска «Windows Media
Encoder 9 download» и неспешно загружаем 10-мегабайт-
ный исполняемый файл. После установки и запуска соот-
ветствующего ярлыка нас поприветствует очередной мас-
тер настройки. Мы собираемся настраивать более чем «жи-
Ðèñóíîê 7
Вообще говоря, для того чтобы «вещать», не обязатель-
но использовать сервер Windows Media. Можно настроить
кодировщик на работу в режиме pull и подключать к нему
клиентов напрямую. Однако в этом случае о таких вещах
как «отслеживание обращений»,«ограничение пропускной
способности», «аутентификация с Active Directory», «под-
держка multicast» и других возможностях сервера придет-
ся забыть. Единственное, что будет нам доступно – возмож-
ность запрета/разрешения доступа к потоку кодировщика

10
И хотя технически возможно размещение сервера вещания и кодировщика на одной машине, делать этого не рекомендуется. Дело в том,
что процесс real-time кодирования является достаточно ресурсоемким (так, при реализации описанного ниже примера средняя загрузка
процессора Celeron 2.0GHz составляла 50%), что может создать проблемы для других приложений, работающих на машине с кодировщи-
ком.
11
При настройке TV-тюнера удобно использовать следующий прием. Предварительно, перед запуском кодировщика, с помощью идущей в
комплекте с тюнером программы определяем номер нужного канала и его цветовое представление (PAL или SECAM). Полученные цифры
вводим в свойствах драйвера после нажатии кнопки «Configure».

32
 администрирование
для конкретных IP-адресов через диалог «Broadcast security» казываться картинка с TV-тюнера. Также можно протести-
из меню «Tools». Причем даже в нашем случае не лишним ровать веб-страницу (рис. 10).
будет разрешить доступ к кодировщику только со стороны
сервера Windows Media. Итак, после успешного заверше-
ния мастера перед нами предстанет картинка с TV-тюнера:

Ðèñóíîê 9

Ðèñóíîê 8
Далее нажмем на кнопку «Start Encoding» и перейдем к
настройке сервера. На сервере нам нужно создать broadcast
точку распространения с источником Encoder (Pull). В поле
«Location of content» нужно ввести имя машины, на кото-
рой работает кодировщик в формате: http://ip_адрес:номер_
порта. Точка вещания создана, и теперь нужно отредакти-
ровать некоторые ее свойства. Для этого перейдем на зак-
ладку «Properties». В первую очередь нам нужно включить
«WMS Multicast Data Writer» из раздела «Multicast Streaming»
(там же указать адрес multicast группы и сетевой интерфейс,
с которого будет производиться рассылка). При необходи-
мости для данной точки распространения в разделе «Limits»
можно задать ограничения на количество одновременно ра-
ботающих клиентов и отводимой им пропускной способно-
сти. Наигравшись вдоволь с настройками, перейдем к сле- Ðèñóíîê 10
дующему шагу – созданию анонса для multicast точки рас- В следующей статье мы продолжим изучение Windows Media
пространения. Для этого перейдем на уже знакомую нам Services 9 и подробно рассмотрим следующие моменты: на-
закладку «Announce» и нажмем на кнопку «Run Multicast стройка параметров авторизации и аутентификации клиен-
Announcement Wizard». На первом шаге мастера отметим тов, использование push-режима для кодировщика, unicast
пункт «Automaticaly create a web page», затем в окне «Stream rollover, архивирование передаваемых данных, а также по-
Formats» добавим источник-кодировщик, точно так же, как смотрим, как можно использовать программные интерфей-
и при создании точки распространения (рис. 9). сы Windows Media Encoder 9 в собственных приложениях.
В диалоге «Save Multicast Announcement Files» выберем
место сохранения файлов (внутри webroot веб-сервера) и Литература, ссылки:
перейдем к следующему шагу – диалогу выбора способа 1. http://videolan.org.
доступа к точке вещания. В нашем варианте мы будем об- 2. http://www.icecast.org.
ращаться к файлам через веб-сервер, поэтому выберем 3. http://www.slimdevices.com/su_downloads.html.
первый вариант, дополнительно удостоверившись, что имя 4. Яремчук С. Лейся песня или сервер потокового аудио
сервера совпадает с тем, по которому будут обращаться своими руками. – Журнал «Системный администратор»,
пользователи. Для остальных вопросов используем стан- №11, ноябрь 2004 г. – 28-31 с.
дартные ответы, в заключительном окне отметим пункты, 5. http://xinehq.de/index.php/features.
отвечающие за активацию точки распространения и ее те- 6. http://mplayerplug-in.sourceforge.net.
стирование. Если все было сделано правильно, то, как и в 7. Гребенников Р. Танцуем Самбу. – Журнал «Системный
первом случае, при нажатии кнопки «Test» напротив «Test администратор», №11, ноябрь 2004 г. – 32-38 c.
announcement» запустится Media Player, в котором будет по- 8. http://www.iulabs.com/download/848wdm_iu.zip.

¹4, àïðåëü 2005 33

 администрирование
APACHE КАК ПРОКСИ-СЕРВЕР
Рассмотрим типичную для небольшой организации конст-
рукцию – шлюз в Интернет, работающий под управлением
UNIX или Microsoft Windows, прокси-сервер, веб-сервер сети
Интранет, почтовый сервер и т. д. Оказывается, число ее
элементов можно несколько сократить, и в соответствии с
золотым правилом инженера увеличить тем самым общую
надежность системы. Сегодня мы поговорим о делегиро-
вании Apache основных функций кэширующего прокси-сер-
вера (например, Squid) и даже кое-чего сверх них. В каче-
стве базовой ОС будем использовать Linux, хотя многое из
сказанного ниже может быть без ограничения общности
применено и для других платформ.
Согласен, использование Apache в качестве прокси-сер-
вера выглядит несколько нестандартно, однако, оно имеет
ряд преимуществ. Это, в первую очередь, возможность ди-
намического сжатия документов, отправляемых клиентам,
что может вылиться в серьезную экономию, если для пере-
дачи данных используется арендованный канал с помега-
байтной оплатой входящего трафика (допустим, офисов у
фирмы два, а сервер всего один). Кроме того, оно сокра-
щает число сервисов, работающих в системе, а значит, у
потенциального злоумышленника будет меньше мишеней
для проведения атаки, а у администратора в свою очередь
меньше объектов, требующих неусыпного наблюдения и
поддержки. Впрочем, как и все в нашем неидеальном мире,
Apache в роли прокси-сервера имеет и некоторые недостат-
ки, как то: содержит экспериментальные или написанные
сторонними разработчиками модули (при желании можно
обойтись и без них) и неизвестным образом ведет себя при
увеличении нагрузки (вполне допускаю, что все будет пре-
красно работать, однако, специализированного стресс-те-
стирования не проводил). Какая чаша перевесит – решать
вам. Руководствуясь личным опытом, я вполне могу реко-
мендовать применение прокси-сервера на базе Apache в
небольших сетях.
Покончив с теоретическими вопросами, перейдем к тех-
ническим деталям. Для реализации задуманного нам по-
надобится Apache версии 2.0.53 и выше1 с включенными
mod_proxy, mod_cache и mod_deflate. В отличие от специа-
лизированных решений вроде упомянутого выше Squid,
прокси-сервер на базе Apache имеет модульную архитек-
туру, все мыслимые и немыслимые функции которой пост-
1
Более ранние версии имеют ошибки в mod_cache, препятствующие нормальной работе с кэшированными документами.
34
ВАЛЕНТИН СИНИЦЫН
роены по принципу: общая база + провайдеры. Мы не раз
убедимся в этом по ходу изложения. Итак, приступим к пер-
вой фазе.
Запуск прокси-сервера
Для того чтобы Apache мог принимать и обрабатывать про-
кси-запросы, необходимо загрузить модуль mod_proxy, вхо-
дящий в стандартный комплект поставки и прекрасно до-
кументированный. Здесь и далее в этой статье мы не бу-
дем дублировать страницы руководства, останавливаясь
лишь на нетривиальных моментах. Mod_proxy, как и боль-
шая часть других упомянутых в статье модулей, обычно не
собирается в стандартной конфигурации Apache, поэтому
вам, вероятно, придется заново скомпилировать сервер,
указав соответствующие параметры сценарию configure. За
поддержку mod_proxy отвечает опция «--enable-proxy», про-
чие же параметры я буду приводить в тексте в скобках пос-
ле имени соответствующего модуля.
В соответствии с представленной выше формулой, mod_
proxy образует фундамент, на котором работает система
поддержки прокси-запросов. Их реализации, специфичные
для различных протоколов, вынесены в отдельные модули:
mod_proxy_http (--enable-proxy-http), mod_proxy_ftp (--enable-
proxy-ftp) и mod_proxy_connect (--enable-proxy-connect). Пос-
ледний из них необходим для работы с запросами HTTP
CONNECT, в частности, защищенными SSL-соединениями.
Прежде чем говорить о настройке mod_proxy, сделаем
пару замечаний. Первое – Apache поддерживает два типа
прокси-серверов: прямые (forwarding proxy) и обратные
(reverse proxy). Нас будут интересовать исключительно пря-
мые прокси-сервера, т.е. промежуточные сервисы, переда-
ющие запросы от нашего локального клиента к удаленно-
му (чужому) серверу. Обратные прокси действуют с точно-
стью до наоборот, т.е. передают запросы от удаленного (чу-
жого) клиента локальному веб-серверу и применяются в
основном для балансировки нагрузки. Второе – прокси-зап-
рос не является для Apache чем-то чужеродным. Заглянув
в исходные тексты сервера, вы обнаружите, что все клиен-
тские запросы, независимо от того, кому они адресованы,
описываются одной и той же структурой. Apache помечает
запросы, предназначенные другим серверам, специальным
флагом, но не более того. Из этого, к примеру, следует, что

в параметрах модуля mod_proxy отсутствует директива для
указания порта, который следует использовать для приема
входящих соединений2. Apache способен принимать и об-
рабатывать прокси-запросы на любом порту, который раз-
решен к «прослушиванию» директивой Listen. Впрочем, на
практике зачастую оказывается удобнее провести границу
между локальными и переадресуемыми запросами. Для до-
стижения этой цели можно создать специальный виртуаль-
ный хост, например, на порту 3128, пользуясь директивой
VirtualHost. Подробности ищите в документации к Apache.
Дальнейшее изложение неявно предполагает, что вы уже
настроили виртуальный хост и размещаете предлагаемые
директивы внутри принадлежащей ему секции httpd.conf
(Подсказка для самых нетерпеливых: в конце статьи приве-
ден завершенный фрагмент конфигурационного файла,
практически пригодный для непосредственного применения).
Чтобы Apache мог принимать прокси-запросы, необхо-
димо явным образом разрешить их, используя директиву
«ProxyRequests On». Однако не спешите этого делать, не
позаботившись о безопасности сетевых соединений! Оп-
лачивать мегабайты, загруженные предприимчивыми под-
ростками с ProxyHunter в руках – не самое приятное вре-
мяпровождение.
Параметры доступа к серверу задаются в секции <Proxy>
и, в частности, могут иметь следующий вид:
<Proxy *> # Äëÿ âñåõ ïðîêñè-çàïðîñîâ
Order deny,allow # Ñïåðâà çàïðåòèòü, ïîòîì ðàçðåøèòü
Deny from All # Çàïðåòèòü âñåì
Allow from 192.168.0.1/24 # Ðàçðåøèòü äîñòóï èç âíóòðåííåé
# ñåòè îðãàíèçàöèè
</Proxy>
Здесь реализована простейшая схема контроля досту-
па, базирующаяся на IP-адресах клиентов. Во многих слу-
чаях ее будет достаточно. Но что делать, если вы хотите
разрешить использование сервера с компьютеров, не име-
ющих фиксированного IP-адреса (например, домашних
машин особо приближенных сотрудников, которые не прочь
получить «городской прокси»)? Для этих целей можно при-
менить авторизацию по имени пользователя и паролю. По-
скольку директивы контроля доступа, заключенные между
тегами <Proxy> и </Proxy> на самом деле обрабатываются
теми же самыми модулями, что обеспечивают защиту ло-
кальных каталогов сервера (ну, не говорил ли я вам, что
Apache практически не отличает прокси-запрос от обычно-
го?), вы можете использовать привычную конструкцию:
<Proxy *> # Äëÿ âñåõ ïðîêñè-çàïðîñîâ
AuthName “Tresspassers” # «Ïîñòîðîííèì â.»
AuthFile /some/secret/file # Èìÿ ôàéëà, ñîäåðæàùåãî
# ðåêâèçèòû ïîëüçîâàòåëåé
AuthType Basic # Ìåòîä àâòîðèçàöèè – áàçîâûé
Require valid-user # Ïðîïóñêàòü âñåõ, êòî ïåðå÷èñëåí
# â /some/secret/file
</Proxy>
Естественно, предварительно следует создать файл /some/
secret/file при помощи утилиты htpasswd(1) и загрузить со-
ответствующие модули (mod_access и/или mod_auth). При
необходимости оба метода можно комбинировать. Также
бывает полезно пользоваться директивой «Satisfy All|Any»,
2
Напомним, что согласно общепринятым соглашениям для этих целей используется порт 3128.
¹4, àïðåëü 2005
администрирование
указывающей, требовать ли от потенциального клиента со-
ответствия всем условиям (применительно к нашей задаче
это означает «иметь разрешенный IP-адрес и ввести пра-
вильное имя пользователя/пароль») или лишь одному из
них. Последний вариант наиболее интересен с практичес-
кой точки зрения, поскольку позволяет избежать раздра-
жающей процедуры ввода пароля для пользователей внут-
ренней сети организации.
Внеся необходимые изменения в httpd.conf, не забудьте
перезапустить Apache. После этого откройте свой любимый
браузер и удостоверьтесь, что настройки безопасности дей-
ствуют именно так, как вы задумали.
Кэширование
Мы успешно справились с первым этапом, а именно: на-
учили Apache обрабатывать запросы, адресованные вне-
шним серверам. Нашей следующей задачей будет органи-
зация локального кэширования запрашиваемых данных. По
некоторым сведениям, это позволяет сэкономить 10-20%
внешнего трафика, что, согласитесь, не так уж мало.
Кэшированием данных в Apache заведует модуль mod_
cache (--enable-cache). Именно он принимает решение о том,
допустимо ли локальное сохранение того или иного объек-
та. Непосредственной записью данных на носители зани-
маются модули-«провайдеры», из которых нас в первую оче-
редь будет интересовать mod_disk_cache (--enable-disk-
cache), реализующий хранение кэша на жестком диске.
Отметим, что в Apache 2.0 оба этих модуля (mod_cache
и mod_disk_cache) имеют статус экспериментальных. Си-
туация обещает измениться в Apache 2.1, который пока что
пребывает в состоянии альфа-версии.
Чтобы включить кэширование, используйте директиву
«CacheEnable disk /», где «disk» – идентификатор модуля-
провайдера. Местоположение дискового кэша и его желае-
мый объем (в килобайтах) задается соответственно дирек-
тивами «CacheRoot <имя каталога>» и «CacheSize <NNN>»,
относящимися уже не к mod_cache, а к mod_disk_cache.
Apache предпринимает меры к тому, чтобы конфиденци-
альные данные никогда не попадали в кэш сервера, одна-
ко лишняя безопасность все же не повредит. Я рекомен-
дую сделать каталог, в котором хранится кэш, недоступ-
ным ни для кого, кроме Apache.
# chown apache:apache /path/to/cache
# chmod 0700 /path/to/cache
Естественно, если в вашей системе Apache работает от
имени другого пользователя, имя и группу владельца ката-
лога также следует изменить соответствующим образом.
В целях повышения производительности дисковый кэш
имеет многоуровневую структуру. Глубиной вложенности
подкаталогов и максимальной длиной их имени управляют
директивы CacheDirLevels и CacheDirLength.
По умолчанию для них используются следующие значе-
ния: CacheDirLevels 2, CacheDirLength 3.
К сожалению, Apache 2.0 не имеет никаких штатных
средств для управления содержимым кэша. Вы не можете
постепенно удалять старые данные или делать это при пре-
35
 администрирование
вышении кэшем некоторой дисковой квоты. Часть из этих
проблем решена в Apache 2.1 при помощи специальной ути-
литы htcacheclean, которая очищает кэш по мере необходи-
мости. Мне не известно, перенесена ли она в ветвь 2.0, од-
нако в качестве некоторой замены вы можете написать сце-
нарий, периодически очищающий каталог (и для верности
перезапускающий Apache), самостоятельно. Если вы все же
не последовали данному выше совету – выделить прокси-
серверу отдельный виртуальный хост, – имейте в виду, что
настройки кэширования влияют не только на переадресован-
ные, но и на обычные запросы, что может иметь неожидан-
ные побочные эффекты вроде задержки между редактиро-
ванием файла на диске и фактическим изменением веб-стра-
ницы с точки зрения внешнего пользователя.
На данном этапе мы завершили все работы, необходи-
мые для получения «идентичного натуральному аромати-
затора» Squid, а точнее, того подмножества его функций,
которое используется в типичной малой сети. Теперь мы
пойдем несколько дальше и реализуем нечто новое – про-
зрачное сжатие веб-страниц.
Сжатие
Модуль для сжатия HTTP-документов известен каждому
уважающему себя веб-мастеру. Называется он mod_deflate
(--enable-deflate), и, к вящей радости замученного бесконеч-
ными сборками из исходных текстов читателя, обычно вклю-
чен даже в стандартной конфигурации. Его основное пред-
назначение – сжимать локальные HMTL-страницы перед от-
правкой их пользователю, но, коль скоро Apache «близо-
рук» и не делает особых различий между обычным и пере-
адресованным запросом, он вполне годится и для после-
дних.
После своей загрузки mod_deflate создает фильтр
«DEFLATE», который может быть установлен стандартным
образом, например, при помощи директивы «SetOutputFilter
DEFLATE». Руководство к модулю рекомендует поостеречь-
ся и отключить сжатие данных для браузеров, которые, не-
смотря на заявленную функциональность3, не могут обеспе-
чить должный уровень поддержки (например, Netscape
Navigator 4.x может корректно обрабатывать только сжатые
данные типа text/html, а его версии 4.06-4.08 не способны
даже на это), однако применительно к прокси-серверу это
имеет смысл лишь в том случае, когда такие «динозавры»
до сих пор имеют хождение в вашей организации. Из других
директив, поддерживаемых mod_deflate, следует упомянуть
DeflateCompressionLevel, устанавливающую степень сжатия
данных (число от 0 до 9). Большее значение этой величины
обеспечивает меньший размер результирующих файлов, но
повышает нагрузку на процессор. Для среднестатистичес-
кой системы оптимальным выбором считается 6. Вы може-
те не использовать эту директиву, тогда будут иметь место
значения по умолчанию, принятые при сборке системной
библиотеки Zlib.
mod_filter
Казалось бы, все хорошо. Наш Apache теперь умеет обра-
батывать прокси-запросы, хранить их в кэше и даже сжи-
3
Отметим, что отсечение клиентов, не поддерживающих сжатие данных, mod_deflate производит сам, без всякого участия администратора.
36
мать перед отправкой. Однако спустя некоторое (обычно –
весьма непродолжительное) время обнаруживаются стран-
ные артефакты. Архивы почему-то оказываются упакован-
ными дважды, что пугает неподготовленных пользователей.
И тут же возникают два вековечных русских вопроса: «Кто
виноват?» и «Что делать?»
Благо, за ответом на первый из них далеко ходить не
надо. Как наверняка уже догадался проницательный чита-
тель, проблема кроется в излишней «жадности» нашего
mod_deflate, который сжимает все и вся, тогда как браузер
готов распаковать лишь вполне определенные типы фай-
лов: текст, HTML-страницы, графические изображения...
Лежащее на поверхности решение – ограничить список
файлов, подлежащих динамическому сжатию, по расши-
рению (кстати, оно очень хорошо описано в документации
к mod_deflate), можно отбросить сразу же. Расширение
файла далеко не всегда соответствует его содержимому
(те же архивы иногда называются как-нибудь вроде http://
www.some-tricky-company.ru/download/download.pl?id=
1234&uid=5678), кроме того, вариантов, подлежащих филь-
трации, оказывается чересчур много. На самом деле, нам
проще сказать, что должно сжиматься и выкинуть осталь-
ное..
Вторая идея – использовать директиву «AddOutputFilter
ByType DEFLATE <список MIME-типов>» также терпит фи-
аско, поскольку она принципиально не способна работать
с прокси-запросами (это редкое исключение, подтвержда-
ющее правило). Да и нужные нам шаблоны, типа «text/*»,
не говоря уж о более сложных, ей явно не по зубам. Что же
делать?
Решение существует! Это специализированный модуль
mod_filter, написанный Ником Кью (Nick Kew) и включен-
ный в стандартный комплект поставки Apache 2.1, усечен-
ная версия которого была портирована автором этих строк
обратно в 2.0. В данном разделе речь будет вестись имен-
но о ней.
Исходный код модуля доступен по адресу: http://ktf.
physics.usu.ru/~val/mod_filter.zip. Чтобы установить его, рас-
пакуйте архив во временный каталог на вашем сервере и
дайте команду:
apxs -c -i -a mod_filter.c
Основная идея mod_filter состоит в том, чтобы заменить
обычный фильтр так называемым «умным» (smart filter). «Ум-
ный» фильтр – это некоторая абстрактная конструкция, со-
держащая условия срабатывания и набор так называемых
провайдеров (опять это слово!), которые, в свою очередь,
являются обычными фильтрами. В перспективе подобный
подход может сократить количество дублирующегося кода,
встречающегося практически в каждом модуле и дающего
ответ на вопрос: «Должны ли мы обработать эту порцию дан-
ных?» Впрочем, сейчас нас будут интересовать сугубо прак-
тические аспекты.
Условия срабатывания «умного» фильтра могут исполь-
зовать самую различную информацию: поля заголовков
прямого запроса (req) и ответа на него (resp), значения внут-
 администрирование
ренних переменных Apache, устанавливаемых с помощью щий момент имеют статус экспериментальных или являют-
mod_setenvif (env), имена обработчиков (handler), а также ся сторонними разработками. Ситуация изменится с выхо-
тип передаваемых данных (Content-type). дом финальной версии Apache 2.1, который будет содержать
Для создания «умного» фильтра используется директи- «штатные» реализации mod_cache и mod_filter. До тех пор
ва «FilterDeclare <имя фильтра>». Подключением отдельных вы при желании можете рассматривать предлагаемое реше-
провайдеров управляет директива «FilterProvider <имя филь- ние как перспективное, хотя мой личный опыт показывает,
тра> <имя провайдера> <условие>». Здесь под именем про- что надежности вышеупомянутых модулей вполне достаточ-
вайдера подразумевается название «обычного» фильтра, но для решения «бытовых» задач. Попробуйте сами!
например, DEFLATE. Завершив настройку «умного» фильт-
ра, следует добавить его в «цепочку» командой FilterChain. Приложение
При обработке поступившего запроса звенья цепочки пос-
ледовательно просматриваются до тех пор, пока не будет Пример вызова configure, обеспечивающий
найден фильтр, условие срабатывания которого для данно- поддержку всех необходимых модулей
го конкретного запроса окажется истинным. По умолчанию
добавление нового «умного фильтра» происходит в конец ñonfigure \
--enable-proxy –-enable-proxy-http -–enable-proxy-ftp -–
цепочки, однако это поведение можно подавить, используя enable-proxy-connect\
специальные префиксы в директиве FilterChain. Подробнос- --enable-cache –enable-disk-cache\
--enable-deflate\
ти ищите в документации. --enable-mods-shared=all
Теперь путь решения проблемы становится ясным. Нам
необходимо добавить «умный» фильтр «Compressor» (конеч-
но, вы можете использовать другое имя), который будет об- Фрагмент файла httpd.conf, реализующий
рабатывать данные с типом «text/*». На самом деле диапа- описанную в статье систему
зон MIME-типов, подлежащих сжатию, может быть более
широким. ...
# Ñëóøàòü ïîðò 3128
Я, например, использую следующую конструкцию: Listen 3128
...
FilterProvider Compressor DEFLATE resp=Content-type $text/ # Çàãðóçèòü íåîáõîäèìûå ìîäóëè
FilterProvider Compressor DEFLATE resp=Content-type ↵ LoadModule cache_module modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
$application/xhtml ...
FilterProvider Compressor DEFLATE resp=Content-type ↵
$application/xml LoadModule deflate_module modules/mod_deflate.so
...
LoadModule proxy_module modules/mod_proxy.so
Знак долара «$» в начале каждого условия обозначает LoadModule proxy_connect_module modules/mod_proxy_connect.so
операцию поиска по подстроке. Кроме него, доступен по- LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
иск по регулярному выражению (обрамляется символами ...
«/»), а также весь спектр арифметических операций срав- LoadModule filter_module modules/mod_filter.so
...
нения и специальное условие «*», которое всегда истинно. # Ñîçäàòü âèðòóàëüíûé õîñò íà ïîðòó 3128
Обратите внимание, что мы используем «resp=Content-type» NameVirtualHost *:3128
<VirtualHost *:3128>
вместо «Content-type». Между этими двумя вариантами су- # Âêëþ÷èòü ïîääåðæêó ïðîêñè-çàïðîñîâ
ществует тонкое различие. В первом случае MIME-тип оп- ProxyRequests On
<Proxy *>
ределяется по заголовкам, сформированным удаленным # Îãðàíè÷åíèå äîñòóïà ïî IP
сервером, тогда как в последнем сведения поступают из Order deny,allow
Deny from all
локальной базы MIME-типов. Некоторые сайты, например, Allow from 192.168.0.1/24
репозитарий SourceForge.net, используют для своих фай- # èëè àâòîðèçàöèÿ ïî èìåíè ïîëüçîâàòåëÿ è ïàðîëþ
AuthName "No trespassers"
лов двусмысленные имена, что приводит к недопониманию: AuthType Basic
http://prdownloads.sourceforge.net/project/release-x.y.tar.gz? AuthUserFile <ôàéë ñ ðåêâèçèòàìè ïîëüçîâàòåëåé>
Require valid-user
download на проверку оказывается HTML-страницей, содер- # Åñëè îáå ñõåìû èñïîëüçóþòñÿ ñîâìåñòíî, óêàæèòå çäåñü
жащей список доступных зеркал для файла release-x.y.tar.gz, # All, ÷òîáû çàòðåáîâàòü ðàçðåøåííûé IP-àäðåñ
# è ïðàâèëüíûé ïàðîëü Any, ÷òîáû çàòðåáîâàòü
поэтому лучше доверить право определения типа содер- # ðàçðåøåííûé IP-àäðåñ èëè ïðàâèëüíûé ïàðîëü
жимого удаленному серверу. Уж он-то точно знает, что нам Satisfy Any
</Proxy>
отправил. # Íàñòðîéêè êýøà
CacheEnable disk /
CacheRoot <ïóòü ê êàòàëîãó êýøà>
Заключение CacheSize 51200
Вот и подошла к концу данная статья. Если вы внимательно CacheDirLevels 2
CacheDirLength 3
и творчески следовали всем перечисленным рекомендаци- # «Óìíûé» ôèëüòð äëÿ äèíàìè÷åñêîãî ñæàòèÿ
ям, то сейчас в вашем распоряжении имеется многофункци- FilterDeclare Compressor
FilterProvider Compressor DEFLATE resp=Content-type $text/
ональный сервер Apache, который может самостоятельно FilterProvider Compressor DEFLATE resp=Content-type ↵
обрабатывать запросы, переадресовывать их удаленным $application/xhtml
FilterProvider Compressor DEFLATE resp=Content-type ↵
веб-узлам, кэшировать и динамически сжимать передавае- $application/xml
мые данные, причем делает все это в рамках одной кодовой FilterChain Compressor
</VirtualHost>
базы. Некоторые из описанных в статье функций в настоя-

¹4, àïðåëü 2005 37

 администрирование
SVISTAТЬ ВСЕХ НАВЕРХ!
Сегодня на рынке виртуальных машин, позволяющих за-
пускать на одном компьютере сразу несколько операцион-
ных систем, признанным лидером является VMWare. Это
действительно мощный продукт, обладающий понятным
интерфейсом, простой в настройке, разобраться с исполь-
зованием которого под силу и новичку. Но есть и некото-
рые неудобства. Так как VMWare является коммерческим
продуктом, то придется либо купить лицензионную версию,
либо смириться с тем, что лицензия ограничивает пользо-
вателя по времени. Довольно часто, особенно во время вы-
хода новых версий программы, сайт бывает так перегру-
жен, что не сразу удается получить новый ключ. Продукт
Microsoft Virtual PC, по моему мнению, еще не пользуется
большой популярностью хотя бы потому, что не достиг того
уровня функциональности, который позволит тягаться с
VMWare. Свободные же версии виртуальных машин вроде
Bochs, Qemu и пр. несмотря на свои возможности (в неко-
38
СЕРГЕЙ ЯРЕМЧУК
торых случаях даже превосходящие VMWare), пользуются
популярностью в большей степени или в основном среди
сторонников UNIX-систем, скорее всего из-за отсутствия по-
нятного интерфейса. К тому же Bochs, при всех его досто-
инствах, еще и очень медленно работает, поскольку не ис-
пользует динамическую трансляцию. Хотя в последнее вре-
мя Qemu уже обзавелся вполне понятными оболочками, но
боюсь, что настоящая популярность придет к нему позже.
Между тем существует по крайней мере еще один коммер-
ческий проект, предлагающий виртуальную машину, и са-
мое интересное, что в его разработке участвуют програм-
мисты из России.
SerenityVirtual Station 2004 – SVISTA, именно так называ-
ется решение, предлагаемое Serenity Systems International –
SSI (http://www.serenityvirtual.com/index.php), первый пресс-
релиз с упоминанием о ней датируется 1 ноября 2004 года.
Разработкой SVISTA занимается компания «Параллели –

Программная Студия» (http://www.parallels.ru), образован-
ная в феврале 2001 года в Москве.
Итак, что умеет SVISTA? В качестве основной операци-
онной системы могут использоваться Linux, FreeBSD,
Windows, IBM OS/2 и eСomStation. В качестве гостевых опе-
рационных систем могут применяться:
! OS/2 2.1, OS/2 Warp 3.0, 4.0, 4.5, eComStation 1.0, 1.1, 1.2
! MS-DOS, Windows 3.0, 3.1, 3.11
! Windows 95
! Windows NT 4.0, Windows 2000, Windows XP, Windows
Server 2003
! Linux (kernel 2.2, 2.4 и 2.6)
! FreeBSD
Конкретные версии и дистрибутивы в официальной ин-
формации не названы, и скорее всего здесь особых огра-
ничений нет. Я запускал виртуальную машину в ALT Linux
2.4 Master, ASPLinux v10, FreeBSD 5.3 и Windows XP SP1 и
2 – проблем не заметил. Системные требования также обыч-
ные для такого рода продуктов, и принцип один – чем боль-
ше, тем лучше. В SVISTA часть кода выполняется на реаль-
ном процессоре, минуя виртуальный, что увеличивает бы-
стродействие системы. Доскональных испытаний я не про-
водил, но на компьютере 1.1 Celeron с 256 ОЗУ, SVISTA
работает примерно с такой же скоростью, что и VMWare,
но медленнее Qemu. Если в SVISTA и VMWare загрузка в
гостевой ОС такого монстра как KDE, происходит минут за
15, то в Qemu на это уходит около 10 минут. SVISTA 2004
имеет набор инструментов для гостевой OС, например со-
вместный буфер обмена, который позволяет сделать рабо-
ту более удобной. Версия для Windows специально опти-
мизирована для работы с Citrix Metaframe. В качестве при-
менения своему продукту разработчики видят в первую оче-
редь различные варианты клиент-серверных архитектур
(One technology – many environments), когда терминалы «тон-
ких клиентов» загружают с сервера необходимую рабочую
среду. Подробности смотрите в документации на сайте.
Пользователь, запустивший SVISTA, получает в свое
распоряжение следующую виртуальную машину:
! CPU Pentium II или AMD Duron (в зависимости от марки
процессора на компьютере);
! материнская плата, совместимая с Intel i815;
! до 512 Мб оперативной памяти (но не больше половины
имеющейся на PC);
! VGA и SVGA-совместимая видеокарта с поддержкой
VESA 3.0, что позволяет использовать любые режимы
вплоть до 1280x1024x256;
! дисковод формата 3.5'' на 1.44 Мб (может быть пред-
ставлен как реальным устройством, так и образом);
! виртуальный жесткий диск IDE объемом до 32 Гб, пред-
ставленный как образ;
! виртуальный CD-ROM (может быть как реальным уст-
ройством, так и iso-образом);
! до 4 последовательных портов (COM);
! до 3 параллельных портов (LPT);
! виртуальная Ethernet-сетевая карта, совместимая (на
выбор) с RTL8029, NE2000 или NE2000plus, версия для
Windows дополнительно поддерживает виртуальную
Token-Ring сетевую карту;
¹4, àïðåëü 2005
администрирование
! AC97-совместимая звуковая карта;
! клавиатура с поддержкой расширенных 104 клавиш;
! мышь PS/2 с колесом.
Как видите, SVISTA несколько проигрывает VMWare, нет
поддержки SCSI-, USB-устройств (планируется в следую-
щей версии), да и сетевая карта всего одна (в VMWare –
три). Однако разработчиками заявлено о поддержке нестан-
дартного оборудования вплоть до картридеров.
Установка SVISTA
SVISTA очень проста в установке и настройке. Но для нача-
ла необходимо кроме самого дистрибутива, предназначен-
ного для конкретной основной системы, получить лицензи-
онный ключ. Под UNIX-системы приложение, т.е. оболочка,
распространяется по лицензии GPL и доступно в исходных
текстах, библиотеки и файлы ресурсов являются закрыты-
ми. Сам продукт является коммерческим, поэтому у нас есть
два варианта: купить полную лицензию за 99 у.е., либо зап-
росить демонстрационный ключ, который позволит исполь-
зовать программу без каких-либо ограничений в течение 30
дней, если вы не хотите, чтобы работе мешало сообщение
об использовании нелицензионной версии. Правда, по ис-
течении этого срока никто не запрещает повторить всю
процедуру с самого начала. Здесь все как в VMWare, толь-
ко с тем отличием, что в SVISTA необходимо для каждой
основной системы получать ключ отдельно, но зато можно
пользоваться одним и тем же почтовым ящиком. В VMWare
в получении ключа на e-mail, который уже имеется в базе
данных, будет отказано. При использовании в качестве ос-
новной системы Linux получаем архив svista-2004-lnx.zip
размером 1.93 Мб.
После распаковки вы найдете ReadMe-файл и два паке-
та: SVISTA-2004.1056-Lin.i386.rpm и SVISTA-2004.1056-Lin.tgz.
Первый предназначен для дистрибутивов, поддерживаю-
щих rpm-пакеты, второй – для всех остальных.
# rpm –i SVISTA-2004.1056-Lin.i386.rpm
Или для tgz:
# tar xzvf SVISTA-2004.1056-Lin.tgz
#./install.sh
После чего запускаем скрипт SVISTA-config:
# /usr/bin/SVISTA-config
Configuring SVISTA 2004 build 1056
You must read and accept license agreement to run SVISTA 2004
To list by pages use Spacebar key.
Press 'ENTER' to continue...
Далее будет выведен текст лицензии:
Do you accept terms of license agreement ? (Y/N) y
Trying to configure SVISTA 2004 drivers...
configure: error: C compiler cannot create executables
Can't configure ! Read "/usr/lib/SVISTA/Doc/INSTALL"
and follow instructions that written there
Смотрим в указанный файл. Выясняется, что для ком-
пиляции (под UNIX-системы часть SVISTA поставляется в
39
 администрирование
исходных текстах) необходимо наличие исходных текстов
ядра, библиотек QT 3.xx и конечно же, gcc с glibc. Если ка-
кого-либо из этих компонентов нет – установите. Теперь
компиляция происходит нормально.

Trying to configure SVISTA 2004 drivers...

Trying to rebuild drivers...
Drivers rebuilt successfully.
Installing drivers...
Starting drivers...
Starting SVISTA 2004 main driver
Starting SVISTA 2004 network driver
Adding adapter eth0 to bridge 0... succeed.
Configuration completed successfully

Удалять также просто, вводим «rpm -e SVISTA» или за-

пускаем скрипт uninstall.sh. Установка в Windows происхо-
дит обычным образом, т.е. запуском исполняемого файла.
Дальнейшая работа версий для UNIX и Windows также не
отличается, за исключением того, что в Windows интерфейс
локализован и пользователю будет легче разобраться с не-
понятными терминами и настройками. Исходя из этого, все
дальнейшее описание будет относиться к версии для Linux,
но если будут различия, о них будет рассказано отдельно.

Запуск виртуальной машины

После установки работать от имени суперпользователя уже
не обязательно.
Запускаем утилиту:

# SVISTA& Ðèñóíîê 2
Если при запуске не будет найдено загрузочное устрой-
После чего появляется экран новой виртуальной маши- ство или оно не правильно сконфигурировано, то вы полу-
ны. чите предупреждение «No boot device available, press enter
to continue». Параметр Memory определяет количество ре-
альной оперативной памяти, которое будет выделено вирту-
альной машине, установите его в пределах от 4 до 512 Мб,
но не более половины размера ОЗУ. Если конфигуратор
Windows сразу устанавливает предел в половину имеющей-
ся памяти (кроме случаев, когда часть ОЗУ отдана встро-
енной карте, см. рис. 3), то в Linux его придется контроли-
ровать самому. Если переусердствуете, то получите ошиб-
ку «System error E4003: Can't map VM memory».

Ðèñóíîê 1
Для дальнейшей работы необходимо ввести регистра-
ционный номер, зайдя в пункт Help/Registration. Теперь при-
ступаем к созданию новой виртуальной машины, выбрав
меню New. Во вкладке Main (рис. 2) устанавливаются ос-
новные параметры виртуальной машины, тип гостевой си-
стемы, параметр Boot sequence позволяет выбрать один из
трех типов загрузки:
! Floppy, Hard drive, CD-ROM.
! Hard drive, Floppy, CD-ROM.
! CD-ROM, Hard drive, Floppy.
Ðèñóíîê 3
В Options определяются действия, выполняемые при
старте виртуальной машины. Так, «Start immediately after
opening configuration» позволяет запустить виртуальную
машину сразу после выбора конфигурационного файла, без
дополнительных действий со стороны пользователя.
Опция «Start virtual machine in full screen mode» запуска-
ет виртуальную машину в полноэкранном режиме (в него
можно также перейти, нажав кнопку на панели, либо через
соответствующий пункт меню).
Включив «Show full screen mode startup warning message»,
вы будете получать предупреждения о переходе в полноэк-
ранный режим.
Опция «Enable acceleration» включена по умолчанию, но

40

для некоторых гостевых систем (Windows NT и 2000), при
работе которых возможны сбои, появляется возможность
отключить ускорение.
И наконец, «Enable write-back disk cache» также вклю-
чена по умолчанию и разрешает производить запись не сра-
зу в образ, а в кеш. Вкладки Floppy drives и IDE drives похо-
жи. В них указываются соответствующие устройства (дис-
ковод, жесткий диск и CD-ROM), которые будут доступны
на виртуальной машине. При этом могут быть указаны как
реальные устройства, так и предварительно созданные
образы. Для создания файл-образа используется кнопка
«Create file», при этом задается размер файла (дисковод
1.44 Мб по умолчанию имеет расширение .fdd, жесткий диск
от 20 до 32768 Мб, расширение hdd). В Windows файл со-
здается автоматически, а в Linux его необходимо предва-
рительно создать вручную:
администрирование
шей частью автоматически, для RTL8029 compatible систе-
ма сама выбирает IRQ.
Для остальных типов адаптеров придется IRQ выстав-
лять самому. После установки всех параметров будущей
гостевой системы выходим из настроек и сохраняем кон-
фигурацию (по умолчанию файл с расширением *.svs). Если
в процессе использования гостевой системы возникла не-
обходимость в редактировании параметров, воспользуйтесь
пунктом Edit.
Òàáëèöà.1 Ñïèñîê ïîääåðæèâàåìûõ ñåòåâûõ àäàïòåðîâ
â çàâèñèìîñòè îò òèïà ãîñòåâîé ñèñòåìû

# touch /home/sergej/vm/knoppix.hdd

Я не экспериментировал со всеми возможными образа-

ми, но отмечу, что для работы можно использовать образы,
подготовленные для Qemu. Напомню, что в составе Qemu
имеется утилита qemu-img, которая с параметром convert
позволяет конвертировать образы в различные форматы.
Флажок «Compress free space» позволяет сэкономить дис-
ковое пространство. Так, только что созданный 4-гигабай-
товый контейнер занимает всего 100 Кб, но затем расши-
ряется по мере заполнения.
Опции «Start floppy disk connected» и «Start CD-ROM disk
connected» автоматически включают устройство при пода-
че питания на виртуальный компьютер.
В Windows для создания образов удобно использовать
программу ImageTool.exe, идущую в комплекте.

Ðèñóíîê 4
Следующие две вкладки «Serial ports» и «Parallel ports»
открывают доступ к соответствующим портам.
Во вкладке «Sound settings» доступны опции «PC speaker
support enable» и «Sound support enable», активация кото-
рых позволяет использовать спикер и виртуальную AC’97-
звуковую карту. При использовании в качестве основной
системы Windows в каталоге, в который установлен SVISTA,
имеется файл tools.fdd, содержащий драйвера AC’97 и се-
тевых устройств в основном для OS/2 и Windows NT.
И наконец, вкладка «Network settings» позволяет акти-
вировать сетевое устройство (рис. 5). В зависимости от ис-
пользуемой гостевой системы будут доступны различные
сетевые адаптеры (таб. 1).
И последним шагом настройки является установка port,
IRQ и MAC-адреса. Параметр port устанавливается боль-
Ðèñóíîê 5
Теперь на виртуальную машину можно подавать пита-
ние. В дальнейшем работа происходит обычным образом.
Наличие всего одного сетевого адаптера не позволяет
создавать такие разветвленные конфигурации, как в VMWare,
но имеющихся возможностей SVISTA вполне достаточно для
тестирования программного обеспечения и сетевых серви-
сов, работы или презентации возможностей тех или иных
приложений, написанных под разные операционные систе-
мы.

¹4, àïðåëü 2005 41

 администрирование
АРХИВИРУЕМ ДАННЫЕ С ПОМОЩЬЮ BACULA
Bacula – это мощное средство создания и управления ре-
зервными копиями данных, а также восстановления инфор-
мации при необходимости. Имея модульную архитектуру,
Bacula легко масштабируется и может быть использована
как на нескольких, так и на сотнях компьютеров. Кому бу-
дет полезен этот инструментарий? Как сказано в докумен-
тации, «... если вы используете такие программы, как tar,
dump, bru для создания резервных копий, и хотели бы иметь
удобное средство для сетевой работы, то Bacula, скорее все-
42
АЛЕКСЕЙ ГРИНЬКО
го, имеет полный набор необходимых вам функций». Что ж,
проверим это утверждение разработчиков.
Начнем с описания компонентов, из которых состоит эта
система. Bacula имеет клиент-серверную архитектуру, ее
схема представлена ниже (рис. 1).
Взаимодействие служб в Bacula
Сердцем системы является «центр управления» (Director), в
его функции входит хранение заданий, их запуск, ведение
 администрирование
журнала всего происходящего. Эта часть на данный момент управления), bacula-sd.conf (хранилище). Начнем с самого
реализована только для FreeBSD и Linux. Для хранения жур- простого – bacula-fd.conf:
налов создания архивных копий и их содержимого исполь-
зуется SQL Server (служба хранения каталога). В его роли Director { # îïèñàíèå öåíòðà óïðàâëåíèÿ,
Name = main-dir # êîòîðîìó ðàçðåøåíî îáðàùàòüñÿ
может выступать PostgreSQL, MySQL и SQLite. Созданные Password = "bacula" # ê ýòîé ñëóæáå ôàéëîâ
архивные копии передаются в «хранилище» (Storage Server), }
где они записываются в «тома» (Volume). Тома физически FileDaemon { # îïèñàíèå ñëóæáû ôàéëîâ
могут записываться в простейшем случае в файл, но Bacula Name = main-fd # èìÿ êëèåíòà
FDport = 9102 # èñïîëüçóåìûé ïîðò
поддерживает работу с накопителями на магнитной ленте, WorkingDirectory = /var/lib/bacula # ðàáî÷èé êàòàëîã
в том числе и устройства с автоматической сменой кассеты. Pid Directory = /var/run # ôàéë ñ íîìåðîì ïðîöåññà
}
Если выбран вариант хранения томов в виде файлов, то пос-
ле достижения файлом длины 650-700 Мб (CD) или же 4.5 Гб Messages { # îïèñàíèå êàíàëà ñîîáùåíèé
Name = Standard # èìÿ êàíàëà
(DVD), целесообразно закончить работу с этим томом и за- director = main-dir = all, !skipped # ãäå îí íàõîäèòñÿ
писать его на носитель CD/DVD. Еще одним элементом си- }
стемы является «Служба файлов» (File Daemon). Это клиен-
тская часть, которая устанавливается на компьютеры, хра- Конфигурационные файлы состоят из объектов (дирек-
нящие данные для архивации. Вся прелесть в том, что дан- тив), параметры каждого объекта находятся внутри фигур-
ная часть реализована для различных платформ: FreeBSD, ных скобок {}. Здесь приведены следующие объекты: Director
Linux и Windows. Таким образом, собирать данные для раз- (центр управления), FileDaemon (служба файлов) и Messages
мещения в архив можно вне зависимости от того, какая опе- (канал сообщений). Описанием первого объекта мы разре-
рационная система установлена на компьютер. Остался еще шаем центру управления с именем main-dir подключаться
один элемент – «Консоль» (Bacula Console). Он также су- и передавать задания. Второй объект задаёт параметры ра-
ществует в версиях для различных ОС, его целью является боты самой службы файлов. В третьем же задается имя
создание, управление и контроль выполнения архивных ко- канала сообщений, в который будут передаваться отчеты о
пий, а также менеджмент томов и пулов. проделанной работе, состояние, ошибки.
Для оповещения о ходе работы, поставленных задачах
и результатах их выполнения используются каналы сооб-
щений. Можно задействовать несколько каналов, к приме-
ру, по числу заданий, и отправлять отчеты пользователям,
чьи данные были заархивированы. Мы же создадим один
канал для отправки всех сообщений администратору. Так-
же по почте будут приходить уведомления о смене кассеты
или подключении нового файлового тома, если текущий за-
полнен. Для отправки сообщения Bacula использует соб-
ственный инструментарий – bsmtp, который может отправ-
лять сообщения не только локально, но и на удаленный smtp-
сервер.
Следующий конфигурационный файл описывает на-
стройки хранилища:

Storage { # îïðåäåëåíèå õðàíèëèùà

Name = main-sd # èìÿ
SDPort = 9103 # èñïîëüçóåìûé ïîðò
WorkingDirectory = "/var/lib/bacula" # ðàáî÷èé êàòàëîã
Pid Directory = "/var/run" # ôàéë ñ íîìåðîì ïðîöåññà
}
Director { # îïèñàíèå öåíòðà óïðàâëåíèÿ,
Name = main-dir # êîòîðîìó ðàçðåøåíî îáðàùàòüñÿ
Password = "bacula" # ê ýòîìó õðàíèëèùó
Ðèñóíîê 1 }

Как видно, поместить службу хранения каталогов, хра- Messages { # îïèñàíèå êàíàëà ñîîáùåíèé
Name = Standard # èìÿ êàíàëà
нилище и центр управления разумнее всего на одном сер- director = main-dir = all, !skipped
вере. В FreeBSD есть следующие порты для установки: # ïåðåäàâàòü ñîîáùåíèÿ â öåíòð óïðàâëåíèÿ
}
! /usr/ports/sysutils/bacula-server
! /usr/ports/sysutils/bacula-client Device {
Name = FileStorage
#
#
óñòðîéñòâî õðàíåíèÿ òîìîâ
èìÿ
Media Type = File # òèï íîñèòåëÿ (ôàéëîâûé)
Нам понадобятся оба, так как компьютер, на котором Archive Device = /tmp # ïóòü ê óñòðîéñòâó
LabelMedia = yes # äàâàòü òîìàì ìåòêè
будет запущен центр управления Bacula, тоже будет высту- Random Access = Yes # óñòðîéñòâî ñ ïîçèöèîíèðîâàíèåì
пать в роли клиента. После установки необходимо настро- AutomaticMount = yes # àâòîìàòè÷åñêîå ïîäêëþ÷åíèå òîìà
RemovableMedia = no # ÿâëÿåòñÿ ëè ñúåìíûì íîñèòåëåì
ить три конфигурационных файла, находящихся в $PREFIX/ AlwaysOpen = no # áëîêèðîâêà èçâëå÷åíèÿ íîñèòåëÿ
etc/: bacula-fd.conf (служба файлов), bacula-dir.conf (центр }

¹4, àïðåëü 2005 43

 администрирование
Device { # óñòðîéñòâî õðàíåíèÿ òîìîâ мя вопросов возникнуть не должно. Verify используется для
Name = DDS-4 # èìÿ проверки, изменялись ли данные с момента последнего ар-
Description = "DDS-4" # îïèñàíèå
Media Type = DDS-4 # òèï íîñèòåëÿ (êàññåòà ñòðèììåðà) хивирования. Тип задания Admin используется для удале-
Archive Device = /dev/nsa1 # ïóñòü ê óñòðîéñòâó ния устаревших записей из каталога. Задание обязательно
AutomaticMount = yes # àâòîìàòè÷åñêîå ïîäêëþ÷åíèå òîìà
AlwaysOpen = yes # áëîêèðîâêà èçâëå÷åíèÿ íîñèòå- должно содержать следующие элементы: имя (Name), тип
ëÿ (Type), типы архивирования (только для заданий Backup),
Offline On Unmount = no # èçâëåêàòü êàññåòó
# ïðè ðàçìîíòèðîâàíèè какие файлы архивировать (FileSet), с какого клиента (Client),
Hardware End of Medium = no # àïïàðàòíîå îïðåäåëåíèå в какое хранилище (Storage), какой пул (Pool – группа то-
# êîíöà êàññåòû
BSF at EOM = yes # ñòàâèòü ìåòêó â êîíöå мов) использовать, приоритет задания (Priority). Целесооб-
# (äëÿ FreeBSD) разно часть этих опций описать в шаблоне задания и со-
Backward Space Record = no # íàñòðîéêè äëÿ óñòðîéñòâ
Fast Forward Space File = no # ñ íåïðîèçâîëüíûì здавать задания на его основе. В этом случае не нужно
# ïîçèöèîíèðîâàíèåì каждый раз указывать одни и те же опции. Если же мы хо-
TWO EOF = yes # ïîìå÷àòü êîíåö êàññåòû
# äâóìÿ EOF тим использовать значение элемента, отличное от приве-
} денного в шаблоне, достаточно его переопределить в опи-
В этом файле описываются следующие объекты: Storage сании задания. Ниже приведен пример шаблона и описа-
(хранилище), центр управления, имеющий право работать с ния задания архивирования:
данным хранилищем, канал сообщений и, наконец, два уст-
ройства для архивирования – файловое и накопитель на гиб- JobDefs {
# øàáëîí çàäàíèÿ
кой магнитной ленте (стриммер). Pool = Default # ïóë ñ òîìàìè
Перед тем как приступить к последнему, самому слож- # îïèñàíèå ïóëîâ äëÿ ðàçíûõ òèïîâ àðõèâèðîâàíèÿ
Full Backup Pool = FullBackups
ному файлу конфигурации, необходимо подготовить служ- Differential Backup Pool = DiffBackups
бу каталога. Подойдет PostgreSQL, MySQL или SQLite. Incremental Backup Pool = IncBackups
Name = DefaultJob # èìÿ
Я остановил свой выбор на MySQL, это довольно рас- Type = Backup # òèï çàäàíèÿ
пространенный SQL-сервер, присутствующий почти в каж- Level = Full # òèï àðõèâèðîâàíèÿ
Client=main-fd # êëèåíò
дой UNIX-системе. В комплекте с Bacula есть скрипты для Storage = File # õðàíèëèùå
конфигурирования базы данных: создание пользователя и Messages = Standard # êàíàë ñîîáùåíèé
Priority = 10 # ïðèîðèòåò
установка необходимых прав (grant_mysql_privileges), Reschedule On Error = yes # ïîâòîðÿòü ëè ïðè îøèáêå
(create_mysql_database) и таблиц (make_mysql_tables), на- Reschedule Interval = 6h # èíòåðâàë äëÿ ïîâòîðà
Reschedule Times = 3 # êîëè÷åñòâî ïîâòîðîâ
ходящихся в $PREFIX/bacula. Для создания пользователя и }
назначения ему необходимых прав, лучше использовать
Job { # îïèñàíèå çàäàíèÿ
скрипт, поставляемый по умолчанию. Поэтому создаем но- Name = "UnixCfg" # èìÿ
вую базу данных ./create_mysql_database и затем выполня- JobDefs = DefaultJob # èñïîëüçóåìûé øàáëîí
FileSet="UnixCfg" # íàáîð ôàéëîâ
ем следующее: Storage = File # èñïîëüçóåìîå õðàíèëèùå
}
mysql -u root -p
mysql> grant all privileges on bacula.* to bacula@localhost ↵
identified by 'baculapwd' with grant option; Как видно, в шаблоне мы описали используемый по
mysql> flush privileges; умолчанию пул, указали, что для каждого типа архивиро-
вания будем использовать свой пул, – это довольно удоб-
Далее запуском скрипта ./make_mysql_tables создаем но. Делать полные копии большого количества файлов еже-
необходимые для работы Bacula таблицы. На этом подго- недельно неразумно. Гораздо удобнее сделать раз в месяц
товка службы каталога завершена и можно приступать к (или реже) полные копии, а еженедельно создавать инкре-
настройке центра управления. ментальные (Incremental) копии, в которых будут храниться
Файл конфигурации имеет несколько частей: только измененные с момента последней архивации фай-
! описание центра управления; лы. Приведу еще одно немаловажное задание:
! описание заданий;
! клиенты, графики запуска; Job {
Name = "BackupCatalog" # èìÿ çàäàíèÿ
! доступные хранилища; JobDefs = DefaultJob # èñïîëüçóåìûé øàáëîí
! набор файлов; FileSet="Catalog" # íàáîð ôàéëîâ
# çàïóñêàòü ïî ãðàôèêó, âûïîëíèòü ïåðåä çàäàíèåì è ïîñëå íåãî
! служба каталога; Schedule = "WeeklyCycleAfterBackup"
! каналы сообщений; RunBeforeJob = "/usr/local/etc/bacula/make_catalog_backup ↵
-u bacula -pbaculapwd"
! пулы хранения томов.
RunAfterJob = "/usr/local/etc/bacula/ ↵
delete_catalog_backup"
Некоторые директивы нам уже знакомы, но есть и но- Write Bootstrap = "/var/lib/bacula/BackupCatalog.bsr"
вые – описание заданий (Job), набор файлов (FileSet), гра- Storage = FileStorage # èñïîëüçóåì ôàéëîâîå õðàíèëèùå
Priority = 11 # ïðèîðèòåò
фик запуска (Schedule). Начнем с описания заданий (Job) и }
шаблона задания (JobDefs). Задание может быть несколь-
ких типов (Type) – архивирование данных (Backup), восста- Использование этого задания очень важно, ведь оно со-
новление данных (Restore), проверка целостности данных здает дамп SQL-базы службы каталога. Делать это необ-
(Verify) и обслуживание каталога (Admin). С первыми дву- ходимо для того, чтобы застраховать себя от сбоев на са-

44
 администрирование
мом сервере. Если что-то случится со службой каталога, было сконфигурировать автоматический запуск архивиро-
то, имея на руках одни кассеты с архивами, восстановить вания. Если в описании задания не указана директива
данные будет совсем непросто. Поэтому данные записы- Schedule, то оно будет запускаться только вручную.
ваются в другое хранилище (файловое). Хранить эти фай- Запуск задания в этом режиме осуществляется из кон-
лы после их заполнения рекомендуется на другом сервере соли Bacula.
или на носителях CD/DVD. Кроме того, здесь используются
новые элементы RunBeforeJob и RunAfterJob и, как ясно из Schedule {
Name = "WeeklyCycle"
названия, это скрипты, которые необходимо запустить до Run = Full 1st sun at 1:05
и после начала архивирования. Перед запуском задания Run = Differential 2nd-5th sun at 1:05
Run = Incremental mon-sat at 1:05
создается дамп базы, с помощью скрипта make_catalog_ }
backup (входящего в дистрибутив Bacula). Дамп помещает-
Schedule {
ся в файл /var/lib/bacula/bacula.sql. Элемент Schedule (гра- Name = "WeeklyCycleAfterBackup"
фик запуска) показывает, что это задание необходимо вы- Run = Full sun-sat at 1:10
}
полнять периодически. Выбранный график запуска «Weekly
CycleAfterBackup», как будет рассмотренно позже, указы- Первый график запуска определяет выполнение полного
вает на то, что архивирование будет запускаться ежеднев- архивирования файлов в первое воскресенье месяца в 1.05.
но, после выполнения всех основных резервных заданий. Инкрементальное архивирование осуществляется с поне-
Заметим, добились мы этого установкой приоритета ниже дельника по субботу в 1.05. А дифференционное архиви-
обычного. По умолчанию значение приоритета для зада- рование в каждое воскресенье, кроме первого, в 1.05. Вто-
ния равно 10. рой график будет запускать задания каждый день, после
Если мы хотим повысить приоритет задания, его необ- того как будут выполнены дневные архивирования.
ходимо назначить меньше 10, и наоборот. Если в одно и то Теперь настала очередь описания клиентов и парамет-
же время запланировано несколько задач, то первой будет ров обращения в службе каталогов. Настройки клиента
выполнена задача с более высоким приоритетом, осталь- (службы файлов, которой будут отправляться задания) и
ные будут поставлены в очередь на ожидание. Задание, по- службы каталогов прокомментированы и должны быть ин-
ступившее в очередь позже, но имеющее приоритет выше, туитивно понятны.
будет выполнено в обход тех, что уже стоят в очереди. При
этом работа выполняемого архивирования не прерывается Client {
Name = main-fd # èìÿ êëèåíòà
даже при поступлении в очередь задания с более высоким Address = localhost # åãî àäðåñ, èìÿ DNS
приоритетом. FDPort = 9102 # èñïîëüçóåìûé ïîðò
Catalog = MyCatalog # èñïîëüçóåìàÿ ñëóæáà êàòàëîãà
Переходим к следующим объектам – описание набора Password = "bacula" # ïàðîëü äëÿ äîñòóïà
файлов для архивирования. В задании с именем UnixCfg File Retention = 30 days # ñðîê õðàíåíèÿ ôàéëîâ
# â àðõèâå
мы указали, что будем использовать набор файлов UnixCfg. Job Retention = 6 months # ñðîê õðàíåíèÿ çàïèñåé
Расшифруем, что мы имели в виду: # â êàòàëîãå
AutoPrune = yes # óäàëÿòü ñòàðûå çàïèñè è ôàéëû
}
FileSet {
Name = "UnixCfg" # èìÿ íàáîðà ôàéëîâ Catalog {
Include = signature=MD5 { # îïöèè – ïîñ÷èòàòü Name = MyCatalog # èìÿ êàòàëîãà
# ñóììû MD5 äëÿ ôàéëîâ # èìÿ SQL-áàçû äàííûõ, ïîëüçîâàòåëü è ïàðîëü
/etc # àðõèâèðîâàòü êàòàëîã /etc dbname = bacula; user = bacula; password = "baculapwd"
/usr/local/etc # à òàêæå /usr/local/etc }
}
Exclude = { # ôàéëû-èñêëþ÷åíèÿ
*.bak # èñêëþ÷èòü èç àðõèâà ôàéëû ïî ìàñêå Ниже приведены описания настроек устройств, исполь-
} зуемых в качестве хранилища. Его имя, а также тип носи-
}
теля обязательно должны быть такими же, как и те, что ука-
FileSet { заны в bacula-sd.conf.
Name = "Catalog"
Include = signature=MD5 {
/var/lib/bacula/bacula.sql Storage {
} Name = File # èìÿ õðàíèëèùà
} Address = localhost # IP-àäðåñ èëè DNS-èìÿ
SDPort = 9103 # èñïîëüçóåìûé ïîðò
Password = "bacula" # ïàðîëü
Все интуитивно понятно. Описаны два набора файлов – Device = FileStorage # óñòðîéñòâî (òàêîå æå,
соответственно для двух вышесозданных заданий. Добав- # êàê â bacula-sd.conf)
Media Type = File # òèï íîñèòåëÿ (òàêîå æå,
лю только то, что при использовании файлового хранили- # êàê â bacula-sd.conf)
ща, а не стриммера, будет полезным добавить вслед за оп- }
цией «signature=MD5» опцию «compression=GZIP», которая Storage {
указывает на необходимость архивирования файлов перед Name = DDS-4 # èìÿ õðàíèëèùà
Address = localhost # IP-àäðåñ èëè DNS-èìÿ
помещением в том. В случае со стриммером это не имеет SDPort = 9103 # èñïîëüçóåìûé ïîðò
смысла – большинство устройств имеют аппаратную под- Password = "bacula" # ïàðîëü
Device = DDS-4 # óñòðîéñòâî (òàêîå æå,
держку сжатия. # êàê â bacula-sd.conf)
На очереди следующий элемент – описание графика Media Type = DDS-4 # òèï íîñèòåëÿ (òàêîé æå,
# êàê â bacula-sd.conf)
выполнения заданий. Делается это для того, чтобы можно }

¹4, àïðåëü 2005 45

 администрирование
Подробно стоит остановиться на системе информирова-
ния о ходе выполнения заданий. Ниже приведено описание
канала сообщений с именем Standard, в который мы будем
передавать сообщения со всех служб Bacula. Команда опо-
вещения о результате выполнения задается с помощью
mailcommand. Для отправки сообщений, не дожидаясь окон-
чания задания, используется команда, определенная с по-
мощью operatorcommand. Для информативности можно ис-
пользовать следующие переменные:
! %c – имя клиента;
! %d – имя центра управления;
! %e – код завершения задания;
! %i – номер задания;
! %n – имя задания;
! %l – тип архивирования;
! %r – получатель;
! %t – тип задания.
Запись, определяющая передачу сообщений, может
иметь два формата:
<ïóòü> = <òèï ñîîáùåíèé1>, <òèï ñîîáùåíèé2>,...
<ïóòü> = <àäðåñàò> = <òèï ñîîáùåíèé1>, <òèï ñîîáùåíèé2>,...
В первом варианте в качестве <путь> может быть стан-
дартный взвод (stdout), стандартный поток ошибок (stderr)
или консоль Bacula (console). При использовании второго
типа формата путь может принимать следующие значения:
! центр управления (director);
! файл (file);
! добавление в существующий файл (append);
! системный лог (syslog);
! сообщение по почте (mail);
! сообщение по почте при ошибке (mail on error);
! немедленное сообщение (operator).
Отличие пути «operator» от «mail» состоит в том, что по-
ступившее сообщение будет отправлено немедленно, а не
после завершения задания. Это удобно для отправки сооб-
щения о том, что текущий том заполнен, и для продолжения
выполнения задания необходимо подключение нового.
Bacula имеет следующие типы сообщений:
! информационное (info);
! предупреждение (warning);
! ошибка (error);
! критическая ошибка (fatal);
! остановка службы (terminate);
! сохранение без ошибок(saved);
! файл не сохранен (notsaved);
! необходимо подключение нового тома (mount);
! файл восстановлен (restored);
! все типы (all).
Если перед типом сообщения указать модификатор «!»,
то это будет означать, что данный тип сообщений включать
не нужно. Исключение определенных сообщений исполь-
зуется совместно с типом «all».
Messages {
Name = Standard # èìÿ êàíàëà ñîîáùåíèé
# êîìàíäà îòïðàâêè îò÷åòà
46
mailcommand = "bsmtp -h localhost \"\(Bacula\) %r\" ↵
-s \"Bacula: %t %e of %c %l\" %r"
# êîìàíäà îòïðàâêè çàïðîñà ñìåíû íîñèòåëÿ
operatorcommand = "bsmtp -h localhost \"\(Bacula\) %r\" ↵
-s \"Bacula: Intervention needed for %j\" %r"
# îòïðàâëÿòü ïî ïî÷òå âñå òèïû ñîîáùåíèé, çà èñêëþ÷åíèåì
# ïðîïóùåííûõ ôàéëîâ
mail = root@localhost = all, !skipped
# àäðåñ îïåðàòîðà ñìåíû íîñèòåëÿ
operator = root@localhost = mount
# ïðîäóáëèðîâàòü âñå òèïû ñîîáùåíèé â êîíñîëü Bacula,
# çà èñêëþ÷åíèåì ïðîïóùåííûõ è íåñîõðàíåííûõ ôàéëîâ
console = all, !skipped, !saved
# çàïèñûâàòü ñîîáùåíèÿ â ôàéë
append = "/var/lib/bacula/log" = all, !skipped
}
Как видно выше, мы направляем на адрес root@localhost
все типы сообщений, за исключением пропуска файлов. Все
эти сообщения будут продублированы в файл /var/lib/bacula/
log. Пропущенными могут быть файлы, попавшие под маску
исключения в описании набора файлов или в случае инкре-
ментального архивирования, если эти файлы со времени
последнего резервирования не изменялись. В консоль Bacula
будут направляться все сообщения, кроме пропущенных по
желанию пользователя файлов (!skipped), а также ошибок
при сохранении файлов (!saved). Если мы не хотим получать
сообщения по почте и записывать отчеты в файл, достаточ-
но закомментировать эти строки. Но хоть один из видов уве-
домления рекомендуется оставить, иначе не будет видно
возникновения ошибок или запроса на смену носителя.
Последний элемент, который необходимо рассмотреть, –
это описание пула томов. Приведено описание только од-
ного пула, но нам необходимо для работы еще три – для
полного, дифференционного и инкрементального архиви-
рования. Имена им необходимо дать те, что были исполь-
зованы при описании шаблона задания (FullBackups, Diff
Backups, IncBackups).
Pool {
Name = Default # èìÿ òîìà
Pool Type = Backup # òèï ïóëà
Recycle = yes # ñòèðàòü ëè ïîìå÷åííûå
# íà óäàëåíèå òîìà
AutoPrune = yes # ïîìå÷àòü íà óäàëåíèå ñòàðûå òîìà
Volume Retention = 3m # ñðîê õðàíåíèÿ òîìà 3 ìåñÿöà
LabelFormat = "File-" # ôîðìàò ìàðêèðîâêè òîìà
}
Теперь можно проверить правильность созданных кон-
фигурационных файлов. Сделать это можно, запустив по
очереди каждого из демонов с ключами -t -c /$PREFIX/bacula/
bacua-<daemon>.conf:
bacula-fd -t -c bacula-fd.conf
bacula-sd -t -c bacula-sd.conf
bacula-dir -t -c bacula-dir.con
Задав нужное количество заданий, периодически запус-
каемых планировщиком, мы получим удобную систему по
созданию резервных копий данных. Вмешательство со сто-
роны администратора будет необходимо в случае, если
закончится место на кассете и нужно будет ее сменить, о
чем Bacula уведомит по почте. В следующей части статьи
пойдет речь о консольных командах работы с этой систе-
мой – запуск заданий вручную, проверка целостности дан-
ных, восстановление информации из архивов и управле-
нием томами и пулами.
 администрирование
БАЗОВАЯ НАСТРОЙКА МАРШРУТИЗАТОРА CISCO
НАЧАЛЬНОГО УРОВНЯ
Устав бороться дома с несогласным стабильно работать мар-
шрутизатором DLink 624+, я наконец решил поменять это
недорогое, но проблемное устройство на что-нибудь более
надежное.
Необходимо было выполнение следующих типичных для
дома или небольшого офиса функций:
! подключение до пяти сетевых устройств (реально у меня
одновременно работало не больше двух, требующих
выхода за пределы домашней сети);
! развитый брандмауэр и сетевая трансляция адресов
(NAT);
48
АНДРЕЙ МАРКЕЛОВ
! DHCP-сервер;
! поддержка протокола Point-to-Point Protocol over Ethernet
(PPPoE), по которому осуществлялось подключение к
провайдеру;
! надежность и возможность мониторинга состояния мар-
шрутизатора, которой так не хватало в DLink 624+.
В итоге я остановил свой выбор на младшем маршру-
тизаторе модельного ряда компании Cisco Systems.
Далее я приведу описание процесса базовой настрой-
ки маршрутизатора, которое может послужить отправной

точкой для самостоятельного конфигурирования домашней/
офисной «кошки» UNIX- или Windows-администратором,
ранее не работавшим с оборудованием Cisco.
Подключение
Для первоначальной настройки маршрутизатора необходи-
мо подключиться к консольному порту на задней панели
устройства. Консольный порт с разъемом RJ-45 представ-
ляет собой обыкновенный асинхронный последовательный
порт TIA/EIA-232. Для подключения к ПК вам понадобится
помимо так называемого rollover-кабеля, идущего в комп-
лекте с маршрутизатором, переходник к DB-9, и, естествен-
но, COM-порт на рабочей станции. Установка соединения
осуществляется со стандартными значениями – 9600 бод/8
бит данных/1 стоп бит/без проверки четности и контроля
прохождения.
В Windows-системах вы можете использовать утилиту
HyperTerminal, а в Linux – cu или minicom. В дальнейшем,
когда маршрутизатору будет присвоен IP-адрес, вы сможе-
те обращаться к нему по протоколам telnet или ssh, но пер-
вый раз без консольного подключения не обойтись.
Итак, даем с рабочей станции команду на подключение,
и после нажатия <Enter> оказываемся в командной строке
маршрутизатора.
Router>
Теперь необходимо перейти в привилегированный ре-
жим, в котором и будем осуществлять настройку:
Router>enable
Router#
Нужно заметить, что в дальнейшем мы установим на
вход в привилегированный режим маршрутизатора пароль,
ну а пока что свежекупленное устройство должно пустить
нас без дополнительных вопросов. Следующий шаг – уда-
ляем имеющуюся конфигурацию, находящуюся во флэш-
памяти, и перезагружаем маршрутизатор (рис. 1):
Router#erase startup-config
Router#reload
За ходом перезагрузки можно наблюдать по появляю-
щимся сообщениям в окне терминала. По окончании про-
цесса перезагрузки снова заходим в командную строку и
переходим в привилегированный enable-режим. После чего
можно приступить к конфигурированию маршрутизатора.
Базовые настройки
Для начала присвоим маршрутизатору имя. Переходим в
глобальный конфигурационный режим и в нем используем
команду hostname:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Home
Home(config)#
Как мы видим, отображение приглашения несколько из-
менилось. Теперь займемся безопасностью. Отключим уп-
равление маршрутизатором через http и https, а также про-
приетарный Cisco Discovery Protocol, который нам в дан-
ном случае абсолютно не нужен.
¹4, àïðåëü 2005
администрирование
Home(config)#no ip http server
Home(config)#no ip http secure-server
Home(config)#no cdp run
Теперь включим режим хранения паролей в файле кон-
фигурации устройства в зашифрованном виде:
Home(config)#service password-encryption
После чего можно задать и сами пароли. Для начала на
консольное подключение:
Home(config)#line con 0
Home(config-line)#password пароль
Home(config-line)#login
Home(config-line)#exit
Home(config)#
Затем таким же способом, но уже на подключение с по-
мощью telnet. Вместо команды line con 0 в этом случае бу-
дет line vty 0 4, остальное останется неизменным. Зададим
также пароль, который маршрутизатор будет спрашивать
у уже подключившегося пользователя при попытке перей-
ти из пользовательского в привилегированный режим ко-
мандой enable:
Home(config)#enable secret пароль_enable_режима
Думаю, к этому моменту я привел достаточно примеров
того, как выглядит работа с командной строкой маршрути-
затора Cisco и в оставшейся части статьи, чтобы избегать
повторов, я просто буду ссылаться на соответствующие
строки конфигурации маршрутизатора, приведенной в кон-
це материала.
Ðèñóíîê 1
Настройка интерфейсов и PPPoE
Поскольку мы настраиваем маршрутизатор, то, естествен-
но, у него имеется минимум два интерфейса. Внутренний –
Ethernet0 и внешний Ethernet1. Определяются они в строках
31-35 и 37-43 соответственно. Для внутреннего интерфейса
мы задаем IP-адрес 192.168.0.88 и маску 255.255.255.0,
а для внешнего указываем команду: no ip address. Все вне-
шние параметры будут получены через PPPoE (строки 42 и
43). Для того чтобы закрыть обсуждение ethernet-интерфей-
сов, но несколько забегая вперед, обращаю внимание на
строчку 33, где указан внутренний интерфейс для NAT.
В строках с 45 по 55 приведено описание интерфейса
Dialer0. Это виртуальный интерфейс, через который и осу-
49
 администрирование
ществляется подключение к PPPoE. Хочу обратить особое 05: service password-encryption
внимание на 53 и 54 строки, где нужно задать имя и па- 06: !
07: hostname Home
роль, выданные вам провайдером. А также на строку 55 – 08: !
без которой маршрутизатор не получит IP-адресов DNS- 09: enable secret xxxxxx
10: enable password xxxxxx
серверов провайдера. 11: !
Помимо описания Dialer0 к настройке PPPoE относятся 12: username homeuser password xxxxxx
13: aaa new-model
также строки 25-29 и 77. За более подробной информаци- 14: !
ей я рекомендую обратиться к документации и сайту 15: aaa session-id common
16: ip subnet-zero
www.cisco.com. Последнее, о чем необходимо упомянуть, – 17: ip dhcp excluded-address 192.168.0.1 192.168.0.90
строка 59, где задается маршрут по умолчанию, указываю- 18: !
19: ip dhcp pool CLIENT
щий на Dialer0. 20: import all
21: network 192.168.0.0 255.255.255.0
22: default-router 192.168.0.88
Настройка NAT, DHCP и брандмауэра 23: lease 0 2
Переходим к настройке NAT. Тут в IOS все достаточно про- 24: !
25: vpdn enable
сто. Помимо 33 строки, про которую уже упоминалось во 26: !
время разбора конфигурации внутреннего интерфейса, за 27: vpdn-group 1
28: request-dialin
NAT отвечают строки 57 и 64. Как мы видим, 57 строка ссы- 29: protocol pppoe
лается на 64, в которой описан так называемый access-list, 30: !
31: interface Ethernet0
определяющий внутренние IP-адреса, которые мы будем 32: ip address 192.168.0.88 255.255.255.0
транслировать во внешний на интерфейсе Dialer0. 33: ip nat inside
34: ip tcp adjust-mss 1452
С помощью тех же «листов доступа» мы в строках с 65 34: no cdp enable
по 76 на Dialer0 организуем простейший межсетевой экран, 35: hold-queue 32 in
36: !
безусловно пропуская icmp, www, smtp, pop3, ftp и dns-тра- 37: interface Ethernet1
фик. Также при уже установленной tcp-сессии будем прини- 38: no ip address
39: no ip unreachables
мать пакеты с номером порта, большим чем 1023. Кроме того, 40: ip tcp adjust-mss 1452
в строке 49 определен IP-адрес рабочей станции, с которой 41: duplex auto
42: pppoe enable
разрешен доступ по telnet для управления маршрутизатором. 43: pppoe-client dial-pool-number 1
Если вам понадобится подкорректировать правила – опять 44: !
45: interface Dialer0
же смотрите документацию. 46: ip address negotiated
Последнее, что мы рассмотрим, – это настройку DHCP- 47: ip access-group 110 in
48: ip mtu 1492
сервера. В строке 17 мы указываем область, выделенную 49: ip nat outside
под статические IP-адреса. В нее должен попасть и IP-ад- 50: encapsulation ppp
51: dialer pool 1
рес внутреннего интерфейса маршрутизатора. В строках 52: dialer-group 1
19 – 23 описан пул адресов нашего DHCP-сервера. Коман- 53: ppp chap hostname homehostname
54: ppp chap password xxxxxx
дой import all клиентам передаются полученные через Dialer0 55: ppp ipcp dns request
сетевые настройки. В качестве шлюза по умолчанию выс- 56: !
57: ip nat inside source list 102 interface Dialer0 overload
тупает внутренний интерфейс с IP-адресом 192.168.0.88. 58: ip classless
59: ip route 0.0.0.0 0.0.0.0 Dialer0
60: no ip http server
61: no ip http secure-server
62: !
63: access-list 49 permit 192.168.0.13
64: access-list 102 permit ip 192.168.0.0 0.0.0.255 any
65: access-list 110 permit tcp any any gt 1023 established
66: access-list 110 permit tcp any any eq www
67: access-list 110 permit tcp any any eq smtp
68: access-list 110 permit tcp any any eq pop3
69: access-list 110 permit tcp any any eq ftp
Ðèñóíîê 2 70: access-list 110 permit tcp any any eq ftp-data
71: access-list 110 permit tcp any any eq domain
72: access-list 110 permit udp any any eq domain
Полный конфигурационный лист 73: access-list 110 permit udp any eq domain any
В заключение статьи приведу полную конфигурацию мар- 74: access-list 110 permit tcp any eq domain any
75: access-list 110 permit icmp any any
шрутизатора, полученную по команде show running-config. 76: access-list 110 deny ip any any
В листинге вы можете увидеть часть команд, которые не 77: dialer-list 1 protocol ip permit
78: no cdp run
были описаны в статье, они или были сформированы са- 79: !
мим устройством или не имеют принципиального значения 80: line con 0
81: exec-timeout 120 0
для первого знакомства с маршрутизатором. Для уточне- 82: password xxxxxx
ния значения этих команд рекомендую обратиться к доку- 83: no modem enable
84: stopbits 1
ментации. 85: line aux 0
86: line vty 0 4
87: access-class 49 in
01: version 12.3 88: exec-timeout 120 0
02: no service pad 89: password xxxxxx
03: service timestamps debug uptime 90: !
04: service timestamps log uptime 91: end

50

SLACKWARE НА РАКЕТНОМ ТОПЛИВЕ
ИЛИ ОБЗОР VectorLinux 5.0.1 SOHO
Пока идут горячие споры по поводу возможности исполь-
зования GNU/Linux на рабочих столах пользователей, прак-
тически все основные производители дистрибутивов уже
представили соответствующие версии своих продуктов. В
последнее время наметилась устойчивая тенденция к по-
явлению версий дистрибутивов, направленных на конкрет-
ную целевую аудиторию, которая, очевидно, будет наблю-
даться и в дальнейшем. Причин достаточно. Так, пользова-
тели не желают платить за ненужные диски, особенно ког-
да задача состоит в простом знакомстве с новинками (в
этом случае хватит и LiveCD), с другой стороны, на серве-
ре совсем не нужны графические оболочки и различные
мультимедиапроигрыватели. К тому же очень жесткие тре-
бования к защите серверов на домашнем компьютере бу-
дут скорее мешать, так как пользователю важно в первую
очередь удобство. Среди других позиций, которые хотелось
бы иметь в дистрибутиве, ориентированном на неподготов-
ленного пользователя, – простая и понятная программа ус-
тановки и максимально возможная поддержка оборудова-
ния, включая различные USB, Bluethooth и беспроводные
устройства, TV-тюнеры, не говоря уже о принтерах, скане-
рах и программах записи CD и DVD. Далее хотелось бы
иметь нормальную локализацию и понятную программу по-
стустановочной настройки дистрибутива, а также софт на
все (или почти на все) случаи жизни. Еще не хочется долго
искать нужное приложение в меню, т.к. даже при минималь-
ной установке Linux количество различных программ пере-
валивает за тысячу, и пользователю необходимо иметь хоть
какую-то подсказку, что у него установлено и для чего оно
предназначено.
Наиболее популярные производители настольных вер-
сий Linux, вроде SuSE, Mandrake, Fedora, пытаются разме-
стить все приложения на трех-пяти дисках, и пользователю
приходится долго выбирать из длинного списка то, что ему
действительно нужно. Создатели канадского VectorLinux
SOHO (http://www.vectorlinux.com), основой которого послу-
жил Slackware, решили ограничиться одним-единственным
диском, на который поместилась полноценная рабочая сре-
да со всеми необходимыми библиотеками и приложения-
ми. В феврале 2005 года был анонсирован 5.0 релиз этого
дистрибутива, о котором и пойдет речь в статье. Как видно
из названия SOHO (Small Office/Home Office), этот дистри-
бутив предназначен для использования в настольных ком-
пьютерах. Главная задача SOHO версии VectorLinux – со-
здать удобную рабочую среду с хорошей интеграцией при-
ложений, работающую быстро, простую в установке и не
¹4, àïðåëü 2005
администрирование
...Built on Slackware Linux, one of the most stable and
best performing distributions available today...
http://distrowatch.com/?newsid=02042
СЕРГЕЙ ЯРЕМЧУК
занимающую много места. Последнее реализуется за счет
тщательного отбора утилит, в которых реализованы наи-
большая функциональность и удобство с одновременным
уменьшением количества дублирующих приложений. Дис-
трибутив свободно доступен с ftp-архива в виде iso-обра-
за, кроме того, продается в онлайн-магазинах по цене 26.97
USD. Последний вариант комплектуется extra-диском, со-
держащим дополнительные приложения (ядро 2.6.10,
RealPlayer, Opera, Adobe Acrobat Reader и пр.) и книгу по
установке дистрибутива. Кроме SOHO, у VectorLinux есть и
другие варианты. Так Standard Edition, размером 350 Мб,
содержит минимально необходимую среду, его главный
девиз – скорость и легкость. Версия Deluxe Edition также
имеет диск с дополнительным софтом и брошюру, содер-
жащую информацию об установке, и во многом напомина-
ет SOHO, но составом приложений предназначена больше
для профессионального использования. И наконец, «неста-
бильная ветка» Dynamite Edition используется в основном
разработчиками, на ней отрабатываются все нововведения,
которые, возможно, появятся в следующих релизах
VectorLinux. Вероятно, «динамит» является самым друже-
любным Slackware на сегодняшний день.
Также хотелось бы отметить, что не так давно проект
обзавелся более-менее понятной документацией (имею-
щейся в том числе и на диске, правда, на английском язы-
ке), позволяющей разобраться с особенностями работы в
VectorLinux. Единственный недостаток VectorLinux, который
в наших условиях является критичным, – это полное отсут-
ствие локализации, в системе доступен только английский
интерфейс. Поэтому ею придется заниматься самому, взяв
необходимые пакеты из Slackware.
Установка
Устанавливать VectorLinux можно несколькими способами,
в том числе и используя скачанный iso-образ без записи
его на диск. Начинающие пользователи не очень любят
Slackware, в том числе и за программу-инсталлятор. Надо
отметить, что в VectorLinux, как и в родительском дистри-
бутиве, программа установки не блещет графическими кра-
сотами: все та же простота и управляемость. Но создатели
проделали хорошую работу и упростили то, что упростить,
казалось, уже невозможно. Мне приходилось иметь дело с
предыдущими версиями VectorLinux. Почти полгода на моем
компьютере стояла версия SOHO 3.2. Тогда установка зак-
лючалась в распаковке 650-мегабайтового архива в ука-
занный раздел, и единственное действие, которое необхо-
51
 администрирование
димо было сделать пользователю, – это создать его при
помощи cfdisk, отформатировать под необходимую файло-
вую систему и указать на него программе. Причем можно
было использовать только одну точку монтирования – кор-
невую, что было не совсем удобно. В версии 5.0 у пользо-
вателя, производящего установку, выбор несколько боль-
ше. Так можно запросто восстановить загрузчик, для чего
достаточно выбрать нужный пункт меню. Для создания раз-
делов используется GNUParted (в пункте меню RESIZE) и
cfdisk, но теперь в ходе установки позволяется выбрать две
точки монтирования (корневой и /home, рис. 1), которые
можно отформатировать под reiserfs, ext2 или ext3.
Ðèñóíîê 1
Если что-то не выходит, то, выбрав соответствующий
пункт меню, можно выйти в оболочку (причем это будет пол-
ноценная оболочка с mc и прочими удобствами), где будет
доступен fdisk и другие утилиты для форматирования и про-
верки указанных выше файловых систем. Также пользова-
тели получили некоторую свободу в выборе программ. Пред-
лагаются две группы приложений. В первую, названную
«Bulk», входит три пакета: veclinux, содержащий базовую
систему и основные приложения, OpenOffice, назначение
которого понятно из названия, и XAMPP, представляющий
из себя удобную инфраструктуру для программирования и
тестирования веб-приложений (Apache + MySQL + PHP +
ProFTP и пр.).
Вторая группа packages включает общим счетом 61 при-
ложение, представляющие в большинстве своем альтерна-
тиву входящим в базовый комплект. Среди них MPlayer,
AmaroK, Kaffeine, XMMS, Sylpheed, GIMP, Inkscape, Firefox
(с плагинами Flash, Java и Mplayer), QCad и пр.
После копирования файлов установка собственно и за-
канчивается, система предлагает извлечь диск и перезаг-
рузиться. После чего наступает этап постинсталляционной
настройки, в ходе которой необходимо будет определить-
ся, куда устанавливать загрузчик, настроить X.Org, времен-
ной пояс, сеть, звук, задать пароль root и создать дополни-
тельных пользователей, а также выбрать вариант работы
(текстовый или графический, настольный или серверный).
При выборе графического режима работы сразу же загру-
жает X-Window. В серверном варианте, дополнительно стар-
туют Samba и sshd. Можно все настроить сейчас, но лучше –
потом, загрузившись и воспользовавшись утилитой VASM
52
(VectorLinux System Menu). Полная установка занимает око-
ло 2 Гб.
Оборудование определилось нормально, проблема
была только с мышью. Причем здесь по сравнению с вер-
сией 3.2 положение даже ухудшилось. Тогда внешняя USB-
мышь исправно работала, а touchpad пришлось настраи-
вать, вручную изменив параметр Protocol с IMPS/2 на PS/2.
Теперь же выяснилось, что не работают обе мыши. Также
не советую выбирать русскую раскладку клавиатуры для
X-Window, иначе после перезагрузки, которая последует
после окончания настроек, в систему вы не попадете, пото-
му что не сможете изменить раскладку. Все это лучше бу-
дет сделать потом, вручную подправив файл /etc/X11/
xorg.conf. Что ж, удобство программы установки VectorLinux
весьма спорно, если учесть ориентацию дистрибутива на
SOHO-пользователя. Но поскольку процессом инсталляции
обычно заправляют администраторы, то простота интер-
фейса является, наоборот, преимуществом, к тому же вре-
мени на установку уходит минимум. Начинающие пользо-
ватели редко устанавливают систему сами, доверяя эту
процедуру товарищам поопытнее.
Работа в VectorLinux
Основной вывод после первого моего знакомства с Vector
Linux заключался в том, что это удобный настольный дист-
рибутив. Буквально с первых шагов чувствовалась забота
о пользователе, в консоли выводились подсказки, на рабо-
чем столе лежали «нужные» ярлыки. Особенно понрави-
лось меню Midnight Commander, в котором были дополни-
тельные пункты, позволяющие конвертировать, установить,
распаковать, создавать пакеты для установки в дистрибу-
тиве. Причем работа с rpm, deb и tgz-пакетами была реали-
зована так, что пользователь вообще не задумывался о раз-
нице между ними. Плюс дистрибутив имел свой аналог apt-
get из Debian, который назывался vec-get. Вопрос о быст-
роте как-то не стоял, очевидно, быстродействие версии 3.2
было приблизительно на одном уровне с другими дистри-
бутивами. Хотя, учитывая продуманные загрузочные скрип-
ты и то, что без спроса не один сервис не запускался, гру-
зился он действительно быстро. К версии 5.0 применим
только один термин – ракета. По сравнению с ней осталь-
ные – это медленно ползущие черепахи. Рядом с ним по
быстродействию можно поставить разве что Gentoo stage3.
Я довольно редко работаю в KDE, которую считаю хоть и
удобной, но все же несколько медленной средой. В случае
с VectorLinux реакция системы была так быстра, что от этих
предрассудков не осталось и следа. И это при том, что сре-
ди остальных вариантов SOHO считается самым медлен-
ным, отчасти от того, чтобы сделать пребывание пользова-
теля более удобным и комфортным. Огорчает то, что в ран-
них версиях дистрибутива пакеты для локализации KDE
хотя и не устанавливались вместе с системой, но все же
имелись на диске. Теперь их, как было отмечено выше,
просто нет. Если же KDE (рис. 2) все равно покажется слиш-
ком медленным, то пользователю предлагается альтерна-
тива в виде IceWM. Причем его можно загрузить, так ска-
зать, в чистом виде, а можно и с включенным ROX-Filer
(http://rox.sourceforge.net), который расширяет возможнос-
ти IceWM, добавляя поддержку иконок рабочего стола.

Обычно у пользователей возникает проблема при мон-
тировании/размонтировании сменных носителей. В Vector
Linux работа с такими устройствами реализована на долж-
ном уровне, а при помощи контекстного меню, вызываемо-
го правой кнопкой мыши, можно всегда отмонтировать ус-
тройство даже в том случае, когда оно занято. В том числе
успешно получается проделать это и CD-ROM.
Ðèñóíîê 2
Дистрибутив, кроме стандартных утилит, для настрой-
ки, имеет и свой конек – VASM (рис. 3), который появился в
версии 2.0 и постоянно модернизировался с учетом пред-
ложений пользователей.
Ðèñóíîê 3
Начиная с версии 3.2, SOHO VASM получил графичес-
кий интерфейс (ранее можно было работать только из кон-
соли), некоторые пункты стали доступны в виде отдельных
команд. При вызове проверяется значение переменной
$DISPLAY и в зависимости от того, в каком режиме (кон-
соль или X-Window) его запускают, используется соответ-
ствующий интерфейс. Некоторые надстроечные функции,
предоставляемые скриптом, будут доступны только пользо-
вателю root, а часть параметров (настройка X-сервера, об-
наружение нового оборудования) работают только в консо-
ли. VASM позволяет автоматически отключить, определить
и настроить новое оборудование, берет на себя работу с
пользователями (добавление, удаление, изменение паро-
ля, быстрые команды /sbin/vuser, /sbin/vuseradd, /sbin/
vuserdel и /sbin/vpasswd), конфигурацию X-Window и на-
стройку менеджера входа в систему, уровень запуска сис-
темы, задает сервисы, запускаемые при загрузке, настра-
¹4, àïðåëü 2005
администрирование
ивает сеть, принтеры, межсетевой экран, устанавливает заг-
рузчик, производит резервное копирование файлов и пр.
Как видите, разработчики собрали в одной простой утили-
те все возможные настройки, с которыми обычно прихо-
дится иметь дело пользователю. Естественно, есть fdisk,
Центр Управления KDE, GuardDog (настройка межсетевого
экрана) и прочие утилиты, предназначенные для настрой-
ки отдельных параметров и сервисов, но в VASM сочетает-
ся одновременно интеграция возможностей и простота, по-
зволяющая без труда понять, как сделать ту или иную опе-
рацию, что в совокупности делают его хорошим орудием.
Хотя до возможностей SUSE YaST и Mandrake Control Center
он пока не дотягивает.
В последних версиях дистрибутива появилась еще одна
утилита, на которую возложена задача по установке/уда-
лению приложений, т.е. по работе с пакетами, называюща-
яся VLAPT.
Ðèñóíîê 4
Базируется VLAPT на slapt-get. В более ранних версиях
эту работу можно было сделать при помощи VASM, vec-get,
пунктов меню Midnight Commander (традиционные утилиты
от Slackware вроде installpkg, upgradepkg, естественно, тоже
доступны). Сейчас все лишнее убрано, и, очевидно, в даль-
нейшем пользователю, не желающему вникать в особен-
ности работы slapt-get и других консольных утилит из
pkgtools, будет предложен только VLAPT. О конкретных при-
ложениях особого смысла говорить нет. Достаточно отме-
тить, что поставляемые по умолчанию в дистрибутиве ути-
литы охватывают весь спектр потребностей среднестатис-
тического пользователя. Меню организовано традиционно,
а по клику на файле вызывается сопоставленное приложе-
ние. Так, веб-браузером по умолчанию является Firefox, как
альтернатива Konqueror. И все. Пользователю не нужно
будет выбирать между 5 разными браузерами. Аналогично
и с остальными приложениями. В VectorLinux нет десятка
текстовых редакторов, проигрывателей музыкальных и ви-
деофайлов, почтовых клиентов. Пользователю предостав-
лен необходимый, но удобный в работе минимум. В общем,
он будет чувствовать себя здесь достаточно комфортно.
Пора подвести итоги. Подойдет ли VectorLinux SOHO
начинающему пользователю? Сомнительно, хотя в уже на-
строенной системе ему будет трудно запутаться. Но он при-
дется по вкусу пользователю с небольшим уровнем подго-
товки или желающему освоить работу в Linux, использую-
щему Slackware, но считающему его несколько неудобным
или непонятным.
53
 администрирование
РЕИНКАРНАЦИЯ ДАННЫХ
Трудно представить себе предприятие или организацию, где
не использовались бы базы данных для хранения инфор-
мации. Это и списки инвентаризации основных средств, и
базы абонентов – пользователей услуг предприятия, и т. п.
На российских просторах все еще огромной популярнос-
тью пользуется формат DBF, в частности, именно в нем
хранит свои таблицы старый добрый FoxPro. Тем не менее
жизнь не стоит на месте, рано или поздно возникает воп-
рос о переносе всех накопленных данных на более функ-
циональные СУБД. В данной статье рассматривается не-
сколько способов осуществления такой миграции из FoxPro
в БД PostgreSQL. Способы различаются как сложностью
реализации (хотя это довольно субъективный критерий), так
и степенью автоматизации. Естественно, перечень возмож-
ных реализаций никоим образом не ограничивается при-
веденным здесь.
Итак, задача – перенести информацию, хранящуюся в
формате DBF (СУБД FoxPro 2.6), в базу данных PostgreSQL
(используемая версия сервера – 8.0.1, операционная сис-
тема – FreeBSD 5.3). Прежде чем приступать к решениям,
рассмотрим, что представляет собой DBF-файл.
Формат DBF
Формат DBF достаточно прост: 32 байта заголовка файла,
«оглавление» таблицы, данные. В таблице представлен фор-
мат заголовка с кратким описанием каждого поля:
Òàáëèöà 1. Ñòðóêòóðà çàãîëîâêà DBF-ôàéëà
Далее следует оглавление таблицы – каждые 32 байта
описывают одно поле данных (имя поля, тип данных, длину
поля и т. д.) (см. таблицу 2).
«Оглавление» завершается символом 0x0D, после ко-
торого следуют записи данных. Самый первый байт каж-
дой записи – признак удаления. Если запись удаляется ко-
54
СЕРГЕЙ СУПРУНОВ
мандой delete, она физически остается в файле, а в поле
признака удаления заносится символ 0x2A («*»). Такая за-
пись считается помеченной на удаление и по умолчанию в
операциях не участвует. Физическое удаление осуществ-
ляется только в результате так называемой упаковки (pack)
таблицы данных. Таким образом, нужно помнить, что дли-
на каждой записи будет определяться суммой длин полей
плюс один байт.
Òàáëèöà 2. Ñòðóêòóðà «îãëàâëåíèÿ» òàáëèöû
Импорт внешних файлов в PostgreSQL
СУБД PostgreSQL позволяет осуществлять загрузку дан-
ных из внешних файлов и экспорт во внешние файлы с по-
мощью команды COPY.
Ее синтаксис следующий:
serg=> \h copy
Команда: COPY
Описание: копировать данные между файлом и таблицей
Синтаксис:
COPY tablename [ ( column [, ...] ) ]
{FROM | TO} { 'filename' | STDIN }
[ [ WITH ]
[ BINARY ]
[ OIDS ]
[ DELIMITER [ AS ] 'delimiter' ]
[ NULL [ AS ] 'null string' ]
[ CSV [ QUOTE [ AS ] 'quote' ]
[ ESCAPE [ AS ] 'escape' ]
[ FORCE NOT NULL column [, ...] ]
Для загрузки данных из внешних файлов используется
команда COPY FROM. Таблица tablename, в которую будет
осуществляться загрузка, должна существовать и иметь
поля, тип которых соответствует формату полей загружае-
мого текстового файла. Обратите внимание, что исходная
таблица и таблица PostgreSQL не обязательно должны
иметь одинаковую структуру – в процессе подготовки дан-
ных, как будет показано ниже, и количество и типы экспор-
тируемых полей могут меняться. Например, в процессе эк-
спорта исходное поле типа Date может быть записано в

файл в виде «2005-04-04», что позволит в дальнейшем заг-
рузить его также в поле даты. А может принять вид «4 ап-
реля 2005 года», и его уже можно будет импортировать толь-
ко в текстовое поле.
Опции BINARY и OIDS в данном случае нас не интере-
суют – они могут быть полезны, когда и импорт, и экспорт
выполняется в PostgreSQL.
Текстовый формат загружаемого файла достаточно
прост – каждая запись должна размещаться в одной стро-
ке, поля разделяются с помощью одиночного символа
«delimiter». Если символ-разделитель встречается внутри
поля данных, он должен экранироваться символом «\». Оди-
ночный символ «\», встречающийся в данных, должен так-
же экранироваться, чтобы исключить его специальную трак-
товку.
Начиная с версии PostgreSQL 8.0 поддерживается так-
же загрузка из CSV-файла, который является, по сути, фай-
лом с разделителем (обычно – запятая), с той разницей,
что поля данных для исключения неоднозначности при об-
работке символов могут заключаться в кавычки.
Еще один параметр, NULL AS, задает символьную стро-
ку, которая будет рассматриваться как значение NULL. По
умолчанию используется последовательность «\N».
Нужно заметить, что при работе в терминале psql дос-
тупны две команды: COPY и \COPY. Первая – это SQL-ко-
манда, выполняемая сервером, вторая – команда интерак-
тивного клиента. Разница между ними в правах, с которы-
ми они выполняются. В первом случае возможности досту-
па определяются правами процесса postmaster, во втором
– правами пользователя, запустившего psql.
Обратите внимание, что если в процессе загрузки воз-
никает ошибка (например, в какой-то строке не хватает поля
или имеется лишнее, формат данных не соответствует типу
поля, в которое осуществляется запись и т. д.), то ни одна
из записей в итоговую таблицу не попадает, то есть им-
порт выполняется как единый транзакционный блок.
Несколько слов о кодировках
Как всегда, если речь идет о переносе данных между раз-
личными системами, встает вопрос о преобразовании ис-
пользуемых кодировок. FoxPro обычно хранит данные в
cp866 (FoxPro for DOS) или в cp1251 (FoxPro for Windows).
В то же время кодировка баз PostgreSQL может быть иной
(у меня, например, это koi8-r). Решить эту проблему можно
одним из трех способов:
! Создать базу данных PostgreSQL с кодировкой, соответ-
ствующей кодировке DBF-файлов. Это выполняется с по-
мощью ключа ENCODING команды CREATE DATABASE.
Однако при этом могут возникнуть дополнительные
трудности при обработке данных, если кодировка БД не
соответствует установленной локализации операцион-
ной системы.
! Если сервер будет использоваться преимущественно как
сервер баз данных, а БД будет хранить в основном дан-
ные, импортированные из FoxPro, то имеет смысл сра-
зу «подогнать» кодировку операционной системы и базы
данных под кодировку файла DBF.
! Наиболее универсальный способ – перекодировка дан-
ных на стадии импорта.
¹4, àïðåëü 2005
администрирование
Первые два способа особых сложностей вызвать не дол-
жны, поэтому в дальнейшем сосредоточимся на третьем, и
будем осуществлять преобразование данных из cp866 в
koi8-r в процессе переноса данных.
Замечание о memo-полях
FoxPro использует поля типа MEMO для хранения больших
текстовых данных неопределенного размера во внешнем
файле (обычно используется расширение fpt). Работа с эти-
ми полями имеет ряд особенностей, но о них поговорим в
следующей части статьи, поэтому сейчас будем полагать,
что экспортируемые таблицы полей такого типа не содер-
жат.
Путь 1: подготовка данных
с помощью FoxPro
СУБД FoxPro предоставляет пользователю достаточно мощ-
ный язык программирования, чем мы и воспользуемся. В
данном разделе мы напишем несложную программу, кото-
рая будет формировать текстовый файл с разделителями,
пригодный для импорта в PostgreSQL с помощью команды
COPY. В качестве разделителя будем использовать сим-
вол табуляции.
Ëèñòèíã 1. Ïðîãðàììà dbf2pg.prg íà FoxPro
*  FoxPro êîììåíòàðèè íà÷èíàþòñÿ ñèìâîëîì «*»
* Óñòàíàâëèâàåì ôîðìàò äàòû
SET DATE TO YMD
SET CENTURY ON
* Îòêðûâàåì òàáëèöó äëÿ ýêñïîðòà
USE s_cats ALIAS tab
* Îïðåäåëÿåì ðàçäåëèòåëü êàê ñèìâîë òàáóëÿöèè
m.delimiter = CHR(9)
* Îïðåäåëÿåì ñòðîêè äëÿ ïåðåêîäèðîâêè â koi8
!Ö¤ ·°¹ð¸'
m.koiabcb = 'ñò¢÷ôõ¡·ùúûüýþÿ¨ªº¯¿öøó!
m.koiabcs = ' '
m.koiabc = m.koiabcb + m.koiabcs
m.dosabcb = 'ÀÁÂÃÄÅÆÇÈÉÊËÌÍÎÏÐÑÒÓÔÕÖ×ØÙÚÛÜÝÞß'
m.dosabcs = 'àáâãäåæçèéêëìíîïðñòóôõö÷øùúûüýþÿ'
m.dosabc = m.dosabcb + m.dosabcs
* Óêàçûâàåì êîäèðîâêó
m.dstcp = 'koi8'
* Ñîçäàåì ðåçóëüòèðóþùèé ôàéë è îòêðûâàåì åãî
* íà çàïèñü (äåñêðèïòîð – â ïåðåìåííîé m.txf)
m.txf = FCREATE('table.txt')
* Äåëàåì òàáëèöó àêòèâíîé
SELECT tab
* Öèêë ïî âñåì çàïèñÿì òàáëèöû
SCAN
* Ôîðìèðóåì ñòðîêó, óäàëÿÿ ëèøíèå ïðîáåëû
m.temp = ALLTRIM(uniqueid) + m.delimiter + ;
ALLTRIM(user) + m.delimiter + ;
ALLTRIM(city) + m.delimiter + ;
ALLTRIM(address) + m.delimiter + ;
ALLTRIM(tariff) + m.delimiter + ;
ALLTRIM(category) + m.delimiter + ;
IIF(EMPTY(date), '\N', ;
STRTRAN(DTOC(date), '/', '-'))
* Åñëè âñòðå÷àåòñÿ òàáóëÿöèÿ – ìåíÿåì íà 4 ïðîáåëà
m.temp = STRTRAN(m.temp, CHR(9), SPACE(4))
IF m.dstcp == 'koi8'
* Åñëè â koi8, òî èñïîëüçóåì ñâîþ ôóíêöèþ
m.temp = dos2koi(m.temp)
ELSE
* èíà÷å – ïîëüçóåìñÿ øòàòíîé ôóíêöèåé ïåðåêîäèðîâêè
m.temp = CPCONVERT(866, m.dstcp, m.temp)
ENDIF
* Ýêðàíèðóåì ñèìâîëû '\'
55
 администрирование
m.temp = STRTRAN(m.temp, '\', '\\') Путь 2: формирование файла
* Çàïèñü ïîëó÷åííîé ñòðîêè â ôàéë с разделителями с помощью
=FPUTS(m.txf, m.temp)
ENDSCAN сценария на Python
=FCLOSE(m.txf) Если у вас нет под рукой FoxPro или вы с ним не очень друж-
USE IN tab ны, то преобразование можно выполнить с помощью любо-
*=============================================== го другого языка программирования, правда, в этом слу-
* Ôóíêöèÿ ïåðåêîäèðîâêè èç cp866 â koi8-r чае DBF-файл придется разбирать вручную, отыскивая поля
PROCEDURE dos2koi данных в соответствии с информацией заголовка и «оглав-
PARAMETER m.string
ления». В данном разделе мы воспользуемся языком Python,
m.res = '' а в следующем аналогичные действия реализуем на Perl.
FOR m.i = 1 TO LEN(m.string)
m.pos = AT(SUBSTR(m.string, m.i, 1), m.dosabc) Из информации заголовка (первые 32 байта) интерес
IF m.pos > 0 для нас представляют только количество записей в табли-
m.res = m.res + SUBSTR(m.koiabc, m.pos, 1)
ELSE це и смещение первой записи, чтобы не вычислять эти зна-
m.res = m.res + SUBSTR(m.string, m.i, 1) чения лишний раз.
ENDIF
ENDFOR Сценарий будет выглядеть следующим образом:
RETURN m.res
Все здесь достаточно просто – сканируем таблицу, для Ëèñòèíã 2. Ñöåíàðèé dbf2pg.py – ðó÷íîé ðàçáîð ôàéëà DBF
каждой записи формируем строку, содержащую данные, #!/usr/local/bin/python
разделенные указанным в начале программы символом. # Êëàññ äëÿ õðàíåíèÿ èíôîðìàöèè î ïîëÿõ òàáëèöû
class field:
Если в данных встречается символ табуляции – заменяем def __init__(self):
его четырьмя пробелами (не самое красивое решение, но self.name = ''
self.type = 'C'
вполне пригодное). Повозиться приходится с перекодиров- self.len = 0
кой. Если PostgreSQL работает в cp1251, то для преобразо- self.dec = 0
self.pos = 0
вания кириллицы можно воспользоваться штатной функци-
ей FoxPro CPCONVERT. Перекодировать в koi8-r она, к со- # Ôóíêöèÿ ôîðìèðîâàíèÿ ôàéëà ñ ðàçäåëèòåëÿìè
def dbf2pg(fname):
жалению, не умеет, поэтому здесь придется использовать # Îòêðûâàåì dbf-Ôàéë â áèíàðíîì ðåæèìå
самописную функцию dos2koi. Смысл ее в том, чтобы по- dbf = open(fname, 'rb')
символьно заменить все, что входит в строку m.dosabc сим- # Ñ÷èòûâàåì çàãîëîâîê
волами из m.koiabc, расположенными на тех же местах. Во- head = dbf.read(32)
обще, чтобы не возиться с перекодировкой силами FoxPro # Âûáèðàåì èç çàãîëîâêà ÷èñëî çàïèñåé
(к слову, приведенная выше функция будет работать очень dblen = ord(head[7]) * 16777216 + ↵
ord(head[6]) * 65536 + ord(head[5]) * 256 + ↵
медленно), можно сформировать файл в исходной кодиров- ord(head[4])
ке, а затем пропустить его через внешний перекодировщик
# è ïîçèöèþ ïåðâîé çàïèñè
(когда-то мне попадался замечательный плагин к FAR). posfirst = ord(head[9]) * 256 + ord(head[8])
После того как текстовый файл сформирован, готовим
wexit = 0
таблицу в базе PostgreSQL и выполняем команду COPY: num = 0
totlen = 1
serg=> create table s_cats(uid char(10), catname char(35)); fields = []
CREATE TABLE while not wexit:
serg=> \copy s_cats from '/usr/home/serg/test/psql/TABLE.TXT' # ×èòàåì èíôîðìàöèþ î ïîëÿõ òàáëèöû
\. line = dbf.read(1)
serg=> select * from s_cats; if ord(line) == 0x0D:
# Åñëè ïåðâûé ñèìâîë – 0x0D, òî âûõîä –
uid | catname
# «îãëàâëåíèå» çàêîí÷åíî
------------+------------------------------------- wexit = 1
P0RH0S0SXJ | Без льгот else:
P0RH0S0SXN | Без начисления абонплаты # Èíà÷å äî÷èòûâàåì äî 32-õ ñèìâîëîâ
P0RH0S0SXR | ВОВ инвалиды line = line + dbf.read(31)
.. .. ..
# Íîâûé îáúåêò êëàññà field
К достоинствам рассмотренного способа можно отнес- fld = field()
ти то, что на этапе подготовки файла мы можем выполнить
# Èìÿ ïîëÿ – ñíà÷àëà äî ïåðâîãî ñèìâîëà 0x00
любую предварительную обработку данных – разбить одно fld.name = line[:line.find('\0')]
поле (например, «Абонент») на несколько («Фамилия»,
# Òèï ïîëÿ – 11-é áàéò
«Имя», «Отчество»), объединить несколько полей в одно, fld.type = line[11]
выбрать для экспорта только некоторые поля.
# Ñìåùåíèå ïîëÿ äàííûõ îò íà÷àëà çàïèñè
Недостатки – достаточно большой объем ручной рабо- fld.pos = ord(line[15]) * 16777216 + ↵
ты, поскольку программу dbf2pg.prg каждый раз нужно пра- ord(line[14]) * 65536 + ↵
ord(line[13]) * 256 + ↵
вить под конкретные поля экспортируемой таблицы. Кроме ord(line[12])
того, обработку всего, что не касается данных в таблицах,
# Äëèíà ïîëÿ
FoxPro выполняет сравнительно медленно. fld.len = ord(line[16])
Например, преобразование таблицы абонентов, содер- # Äëèíà äðîáíîé ÷àñòè
fld.dec = ord(line[17])
жащей 6 символьных полей и около 5000 записей, выпол-
няется порядка 40 секунд. # Çàíîñèì èíôîðìàöèþ â ìàññèâ

56

fields.append(fld)
num = num + 1
totlen = totlen + fld.len
if withcommand:
# Åñëè ïåðåìåííàÿ èñòèííà, òî ôîðìèðóåì êîìàíäó
# íà ñîçäàíèå òàáëèöû
cmd = 'CREATE TABLE %s (' % tablename
for i in range(num):
fld = fields[i]
cmd = cmd + fld.name + ' '
if fld.type == 'C':
cmd = cmd + ↵
'char(' + str(fld.len) + '), '
elif fld.type == 'D':
cmd = cmd + 'date, '
elif fld.type == 'N' :
cmd = cmd + ↵
'numeric(' + str(fld.len) + ↵
',' + str(fld.dec) + '), '
# Ïîñëåäíþþ çàïÿòóþ è ïðîáåë ìåíÿåì
# íà çàêðûâàþùóþ ñêîáêó è òî÷êó ñ çàïÿòîé
cmd = cmd[:-2] + ');'
print cmd
# Ôîðìèðóåì êîìàíäó ÷òåíèÿ äàííûõ èç ïîòîêà ââîäà
cmd = 'COPY users FROM stdin;'
print cmd
# Ôîðìèðóåì ñàì ïîòîê ââîäà
dbf.seek(posfirst)
for rec in range(dblen):
if dbf.read(1) != '*':
# Åñëè çàïèñü íå ïîìå÷åíà íà óäàëåíèå, òî îáðàáîòêà:
line = ''
for i in range(num):
# Öèêë ïî âñåì ïîëÿì
fld = dbf.read(fields[i].len)
# Åñëè äàòà – ïðåîáðàçóåì
# â ôîðìàò YYYY-MM-DD
# èç ôîðìàòà YYYYMMDD
if fields[i].type == 'D':
fld = fld[:4] + '-' + ↵
fld[4:6] + '-' + ↵
fld[6:]
# Åñëè äàòà ïóñòàÿ, ìåíÿåì
# åå íà çíà÷åíèå NULL
if fld == ' - - ':
fld = '\N'
# Äëÿ ïóñòûõ ÷èñëîâûõ ïîëåé
# ñòàâèì çíà÷åíèå 0
if fields[i].type == 'N' ↵
and fld[-1] == ' ':
fld = '0'
# Ýêðàíèðóåì ñèìâîë ‘\’,
# åñëè òàêîâîé âñòðå÷àåòñÿ
# â êîíöå ïîëÿ,
# ò.ê. îí ýêðàíèðóåò ðàçäåëèòåëü
if fld[-1] == '\\':
fld = fld + '\\'
# Äëÿ ñòðîêîâûõ ïîëåé âûïîëíÿåì
# ïåðåêîäèðîâêó
if fields[i].type == 'C':
fld = unicode(fld, ↵
'cp866').encode('koi8-r')
# Äîïèñûâàåì ê ñòðîêå çàïèñè
# ÷åðåç ðàçäåëèòåëü
line = line + fld + delimiter
# Âûâîäèì ïîëó÷åííóþ ñòðîêó, îòðåçàâ
# ïîñëåäíèé ðàçäåëèòåëü
print line[:-1]
else:
# Åñëè çàïèñü ïîìå÷åíà íà óäàëåíèå,
# òî ïðîñòî äî÷èòûâàåì åå îñòàòîê,
# íè÷åãî íå îáðàáàòûâàÿ
dbf.read(totlen - 1)
dbf.close
администрирование
# Åñëè ôîðìèðóþòñÿ êîìàíäû äëÿ \i, òî çàêàí÷èâàåì
# äàííûå ñòðîêîé ‘\.’
if withcommand:
print '\\.'
# Óñòàíàâëèâàåì íàñòðîå÷íûå ïåðåìåííûå
delimiter = "\t"
withcommand = 1
tablename = 'users'
# âûçûâàåì ôóíêöèþ ïðåîáðàçîâàíèÿ
dbf2pg('users.dbf')
Вывод в данном случае направляется в стандартный
поток stdout, поэтому для формирования файла следует
использовать перенаправление:
$ ./dbd2pg.py > USERS.TXT
При переменной withcommand, установленной в 0, мы по-
лучаем такой же файл с разделителями, как и ранее с помо-
щью FoxPro. Соответственно импортироваться в PostgreSQL
информация будет аналогично.
Однако обратите внимание, что теперь мы имеем всю
информацию о полях данных, включая тип поля и его на-
звание. Так почему бы не воспользоваться этим для авто-
матического формирования таблицы PostgreSQL нужной
структуры? Именно эта идея и реализуется, если перемен-
ной withcommand присвоить значение 1. При этом загрузка
данных будет осуществляться по тому же принципу, какой
используется при восстановлении из текстовой резервной
копии: при выполнении команды «\i файл» в терминале psql
содержимое указанного файла будет рассматриваться как
ввод с клавиатуры в интерактивном режиме.
Таким образом, мы формируем команду CREATE TABLE
в соответствии с информацией о названиях и типах полей
таблицы, а затем команду COPY .. FROM stdin, которая бу-
дет считывать последующие данные, пока не обнаружит стро-
ку «\.». Здесь следует обратить внимание на то, что имена
полей должны быть допустимы в PostgreSQL. Так, например,
имя USER, вполне нормальное для FoxPro, PostgreSQL рас-
сматривает как служебное слово, не позволяя создавать
таблицу с таким столбцом. Впрочем, это ограничение мож-
но обойти, если имена полей заключить в кавычки – в та-
ком случае любое имя будет восприниматься «как есть»,
правда, и в дальнейшей работе нужно будет использовать
кавычки и строго соблюдать регистр символов.
Еще одно замечание – теперь, поскольку таблицу мы
создаем автоматически, на момент импорта она не должна
существовать.
Рассмотренный способ хотя и требует несколько боль-
ших усилий на разработку сценария, но заметно упрощает
перенос данных, автоматизируя создание нужных таблиц.
При этом работа идет заметно быстрее – на обработку той
же таблицы абонентов тратится менее секунды.
Путь 3: непосредственная запись
в базу данных
Рассмотренные выше способы так или иначе привязаны к
команде COPY. А что, если мы не можем записать тексто-
вый файл на диск в том месте, где он будет доступен про-
цессу postmaster? Или нет доступа к клиенту psql? В этом
случае можно непосредственно формировать команды

¹4, àïðåëü 2005 57

 администрирование
INSERT серверу БД вместо создания промежуточных фай- }
лов. Конечно, это будет работать заметно медленнее, но в $sqlcommand = substr($sqlcommand, 0, length($sqlcommand) - 2);
$sqlcommand .= ');';
некоторых ситуациях такой путь может оказаться един-
ственно возможным. Рассмотрим этот способ на примере. # Îòïðàâëÿåì åå íà ñåðâåð
$sth = $dbh->prepare($sqlcommand);
Для разнообразия воспользуемся языком Perl. Алгоритм $sth->execute;
разбора DBF-файла остался прежним, даже синтаксис по- # Ïåðåõîä íà íà÷àëî äàííûõ
хож. Только на этот раз нужно будет для каждой записи фор- seek(DBF, $posfirst, 0);
мировать команду INSERT и отсылать ее на сервер СУБД: for($rec = 0; $rec < $dblen; $rec++) {
read(DBF, $first, 1);
if($first ne '*') {
Ëèñòèíã 3. Ñöåíàðèé dbf2pg.pl $sqlcommand = "INSERT INTO $tabname VALUES (";
for($i = 0; $i < $num; $i++) {
#!/usr/bin/perl -w read(DBF, $fld, $fields[$i]{len});

# Ïîäêëþ÷àåì ìîäóëè äëÿ ïåðåêîäèðîâêè è ðàáîòû ñ ÑÓÁÄ if($fields[$i]{type} eq 'C') {

use Lingua::RU::Charset qw(alt2koi); ($fld) = &alt2koi($fld);
use DBI; $fld = "'" . $fld . "'";
} else {
# Óñòàíàâëèâàåì ñîåäèíåíèå ñ ÁÄ $fld =~ s/\s//g;
$dbh = DBI->connect('dbi:Pg:dbname=serg', 'serg', ''); }

# Èñõîäíûé ôàéë è èìÿ èòîãîâîé òàáëèöû if($fields[$i]{type} eq 'D') {

$fname = 'S_CATS.DBF'; if($fld ne '') {
$tabname = 's_cats_pl'; $fld = '"' .
substr($fld, 0, 4) . '-' .
# Îòêðûâàåì ôàéë DBF â áèíàðíîì ðåæèìå substr($fld, 4, ↵
open(DBF, "$fname"); 2) . '-' .
binmode(DBF); substr($fld, 6, ↵
read(DBF, $head, 32); 2) . '"';
$dblen = ord(substr($head, 7, 1)) * 16777216 + ↵ } else {
ord(substr($head, 6, 1)) * 65536 + ↵ $fld = 'NULL';
ord(substr($head, 5, 1)) * 256 + ↵ }
ord(substr($head, 4, 1)); }

$posfirst = ord(substr($head, 9, 1)) * 256 + ↵ if(($fields[$i]{type} eq 'N') && ↵

ord(substr($head, 8, 1)); ($fld eq '')) {
$fld = '0';
$wexit = 0; $num = 0; $totlen = 1; }
while(! $wexit) {
read(DBF, $first, 1); $sqlcommand .= $fld . ', ';
if(ord($first) == 13) { }
$wexit = 1; $sqlcommand = substr($sqlcommand, 0,
} else { length($sqlcommand) - 2);
# Äàëåå ÷èòàåì ôàéë ñðàçó â ïåðåìåííûå $sqlcommand .= ');';
read(DBF, $name, 10);
$name = $first . $name; # Îòïðàâëÿåì êîìàíäó INSERT
$sth = $dbh->prepare($sqlcommand);
# Âûðåçàåì èç èìåíè ñèìâîëû 0x00 $sth->execute;
# (çäåñü ^@ - íå äâà ñèìâîëà, ïðîñòî 0x00 } else {
# òàê âûãëÿäèò â vi) read(DBF, $tmp, 31);
$name =~ s/^@//g; }
}
read(DBF, $type, 1); close(DBF);
read(DBF, $tmp, 4); $dbh->disconnect;

read(DBF, $tmp, 1); Рассмотренный способ универсален как в плане досту-

$len = ord($tmp);
па к базе данных (достаточно иметь возможность отправ-
read(DBF, $tmp, 1); лять на сервер SQL-команды), так и в плане использова-
$dec = ord($tmp);
ния конкретной СУБД. При минимальных синтаксических
read(DBF, $tmp, 14); изменениях данный сценарий можно использовать для ра-
$fields[$num]{name} = $name; боты практически с любой системой управления базами
$fields[$num]{type} = $type; данных – MySQL, Oralce и т. д. К тому же в данном случае
$fields[$num]{len} = $len;
$fields[$num]{dec} = $dec; каждая запись переносится отдельно от других, и если при
этом возникнет ошибка, на импорт других записей это ни-
$num++; $totlen += $len;
} как не повлияет. Правда, если предъявляются высокие тре-
} бования к целостности данных, то подход «все или ничего»
# Ôîðìèðóåì êîìàíäó ñîçäàíèÿ òàáëèöû более предпочтителен. За указанные удобства приходится
$sqlcommand = "CREATE TABLE $tabname ("; расплачиваться быстродействием – та же тестовая табли-
for($i = 0; $i < $num; $i++) {
$sqlcommand .= $fields[$i]{name} . ' '; ца из 5000 записей переносится почти одну минуту.
if($fields[$i]{type} eq 'C') {
$tmp = 'char(' . $fields[$i]{len};
} elsif($fields[$i]{type} eq 'D') { Завершение
$tmp = 'date'; Итак, мы рассмотрели несколько способов переноса данных
} elsif($fields[$i]{type} eq 'N') {
$tmp = 'numeric(' . $fields[$i]{len} . из формата DBF в таблицу PostgreSQL. Каждый из них име-
',' . $fields[$i]{dec}; ет свои особенности, и я надеюсь, вам удастся найти тот,
}
$sqlcommand .= $tmp . '), '; который лучше всего подойдет именно к вашим условиям.

58
 безопасность

ЗАЩИТА КОММУНИКАЦИЙ
WINDOWS MOBILE

НАТАЛЬЯ МЕЛЬНИКОВА
В последний год рынок мобильных устройств переживает на- зует цифровые сертификаты, в связи с чем первым этапом
стоящий бум. Стремительно совершенствуясь, мобильные в настройке защищенных коммуникаций является настрой-
телефоны по уровню «интеллектуальной» начинки догоня- ка клиентских компонентов PKI на КПК.
ют карманные компьютеры (КПК), а те, в свою очередь, раз-
вивают свои коммуникационные возможности. И порой уже Управление сертификатами
трудно понять, чем является то или иное устройство – смарт- В мобильной версии Windows существует только одно хра-
фоном (т.е. интеллектуальным сотовым телефоном) или ком- нилище сертификатов, управлять которым можно с помо-
муникатором (КПК с расширенными сетевыми возможнос- щью приложения Certificates («Start → Settings → System →
тями). Certificates»). В приложении имеется две закладки: Personal
Большинство современных КПК оснащено модулями и Root.
беспроводной связи 802.11, и имеют возможность исполь-
зовать GPRS-функции сотового телефона для подключе-
ния к Интернету (причем делать это тоже «по воздуху» –
через инфракрасный порт или Bluetooth). Этот потенциал
сначала поражает, но быстро становится привычным, и че-
рез некоторое время отсутствие возможности синхронизи-
ровать свой КПК с корпоративным сервером Exchange вос-
принимается как нечто совершенно «дикое».
Но как обычно бывает в жизни, удобства в одной обла-
сти приносят проблемы в других сферах. Так, серьезным
препятствием на пути внедрения мобильных клиентов в кор-
поративных сетях является низкий уровень стандартных
средств защиты беспроводных коммуникаций, таких как
A5/A8, WEP и т. д. Ðèñóíîê 1. Óïðàâëåíèå ñåðòèôèêàòàìè
Мобильные клиенты на основе Windows Mobile 2003 пре- Первая из них относится к персональным сертификатам
доставляют администратору богатый арсенал средств за- устройства или пользователя (в Windows Mobile нет такого
щиты сетевых соединений. В него входят прекрасно заре- жесткого разделения, как в настольной версии).
комендовавшие себя протоколы, такие как WPA и 802.1X, Во второй перечислены доверенные центры сертифи-
L2TP/IPSec, SSL/TLS. Большинство этих технологий исполь- кации (CA).

60

За редким исключением сертификат корпоративного цен-
тра сертификации не является доверенным по умолчанию.
Для того чтобы устройство могло проверять сертификаты,
выданные корпоративным центром сертификации, необхо-
димо поместить сертификат CA в список доверенных (кор-
невых) центров. Для этого достаточно скопировать серти-
фикат CA на КПК с помощью ActiveSync и щелкнуть на нем.
Ðèñóíîê 2. Óñòàíîâêà ñåðòèôèêàòà CA
После подтверждения намерений сертификат будет до-
бавлен в список доверенных сертификатов (рис. 1). Полу-
чить сертификат CA можно и через Web, для чего необхо-
димо зайти на основную страницу веб-интерфейса серве-
ра сертификатов и щелкнуть по ссылке «Download a CA
certificate, certificate chain, or CRL». После этого необходи-
мо загрузить сертификат в кодировке DER и установить его
(рис. 3) как в предыдущем случае.
Ðèñóíîê 3. Óñòàíîâêà ñåðòèôèêàòà CA ÷åðåç âåá-èíòåðôåéñ
Следующим этапом является получение персональных
сертификатов. В стандартную поставку Windows Mobile вхо-
дит утилита Enroll, которая генерирует ключевую пару, со-
здает запрос на получение сертификата и отправляет его
серверу сертификатов. Для взаимодействия с сервером
сертификатов используются HTTP-запросы к веб-интерфей-
су стандартного CA Windows 2000/2003.
Утилита Enroll имеет возможность запрашивать только
сертификаты, основанные на шаблоне «Authenticated
Session». Они могут быть использованы для аутентифика-
ции устройства в протоколах EAP, IPSec и SSL.
Чтобы настроить сервер сертификатов на выдачу сер-
тификатов данного типа, необходимо открыть оснастку уп-
равления CA, щелкнуть правой кнопкой мыши на пункте
«Certificate Templates» и выбрать пункт «Manage». В появив-
шемся окне открыть свойства шаблона «Authenticated
¹4, àïðåëü 2005
безопасность
Session», перейти на закладку «Security» и присвоить пра-
во Enroll группе мобильных пользователей. Затем нужно сно-
ва щелкнуть на пункте «Certificate Templates» в оснастке уп-
равления CA и выбрать пункт контекстного меню «New →
Certificate Template To Issue», после чего дважды щелкнуть
на пункте «Authenticated Session».
Ðèñóíîê 4. Äîáàâëåíèå øàáëîíà ñåðòèôèêàòîâ
Затем на мобильном устройстве запускается утилита
Enroll («Start → Settings → System → Enroll»). В утилите
необходимо указать имя пользователя, пароль и адрес сер-
вера сертификатов.
Ðèñóíîê 5. Çàïðîñ ñåðòèôèêàòà
Утилита Enroll обладает рядом недостатков. Во-первых,
она позволяет запрашивать только сертификаты, основан-
ные на шаблоне «Authenticated Session». Во-вторых, Enroll
не поддерживает возможности запроса сертификата у сер-
вера, требующего использования SSL. Кроме того, утили-
та имеет возможность работать только с сервером серти-
фикатов Microsoft.
Если возникает необходимость получать сертификаты,
основанные на других шаблонах, можно модифицировать со-
держимое файла C:\WINDOWS\system32\certsrv\certfnsh.asp.
В строке 47 необходимо заменить sAttributes=Request.Form
(«CertAttrib») на название требуемого шаблона, например
sAttributes=«CertificateTemplate:User».
В случае если на предприятии используется сервер сер-
тификатов, отличный от Microsoft Certification Authority, мож-
но воспользоваться одной из утилит, например PPCCert
(http://webs.ono.com/usr030/kiko_vives/ppccert), позволяющих
импортировать файлы в формате PKCS#12 (pfx) в храни-
лище Windows Mobile.
61
 безопасность
Беспроводные соединения
Основой современных стандартов защиты беспроводных
сетей, таких как Wi-Fi Protected Access (WPA) и 802.11i яв-
ляется технология 802.1X. Она была разработана для пре-
дотвращения возможности несанкционированного доступа
к ресурсам сети даже при наличии физического соедине-
ния. Перед тем как получить доступ к сети на канальном
уровне каждое подключаемое устройство должно пройти
аутентификацию с использованием протокола Extensible
Authentication Protocol (EAP) или его модификаций.
В инфраструктуре 802.1X разделяют три основных ком-
понента: клиентский компьютер (Supplicant), коммутатор
или точка доступа (Authenticator), сервер аутентификации
(Authentication Server).
Функции сервера аутентификации выполняет корпора-
тивный сервер RADIUS. Он проверяет подлинность предо-
ставленных клиентом для аутентификации данных и конт-
ролирует доступ к ресурсам сети. Точка доступа или ком-
мутатор являются своеобразным посредником (proxy), пре-
образующим клиентские запросы EAPoL (EAP over LAN) в
данные протокола RADIUS и обратно.
Windows Mobile 2003 поддерживает стандарт WPA с
аутентификацией 802.1X. При использовании 802.1X, для
аутентификации клиента может быть задействован цифро-
вой сертификат (EAP-TLS) либо пароль пользователя (PEAP-
MSCHAPv2). Во втором случае протокол MSCHAPv2 будет
Ðèñóíîê 6. Íàñòðîéêà ïîëèòèê óäàëåííîãî äîñòóïà RADIUS
62
работать внутри виртуального канала, зашифрованного с
помощью TLS (PEAP расшифровывается как Protected EAP).
Чтобы обеспечить нормальную работу протоколов EAP и
PEAP, необходимо установить сертификат, основанный на
шаблоне «RAS and IAS Server», на сервер RADIUS и указать
этот сертификат в политиках удаленного доступа (рис. 6).
Настройки со стороны устройства довольно просты. Пос-
ле активации беспроводного интерфейса необходимо пе-
рейти в пункт настроек беспроводного подключения
(«Settings → Connections → Connections → Advanced →
Network Card») и нажать на ссылке «Add new». В появив-
шемся окне указывается SSID сети, после чего на заклад-
ке «Network key» выбирается тип аутентификации WPA и
шифрование TKIP. На странице 802.1X указывается исполь-
зуемый тип аутентификации (рис. 7).
В случае если был выбран метод «Smart Card or Certi-
ficate», на устройстве должен присутствовать действующий
клиентский сертификат. При использовании метода PEAP-
MSCHAPv2 необходимо указать имя и пароль пользовате-
ля.
Для отладки соединения очень удобно пользоваться
журналом System сервера RADIUS. В случае сбоя подклю-
чения в нем сохраняются события с EventID 2, содержащие
подробную информацию о причине возникновения ошиб-
ки. Например, сообщение, приведенное ниже, характерно
для тех ситуаций, когда в политиках удаленного доступа
 безопасность
сервера RADIUS указан протокол аутентификации, отлич- необходимо нажать на кнопку Network Card и указать, что
ный от протокола, используемого устройством. данные сетевые карты подключены к Интернету (рис. 9).
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 02.04.2005
Time: 14:13:40
User: N/A
Computer: DC
Description:
User dom01\User was denied access.
Fully-Qualified-User-Name = dom01.infosec.ru/Users/User
NAS-IP-Address = 192.168.0.50
NAS-Identifier = DWL-2000AP
Called-Station-Identifier = 00-0d-88-84-a2-b1
Calling-Station-Identifier = 00-30-05-73-60-06
Client-Friendly-Name = Access Point
Client-IP-Address = 192.168.0.50
NAS-Port-Type = Wireless - IEEE 802.11
Ðèñóíîê 8. Íàñòðîéêà ïðîôèëÿ VPN
NAS-Port = 0
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = Wireless
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 22
Reason = The client could not be authenticated because the Extensible
Authentication Protocol (EAP) Type cannot be processed by the server.

For more information, see Help and Support Center at

http://go.microsoft.com/fwlink/events.asp.

Ðèñóíîê 9. Íàñòðîéêà ñåòåâûõ àäàïòåðîâ

После того как беспроводной адаптер подключится к
точке доступа, можно будет инициировать VPN-соединение.

Ðèñóíîê 7. Íàñòðîéêà WPA íà êëèåíòå

Построение VPN
Мобильный клиент на основе Windows может использовать
технологии VPN для подключения к ресурсам сети. Поддер-
живаются протоколы PPTP и L2TP/IPSec. В случае исполь-
зования IPSec для аутентификации устройства могут при-
меняться цифровые сертификаты или общий ключ. Ðèñóíîê 10. Ñîåäèíåíèå VPN
Если при соединении с сервером VPN используется не Для мониторинга соединений удобно пользоваться ос-
модем, а беспроводной адаптер, необходимо настроить про- насткой «MMC IP Security Monitor» или утилитой командной
фили подключения. Для этого в настройках соединения строки netsh.
(«Settings → Connections → Connections → Advanced →
Select Network») нужно открыть настройки «внутренней»
сети, нажав на нижнюю кнопку «Edit», после чего на заклад-
ке «VPN» нажать кнопку «New» и указать параметры под-
ключения к VPN (рис. 8).
Затем указывается, что беспроводной адаптер подклю-
чает устройство к Интернету, а не к внутренней сети. Это
делается для того, чтобы Windows могла задействовать VPN
при активном соединении. Для этого в настройках соеди-
нений («Settings → Connections → Connections → Advanced») Ðèñóíîê 11. Ïðîñìîòð ñîåäèíåíèé IPSec â óòèëèòå nesh

¹4, àïðåëü 2005 63

 безопасность
Подробнее об устранении неисправностей в работе IPSec
можно узнать из статьи «Неизвестный IPSec», Windows &
.NET Magazine №6, 2003 г.

Доступ к серверу Exchange

Для доступа к серверу Exchange из Windows Mobile 2003 при-
меняется синхронизация ActiveSync или online-доступ че-
рез Outlook Mobile Access (OMA). Обе эти технологии ис-
пользуют в качестве транспорта HTTP и должны быть за-
щищены с помощью SSL.
Для включения поддержки этих функций на сервере
Exchange необходимо в оснастке Exchange System Manager
открыть свойства пункта Mobile Services и разрешить синх-
ронизацию со стороны пользователя (Enable user initiated Ðèñóíîê 13. Íàñòðîéêè ActiveSync
synchronization) и поддержку OMA. Дополнительно можно
включить обработку запросов от неподдерживаемых уст-
ройств.

Ðèñóíîê 14. Äîñòóï ê OMA

Лаконичный интерфейс OMA мало подходит для рабо-
ты с заполненными почтовыми ящиками, но позволяет сэ-
кономить ресурсы устройства. Хотя, если пропускная спо-
собность канала связи не является ограничивающим фак-
Ðèñóíîê 12. Íàñòðîéêà ìîáèëüíîãî äîñòóïà ê Exchange тором, даже при разрешении экрана 320x240 можно доволь-
Это бывает удобно, когда доступ к Exchange осуществ- но комфортно работать с полнофункциональной версией
ляется с настольного компьютера или ноутбука, но посред- Outlook Web Access (рис. 15). В современных КПК, поддер-
ством слабого канала связи. Поскольку интерфейс OMA го- живающих расширение 640x480, OWA практически не от-
раздо более «лаконичен», чем интерфейс OWA, его исполь- личается от своего настольного варианта.
зование помогает экономить время и нервы при чтении по-
чты. Поскольку и OMA, и ActiveSync используют аутенти-
фикацию Basic, необходимо убедиться, что в настройках
аутентификации сервера IIS установлено правильное имя
домена по умолчанию. Кроме того, необходимо включить
обязательное использование SSL при обращении к вирту-
альным директориям OMA и Microsoft-Server-ActiveSync. Это
можно проделать с помощью стандартных средств настрой-
ки безопасности Internet Information Server.
Настройка ActiveSync на КПК довольно проста. Необходи-
мо запустить приложение ActiveSync («Start → Programs →
Activesync»), выбрать пункт меню «Tools → Options» и на
закладке Server указать имя сервера и синхронизируемые
объекты. Дополнительно можно настроить автоматическую Ðèñóíîê 15. OWA â ðàçðåøåíèè 320x240
синхронизацию через заданные интервалы времени (кноп- Таким образом, мобильные клиенты могут задействовать
ка «Options»). современные технологии защиты коммуникаций, начиная
Если сервер настроен на поддержку SSL, то необходи- с канального уровня модели OSI (WPA) и заканчивая защи-
мо установить опцию «This server uses an SSL connection» той доступа к приложениям. К неудобствам, возникающим
(рис. 13). при настройке Windows Mobile, можно отнести отсутствие
Для работы с OMA достаточно подключиться к сети, за- возможности импорта сертификатов в формате PKCS#12
пустить Pocket Internet Explorer и ввести в строке URL вида и списков отозванных сертификатов. Кроме того, отсутству-
https://<servername>/oma (рис. 14). ет возможность настраивать IPSec отдельно от L2TP.

64
 безопасность
УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
INTERNET EXPLORER
Проблема защиты клиентского рабочего места становится
всё более и более актуальной. Это связано с рядом при-
чин, но в первую очередь – со смещением вектора атак с
серверного на клиентское программное обеспечение. Ста-
тистика инцидентов показывает, что больший процент на-
рушений компьютерной безопасности как в корпоративном,
так и в частном секторе, происходит именно посредством
компрометации рабочих мест пользователя.
К сожалению, проблеме защиты приложений пользова-
теля уделяется меньше внимания, чем защите серверов. В
современных корпоративных информационных системах
большинство средств защиты сконцентрировано на пери-
метре сети, и если они были обойдены, сеть становится без-
защитной. Злоумышленник получает доступ к рабочей стан-
ции и соответственно ко всем ресурсам сети, с которыми
может работать пользователь. Этого вполне достаточно для
решения широкого спектра задач – от рассылки спама и
сбора конфиденциальной информации до промышленного
шпионажа.
Конечно, индустрия не стоит на месте, и появляются но-
вые методы и продукты для защиты приложений пользова-
теля. Однако, как показывает практика, на настоящий мо-
мент их недостаточно. Недавно опубликованное исследо-
66
НАТАЛЬЯ МЕЛЬНИКОВА
вание российских специалистов в области информацион-
ной безопасности [1] показывает, что для обхода большин-
ства современных средств защиты клиентских приложений
достаточно умения работы с программой «Блокнот» и эле-
ментарных навыков программирования на VBScript.
Наиболее часто рассматриваемым в данном контексте
приложением является браузер Internet Explorer. Его возмож-
ности не только обеспечивают создание многофункциональ-
ных интерактивных веб-приложений, но позволяют зло-
умышленнику повышать свои привилегии на рабочей стан-
ции пользователя. В связи с большим количеством уязви-
мостей в IE, опубликованных во второй половине прошло-
го года, в сообществе специалистов в области безопасно-
сти довольно бурно обсуждается идея перехода на альтер-
нативные программы работы с World Wide Web. Даже та-
кая уважаемая организация, как CERT, не удержалась от
спекуляций на эту тему [2].
Однако при попытке заменить Internet Explorer в корпо-
ративных сетях администратору приходится столкнуться с
некоторыми проблемами. Первая – отсутствие необходимых
функциональных возможностей. Многие распространенные
серверные приложения, такие как Outlook Web Access,
SharePoint Portal Server активно используют различные рас-

ширения DHTML, реализованные только в Internet Explorer.
Многие клиентские приложения также используют COM-
объекты Internet Explorer для формирования интерфейса
пользователя. Таким образом, на клиентском рабочем ме-
сте оказывается две программы для работы с WEB – Internet
Explorer для обращения к корпоративным приложениям, и
альтернативный браузер для выхода в Интернет. Это сни-
жает удобство использования и повышает вероятность воз-
никновения пользовательских ошибок. Кроме того, возни-
кает ряд дополнительных проблем.
Усложняется задача управления сетью. Поскольку боль-
шинство из альтернативных программ работы с WWW не
поддерживает функции централизованного управления (ти-
ражирование конфигурационных файлов через групповые
политики – не самый удобный путь), повышаются затраты
на поддержку клиентских машин. Вновь встает задача уп-
равления оперативными обновлениями, поскольку миф об
отсутствии ошибок в альтернативных браузерах, как и пред-
полагалось [3], был быстро развеян. Выходят обновления и
новые версии программ, но современные средства управ-
ления обновлениями (и поиска уязвимостей) их не поддер-
живают, и администратору приходится следить за актуаль-
ностью версий программ самостоятельно.
Кроме того, в сети на основе Active Directory часто про-
исходит снижение уровня безопасности, поскольку вместо
привычных протоколов аутентификации NTLMv2 и Kerberos
начинают использоваться гораздо более уязвимые меха-
низмы Digest или Basic. Не всегда хорошо работает аутен-
тификация с использованием клиентских сертификатов из
хранилища Windows или Smartcard.
Учитывая все вышеперечисленное, вполне вероятно
предположить, что снижение рисков, которое сулит пере-
ход на альтернативные браузеры, не окупит повышения зат-
рат на эксплуатацию.
Давайте рассмотрим стандартные возможности настрой-
ки Internet Explorer, использование которых позволяет под-
нять уровень защищенности клиентских рабочих мест на
довольно высокий уровень. Дополнительным преимуще-
ством использования данных настроек является то, что они
легко тиражируются с помощью стандартных средств уп-
равления корпоративной сетью на базе Windows, таких как
Active Directory.
Основным средством настройки безопасности интернет-
приложений Microsoft были и остаются зоны безопасности.
Зоны безопасности представляют собой группы адресов
(URL), которым соответствуют те или иные настройки под-
системы безопасности. Настройки Internet Explorer сохра-
няются в разделах HKLM(HKCU) Software\Microsoft\Windows\
CurrentVersion\Internet Settings.
По умолчанию Internet Explorer считывает настройки из
ветви HKCU, однако это поведение можно изменить. Уста-
новка значения Enabled в параметре объекта групповой по-
литики (ОГП) Computer Configuration\Administrative Templates\
Windows Components\Internet Explorer\Security Zones: Use only
machine settings присваивает значение параметру реестра.
HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\
Internet Settings\Security_HKLM_only равным 1, после чего
Internet Explorer начинает использовать настройки из ветви
HKLM.
¹4, àïðåëü 2005
безопасность
Поскольку разрешения на ветвь HKLM запрещают поль-
зователю модифицировать значения, содержащиеся в ни-
жележащих разделах, то у него не будет возможности из-
менить параметры, назначенные администратором. В боль-
шинстве случаев рекомендуется задействовать данную на-
стройку, поскольку пользователь или вредоносное про-
граммное обеспечение, работающее в его контексте безо-
пасности, может менять настройки браузера, снижая уро-
вень защищенности. Примером может являться троянская
программа Win32.Secdrop.C [4], при установке разрешаю-
щая загрузку и запуск неподписанных компонентов ActiveX
из Internet.
В случае если задействована эта настройка, все пара-
метры Internet Explorer необходимо изменять в ветви HKLM
(или разделе Computer Configuration ОГП). Соответствен-
но, если для изменения параметров будут задействованы
сценарии, то необходимо использовать те из них, которые
выполняются с достаточными привилегиями, а именно –
Startup Script и Shutdown Script. Кроме того, для примене-
ния параметров необходимо, чтобы отработала групповая
политика уровня компьютера, что в некоторых случаях тре-
бует перезагрузки. Ещё одной потенциальной проблемой
является то, что исчезает возможность персонифицировать
настройки Internet Explorer для разных пользователей од-
ного и того же компьютера. Однако необходимость в раз-
личных настройках IE для разных пользователей является
скорее исключением, чем правилом.
Для настройки зон безопасности используются следую-
щие подразделы: HKLM(HKKU)\Software\Microsoft\Windows\
CurrentVersion\Internet Settings:
! TemplatePolicies
! ZoneMap
! Zones
Раздел TemplatePolicies содержит предопределенные
уровни безопасности, которые в дальнейшем могут исполь-
зоваться для настройки зон. Этот раздел содержится толь-
ко в ветке HKLM, и модифицировать его не рекомендуется,
поскольку такая операция затруднит процесс восстановле-
ния стандартных настроек в случае возникновения сбоев.
В разделе ZoneMap описывается привязка узлов и до-
менов к зонам безопасности. Подраздел Domains содер-
жит иерархическую структуру, в которой в качестве клю-
чей выступают имена доменов и узлов, параметры описы-
вают протоколы, а значения параметров указывают на но-
мер зоны безопасности. Нижеприведенная структура раз-
делов реестра указывает на то, что при обращении к сер-
веру www.isc2.org по протоколу https будут задействованы
настройки второй зоны безопасности (Trusted Sites, Дове-
ренные узлы): ZoneMap → Domains → sc2.org → www → https
(DWORD)=2.
Структура может быть более сложной. Например, сле-
дующий вариант предписывает при обращении к любому
узлу в домене *.microsoft.com по протоколу https использо-
вать зону безопасности Trusted Sites. Для обработки содер-
жимого страниц на сервере www.microsoft.com, полученных
по протоколу http, будут использоваться настройки зоны
Internet: ZoneMap → Domains → microsoft.com → https
(DWORD)=2, www → http (DWORD)=3.
67
 безопасность
Если клиентом является Microsoft Windows Server 2003
и задействована опция Internet Explorer Enhanced Security
Configuration, то настройки следует сохранять в подразде-
ле EscDomains, а не Domains.
В случае если разграничение уровня безопасности про-
исходит не на основе FQDN, а с помощью IP-адресов, за-
действуется подраздел Ranges.
Нижеприведенная структура описывает ситуацию, когда
для IP-адресов, принадлежащих сети 10.1.1.0/24, использу-
ется зона безопасности Trusted Sites: ZoneMap → Ranges →
Range1 → * (DWORD)=2, :Range (SZ)=10.1.1.1-10.1.1.254.
В подразделе ProtocolDefaults описывается, какая зона
будет задействована в случае использования того или ино-
го протокола, если дополнительные правила не примени-
мы. По умолчанию большинство протоколов используют
зону 3 – Internet.
Кроме описанных параметров оказывать влияние на то,
какая зона безопасности будет использоваться для обра-
ботки содержимого того или иного сервера, может значе-
ние параметра Flags, содержащегося в разделе, описыва-
ющем зону.
Например, по умолчанию этот параметр для зоны 1
(Intranet) имеет значение 219: HKLM(HKCU)\Software\Micro-
soft\Windows\CurrentVersion\Internet Settings\Zones\1:
Flags(DWORD)= 219
Это значение формируется на основе параметров бито-
вой маски (таблица 1) и содержит значения 128, 16 и 8. Со-
ответственно в зону Intranet будут автоматически включать-
ся те узлы, обращение к которым произошло по имени Net
BIOS и узлы, работающие не через Proxy-сервер (параметр
HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ProxyOverride).
Òàáëèöà 1. Çíà÷åíèå ïàðàìåòðà Flags
Функции зон безопасности
В подразделе Zones содержатся непосредственно настрой-
ки безопасности каждой из зон. Стандартно Windows со-
держит 5 зон безопасности (таблица 2). Каждая из этих зон
содержит настройки параметров безопасности, подробное
описание которых доступно в статье KB182569.
Таким образом, сайты, не принадлежащие зоне безо-
пасности Local Intranet, обрабатываются в контексте зоны
Internet. В случае если эти настройки чрезмерно жесткие,
можно включить сервер или домен в зону Trusted Sites. Если
сервер является потенциально опасным, он включается в
зону Restricted Sites.
Этот подход не соответствует текущим реалиям, посколь-
ку весь Internet является слабо доверенной системой. Кроме
того, администратор ограничен в настройках, поскольку у
68
него есть только два уровня доверия – Internet и Trusted Sites.
Он не может разрешить выполнение сценариев для одной
группы серверов, включить поддержку ActiveX для второй и
отключить активное содержимое для остальных.
Òàáëèöà 2
Чтобы решить эту проблему, удобно изменить зону по
умолчанию, применяемую для различных протоколов: HKLM
(HKKU)\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults:
ftp(DWORD)=4
http(DWORD)=4
https(DWORD)=4
После этого узлы, ранее принадлежащие зоне Internet,
автоматически попадут в зону Restricted Sites. Зона Internet
станет промежуточной, и в неё будут включаться сервера,
для работы которых необходима поддержка сценариев или
некоторых компонентов ActiveX. Зона Trusted Sites не изме-
нит своих функций, в неё включаются узлы, работа с кото-
рыми требует всех функциональных возможностей Internet
Explorer.
Для того чтобы появилась возможность модифициро-
вать состав зоны Internet, параметру Flags для этой зоны
необходимо присвоить значение, равное 3.
Настройка зон
Зона безопасности My Computer является основной целью
атакующих. Многие опубликованные уязвимости в Internet
Explorer нацелены именно на получение возможности обра-
ботки данных в контексте этой зоны, что дает возможность
обращаться к файловой системе и запускать программы [5].
В Windows XP Service Pack это поведение изменено с помо-
щью механизма «Local Machine Zone Lockdown» [6]. Однако,
как показывает практика, задействованные настройки не-
достаточно строги, поэтому рекомендации по усилению па-
раметров безопасности для XP SP2 также актуальны.
Рекомендуется дополнительно настраивать безопас-
ность для этой зоны, запрещая обработку сценариев и/или
компонентов ActiveX. В статье KB833633 описано, как на-
страивать параметры зоны безопасности с помощью моди-

фикации реестра. Однако зачастую удобней предваритель-
ную настройку осуществлять с помощью GUI. Для того что-
бы зона безопасности отображалась в Internet Explorer, не-
обходимо уменьшить значение параметра Flags для этой
зоны на 32: HKLM(HKCU)\Software\Microsoft\Windows\Current
Version\Internet Settings\Zones\0:
Flags(DWORD)=1
безопасность
Configuration → Administrative Templates → Windows
Components → Internet Explorer → Administrator Approved
Controls».
По умолчанию набор компонентов невелик и может не
содержать необходимые ActiveX. В этом случае целесооб-
разно изменить административный шаблон %systemroot%\
inf\inetres.adm, добавив в него CLSID используемых элемен-
тов ActiveX.

После этих изменений зона появится на закладке Security

приложения Internet Options и станет доступной для моди-
фикации через графический интерфейс.
В результате настройки могут возникнуть проблемы при
работе с некоторым программным обеспечением, исполь-
зующим Internet Explorer. Типичным примером являются ос-
настки управления MMC. Поскольку правая панель в осна-
стках представляет собой компонент ActiveX, их отключе-
ние в зоне безопасности My Computer приводит к нерабо-
тоспособности некоторых оснасток.
Наиболее приемлемым решением здесь является раз-
решение использования только одобренных администрато-
ром компонентов, для чего необходимо установить пара-
метр безопасности Run ActiveX Controls and Plugins равным
Administrator Approved. После этого необходимо описать раз- Ðèñóíîê 2. Ðåäàêòèðîâàíèå àäìèíèñòðàòèâíîãî øàáëîíà
решенные элементы ActiveX, что можно сделать через ре- Аналогичные настройки осуществляются различными
дактор групповых политик (см. рис. 1) в разделе «User утилитами, осуществляющими настройку безопасности

Ðèñóíîê 1. Ðàçðåøåííûå ýëåìåíòû ActiveX

¹4, àïðåëü 2005 69

 безопасность
компьютера. Например, Qwik-Fix Pro [7] в качестве одного
из защитных механизмов устанавливает более строгие раз-
решения в зоне My Computer.
При использовании описанного выше подхода Restricted
Sites является стандартной зоной безопасности для вне-
шних узлов, необходимо ослабить настройки этой зоны. Для
нормальной работы большинства пользователей достаточ-
но разрешить загрузку файлов из неё. Ещё одной полез-
ной настройкой является разрешение обработки файлов
Cookie в Restricted Sites. Это устранит проблемы со многи-
ми серверами, отслеживающими сессию с помощью Cookie.
Включать обработку сценариев для этой зоны не реко-
мендуется, поскольку она же используется при обработке
содержимого почтовых сообщений в программах Outlook и
Outlook Express, соответственно чрезмерное ослабление
настроек безопасности может привести к снижению обще-
го уровня безопасности. В случае если необходимо разре-
шить выполнение сценариев для всех узлов, лучше восполь-
зоваться методом расширения набора зон безопасности,
описанным далее.
В зоне безопасности Internet обычно разрешается под-
держка сценариев и некоторых ActiveX-компонентов, напри-
мер, Macromedia Flash. Загрузку и инициализацию всех под-
писанных и неподписанных элементов в этой зоне лучше
отключить. Для доверенных узлов (Trusted Sites) можно вклю-
чить поддержку загрузки подписанных элементов ActiveX.
Желательно отключить формирование состава зоны
безопасности Local Intranet на основе сетевой топологии и
добавлять узлы или сети в неё вручную. Это защитит от
внутренних атак, таких как установка ложных веб-серве-
ров, NTLM Relaying [8] и т. д.
Не забывайте включить в эти зоны адреса Proxy-серве-
ров для корректной работы функции автоматической аутен-
тификации пользователя. В обратном случае возможны
различные проблемы, особенно при аутентификации с по-
мощью Smartcard.
Расширение набора зон
При необходимости можно расширить набор зон безопас-
ности, доступный для Internet Explorer. Для этого в реестр
добавляется зона с новым номером (например, 5). Самый
простой способ произвести подобную операцию – это экс-
портировать раздел реестра, содержащий наиболее близ-
кую по настройкам зону в текстовый файл, изменить его и
импортировать в реестр (рис. 3).
Используя этот подход, можно изменить идеологию при-
менения зон. Например, все внешние узлы по умолчанию
попадают в зону Internet, в которой запрещена обработка
сценариев и компонентов ActiveX. Серверы со средним
уровнем доверия включаются в дополнительную зону, вы-
полнение сценариев в которой разрешено. Ну и наиболее
функциональные серверы попадают в зону Trusted Sites.
Развертывание и поддержка
Перед внедрением описанного подхода необходимо провес-
ти некоторые подготовительные операции. Первая из них –
выяснение влияния настроек безопасности на используе-
мое программное обеспечение.
Хорошим примером является раздражающее сообще-
ние об отключенных ActiveX, выскакивающее при обраще-
нии к каждой странице, где содержится запрещенный ком-
понент. До выхода Windows XP Service Pack 2 эту проблему
приходилось решать путем модификации соответствующе-
го компонента Internet Explorer. Также могут возникнуть про-
блемы с некоторыми приложениями при изменении настро-
ек безопасности для зоны My Computer.
Ðèñóíîê 3. Äîáàâëåíèå çîíû áåçîïàñíîñòè
Наиболее эффективным методом будет настройка пред-
полагаемых параметров для организационного подразде-
ления отдела IT с последующей коррекцией по результа-
там тестирования. Все крупные эксперименты лучше сна-
чала проводить на себе.
Список доверенных или частично доверенных серверов
проще всего формировать на основе журналов межсете-
вого экрана с последующим согласованием у руководства.
Не забывайте про формальную процедуру включения не-
обходимых узлов в зоны безопасности по запросу работ-
ников. Эта процедура должна быть документально оформ-
лена, доведена до пользователей и являться не слишком
обременительной для них.
Централизованно настраивать параметры безопаснос-
ти для Internet Explorer удобнее всего через групповые по-
литики. Для этого в соответствующем ОГП необходимо от-
крыть раздел User configuration/Windows settings/IE User
configuration/Windows settings/IE Maintenance/Security, дваж-
ды щёлкнуть на Security Zones and Content Ratings и поста-
вить переключатель в положение Import the current security
zones and privacy settings (рис. 4).
В административном шаблоне, входящем в Windows XP
Service Pack 2, настройка зон безопасности была вынесе-
на в отдельную ветку (рис. 5). Соответственно появилась
возможность настройки параметров для всех зон, включая
My Computer непосредственно в объекте групповой поли-
тики. Для того чтобы применять эти настройки в домене,
достаточно импортировать в групповую политику админис-

70

тративный шаблон %systemroot%\inf\inetres.adm из дистри-
бутива Windows XP Service Pack 2.
Ðèñóíîê 4. Èìïîðò íàñòðîåê çîí áåçîïàñíîñòè â ÎÃÏ
Хотя распространенность уязвимостей типа «Внедрение
сценариев» (Cross-Site Scripting) в веб-серверах делает кон-
цепцию разделения уровня безопасности по зонам на ос-
нове имен доменов и IP-адресов серверов очень условной,
не стоит отказываться от этого механизма защиты.
Описанные настройки позволяют значительно повысить
защищенность Internet Explorer от 0day-угроз, т.е. тех уяз-
вимостей, которые ещё не были устранены производите-
лем. Всегда стоит отслеживать новые уязвимости и тести-
ровать свою конфигурацию на подверженность недавно
Ðèñóíîê 5. Íàñòðîéêè çîí áåçîïàñíîñòè â ÎÃÏ
¹4, àïðåëü 2005
безопасность
опубликованным проблемам. Кроме того, не стоит забы-
вать о других средствах защиты, таких как управление об-
новлениями безопасности и фильтрация содержимого. На-
пример, на сервере www.isatools.org можно найти сценарии,
настраивающие ISA Server 2004 на блокировку распрост-
раненных атак.
Литература:
1. Обход средств защиты клиентских приложений. – http://
www.security.nnov.ru/advisories/bypassing.asp.
2. US-CERT. Vulnerability Note VU#713878. – http://www.kb.
cert.org/vuls/id/713878.
3. Drew Copley. Switching Software Because of Bugs. – http://
www.securityfocus.com/archive/1/367723/2004-06-25/2004-
07-01/0.
4. Trojan Win32.Secdrop.C. – http://www3.ca.com/security
advisor/virusinfo/virus.aspx?id=40225.
5. Internet Explorer «Object Type» vulnerability. – http://www.cve.
mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0532.
6. Windows XP Service Pack 2 Enhancements to Internet
Explorer 6. – http://www.microsoft.com/windows/ieak/
techinfo/deploy/60/en/appendix.mspx.
7. Qwik-Fix Pro. – http://www.pivx.com/qwikfix.asp.
8. NTLM и корпоративные сети. – http://www.securitylab.ru/
49547.html.
71
 программирование
СИСТЕМА СОЗДАНИЯ ДОКУМЕНТАЦИИ POD
ЧАСТЬ 2
Напомню коротко, что POD – это система разработки элек-
тронной документации. Она предполагает, что документ раз-
рабатывается в определённом достаточно простом форма-
те, и предоставляет средства конвертирования исходного
POD-документа в другие форматы для печати и просмотра.
В первой части статьи мы рассмотрели средства конвер-
тирования в форматы «неразмеченный текст», man-страни-
ца и HTML. В этой части рассмотрим конвертирование в
PostScript и PDF.
Напомню, что POD-документ состоит из абзацев, кото-
рые разделяются пустой строкой. Абзацы бывают трёх ти-
пов: форматированные, для представления обычного тек-
ста, неформатированные, для листингов программ, и уп-
равляющие, для формирования структурных элементов (за-
головков, списков) и внедрения формат-специфических
вставок. Неформатированные абзацы начинаются с пробе-
ла. Управляющие – с команды. В форматированных и уп-
равляющих абзацах допустимо элементарное оформление
текста (например, I<курсив> или B<жирный шрифт>) и встав-
ка не ASCII-символов (например, E<deg> – значок градуса).
Команды начинаются со знака «равно» (например, =head1
задаёт заголовок первого уровня).
В качестве примера я использовал тот же POD-документ,
что и в первой части статьи.
На сайте журнала http://www.samag.ru в разделе «Ис-
ходный код» вы можете взять архив с POD-кодом и всеми
обсуждаемыми здесь скриптами.
Конвертирование POD в TeX,
PostScript и PDF
Для конвертирования POD-документов в форматы PostScript
и PDF проще всего сперва сконвертировать POD в LaTeX,
a из LaTeX-исходника получить все необходимые PostScript-
и PDF-файлы.
На первый взгляд такой путь может показаться излиш-
не сложным. Действительно, мы уже умеем создавать man-
страницы (см. первую часть статьи). А из них легко можно
получить PS- или PDF-файл; например так:
cat page.man | /usr/bin/tbl |
/usr/bin/groff -S -Wall -mtty-char -man -Tps >page.ps
Но это экстенсивный путь. Во-первых, man-документ не
несёт никакой информации о кодировке и корректное кон-
72
АЛЕКСЕЙ МИЧУРИН
вертирование русской man-страницы в тот же PostScript ока-
зывается не такой уж простой задачей. Во-вторых, LaTeX-
исходник открывает перед вами все возможности системы
LaTeX. Вы можете вставлять в документ рисунки, форма-
тировать документ в несколько колонок, формировать ав-
томатические оглавления, пользоваться системой автома-
тической расстановки переносов и многое другое. В фор-
мате man все эти возможности недоступны. Согласитесь,
некоторое усложнение вполне стоит того.
Первое знакомство с pod2latex
Первое знакомство с pod2latex может окончиться конфу-
зом. Скорее всего, конвертер pod2latex откажется обраба-
тывать русскоязычные документы. Насколько мне удалось
разобраться, скрипт pod2latex и все модули, вызываемые в
нём, полностью игнорируют локализацию.
Источник проблемы – модуль Pod::Find, который с по-
мощью Perl-оператора -T проверяет, является ли файл дей-
ствительно текстовым. Этот оператор может счесть ваш до-
кумент двоичным файлом из-за присутствия в нём русских
букв.
Более того, насколько я понимаю, оператор -T делает своё
заключение, проанализировав только небольшую часть ин-
формации в начале файла. Поэтому если файл начинается
с некоторого английского текста, а первые русские буквы
начинают встречаться ниже, то pod2latex может обработать
такой файл. Но если русские буквы появятся ближе к нача-
лу файла, то pod2latex наотрез откажется с ним работать.
Такое поведение утилиты может сбить с толку при поиске
причины недоразумений.
Идеологически верным решением является подключе-
ние в pod2latex поддержки локализации, за которую отве-
чает прагма locale. То есть в начало скрипта pod2latex сле-
дует добавить строку:
use locale;
И конечно, вам следует настроить локаль. Проще всего
это сделать, установив переменную среды LANG. У меня
LANG=ru_RU.KOI8-R. В вашей системе называние русской
локали может слегка отличаться. Вы можете посмотреть
полный список локалей, установленных в вашей системе,
выполнив команду locale -a.

Другой, более вероломный путь, практически не потре-
бует знания Perl и перенастройки системы (иногда настрой-
ка русской локали бывает нежелательна).
Самое простое решение – отредактировать модуль
Pod::Find, удалив соответствующую проверку. Внимание!
Cохраните оригинальную версию файла, прежде чем редак-
тировать его! В моей системе это файл /usr/local/lib/perl5/5.8.5/
Pod/Find.pm. У меня установлен Pod::Find версии 0.24_01,
в нём проверка выполняется в строке 251. Чтобы отменить
проверку замените
unless(-f $file && -T _ && ($file =~ /\.(pod|pm|plx?)\z/i ↵
|| -x _ ))
на
unless(-f $file && ($file =~ /\.(pod|pm|plx?)\z/i || -x _ ))
Так или иначе теперь мы заставили pod2latex работать
с русскими документами, и вы точно сможете сконвертиро-
вать русскоязычный POD-документ в формат LaTeX. Но до-
кумент окажется неполным.
Дело в том, что LaTeX-документы, как и HTML-докумен-
ты, состоят из заголовка и тела. Утилита pod2latex создаёт
только тело. Надо сказать, что эта утилита способна со-
здать и полный документ, но в нём не будет содержаться
никакой информации о языке и кодировке, то есть для рус-
скоязычных документов эта возможность не очень полез-
на. Видимо, и разработчики POD считают её не очень по-
лезной, так как по умолчанию она отключена.
В полученном документе не хватает завершения (его
следует добавить):
\end{document}
и так называемой преамбулы, о которой следует сказать
подробнее.
Преамбула LaTeX документа
В преамбуле LaTeX-документов располагаются инструкции,
в соответствии с которыми производится вёрстка докумен-
та. Вот пример преамбулы. Я постарался упомянуть в ней
все пакеты и директивы, которые часто бывают полезны при
разработке документов. Поэтому часть директив закоммен-
тирована (во избежание противоречий). Комментариями в
LaTeX являются все символы от «%» до «конца строки» вклю-
чительно. Мы обсудим и закомментированные директивы.
% Çàäà¸ì ãëîáàëüíûå àòðèáóòû äîêóìåíòà
\documentclass[10pt, a5paper]{article}
\usepackage[magstep2]{scale}
%\usepackage[a3paper]{geometry}
% Èçìåíÿåì ïîëÿ
\addtolength{\hoffset}{-1cm}
\addtolength{\textwidth}{2cm}
\addtolength{\voffset}{-1in}
\addtolength{\textheight}{2in}
% Êðàñíàÿ ñòðîêà
\setlength{\parindent}{0.3cm}
% Ðàññòîÿíèå ìåæäó àáçàöàìè
\setlength{\parskip}{0pt}
% Ðóññêèé ñòèëü îôîðìëåíèÿ àáçàöåâ
\usepackage{indentfirst}
¹4, àïðåëü 2005
программирование
% Îãîâàðèâàåì êîäèðîâêó äîêóìåíòà
%\usepackage[cp866]{inputenc}
\usepackage[koi8-r]{inputenc}
\usepackage[russian]{babel}
\selectlanguage{russian}
\usepackage{draftcopy}
% Âêëþ÷àåì ãðàôè÷åñêèé ïàêåò
\usepackage[dvips]{graphicx}
%\graphicspath{{ps/}}
% Ìàêðîñ äëÿ âñòàâêè êàðòèíîê
\newcommand{\inspsfig}[3]{
\begin{figure}[!htbp]
\begin{center}
\includegraphics[angle=0, width=#2\textwidth]{#1}
\end{center}
\caption{#3}
%\label{text}
\end{figure}
}
% Çàäà¸ì ìåæñòðî÷íûé èíòåðâàë
\linespread{1}
% Äîêóìåíò íà÷àëñÿ
\begin{document}
%  íà÷àëå äîêóìåíòà ãåíåðèðóåì îãëàâëåíèå è ...
\tableofcontents
% ... ñïèñîê èëëþñòðàöèé
\listoffigures
% Ìîæíî íà÷àòü äîêóìåíò ñî ñëåäóþùåé ñòðàíèöû
%\newpage
% à ìîæíî ïðîñòî çàäàòü îòñòóï
%\vspace{50mm}
Первым делом мы задаём класс документа (\document-
class). Настраиваем размер шрифта (10pt), размер бумаги
(A5), если вам необходимо сверстать документ в две ко-
лонки, добавьте через запятую параметр twocolumn. Здесь
же указан класс документа (article). LaTeX поддерживает
три размера шрифта 10, 11 и 12 пунктов. Необычный раз-
мер бумаги мы используем умышленно. Стиль article наибо-
лее подходит для короткой статьи, LaTeX поддерживает и
другие стили.
При разработке крупных пакетов документации вам мо-
жет пригодиться стиль report (документы, объёмом около
пятисот тысяч печатных знаков) или даже book. От стиля
article они отличаются практически только одной, но очень
важной особенностью.
В документах класса article предусмотрены заголовки
section, subsection и subsubsection, то есть заголовки пер-
вого второго и третьего уровней. В классах report и book
добавляется возможность разбивать документы на главы,
новая команда chapter (и её близнец part), создаёт заголо-
вок как бы нулевого уровня. Pod2latex не создаёт глав. С
одной стороны, это делает результаты работы pod2latex ма-
лопригодными для вёрстки в классах report и book; с дру-
гой стороны, получаемые article-документы легко и есте-
ственно могут входить как отдельные главы в большой
report-документ.
Если вы планируете разрабатывать документы большо-
го объёма и объединять POD-документы, в первую очередь
обратите внимание на ключ -h1level утилиты pod2latex. Он
позволяет получить документы, в которых все заголовки
логически «сдвинуты», например POD-команде =head1 со-
ответствует подзаголовок (второй уровень) и так далее.
Такие документы можно использовать, как разделы или под-
разделы более крупных документов.
Из возможностей LaTeX обратите внимание на колон-
титулы (команды pagestyle и thispagestyle). Если в вашем
73
 программирование
документе более ста страниц, колонтитулы перестают быть
просто украшением. Очень полезной при слиянии докумен-
тов может оказаться LaTeX-команда include.
В завершение отступления о больших документах по-
зволю себе небольшой психологический этюд. Весь мой
опыт показывает, что большие документы отпугивают поль-
зователя. Если предоставить пользователю пару десятков
коротеньких инструкций, то он в них легко ориентируется.
А если ту же самую информацию сверстать на полусотне
страниц одного документа, то пользователь не читает этот
документ вообще (даже оглавление не читает), а вместо
этого звонит (пишет по e-mail, ICQ...) разработчику. Если
вы создаёте руководства, чтобы уменьшить количество глу-
пых вопросов на вашу голову, то следует избегать пугаю-
щих документов.
Если вы будете создавать одностраничные инструкции-
памятки, то наверняка захотите подавить нумерацию стра-
ниц. Это делается командой \pagestyle{empty}.
Продолжим наше знакомство с преамбулой.
В следующей строке мы подключаем пакет scale, кото-
рый масштабирует листы, увеличивая их в 1.4 раза. Таким
образом, мы получим документ на бумаге привычного фор-
мата A4 и шрифт из «десятого» превратится в «четырнад-
цатый». Если вам нужен, скажем, «двенадцатый» шрифт,
то вы можете просто сразу указать 12pt, размер бумаги A4
и не использовать пакет scale.
Пакет geometry позволяет задать размер бумаги A3 и
больше. Это можно использовать, чтобы потом отмасшта-
бировать документ и получить необычно мелкий шрифт.
Серия команд \addtolength изменяет поля документа. По
умолчанию LaTeX делает очень большие поля. Считается,
что это правильно с точки зрения профессиональной вёрст-
ки, но людям, навсегда испорченным программой MSWord,
невозможно привыкнуть к этой красоте.
Двумя следующими командами \setlength мы устанав-
ливаем отступ красной строки абзаца и расстояние между
абзацами. В иностранной литературе принято не делать
красных строк, отделяя абзацы небольшим дополнитель-
ным интервалом. Отечественная традиция иная.
Пакет indentfirst предписывает делать красную строку и
у первого абзаца. По умолчанию LaTeX следует западному
стандарту, не делая красную строку у первого в главе аб-
заца.
Пакет inputenc задаёт кодировку LaTeX-файла. Я исполь-
зовал koi8-r. LaTeX поддерживает огромное количество ко-
дировок, среди которых cp866, cp1251, maccyr. Поддержи-
ваются и украинские кодировки.
Пакет babel и команда \selectlanguage{russian} русифи-
цирует LaTeX. После подключения этого пакета LaTeX бу-
дет автоматически использовать русские слова «Оглавле-
ние», «Рисунок», «Глава» и другие.
Пакет draftcopy выполняет чисто декоративную функ-
цию. На всех страницах наискосок печатается слово draft.
Это удобно, когда вы распечатываете неокончательную,
«черновую» версию документа.
Далее мы подключаем графический пакет graphicx. Если
вы храните включаемые графические файлы в отдельной
директории, удобно использовать директиву \graphicspath,
чтобы раз и навсегда указать путь к картинкам. Вам, во-
74
первых, не придётся указывать путь к каждому графичес-
кому файлу, а во-вторых, будет легко изменить сразу все
пути, если вы переместите файлы.
С помощью команды \newcommand я создал макрос,
позволяющий в дальнейшем легко добавлять иллюстрации.
Подробное описание способов включения графики в LaTeX
выходит за рамки настоящей статьи.
На первых порах вы вполне можете ограничиться этим
макросом или его подредактированными версиями. Под-
робнее о том, как его использовать, я расскажу чуть поз-
же.
В конце преамбулы задаём межстрочный интервал ко-
мандой \linespread.
С команды \begin{document} начинается тело LaTeX-до-
кумента. Преамбула закончилась, всё дальнейшее будет
попадать на страницы.
Я включил в тело автоматически создаваемые оглав-
ление (команда \tableofcontents) и список иллюстраций (\list-
offigures).
Если вы хотите, чтобы кроме оглавления на первой стра-
нице ничего не было, раскомментируйте директиву \newpage.
Если вы предпочитаете просто сделать дополнительный от-
ступ, укажите его величину в аргументе директивы \vspace.
LaTeX – мощная система вёрстки. Я, конечно, не смогу
осветить здесь все её возможности. Тем не менее я поста-
рался не забыть ничего, что когда-либо требовалось мне
при подготовке документа.
Тем, кто хочет лучше узнать LaTeX, я бы очень реко-
мендовал книгу «Не очень краткое введение в LaTeX2e».
Она очень проста, компактна и охватывает широкий спектр
возможностей LaTeX. Перевод этой книги (Б. Тоботрас) до-
ступен по адресу: http://xtalk.msk.su/tex.
О кириллизации LaTeX (включая настройку системы ав-
томатических переносов) подробно написано в «The Linux
Cyrillic HOWTO (russian)» Евгения Балдина, доступном по
адресу: http://www.inp.nsk.su/~baldin.
Вот как выглядят первые две страницы моего примера,
свёрстанные с приведённой преамбулой (рис. 1).
Незначительные изменения в преамбуле позволяют су-
щественно изменить результат (рис. 2).
Здесь документ свёрстан «двенадцатым» шрифтом в
две колонки.
Итак, конвертируем POD в PostScript и PDF
Вы видите, что pod2latex выдаёт достаточно «сырой» мате-
риал. С одной стороны, это хорошо, потому что из этого
«материала» можно «вылепить» практически что угодно.
С другой стороны, «лепить» каждый раз с нуля – не оправ-
данно трудоёмко.
В собранном мною архиве вы найдёте скрипты, выпол-
няющие всю сборку автоматически. Принцип их действия
прост.
Сперва создаём «сырой» файл:
pod2latex -out file file.pod
Будет создан файл file.tex (расширение добавляется ав-
томатически).
Затем чуть корректируем «сырой» файл:

cat file.tex |
sed 's/\\label{_}//g' |
sed 's/\(subsection\)\*/\1/g' > file.tex.temp
Первый sed-конвейер уничтожает пустые метки, которые
создаются из-за нашей русскоязычности. Второй sed-кон-
вейер удаляет звёздочку во всех директивах «subsection*».
Это не обязательная операция. Звёздочка говорит о том,
что раздел не должен отображаться в оглавлении. Pod2latex
предполагает, что в оглавление войдут только заголовки
первого уровня. Обычно, это как раз то, что нужно. Но мне
захотелось, чтобы все заголовки попали в оглавление. Как
видите, добиться этого совсем не сложно.
Далее мы присоединяем к документу преамбулу и за-
вершение:
cat doc-head-14pt.tex file.tex.temp doc-tail.tex > file-14pt.tex
Теперь мы получили полноценный LaTeX-файл file-14pt.tex.
Дважды обработав его системой latex, мы получаем одно-
имённый dvi-файл. DVI (DeVice Independent) – стандартный
формат, генерируемый системой LaTeX. Несмотря на гром-
кое название, его не следует использовать для обмена ин-
формацией. Дело в том, что dvi-файл обычно далеко не
самодостаточен. Например, он не включает графические
объекты, а содержит только ссылки на них. Поэтому, если
вы перенесёте dvi-файл на другую машину или просто пе-
репишете его в другую директорию, не предприняв ника-
ких дополнительных мер, то скорее всего его уже не удаст-
ся просмотреть или конвертировать в другой формат. К сча-
стью, из dvi-файла можно сделать полноценный PostScript-
и/или PDF-файл:
Ðèñóíîê 1
¹4, àïðåëü 2005
программирование
latex file-14pt.tex
latex file-14pt.tex
dvips -o file-14pt.ps file-14pt.dvi
ps2pdf file-14pt.ps
Двойная обработка необходима, чтобы latex смог со-
здать оглавление.
Кстати, утилита dvips тоже может масштабировать до-
кументы (ключ -x). Можно было не использовать пакет scale,
а отмасштабировать страницы на этапе конвертирования
dvi-файла в PostScript-формат.
В скрипте, который я включил в архив примеров, все
эти команды вложены в цикл, в котором «собираются» две
модификации документа: в одну колонку шрифтом 14pt и в
две колонки шрифтом 12pt, как это было показано на ри-
сунках.
Напоследок скажу, что я даже не ставил перед собой
задачу описать все опции конвертера pod2latex. Эта утили-
та предоставляет возможности и выделения только части
документа, и включения преамбулы и завершения, указан-
ные пользователем, и многие другие. Просто мой опыт по-
казывает, что использование многих из этих возможнос-
тей или неоправданно, или невозможно для русскоязычных
документов. Если вы хотите получить исчерпывающую ин-
формацию по pod2latex, обращайтесь к соответствующей
документации perldoc pod2latex.
Графика в PostScript и PDF
Для LaTeX естественным форматом представления графи-
ки является PostScript. Существуют средства, позволяющие
работать и со многими другими форматами, но эти сред-
ства представлены отдельными пакетами, которые могут и
75
 программирование
не входить в ваш дистрибутив LaTeX (особенно если вы
пользуетесь LaTeX под Windows). Я бы советовал работать
только с PostScript, тем более что получить файл в этом фор-
мате совсем не сложно. С таким преобразованием легко
может справиться, например, утилита convert из набора
ImageMagic.
convert file.bmp file.ps
LaTeX предоставляет множество способов вставки гра-
фики. Мой способ далеко не единственный, но, как мне ка-
жется, наиболее неприхотливый и простой.
Пользуясь предлагаемым мною макросом, вы можете
легко вставить картинку в текст:
=for latex
\inspsfig{two.eps}{.35}{Íåòðóäíî çàìåòèòü, ÷òî, ñîâìåñòèâ
äâóõ ìàëåíüêèõ äðàêîí÷èêîâ, ìû ïîëó÷èì áîëüøîãî.}
Этот параграф предназначен для LaTeX-документов (=for
latex). В нём вызван мой макрос \inspsfig. Первый параметр,
как вы видите, имя eps-файла. Второй – доля листа, кото-
рую должна занять картинка по горизонтали. Третий – под-
пись к картинке. Нумерацию рисунков LaTeX ведёт автома-
тически.
Давайте вкратце рассмотрим, как работает этот мак-
рос, и что в нём можно изменить и адаптировать под ваши
нужды.
Итак, текст макроса таков:
\newcommand{\inspsfig}[3]{
\begin{figure}[!htbp]
\begin{center}
Ðèñóíîê 2
76
\includegraphics[angle=0, width=#2\textwidth]{#1}
\end{center}
\caption{#3}
%\label{text}
\end{figure}
}
В первой строке мы создаём новую команду \inspsfig, у
которой будет три аргумента. В теле команды создаётся
окружение \begin{figure}-\end{figure}. Команда \begin{figure}
имеет строку-параметр, о которой следует сказать отдель-
но. Этот параметр определяет, где будет расположен пла-
вающий объект (каковым является иллюстрация).
В строке-параметре «!htbp» первый символ заставляет
LaTeX не рассматривать большинство своих правил и ста-
раться выполнить инструкции «во что бы то ни стало». Бук-
ва h говорит о том, что первым делом LaTeX должен попы-
таться разместить иллюстрацию там, где она находится в
тексте документа. Если это невозможно, то LaTeX рассмот-
рит букву t и постарается разместить картинку вверху стра-
ницы. Если и это ему не удастся, будет рассмотрена b, пред-
писывающая размещать плавающий объект внизу страни-
цы. И, наконец, если все попытки закончатся неудачей, то
в силу вступит инструкция p, и LaTeX выделит для плаваю-
щего объекта отдельную страницу и разместит его там.
Теперь становится ясно, что если вы хотите, например,
чтобы все рисунки размещались вверху страницы, то па-
раметр должен начинаться с буквы t, за которой могут сле-
довать альтернативные варианты.
Команда \includegraphics вложена в окружение \begin
{center}-\end{center}. Картинка будет отцентрована по гори-
зонтали. Вы видите, что мы не поворачиваем картинку
(angle=0), а ширину рассчитываем как произведение вто-

рого параметра макроса \inspsfig на ширину текста
(width=#2\textwidth). В качестве имени файла с картинкой
будет использован первый параметр \inspsfig.
Команда \caption задаёт подпись к рисунку.
Закомментированная команда \label бывает полезна, если
вы хотите ссылаться на рисунки из текста. Она (в сочетании
с другими командами) позволяет автоматически поддержи-
вать корректность ссылок. Я не буду на ней подробно оста-
навливаться.
Конвертирование в другие форматы
В большинстве случаев уже рассмотренных форматов впол-
не достаточно. Не надо торопиться отказываться от Post
Script. Он весьма гибок. Например, вы можете сразу подго-
товить документ для печати в виде брошюры:
pstops '4:-3L@.7(21cm,0)+0L@.7(21cm,14.85cm)' ↵
page-14pt.ps page-14pt-booklet-up.ps
pstops '4:1L@.7(21cm,0)+-2L@.7(21cm,14.85cm)' ↵
page-14pt.ps page-14pt-booklet-down.ps
Теперь можно на одной стороне листов напечатать со-
держимое файла page-14pt-booklet-up.ps, а на другой – page-
14pt-booklet-down.ps и сброшюровать. Вряд ли MSWord по-
зволит вам сделать буклет (и не только буклет) так же легко.
Подробнее о pstops вы можете почитать в соответству-
ющем man.
Имея в распоряжении PostScript, легко сделать DjVu-файл
или даже jpeg, что тоже может пригодиться, например, при
написании подобной статьи.
Следующая команда обработает файл page-12pt.ps и
создаст серию файлов file001.jpeg, file002.jpeg и так далее,
по одному на каждую страницу.
gs -sDEVICE=jpeg \
-sOutputFile=file%03d.jpeg \
-dBATCH \
-dNOPAUSE \
-r72x72 \
page-12pt.ps
Улучшить качество изображения (и увеличить размер
файлов) можно, изменив разрешение в параметре -r.
Создать DjVu-файл тоже несложно. Последовательность
действий во многом определяется набором инструментов,
которым вы располагаете. Я могу предложить следующий
алгоритм.
Сперва создаём PPM-изображения каждой страницы:
gs -sDEVICE=ppm \
-sOutputFile=file%d.ppm \
-dBATCH \
-dNOPAUSE \
-r120x120 \
page-12pt.ps
Далее конвертируем все страницы (пусть иx будет че-
тыре) в формат DjVu:
for i in 1 2 3 4
do
cpaldjvu -dpi 120 file$i.ppm file$i.djvu
done
И объединяем полученные файлы в один документ:
¹4, àïðåëü 2005
программирование
djvm -create result.djvu file1.djvu file2.djvu ↵
file3.djvu file4.djvu
В файле result.djvu объединены все страницы.
Если проделать все эти операции с четырёхстраничным
документом-примером к этой статье, то размер DjVu-файла
составит менее 25 Кб.
Если вам понадобится документ MSWord или RTF, то
проще всего создать HTML-документ (конвертирование в
HTML мы рассматривали в предыдущей статье), скопиро-
вать его из Explorer в Word и «сохранить как...».
Хотя POD поддерживает не все существующие в при-
роде форматы, я ни разу не сталкивался с безвыходной
ситуацией.
Проверка корректности POD
Для проверки корректности POD-исходника существует
очень полезная программа podchecker. Если вы укажете ей
опцию -warnings, то получите все возможные предупреж-
дения. Пример:
podchecker -warnings file.pod
Недостатки и перспективы POD
Огромным недостатком POD является отсутствие средств
формирования таблиц. Частично это компенсируется воз-
можностью вставки формат-ориентированных фрагментов.
Так, HTML-таблица может быть создана средствами HTML:
=for html
<table><tr><th>A</th><th>B</th></tr>
<tr><td>A</td><td>B</td></tr></table>
Но если вам требуется создать множество достаточно
сложных таблиц, если вы хотите видеть их в документах
разных форматов, то скорее всего вам следует использо-
вать другое средство.
Существенным недостатком является и то, что POD не
позволяет создавать документы, разнесённые в разные фай-
лы. В POD-языке отсутствуют операции типа include, что не
удобно при разработке больших документов. Это можно ча-
стично скомпенсировать, создавая некий гибридный доку-
мент, предназначенный для предварительной обработки ка-
ким-нибудь препроцессором, например, cpp или m4. Упрос-
тит ли это усовершенствование жизнь – решать вам.
Система POD продолжает развиваться. Наиболее мно-
гообещающей мне представляется команда =encoding. Со-
гласно документу perlpod, она должна использоваться в
начале документа.
Приведён даже пример (цитирую!):
=encoding koi8-r
Упоминается эта команда и в perldocspec. Но я, честно
говоря, так и не понял, как её использовать. Podchecker
сообщает, что такая команда ему не знакома. Конвертеры
предупреждают об ошибке и игнорируют её.
Тем не менее, работа над форматом и средствами POD
продолжается, и сделано уже немало. Работать с POD про-
сто, приятно и эффективно.
77
 программирование

ТЕХНИКА ОПТИМИЗАЦИИ ПОД LINUX

ЧАСТЬ 3

Áîëüøîå òåñòîâîå ñðàâíåíèå Linux-êîìïèëÿòîðîâ ïðîäîëæàåòñÿ! Òåìà ñåãîäíÿøíåãî

èññëåäîâàíèÿ – öèêëû è èõ îïòèìèçàöèÿ. Â îñíîâíîì ìû áóäåì ãîâîðèòü î òðåõ íàèáîëåå
ïîïóëÿðíûõ êîìïèëÿòîðàõ – GCC 3.3.4, Intel C++ 8.0 è Microsoft Visual C++ 6.0, ê êîòîðûì
òåïåðü ïðèñîåäèíèëñÿ è GCC 4.0.0 ñî ñâîèì íîâûì îïòèìèçàòîðîì öèêëîâ.

По статистике до 90% времени исполнения приходится на
глубоко вложенные циклы, от качества оптимизации кото-
рых зависит быстродействие всей программы в целом. Со-
временные компиляторы поддерживают множество про-
грессивных технологий оптимизации и способны букваль-
но творить чудеса!
Стратегия оптимизации циклов тесно связана с архи-
тектурой процессора, кэш-контроллера и контроллера опе-
ративной памяти. Это слишком объемная, можно даже ска-
зать, монументальная тема, и в рамках настоящей статьи
она не обсуждается. Читайте документацию, распростра-
няемую фирмами Intel и AMD (причем не только по процес-
сорам, но и по чипсету) или мою книгу «Техника оптимиза-
ции программ – эффективная работа с оперативной памя-
тью», в ней эти вопросы освещены достаточно подробно.
Выравнивание циклов
Выравнивание циклов (loop alignment) имеет много общего
с выравниванием ветвлений, о котором мы уже говорили в
предыдущей статье. Кратко опишем ситуацию для тех, кто
не читал ее. Компиляторы msvc и icl вообще не выравнива-
КРИС КАСПЕРСКИ
ют циклы, располагая их в памяти как угодно. В худшем
случае это приводит к трех-четырехкратному падению про-
изводительности. В среднем же теряется порядка 30%.
Компилятор gcc позволяет выравнивать циклы на вели-
чину, кратную степени двойки. За это отвечает ключ -falign-
loops=n (по умолчанию n равен двум, что, как уже отмеча-
лось, далеко не самая лучшая стратегия выравнивания, и
лучше выравнивать циклы по границе четырех байт).
Ключ -fno-align-loops (аналогичный ключу -falign-loops=1)
отключает выравнивание. На уровнях оптимизации -O2 и
-O3 выравнивание циклов по умолчанию включено, и от-
ключать его было бы неразумно.
Итого:
! msvc – не выравнивает.
! icl – не выравнивает.
! gcc – выравнивает по границе степени двойки.
Разворот циклов
Микропроцессоры с конвейерной архитектурой (а к тако-
вым относятся все современные x86-процессоры), плохо
приспособлены для работы с циклами. Для достижения наи-

78

высшей производительности процессору необходим доста-
точно протяженный участок «трассы выполнения», свобод-
ный от ветвлений.
Компактные циклы вида:
for(a=0;a<n;a++) *dst++= *src++;
исполняются очень медленно и для увеличения быстродей-
ствия приходится прибегать к их развороту (unrolling).
Под «разворотом» в общем случае понимается много-
кратное дублирование цикла, которое реализуется прибли-
зительно так:
Ëèñòèíã 1. Öèêë äî ðàçâîðîòà
for(i=1; i<n;i+)
k += (n % i);
Ëèñòèíã 2. Öèêë ïîñëå ðàçâîðîòà (áîëüøèé ðàçìåð — áîëüøàÿ
ñêîðîñòü)
// ðàçâîðîò öèêëà íà 4 èòåðàöèè
// âûïîëíÿåì ïåðâûå n – (n % 4) èòåðàöèé
for(i=1; i<n;i+=4)
{ ние зависит от количества инструкций в теле цикла). Если
k += (n % i) + \
(n % i+1) + \
(n % i+2) + \
(n % i+3);
}
// âûïîëíÿåì îñòàâøèåñÿ èòåðàöèè
for(i-=4; i<n;i++) k += (n % i);
Ëèñòèíã 3. Öèêë ïîñëå ðàçâîðîòà (ìåíüøèé ðàçìåð, ìåíüøàÿ
ñêîðîñòü — ìàøèííîå ïðåäñòàâëåíèå i++ íàìíîãî áîëåå
êîìïàêòíî, ÷åì i+const, îäíàêî åñëè âûðàæåíèÿ
…(n % i+const_1) + (n % i+const_2) … ìîãóò âûïîëíÿòüñÿ
îäíîâðåìåííî, òî …(n % i++) + (n % i++)… âû÷èñëÿþòñÿ
ïîñëåäîâàòåëüíî, ïîñêîëüêó ñîäåðæàò çàâèñèìîñòü ïî äàííûì)
for(i=1; i<(n-3);)
{ ная степень разворота). Разворот по всех случаях выпол-
k += (n % i++) + \
(n % i++) + \
(n % i++) + \
}
(n % i++);
for(;i<n;i++) k += (n % i);
Компилятор msvc вообще не разворачивает циклы, и эту
работу приходится выполнять вручную.
Компилятор icl разворачивает только циклы for по сце-
нарию больший размер – большая скорость. Причем цик-
лы с заранее известным количеством итераций:
for(a=0;a<const;a++)
где const <= 32 трансформируются в линейный код, и цикл
как таковой при этом исчезает (см. раздел «Шелушение
циклов»). Как следствие – размер программы существен-
но возрастает, а вместе с ним возрастает и риск «выле-
теть» за пределы кэша первого уровня, после чего произ-
водительность упадет так, что не поднимешь и домкратом.
Если const >32, цикл разворачивается на количество ите-
раций, кратное const, но не более 16, при этом компилятор
учитывает число инструкций в теле цикла – более компак-
тные циклы разворачиваются на большее число итераций.
Циклы, количество итераций которых компилятору не-
известно:
¹4, àïðåëü 2005
программирование
for(a=0;a<n;a++)
всегда разворачиваются на 5 итераций, а оставшиеся (n % 5)
итераций выполняются в отдельном неразвернутом цикле.
Циклы с ветвлениями разворачиваются только при транс-
формации в линейный код (при этом ветвления, естествен-
но, исчезают):
for (a=0; a<3;a++) if (a%2) x[a]++; else x[a]--;
преобразуется в:
x[0]--; x[1]++; x[2]--;
Компилятор gcc по умолчанию не разворачивает циклы
даже на уровне оптимизации O3, и делает это только с клю-
чом -funroll-all-loops, поддерживающим все виды циклов, а
не только цикл for. Циклы с известным количеством итера-
ций, где const <= 32 разворачиваются полностью, при
const > 32 – приблизительно на 4 итерации (точное значе-
внутри цикла присутствуют одно или несколько ветвлений,
при развороте они неизбежно дублируются, в результате
чего производительность оказывается даже ниже, чем была
до оптимизации! Циклы с неизвестным количеством ите-
раций не разворачиваются вообще. Для тонкой настройки
существуют ключи max-unrolled-insns (максимальное коли-
чество инструкций, при котором цикл еще может быть раз-
вернут, и если он будет развернут, это значение определя-
ет величину разворота), max-average-unrolled-insns (макси-
мальное среднее количество инструкций, которое цикл мо-
жет иметь после разворота) и max-unroll-times (максималь-
няется по сценарию больший размер – большая скорость.
Итого:
! msvc:
! не разворачивает никакие циклы.
! icl:
! циклы с переменным количеством итераций разво-
рачивает на 5 итераций;
! циклы с cost <= 32 разворачивает полностью;
! циклы с const > 32 разворачивает на величину, крат-
ную const, но не больше 10h;
! учитывает количество инструкций в цикле;
! циклы разворачиваются по сценарию: больший раз-
мер – большая скорость.
! gcc:
! на уровне O3 по умолчанию не разворачивает;
! циклы с переменным количеством итераций никог-
да не разворачиваются;
! циклы с постоянным количеством итераций разва-
риачиваются приблизительно на 4 итерации (но тут
все зависит от числа инструкций).
Шелушение циклов
Идея шелушения циклов (по-английски «peeling») заклю-
чается в «сдирании» с цикла одной или нескольких итера-
ций с последующей трансформацией в линейный код. Фак-
тически шелушение циклов является частным случаем раз-
79
 программирование
ворота, однако, область его применения этим не ограничи- {
вается. sum += a[i];
sum += a[i+1];
Рассмотрим следующий код: sum += a[i+2];
sum += a[i+3];
}
Ëèñòèíã 4. Êàíäèäàò íà îïòèìèçàöèþ
for (i -= 4; i<XXL; i++)
for(i=0; i<n; i++) sum += a[i];
a[i] = b[i] + 1;

for(j=0; j<n+1; j++) Все три рассматриваемых компилятора поддерживают

c[j] = d[j] – 1;
Чтобы объединить оба цикла в один (см. раздел «Объе-
динение циклов»), необходимо «содрать» с цикла j одну
«лишнюю» итерацию:
Ëèñòèíã 5. Îïòèìèçèðîâàííûé âàðèàíò
for(i = 0; i < n; i++)
{ держка векторных команд (они же «мультимедийные коман-
a[i] = b[i] + 1;
c[i] = d[i] - 1;
} ствуют, а нестандартные языковые расширения создают
c[i] = d[i] - 1;
Компилятор msvc шелушить циклы не умеет, icl и gcc –
умеют, но особой радости от этого никто не испытывает,
поскольку они никогда не комбинируют шелушение с дру-
гими приемами оптимизации, что практически полностью
его обесценивает. А вот компиляторы от SUN или Hewlett-
Packard – комбинируют!
Компилятор gcc содержит специальный ключ -fpeel-
loops, полностью разворачивающий циклы с небольшим ко-
личеством итераций. Пороговое значение назначается клю-
чами: max-peel-times (сколько итераций можно сдирать с
одного цикла), max-completely-peel-times (максимальное ко-
личество итераций цикла, который еще может быть раз-
вернут), max-completely-peeled-insns (максимальное коли-
чество инструкций, при которых цикл еще может быть раз-
вернут) и max-peeled-insns (максимальное количество ин-
струкций развернутого цикла).
Итого:
! msvc – не шелушит.
! gcc – шелушит.
! icl – шелушит.
данную стратегию оптимизации.
Итого:
! msvc – фальцует.
! gcc – фальцует.
! icl – фальцует.
Векторизация
Начиная с Pentium MMX, в x86-процессорах появилась под-
ды»). К сожалению, в ANSI C векторные операции отсут-
проблему переносимости, поэтому вся забота по вектори-
зации циклов ложится на компилятор. Он должен проана-
лизировать исходный код и определить, какие операции
могут выполняться параллельно, а какие нет.
Допустим, исходный цикл выглядел так:
Ëèñòèíã 8. Öèêë äî âåêòîðèçàöèè
for(i=0; i<XXL; i++)
a[i] += b[i];
Используя общепринятую векторную нотацию, его мож-
но переписать следующим образом:
Ëèñòèíã 9. Òîò æå öèêë, çàïèñàííûé â âåêòîðíîé íîòàöèè
a[0:N] = a[0:N] + b[0:N];
Старшие представители процессоров Pentium могут об-
рабатывать до 8 порций данных параллельно, и если N пре-
вышает это число, приходится поступать так:
Ëèñòèíã 10. Öèêë ïîñëå âåêòîðèçàöèè

// îáðàáàòûâàåì ïåðâûå (N-N%VF) ÿ÷ååê âåêòîðíûì ñïîñîáîì

Фальцевание циклов
Фальцевание циклов (fold loops) внешне очень похоже на
разворот, но преследует совсем другие цели, а именно: уве-
личение количества потоков данных на одну итерацию. Чем
выше плотность (strength) потоков, тем выше параллелизм
обработки данных, а, значит и скорость выполнения цикла.
Рассмотрим следующий пример:
Ëèñòèíã 6. Íåîïòèìèçèðîâàííûé âàðèàíò – îäèí ïîòîê äàííûõ
íà èòåðàöèþ
for(i=0; i<XXL; i++)
sum += a[i];
Чтобы сократить время выполнения цикла, необходимо
увеличить количество потоков, переписав наш код так:
Ëèñòèíã 7. Îïòèìèçèðîâàííûé âàðèàíò — ÷åòûðå ïîòîêà
äàííûõ íà èòåðàöèþ
for(i=0; i<XXL; i += 4)
// VF –êîëè÷åñòâî ïîðöèé äàííûõ, êîòîðûå ïðîöåññîð áóäåò
// îáðàáàòûâàòü çà îäèí ðàç
for (i=0; i<XXL; i+=VF)
a[i:i+VF] = a[i:i+VF] + b[i:i+VF];
// îáðàáàòûâàåì îñòàâøèéñÿ «õâîñò» îáû÷íûì ñïîñîáîì
for (i -= VF ; i < XXL; i++)
a[i] = a[i] + b[i];
Однако эта методика срабатывает далеко не всегда. Вот
пример цикла, который нельзя векторизовать:
Ëèñòèíã 11. Öèêë, êîòîðûé íåëüçÿ âåêòîðèçîâàòü
for (i=1; i<XXL; i++)
a[i] = a[i-1] + b[i];
Поскольку последующая ячейка (a[i]) вычисляется на ос-
нове предыдущей (a[i-1]), данные не могут обрабатываться
параллельно.
Компилятор msvc не поддерживает векторизацию, а icl

80

поддерживает, но задействует ее только в том случае, если
указан ключ -ax. Компилятор gcc поддерживает векториза-
цию только начиная с версии 3.4.3, да и то если присут-
ствует флаг -ftree-vectorize.
Итого:
! msvc – не векторизует.
! icl – векторизует.
! gcc – векторизует начиная с версии 3.4.3.
Автопараллелизм
Многопроцессорные машины на рабочем столе – это не уто-
пия, а объективная данность, и с каждым годом их количе-
ство будет только расти. В операционных системах семей-
ства Linux многозначность заканчивается на уровне пото-
ков (в старых ядрах – процессов). Всякий поток в каждый
момент времени может выполняться только на одном про-
цессоре. Программы, состоящие целиком из одного пото-
ка, на многопроцессорной машине исполняются с той же
скоростью, что и на однопроцессорной.
Некоторые компиляторы автоматически разбивают
большие (с их точки зрения) циклы на несколько циклов
меньшего размера, помещая каждый из них в свой поток.
Такая техника оптимизации называется автопараллелиз-
мом (auto-parallelization). Продемонстрируем ее на следую-
щем примере:
Ëèñòèíã 12. Íåîïòèìèçèðîâàííûé âàðèàíò
for (i=0; i<XXL; i++)
a[i] = a[i] + b[i] * c[i];
Поскольку зависимость по данным отсутствует, цикл
можно разбить на два. Первый будет обрабатывать ячейки
от 0 до XXL/2, а второй – от XXL/2 до XXL. Тогда на двух-
процессорной машине скорость выполнения цикла практи-
чески удвоится. А если еще учесть, что многопроцессор-
ные машины, как правило, имеют MMX-команды, да исполь-
зовать векторизацию...
Ëèñòèíã 13. Îïòèìèçèðîâàííûé âàðèàíò
/* ïîòîê A */
for (i=0; i<XXL/2; i++)
a[i] = a[i] + b[i] * c[i];
/* ïîòîê B */
for (i=XXL/2; i<XXL; i++)
a[i] = a[i] + b[i] * c[i];
Компилятор icl – единственный из всех трех, способный
на «параллелизацию» циклов. Чтобы ее задействовать, ис-
пользуйте ключ –parallel, только помните, что при выполне-
нии кода на однопроцессорных машинах, оптимизация дает
обратный эффект (накладные расходы на организацию
потоков дают о себе знать).
Итого:
! msvc – автопараллелизм не поддерживается.
! icl – автопараллелизм поддерживается.
! gcc – автопараллелизм не поддерживается.
Программная конвейеризация
Разворот цикла традиционными методами (см. раздел «Раз-
матывание циклов») порождает зависимость по данным.
¹4, àïðåëü 2005
программирование
Вернемся к листингу 3. Хотя загрузка обрабатываемых яче-
ек происходит параллельно (практически параллельно, они
будут ползти по конвейеру, находясь на различных стадиях
готовности), следующая операция сложения не может быть
начата до тех пор, пока не будет завершена предыдущая.
Для усиления параллелизма необходимо суммировать
все ячейки в своих переменных, как показано ниже:
Ëèñòèíã 14. Îïòèìèçèðîâàííûé âàðèàíò
// îáðàáàòûâàåì ïåðâûå XXL – (XXL % 4) èòåðàöèé
for(i=0; i<XXL;i+=4)
{
sum_1 += a[i+0];
sum_2 += a[i+2];
sum_3 += a[i+3];
sum_4 += a[i+4];
}
// îáðàáàòûâàåì îñòàâøèéñÿ «õâîñò»
for(i-=XXL; i<XXL;i++)
sum += a[i];
// ñêëàäûâàåì âñå âîåäèíî
sum += sum_1 + sum_2 + sum_3 + sum_4;
Такая техника оптимизации называется программной
конвейеризацией (software pipelining), и из трех рассматри-
ваемых компиляторов ею не обладает ни один. Только gcc
робко пытается ослабить зависимость по sum, используя
два регистра при развороте на четыре итерации. Осталь-
ные же компиляторы грузят все ячейки в один и тот же ре-
гистр, очевидно, руководствуясь принципом экономии. Ре-
гистров общего назначения всего семь, и их постоянно не
хватает. К сожалению, компилятор не отличает ситуацию
действительно дефицита регистров от их избытка, вынуж-
дая нас прибегать к ручной оптимизации.
Итого:
! msvc – программная конвейеризация не поддерживает-
ся.
! icl – программная конвейеризация не поддерживается.
! gcc – программная конвейеризация частично поддер-
живается.
Предвычисление индуктивных циклов
Цикл называется индуктивным, если его тело целиком со-
стоит из выражения, последующее значение которого вы-
числяется на основе предыдущего. Легко доказать, что зна-
чение индуктивного цикла зависит только от количества ите-
раций и начального значения аргументов выражения, бла-
годаря чему оно может быть вычислено еще на стадии ком-
пиляции.
Рассмотрим следующий пример:
Ëèñòèíã 15. Èíäóêòèâíûé öèêë äî îïòèìèçàöèè
for (i=0; i<XXL; i++)
sum++;
Очевидно, что конечное значение sum равно:
Ëèñòèíã 16. Èíäóêòèâíûé öèêë ïîñëå îïòèìèçàöèè
sum += XXL;
Компилятор msvc всегда пытается предвычислить зна-
81
 программирование
чение индуктивного цикла, однако далеко не всегда это ему return result;
удается, особенно если индуктивное выражение представ- }
else
ляет собой сложную математическую формулу. {
Два остальных компилятора оставляют индуктивные return fact(n - 1, result * n);
}
циклы такими, какие они есть, даже не пытаясь их оптими- }
зировать!
Итого: Вызов функции – достаточно «дорогостоящая» опера-
! msvc – предвычисляет некоторые индуктивные циклы. ция, и от него лучше избавиться. Это легко! Хвостовая ре-
! icl – не предвычисляет индуктивные циклы. курсия легко трансформируется в цикл. Смотрите:
! gcc – не предвычисляет индуктивные циклы.
Ëèñòèíã 20. Õâîñòîâàÿ ðåêóðñèÿ ïîñëå îïòèìèçàöèè
Разбивка длинных цепочек зависимостей for(i=0; i<n; i++)
Если индуктивный цикл предвычислить не удалось, необ- result *= n;
ходимо по крайней мере ослабить зависимость между ите-
рациями, чтобы они могли исполняться параллельно. Рас- Компиляторы msvc и gcc всегда разворачивают хвосто-
смотрим следующий код: вую рекурсию в цикл, а вот icl этого делать не умеет.
Итого:
Ëèñòèíã 17. Èíäóêòèâíûé öèêë äî îïòèìèçàöèè ! msvc – устраняет хвостовую рекурсию.
for(i=0;i<XXL;i++) ! icl – не устраняет хвостовую рекурсию.
{
x += 2;
! gcc – устраняет хвостовую рекурсию.
a[i] = x;
} Объединение циклов
Несколько циклов с одинаковым заголовком могут быть
Выражение (a[i]=x) не может быть выполнено до тех пор, объединены в один, что сокращает накладные расходы на
пока не будет вычислено (x+=2), а оно в свою очередь дол- его организацию. Эта методика имеет множество назва-
жно дожидаться завершения предыдущей итерации. Индук- ний – loops fusion, merge loops, jam loops, создающих боль-
ция однако! От нее можно избавится, вычисляя значение шую путаницу и вводящих программистов в заблуждение.
n-ой итерации на «лету»: В действительности же это не три различные стратегии оп-
тимизации, а всего одна, но какая! Продемонстрируем ее
Ëèñòèíã 18. Èíäóêòèâíûé öèêë ïîñëå îïòèìèçàöèè на следующем примере:
for(i=0;i<XXL;i++)
{ Ëèñòèíã 21. Öèêëû äî îáúåäèíåíèÿ (íåîïòèìèçèðîâàííûé
a[i] = i*2 + x; âàðèàíò)
}
for(i=0; i<XXL; i++)
a[i] = b[i] + 1;
Расплатой за отказ от индукции становится появление
«лишней» инструкции умножения, однако накладные рас- for(j=0; j<XXL; j++)
d[j] = ó[j] -1;
ходы на ее выполнение с лихвой окупаются конвейериза-
цией (а при желании и векторизацией!) цикла. Такая техни- Поскольку заголовки обоих циклов абсолютно идентич-
ка оптимизации называется «разбивка длинных цепочек ны, нам достаточно лишь «коллективизировать» их содер-
зависимостей» (breaks long dependency chains) и реализо- жимое:
вана только в gcc, начиная с версии 4.0 (за это отвечает
ключ -fsplit-ivs-in-unroller), а все остальные рассматривае- Ëèñòèíã 22. Öèêëû ïîñëå îáúåäèíåíèÿ (îïòèìèçèðîâàííûé
âàðèàíò)
мые компиляторы на это, увы, не способны.
Итого: for(i = 0; i < XXL; i++)
{
! msvc – не разбивает длинные цепочки зависимостей. a[i] = b[i] + 1;
! icl – не разбивает длинные цепочки зависимостей. }
d[j] = ó[j] -1;
! gcc – разбивает длинные цепочки зависимостей.
А вот более сложный пример:
Устранение хвостовой рекурсии
Хвостовой рекурсией (tail recursion) называется такой тип Ëèñòèíã 23. Êàíäèäàò íà îïòèìèçàöèþ ïóòåì îáúåäèíåíèÿ
рекурсии, при котором вызов рекурсивной функции следу- for(i=0; i<XXL; i++)
ет непосредственно за оператором return. a[i] = b[i] + 1;
for(j=0; j<XXL-1; j++)
Классическим примером может служить алгоритм вы- d[j] = ó[j] -1;
числения факториала:
Непосредственно объединить циклы невозможно, по-
Ëèñòèíã 19. Õâîñòîâàÿ ðåêóðñèÿ äî îïòèìèçàöèè скольку цикл j на одну итерацию короче. Чтобы уравнять
int fact(int n, int result) оба заголовка в правах, предварительно необходимо «со-
{ драть» (см. «loop peeling» фирменного руководства) с цик-
if(n == 0)
{ ла i одну итерацию:

82

Ëèñòèíã 24. Îïòèìèçèðîâàííûé âàðèàíò
for(i = 0; i < XXL; i++)
{ кэша, многократно снижающее производительность.
a[i] = b[i] + 1;
d[i] = ó[i] -1;
} a[i] = b[i] + 1;
Документация на компилятор icl утверждает: объедине-
ние циклов как будто бы поддерживается (см. главу «loop
transformation» фирменного руководства), однако дизассем-
блирование показывает, что это не так. Остальные компи-
ляторы объединение циклов также не выполняют.
Итого:
! msvc – не объединяет циклы.
! icl – не объединяет циклы.
! gcc – не объединяет циклы.
Разматывание циклов
Разматывание циклов (loop spreading) представляет собой
разновидность шелушения, при котором «содранные» ите-
рации упаковываются в самостоятельный цикл, что бывает
полезным, например, при объединении двух циклов с «раз-
нополыми» заголовками.
Рассмотрим следующий код:
Ëèñòèíã 25. Äâà öèêëà ñ ðàçëè÷íûì êîëè÷åñòâîì èòåðàöèé
(íåîïòèìèçèðîâàííûé âàðèàíò)
for(i=0; i<n; i++;)
a[i] = a[i] + c;
for(j=0; j<m; j++;)
s[j] = s[j] + s[j+1];
Если n не равно m, полное объединение циклов i и j уже
невозможно, но min(n,m) итераций мы все же можем объе-
динить:
Ëèñòèíã 26. ×àñòè÷íîå îáúåäèíåíèå öèêëîâ ïóòåì
«ðàçìàòûâàíèÿ» (îïòèìèçèðîâàííûé âàðèàíò)
for(i=0; i<min(n,m); i++;)
{
a[i] = a[i] + c;
s[i] = s[i] + s[i+1];
}
for(i = min(n,m); i<max(n,m); i++;)
s[i] = s[i] + s[i+1];
Ни msvc, ни icl, ни gcc способностью к «разматыванию»
циклов не обладают, однако это умеют делать, например,
компиляторы от Hewlett-Packard.
Итого:
! msvc – не разматывает циклы.
! icl – не разматывает циклы.
! gcc – не разматывает циклы.
Расщепление циклов
Расщепление циклов (loop distribution, loop fission, loop
splitting…) прямо противоположно их объединению. К тако-
му трюку прибегают в тех случаях, когда оптимизируемый
цикл содержит слишком много данных. Ассоциативность
кэш-памяти первого уровня у большинства x86-процессо-
ров равна четырем, реже – восьми, а это значит, что каж-
дая обрабатываемая ячейка данных может претендовать
лишь на одну из четырех (восьми) возможных кэш-линеек
¹4, àïðåëü 2005
программирование
и если они к этому времени уже заняты ячейками осталь-
ных потоков, происходит их неизбежное вытеснение из
Рассмотрим следующий пример:
Ëèñòèíã 27. Íåîïòèìèçèðîâàííûé âàðèàíò
for(j = 0; j < n; j++)
{
c[j] = 0;
for(i = 0; i<m; i++)
a[j][i] = a[j][i] + b[j][i] * c[j];
}
Чтобы сократить количество потоков данных, следует
вынести выражение (c[j] = 0) в отдельный цикл, переписав
код так:
Ëèñòèíã 28. Îïòèìèçèðîâàííûé âàðèàíò
for(j = 0; j < n; j++)
c[j] = 0;
for(i=0; i<m; i++)
for(j = 0; j < n; j++)
a[j][i] = a[j][i] + b[j][i] * c[j];
Компилятор icl именно так и поступает, снимая это бре-
мя с плеч программиста.
Остальные рассматриваемые компиляторы этой способ-
ностью, увы, не обладают.
Итого:
! msvc – не расщепляет циклы.
! icl – расщепляет циклы.
! gcc – не расщепляет циклы.
Нормализация циклов
Нормализованным называется цикл, начинающийся с нуля,
и в каждой итерации увеличивающий свое значение на еди-
ницу, а приведение произвольного цикла к указанной фор-
ме называется его нормализацией (loop normalization). При-
нято считать, что на большинстве архитектур нормализо-
ванный цикл компилируется в более компактный и быстро-
действующий код, однако в отношении x86-процессоров это
совсем не так, и более компактным оказывается цикл, стре-
мящийся к нулю (см. раздел «Стремление циклов к нулю»).
Тем не менее нормализация бывает полезной, например,
при объединении двух циклов с различными заголовками.
Если эти циклы предварительно нормализовать, тогда они
будут отличаться друг от друга всего лишь числом итера-
ций, а как объединять циклы с несовпадающим количеством
итераций, мы уже знаем (см. раздел «Разматывание цик-
лов»).
Возьмем произвольный цикл:
Ëèñòèíã 29. Íåíîðìàëèçîâàííûé öèêë
for (i = lower; i < upper; i+=(-incre))
{
// òåëî öèêëà
}
В общем случае стратегия нормализации выглядит так:
Ëèñòèíã 30. Íîðìàëèçîâàííûé öèêë
for (NCL = 0; i < (upper - lower + incre)/incre - 1; 1)
{
83
 программирование
i = incre*NLC + lower;
// òåëî öèêëà
}
i = incre * _max((upper - lower + incre)/incre, 0) + lower;
Легко показать, что нормализация дает выигрыш толь-
ко на циклах с заранее известным количеством итераций,
позволяющих вычислить значение выражения (upper lower +
incre)/incre еще на стадии компиляции.
Все три рассматриваемых компилятора поддерживают
нормализацию циклов (см. раздел «loop normalization» в до-
кументации на icl и описание ключа -fivcanon компилятора
gcc), но не всегда ею пользуются.
Рассмотрим следующий пример:
Ëèñòèíã 31. Íåíîðìàëèçîâàííûé öèêë
int i, x[10];
for(i=1; i<10; i++)
x[i]=i-1;
Очевидно, что его можно нормализовать, избавляясь от
операции вычитания в выражении (i-1):
Ëèñòèíã 32. Íîðìàëèçîâàííûé öèêë
int i, x[10]; int *p; p = &x[1];
for(i=0; i<9; i++)
p[i]=i;
Поразительно, но ни один из трех рассматриваемых
компиляторов этого не делает, поэтому все они получают
незачет.
Итого:
! msvc – нормализует некоторые циклы.
! icl – нормализует некоторые циклы.
! gcc – нормализует некоторые циклы.
Масштабирование циклов
Масштабированием (scaling) в общем случае называется
умножение индекса массива на некоторое, как правило,
целочисленное значение, например, x = a[4*i]. Идея масш-
табирования циклов заключается в выносе множителя в ин-
дуктивный инкремент счетчика цикла.
Допустим, исходный цикл выглядел так:
Ëèñòèíã 33. Èñõîäíûé öèêë (íåîïòèìèçèðîâàííûé âàðèàíò)
for(i=0; i < XXL; i++)
a[4*i]= b[i];
После масштабирования он приобретает следующий
вид:
Ëèñòèíã 34. Öèêë ïîñëå ìàñøòàáèðîâàíèÿ (îïòèìèçèðîâàííûé
âàðèàíò)
for(i=0; i < 2*XXL; i+=2)
a[i]= *b++;
В времена XT/AT такая оптимизация еще имела смысл,
но начиная с 80386, в процессорах появилась аппаратная
поддержка масштабирования на 2х, 4х, 8х и с некоторыми
ограничениями на 3х, 5х и 9х, поэтому масштабировать та-
кие циклы уже не нужно.
Масштабирование поддерживают все три рассматрива-
емых компилятора, но пользуются им довольно неумело,
84
оставляя цикл немасштабированным даже тогда, когда это
ему явно не помешало бы.
Итого:
! msvc – масштабирует некоторые циклы.
! icl – масштабирует некоторые циклы.
! gcс – масштабирует некоторые циклы.
Замена циклов с предусловием
на циклы с постусловием
Циклы с предусловием (for, while) содержат по меньшей
мере на одно ветвление больше, чем аналогичные им цик-
лы с постусловием. Как нетрудно сообразить – в конце цик-
ла с предусловием находится безусловный переход, воз-
вращающий управление в начало, а в цикле с постуслови-
ем передача управления по «совместительству» еще вы-
полняет и проверку условия.
Все три рассматриваемых компилятора всегда заменя-
ют циклы с предусловием на циклы с постусловием, когда
это выгодно.
Итого:
! msvc – заменяет циклы с предусловием на циклы с по-
стусловием.
! icl – заменяет циклы с предусловием на циклы с постус-
ловием.
! gcc – заменяет циклы с предусловием на циклы с по-
стусловием.
Стремление циклов к нулю
На большинстве процессорных архитектур инструкция дек-
ремента (уменьшения регистра на единицу) автоматичес-
ки взводит специальный флаг при достижении нуля, поэто-
му, цикл, стремящийся к нулю (incrementing by zero, хотя
правильнее было назвать его decrementing by zero), намно-
го выгоден как с точки зрения компактности, так и с точки
зрения быстродействия. Операция инкремента при дости-
жении нужного нам значения (n) никаких флагов, конечно,
не возводит, поэтому приходится тратить процессорное вре-
мя на операцию сравнения.
Рассмотрим следующий код:
Ëèñòèíã 35. Íåîïòèìèçèðîâàííûé âàðèàíò
for(i=0; i<n; i++) printf("hello!\n");
Поскольку никаких обращений к счетчику цикла здесь
нет, его можно развернуть в обратном направлении. Это
легко. А вот пример посложнее:
Ëèñòèíã 36. Íåîïòèìèçèðîâàííûé âàðèàíò
for(i=0;i<n; i++) sum+=a[i];
В этом случае за трансформацию цикла приходится рас-
плачиваться усложнением его тела, однако несмотря на это
скорость выполнения все равно возрастает:
Ëèñòèíã 37. Îïòèìèçèðîâàííûé âàðèàíò
i=n; do
{
sum+=*a;
a++;
} while(--i);

Компилятор msvc всегда стремится генерировать цик-
лы, стремящиеся к нулю, icl этого не делает вообще, а gcc
прибегает к трансформации циклов только в некоторых наи-
более очевидных случаях. В частности, он избегает трогать
циклы, содержащие ссылки на память.
Итого:
! msvc – всегда устремляет циклы к нулю.
! icl – никогда не устремляет циклы к нулю.
! gcc – устремляет некоторые циклы к нулю.
Отказ от branch-count-reg
Многие микропроцессоры имеют специальную команду:
«уменьши-регистр-на-единицу-и-ветвись-если-нуль» (branch-
count-reg). На x86-процессорах этим занимается LOOP, ча-
сто встречающаяся в ассемблерных вставках начинающих
программистов, но практически никогда в коде, сгенериро-
ванном компилятором. И вовсе не потому, что компилятор
«тупой», а потому, что эта инструкция медленная, хотя и
компактная.
Компиляторы msvc и icl никогда ее не используют, а gcc
предоставляет специальный ключ -fbranch-count-reg, пред-
писывающий выбирать LOOP вместо DEC reg/JNZ begin_loop,
(см. раздел «Стремление циклов к нулю»), правда, до ма-
шинного она все равно не доживает и уничтожается опти-
мизатором.
Итого:
! msvc – не использует branch-count-reg.
! icl – не использует branch-count-reg.
! gcc – не использует branch-count-reg.
Вынос инвариантных ветвлений
Ветвления, инвариантные по отношению к циклу, могут
быть вынесены за его пределы путем расщепления одного
цикла на два или более. Размеры кода при этом возраста-
ют, но и производительность увеличивается (конечно, при
условии, что цикл влезает в кэш).
Покажем это на следующем примере:
Ëèñòèíã 38. Öèêë ñ èíâàðèàíòíûì âåòâëåíèåì
(íåîïòèìèçèðîâàííûé âàðèàíò)
for (i = 0; i < n; i++)
{ // ñòàë ïåðâûì
for (j = 0; j < n; j++)
{
if (flag < 0x669) a[i][j]=i+j; else a[i][j]=0;
} printf("1-é îïåðàòîð öèêëà\n");
} } while(–-a<0); // ñþäà ïîïàëî óñëîâèå èç if - break
Поскольку ветвление if (n < 0x669) инвариантно по от-
ношению к циклу j, мы от него избавляемся:
Ëèñòèíã 39. Îïòèìèçèðîâàííûé âàðèàíò
if (flag < 0x669)
for (i = 0; i < n; i++)
for (j = 0; j < n; j++)
a[i][j]=i+j;
else
for (i = 0; i < n; i++)
for (j = 0; j < n; j++)
a[i][j]=0;
На суперкомпьютерных компиляторах такая техника оп-
тимизации используется уже давно и называется loop
¹4, àïðåëü 2005
программирование
promotion, loop interchange или loop unswitching, но на PC
она впервые появилась только в последней версии компи-
лятора gcc. Этим заведует ключ -funswitch-loops (задейство-
вать вынос инвариантных ветвлений), max-unswitch-insns
(максимальное количество инструкций, которое может
иметь «расщепляемый» цикл) и max-unswitch-level (макси-
мальное количество инвариантных ветвлений, которые мо-
жет иметь «расщепляемый цикл»).
Приверженцы остальных компиляторов пока вынужде-
ны выносить инварианты самостоятельно.
Итого:
! msvc – не выносит инвариантные ветвления.
! icl – не выносит инвариантные ветвления.
! gcc – выносит инвариантные ветвления, начиная с вер-
сии 3.4.3.
Ротация ветвлений
Бесконечные циклы с выходом по break могут быть преоб-
разованы в конечные циклы с постусловием. При этом тело
цикла как бы прокручивается, чтобы оператор break пере-
местился на место while(1), а сам while(1) сомкнулся с опе-
ратором do и «коллапсировал».
Продемонстрируем это на следующем примере:
Ëèñòèíã 40. Íåîïòèìèçèðîâàííûé âàðèàíò
do
{
printf("1é îïåðàòîð öèêëà\n");
if (--a<0) break;
printf("2é îïåðàòîð öèêëà\n");
} while(1);
После ротации ветвлений наш код будет выглядеть так:
Ëèñòèíã 41. Îïòèìèçèðîâàííûé âàðèàíò
// äóáëèðóåì îïåðàòîðû öèêëà, ðàñïîëîæåííûå äî break
printf("1-é îïåðàòîð öèêëà\n");
a--;
// à äîëæåí ëè âîîáùå âûïîëíÿòüñÿ îñòàòîê öèêëà?
if (a>=0)
{
a++;
do
{
// ïîñëå òðàíñôîðìàöèè âòîðîé îïåðàòîð
printf("2-é îïåðàòîð\n");
// …à ïåðâûé îïåðàòîð — âòîðûì
}
Из всех трех рассматриваемых компиляторов удалять
лишние ветвления умеет лишь один msvc.
Итого:
! msvc – выполняет ротацию ветвлений.
! icl – не выполняет ротацию ветвлений.
! gcc – не выполняет ротацию ветвлений.
Упорядочение обращений к памяти
При обращении к одной-единственной ячейке памяти в кэш
первого уровня загружается целая строка, длина которой в
зависимости от типа процессора варьируется от 32 до 128
или даже 256 байт, поэтому большие массивы выгоднее
всего обрабатывать по строкам, а не по столбцам. К сожа-
85
 программирование
лению, многие программисты об этом забывают и отдувать-
ся приходится компилятору:
Ëèñòèíã 42. Îáðàáîòêà ìàññèâîâ ïî ñòîëáöàì
(íåîïòèìèçèðîâàííûé âàðèàíò)
for(j=0;j<m;j++)
for(i=0;i<n;i++)
a[i][j] = b[i][j] + c[i][j];
Здесь три массива обрабатываются по столбцам, что
крайне непроизводительно и для достижения наивысшей
эффективности циклы i и j следует поменять местами. Ус-
тоявшегося названия у данной методики оптимизации нет,
и в каждом источнике она называется по-разному: loop
permutation/interchange/reversing, rearranging array dimensions
и т. д. Как бы там ни было, результирующий код выглядит
так:
Ëèñòèíã 43. Îáðàáîòêà ìàññèâîâ ïî ñòîëáöàì
(îïòèìèçèðîâàííûé âàðèàíò)
for(i=0;i<n;i++)
for(j=0;j<m;j++)
a[i][j] = b[i][j] + c[i][j];
Все три рассматриваемых компилятора поддерживают
данную стратегию оптимизации, однако их интеллектуаль-
ные способности очень ограничены и со следующим при-
мером не справился ни один.
Ëèñòèíã 44. Ñëîæíûé ñëó÷àé îáðàáîòêè äàííûõ ïî ñòîëáöàì
for (i=0; i<n; i++)
for (j=0; j<n; j++)
for (k=0; k<n; k++)
a[j][i] = a[j][i] + b[k][i] * c[j][k];
А вот компиляторы от Hewlett-Packard оптимизируют
этот цикл так (хвост цикла для простоты не показан):
Òàáëèöà1. Ñâîáîäíàÿ òàáëèöà êà÷åñòâà îïòèìèçàöèè
86
Ëèñòèíã 45. Îïòèìèçèðîâàííûé âàðèàíò ñ ðàçâîðîòîì íà 4
èòåðàöèè (îáðàòèòå âíèìàíèå, êàêîé öèêë áûë ðàçâåðíóò!)
for(i=0; i<n; i+=4)
{
for (j=0; j<n; j++)
{
for (k=0; k<n; k++)
{
a[j][i] = a[j][i] + b[k][i] * c[j][k];
a[j][i+1] = a[j][i+1] + b[k][i+1] * c[j][k];
a[j][i+2] = a[j][i+2] + b[k][i+2] * c[j][k];
a[j][i+3] = a[j][i+3] + b[k][i+3] * c[j][k];
}
}
}
Оптимизатор скомбинировал сразу три методики: раз-
ворот, объединение и переупорядочение циклов, благода-
ря чему скорость выполнения значительно возросла. К со-
жалению, еще долгое время PC-программистам придется
оптимизировать свои программы самостоятельно, хотя
стремительное совершенствование gcc дает робкую надеж-
ду на изменение ситуации.
Итого:
! msvc – частично упорядочивает обращения к памяти.
! icl – частично упорядочивает обращения к памяти.
! gcc – частично упорядочивает обращения к памяти.
Заключение
Прогресс не стоит на месте, и со времени появления msvc
компиляторы сделали большой шаг вперед. Особенно по-
радовал gcc 4.0.0 с его новым оптимизатором циклов, ко-
торый намного превосходит icl и msvc вместе взятые. Тем
не менее до совершенства ему еще далеко. Некоторые тех-
ники, присутствующие еще в msvc, в нем не реализованы
(например, ротация ветвлений), не говоря уже про «серь-
езные» компиляторы от Hewlett-Packard. Так что на компи-
лятор надейся, а сам не плошай!

Межсайтовый скриптинг
в Oracle Reports Server
Программа: Oracle Reports Server 10g (9.0.4.3.3).
Опасность: Низкая.
Описание: Уязвимость позволяет удаленному пользовате-
лю произвести XSS-нападение и получить доступ к потен-
циально важным данным других пользователей.
Уязвимость существует из-за некорректной фильтрации
входных данных в демонстрационном сценарии test.jsp. Уда-
ленный пользователь может с помощью специально сфор-
мированного URL выполнить произвольный HTML-сценарий
в браузере жертвы. Пример:
http://[target]/reports/examples/Tools/test.jsp? ↵
repprod&desname='&lt;script&gt; ↵
alert(document.cookie);&lt;/script&gt;
http: //[target]/reports/examples/Tools/test.jsp? ↵
repprod"&lt;script;&gt;alert(document.cookie); ↵
&lt;/script&gt;
URL производителя: http://www.oracle.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Отказ в обслуживании
в продуктах Symantec
Программа: Symantec Norton System Works, Symantec
Norton Internet Security, Symantec Norton AntiVirus версии
2004, 2005.
Опасность: Средняя.
Описание: Уязвимость существует в модуле AutoProtect.
Злоумышленник может специальным образом создать или
изменить файл и вызвать отказ в обслуживании системы.
Злоумышленник может потребить все возможные ресур-
сы системы при включенной опции SmartScan. Программ-
ное обеспечение некорректно обрабатывает переименова-
ние файлов.
URL производителя: www.symantec.com.
Решение: Установите обновления от производителя.
Удаленное переполнение буфера
в telnet-клиенте на различных
платформах
Программа: telnet-клиент на многих UNIX-системах.
Опасность: Средняя.
Описание: Уязвимость обнаружена в функции slc_add_
reply(). Злонамеренный telnet-сервер может послать клиен-
ту большое количество специально сформированных LINE-
MODE Set Local Character (SLC)-команд и вызвать перепол-
нение буфера. Пример:
perl -e 'print "\377", "\372\42\3\377\377\3\3" x 43, ↵
"\377\360"' | nc -l 23
Уязвимость в функции env_opt_add() при обработке
escape-символов может позволить злонамеренному серве-
ру вызвать переполнение буфера. Удаленный злонамерен-
ный сервер может выполнить произвольный код на систе-
ме клиента с привилегиями пользователя, запустившего
telnet-приложение. Большинство клиентов на BSD-системах
уязвимы.
Решение: Установите обновления от производителя.
¹4, àïðåëü 2005
bugtraq
Обход ограничений безопасности
в Kerio Personal Firewall
Программа: Kerio Personal Firewall 4.1.2 и более ранние вер-
сии.
Опасность: Низкая.
Описание: Уязвимость существует из-за ошибки, которая
позволяет злонамеренному процессу выдать себя за раз-
решенное приложение. Удачная эксплуатация уязвимости
позволит злонамеренному процессу или локальному
пользователю обойти правила ограничения межсетевого
экрана и получить доступ к Интернету.
URL производителя: www.kerio.com.
Решение: Установите обновления от производителя.
Переполнение буфера при обработке
MIME-вложений в Sylpheed
Программа: Sylpheed 0.8.0 – 1.0.3.
Опасность: Высокая.
Описание: Уязвимость существует при обработке вложе-
ния с зашифрованным в MIME-формате именем файла в
e-mail-сообщении. Удаленный пользователь может создать
специальным образом e-mail-сообщение и выполнить про-
извольный код на целевой системе с привилегиями пользо-
вателя, запустившего Sylpheed.
URL производителя: sylpheed.good-day.net.
Решение: Установите последнюю версию 1.0.4 от произ-
водителя.
Отказ в обслуживании при обработке
SACK-опций в OpenBSD
Программа: OpenBSD 3.5, 3.6.
Опасность: Высокая.
Описание: Уязвимость существует в файлах tcp_input.c и
tcp_usrreq.c. Удаленный пользователь может послать сис-
теме специально сформированные TCP-пакеты, содержа-
щие некорректные SACK-опции, что приведет к ошибке в
TCP-стеке. Атакующий может вызвать отказ в обслужива-
нии системы.
URL производителя: www.openbsd.org.
Решение: Установите патчи от производителя.
Переполнение буфера
в Microsoft Jet database
Программа: Microsoft Jet database msjet40.dll версия биб-
лиотеки 4.00.8618.0.
Опасность: Высокая.
Описание: Уязвимость существует из-за недостаточной об-
работки входных данных при обработке имен файлов баз
данных в компоненте msjet40.dll. Удаленный пользователь
может создать специальным образом .mdb-файл, который
при открытии его целевым пользователем выполнить про-
извольный код на системе.
URL производителя: www.microsoft.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Составил Александр Антипов
87
 образование
СЕРВЕР ДЛЯ ШКОЛ
Сегодня как никогда велик интерес к использованию сво-
бодного ПО в учебных заведениях. Если к применению GNU/
Linux, как признанного флагмана движения Open Source,
на настольных системах предстоит еще пройти долгий путь,
то на серверах положение не так плачевно. Энтузиасты уже
давно используют преимущества свободного ПО, остается
только подобрать необходимые приложения, чтобы решить
возникшие задачи.
OpenAdministrationforSchools – OpenAdmin (http://rich-
tech.ca/openadmin/index.html) представляет собой свободный
Open Source-проект, предназначенный для решения задач
по автоматизации учета, сбора и вывода информации, адап-
тированный для применения в школах и других, в том чис-
ле и высших учебных заведениях. Вся собранная инфор-
мация сохраняется в базе данных, доступ к которой осуще-
ствляется при помощи веб-сервера, поэтому OpenAdmin не
диктует особых требований к клиентскому ПО. Во избежа-
ние проблем с безопасностью для выдачи информации раз-
личным группам пользователей используются раздельные
виртуальные веб-узлы. Так, каждая школа имеет по умолча-
нию три веб-узла. Все они защищены паролем. Кроме того,
учителя используют индивидуальный пароль на препода-
вательском сайте, а устанавливаемые для удобства рабо-
ты cookies имеют короткий период действия по умолчанию.
Для доступа к данным на родительском и студенческом
сайтах также используются индивидуальные логин и пароль.
Отдельный виртуальный сайт может использоваться для
вывода информации третьим лицам, что позволяет избежать
делегирования прав. При этом если преподаватели ведут
отдельные курсы со своими программами, для их учета ис-
пользуется отдельный сайт (iep). В дальнейшем планиру-
ется полная поддержка https, но пока этим заниматься при-
дется самому. Распространяется OpenAdmin по лицензии
GNU GPL.
Единственное обстоятельство,затрудняющее примене-
ние OpenAdmin в наших условиях, состоит в том, что ин-
терфейс системы сугубо английский, хотя с учетом того,
что все данные хранятся в обычных текстовых файлах, пе-
ревод можно проделать самостоятельно по мере ввода сер-
вера в эксплуатацию. По сравнению с трудоемкостью за-
полнения самой базы и оптимизацией количества действи-
тельно необходимых записей это будет не так уж тяжело.
Итак, в настоящее время OpenAdmin позволяет хранить
и выводить по запросу следующую информацию:
! Student Demographics – все необходимые сведения об
учащихся, причем можно занести не только стандарт-
ные паспортные, контактные данные и сведения о ро-
дителях, но и при необходимости этническую, религи-
озную, медицинскую и другую информацию, а также
организовать поиск, отбор, предварительный анализ и
вывод фактически по каждому пункту.
! Attendance System – сюда заносятся данные о посещае-
мости, а точнее отсутствии учащихся на занятиях. По-
зволяет отследить посещаемость ученика не только по
88
СЕРГЕЙ ЯРЕМЧУК
дням, но и по занятиям и конкретным темам. По резуль-
татам можно вывести разнообразные отчеты, включа-
ющие в том числе и информацию по различным груп-
пам, получить сведения о студентах, хорошо посещаю-
щих занятия, или наоборот, вывести список заядлых
прогульщиков.
! Discipline – простой дисциплинарный модуль, поможет
контролировать дисциплину учащихся. Записи можно
вводить без ограничения объема, при потребности уда-
лять, плюс для удобства учета можно создать до шести
категорий нарушений. Как результат можно вывести все
проделки, совершенные отдельными учащимися, в шко-
ле в целом, статистику в течение определенного перио-
да, что позволит выявить специфические виды проблем.
! Gradebook – функция, доступная только с сайта препо-
давателей и позволяет выставлять оценки по предметам
и тестам. Кроме ведения общей статистики, автомати-
чески вычисляется средний бал успеваемости, который
затем может быть выведен на родительском сайте.
! Report Card System – гибкая система генерации отчетов
с выводом до 20 сообщений в теме при неограниченном
количестве тем, кроме web может выводиться в файл
формата PDF, что очень удобно при распечатывании.
! Parent Viewing – скрипты, позволяющие родителям про-
сматривать результаты успеваемости, посещаемости и
поведение своих чад.
Кроме того, имеются специальные модули экспорта/им-
порта, позволяющие легко переносить данные учащихся, на-
пример при их переходе в другую школу. Вполне естествен-
но, что никто не запрещает добавить или, наоборот, удалить
лишние компоненты и записи, изменить значение и положе-
ние полей, создать дополнительные отчеты и прочее.
Установка сервера OpenAdmin
Сервер OpenAdmin полностью построен на основе свобод-
ных компонентов. Все применяемые скрипты написаны на
Perl, для хранения информации используется база данных
MySQL. В качестве веб-сервера может быть использован
любой продукт, поддерживающий виртуальные узлы. Раз-
работчиками рекомендуется Apache. Кроме этого, необхо-
димо наличие LibXML2 (http://www.xmlsoft.org), OpenSSL
(http://www.openssl.org), TeX и нескольких модулей Perl. В
большинстве дистрибутивов GNU/Linux все эти компонен-
ты, как правило, уже имеются. Если же в качестве сервера
используется Windows, то придется позаботиться об их ин-
сталляции.
Перед тем как начать установку – общая информация о
структуре веб-сервера. Каждая школа по умолчанию име-
ет три отдельных веб-узла. Один предназначен для общего
управления содержанием, т.е. администрирования, второй
предназначен для преподавателей и третий – для учащих-
ся и их родителей. Все эти сайты находятся в архиве ката-
лога school в соответствующих папках. Скрипты и сайт ад-

министрирования – в admin и cgi, преподавательский сайт –
в tadmin и tcgi, родительский – в padmin и pcgi. При этом на
одном веб-сервере можно одновременно разместить сай-
ты нескольких школ, настройки этих серверов находятся в
разных каталогах со структурой, описанной выше. Два сай-
та sis (Student Information System) и iep предназначены для
специального (централизованного) доступа ко всем инфор-
мационным ресурсам. Так как все эти сайты находятся на
одном сервере, то необходимо обеспечить разрешение
имен, прописав все узлы в файле /etc/hosts (что безопас-
нее) или в настройках DNS-сервера.
Чтобы меньше путаться в настройках, разработчики ре-
комендуют создать для школьных сайтов отдельный ката-
лог, в котором и разместить всю вышеописанную иерархию.
# mkdir /schools
# cd /schools
# cp /tmp/openadmin-1.70.tar.gz
# tar xvzf openadmin-1.70.tar.gz
Для того чтобы в дальнейшем была возможность рас-
ширять сервер, добавляя новые учебные заведения, созда-
дим для школы отдельную папку, в которую скопируем шаб-
лоны с сайтами.
# mkdir 4school
# cp -r /schools/school /schools/4schoo
Смотрим в файле веб-сервера Apache httpd.conf в стро-
ках User и Group, от имени какого пользователя он работа-
¹4, àïðåëü 2005
образование
ет, и устанавливаем его владельцем вновь созданных ка-
талогов:
# chown -R apache:apache /schools
А для каталогов cgi устанавливаем права доступа в 755:
# chmod 755 /schools/4school/cgi
При необходимости можно установить логотип учебно-
го заведения, заменив файл logo.gif и logotn.gif в подката-
логе admin/images. Теперь можно приступить к созданию
необходимой базы данных.
# mysql -u root myschool -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 11 to server version: 3.23.58
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
Назначаем необходимые привилегии, чтобы не работать
от имени администратора.
mysql> grant all on myschool.* to school@localhost identifiedby 'schoolpasswd';
Query OK, 0 rows affected (0.01 sec)
mysql> quit
И при помощи файла blank.sql, содержащего необходи-
мые команды, создаем таблицы в нашей базе данных.
# mysql -p -u school myschool < /schools/utility/blank.sql
89
 образование
Если будет использована SIS, то в целях безопасности AuthUserFile /usr/local/apache/private/admin4school
необходимо создать отдельного пользователя, обладающе- Options +Includes
<Limit GET POST>
го правами только на выборку данных из таблиц школ require valid-user
(select). Специальный ресурс iep имеет свою структуру таб- </Limit>
</Directory>
лиц базы данных, для создания которых используются фай- <Directory ”/schools/4school/cgi”>
лы iepdata.sql и iepstruct.sql. Authtype Basic
Authname Admin
Теперь об Apache. В конце файла httpd.conf имеется сек- AuthUserFile /usr/local/apache/private/admin4school
ция «Virtual Hosts», в которой даны примеры и краткие ком- <Limit GET POST>
require valid-user
ментарии по настройке виртуальных веб-узлов. Фактически </Limit>
для минимальной настройки необходимо будет создать три </Directory>
</VirtualHost>
одинаковых секции, отличающиеся параметрами Document
Root, ServerName и ScriptAlias. Для учительского и админи- ### Ó÷èòåëüñêèé ñàéò
<VirtualHost schools>
страторского сайта, кроме того, создаются разделы, огра- ServerAdmin grinder@ua.fm
ничивающие доступ. DocumentRoot /schools/4school/tadmin
ServerName teacher.schools.com
ErrorLog logs/schools.error_log
### Ïðîâåðüòå íàëè÷èå ýòèõ ñòðîê CustomLog logs/schools.access_log common
AddTypetext/html .shtml ScriptAlias /cgi-bin "/schools/4school/tcgi"
AddHandler server-parsed .shtml </VirtualHost>

### Section 3: Virtual Hosts ### Îãðàíè÷èâàåì äîñòóï

<Directory ”/schools/4school/tadmin”>
NameVirtualHost schools Authtype Basic
### Àäìèíèñòðàòîðñêèé ñàéò Authname teacher
<VirtualHost schools> AuthUserFile /usr/local/apache/private/teacher4school
ServerAdmin grinder@ua.fm Options +Includes
DocumentRoot /schools/4school/admin <Limit GET POST>
ServerName admin.schools.com require valid-user
ErrorLog logs/schools.error_log </Limit>
CustomLog logs/schools.access_log common </Directory>
ScriptAlias /cgi-bin "/schools/4school/cgi" <Directory ”/schools/4school/tcgi”>
</VirtualHost> Authtype Basic
Authname Admin
### Îãðàíè÷èâàåì äîñòóï AuthUserFile /usr/local/apache/private/admin4school
<Directory ”/schools/4school/admin”> <Limit GET POST>
Authtype Basic require valid-user
Authname Admin </Limit>

90

</Directory>
</VirtualHost>
### Ðîäèòåëüñêî-ñòóäåí÷åñêèé ñàéò
<VirtualHost schools>
ServerAdmin grinder@ua.fm
DocumentRoot /schools/4school/padmin
ServerName parent.schools.com
ErrorLog logs/schools.error_log
CustomLog logs/schools.access_log common
ScriptAlias /cgi-bin "/schools/4school/pcgi"
</VirtualHost>
Теперь проверяем правильность новых настроек.
# apachectl configtest
Syntax OK
Создаем пароли для каждого пользователя.
# htpasswd /usr/local/apache/private/teacher4school physicist
Перезапускаем веб-сервер.
# /etc/init.d/httpd restart
Останавливается httpd: [ ОК ]
Запускается httpd: [ ОК ]
И наконец, последний этап. В подкаталогах cgi и tcgi име-
ются файлы admin.conf, в которых необходимо изменить па-
раметры для доступа к базе данных, расположение ката-
логов администраторского и учительского серверов, мес-
тонахождение утилиты pdflatex и почтовый адрес админис-
тратора, который будет выводиться в случае ошибок. В
дальнейшем для упрощения настроек планируется исполь-
зовать один такой файл, расположенный в /etc. При внима-
образование
тельном подходе к чтению на данном этапе все три серве-
ра должны работать. Единственная проблема, с которой вы
можете столкнуться, – это занесение в базу данных боль-
ших объемов информации. Регистрация одного-двух десят-
ков учеников – терпима, но если их число превышает не-
сколько сотен, то этот процесс превратится в настоящий
кошмар. Для удобства рекомендуется воспользоваться
скриптом studentupload.pl, который находится в подкатало-
ге utility. Этот скрипт считывает файл в формате CSV
(Comma Separated Values) и заносит все сведения в базу
данных. По умолчанию сценарий считывает 40 параметров
и перед началом использования его необходимо подправить
под свои требования. При работе скрипт не обновляет файл
cgi/entry/studentnumber, в котором хранятся номера следую-
щей записи, поэтому, чтобы не получились записи с одина-
ковыми порядковыми номерами, цифру в нем необходимо
подправить самому. Если все же это произошло, то в реше-
нии проблемы могут помочь скрипты dupcheck.pl и sentry2.pl.
Несмотря на то что OpenAdmin ориентирован в первую
очередь на применение в учебных заведениях, его нара-
ботки вполне можно использовать и в своих проектах, свя-
занных с учетом большого количества персонала. Напри-
мер, в библиотеках, дополнительно создав отдельную таб-
лицу с книгами и используя поля оценок, контролировать
для выданную литературу. Впрочем, вариантов много. По
крайней мере, есть от чего оттолкнуться при возникнове-
нии такой задачи. Это довольно полезный инструмент, по-
зволяющий избежать большого количества рутинной руч-
ной работы.

¹4, àïðåëü 2005 91

 книжная полка
Профессиональное Антихакинг в сети.
руководство по SQL Трюки. 100
Server: хранимые профессиональных
процедуры, XML, примеров
HTML Эндрю Локхарт
Кен Хендерсон Издание является переводом
Книга рассчитана на програм- «Network security hacks» изда-
мистов и разработчиков, кото- тельства O'Reilly. В книге со-
рые имеют представление о держится описание 100 трю-
Transact-SQL и создании хра- ков, с помощью которых мож-
нимых процедур. Ни для кого но существенно повысить сте-
не секрет, что за счет грамот- пень защищенности вверен-
ного использования хранимых ной вам сети. Затронуты ос-
процедур происходит много- новные области безопасности:
кратное увеличение производительности приложения. Что защита узла UNIX, безопасность узла Windows, сетевая бе-
входит в число освещенных тем? Непосредственно храни- зопасность, протоколирование, наблюдение и выявление
мые процедуры, объекты (обработка ошибок, триггеры, пред- тенденций, защита каналов связи, обнаружение сетевого
ставления), технологии HTML, XML, .NET, которые, как пра- вторжения, восстановление и ответные действия. Достаточ-
вило, сопутствуют любой разработке, связанной с хранимы- но подробно рассказано про создание VPN-сети, рассмот-
ми процедурами. Особенно стоит отметить, что в книге рас- рены различные межсетевые экраны, система обнаружения
смотрены такие сложные темы, как отладка и профилирова- атак Snort, и множество других, не менее интересных тем.
ние, автоматизация. Отдельная глава посвящена недокумен- Книга, по сути, является сборником статей, выполненных в
тированным возможностям Transact-SQL. Достаточно инте- стиле mini-howto. Изложенный материал рассчитан на ши-
ресны размышления автора о производительности прило- рокий круг читателей, от новичков до системных админист-
жений. На прилагающемся диске вы найдете более 700 раз- раторов с солидным стажем. Издание прежде всего следует
личных SQL-сценариев, исходный код всех примеров из кни- порекомендовать всем без исключения администраторам
ги, а также различные утилиты для разработчиков. UNIX/Linux-систем.
Издательство «Питер», 2005 г. – 620 стр. ISBN 5-469-00046-X. Издательство «Питер», 2005 г. – 296 стр. ISBN 5-496-00385-x.

Информационная Основы построения

безопасность трансляторов.
предприятия Учебное пособие
Искандер Конеев Ю.Г. Карпов
Андрей Беляев Материал, изложенный в кни-
В наше время тема информа- ге, рассчитан прежде всего на
ционной безопасности акту- преподавателей технических
альна для всех, начиная с ма- вузов и студентов. Автор – ав-
леньких офисов, и заканчи- торитетнейший человек в
вая крупными компаниями с этой области – доктор техни-
множеством филиалов. Сре- ческих наук, профессор, член
ди рассмотренных тем: общие Американского Математичес-
понятия информационной бе- кого общества с 1975 г. В кни-
зопасности, классификация ге рассмотрены формальные
информационных систем, описаны типовые модели напа- модели грамматик и языков, методы синтаксического ана-
дения, методики оценки рисков. Отдельная часть книги по- лиза формальных языков. Подробно рассмотрен вопрос ге-
священа криптографии, в которой рассмотрена симметрич- нерации кода в современных компиляторах, сети Петри.
ная и асимметричная криптография, рассказано о различ- Особенно подробно рассмотрены такие темы, как поста-
ных криптографических протоколах. Подробно изложено о новка базовых проблем формальных языков, понимание ос-
методах защиты. В приложении вы можете найти примеры новных задач построения трансляторов. Отдельная глава
форматов различных административных документов. Пос- посвящена грамматике Хомского. После прочтения книги
ле прочтения читатель приобретет знания, необходимые для читатель получит знания, достаточные для проектирования
грамотного создания и обслуживания IT-инфраструктуры и разработки транслятора с собственного несложного язы-
предприятия. Книга хорошо систематизирована, излагае- ка. Нельзя не отметить большое количество примеров и
мый материал написан простым и доступным языком и бу- задач к каждой главе, которые помогают наилучшим обра-
дет полезным приобретением для системных и сетевых ад- зом усвоить прочитанный материал.
министраторов. Издательство «Питер», 2005 г. – 272 стр. ISBN 5-94157-285-9.
Издательство «Питер», 2005 г. – 752 стр. ISBN 5-94157-280-X.
Рубрику ведет
Александр Байрак

¹4, àïðåëü 2005 93

 bugtraq
Отказ в обслуживании в PHP
в функции getimagesize()
Программа: версии до 4.3.11 и 5.0.4.
Опасность: Средняя.
Описание: Уязвимость обнаружена в функциях php_handle_
iff() и php_handle_jpeg(), доступных из функции getimage-
size(). Функция getimagesize() используется для определе-
ния размеров и разрешения изображений различных фор-
матов: GIF, JPG, PNG, TIFF и т. д.
Отказ в обслуживании возможен в функции php_handle_
iff() файла ext/standard/image.c из-за некорректной обработ-
ки входного потока данных. Удаленный пользователь мо-
жет создать специальным образом файл, указать размер
равным -8, что заставит функцию зациклиться и приведет
к потреблению всех возможных ресурсов на системе.
Уязвимость в функции php_handle_jpeg() существует из-
за недостаточной обработки входных данных в заголовках
файлов формата JPEG. Злоумышленник может создать
специальным образом файл и заставить приложение по-
треблять все возможные ресурсы на системе.
URL производителя: www.php.net.
Решение: Установите исправление от производителя.
Отказ в обслуживании
в Computer Associates eTrust Intrusion
Detection System
Программа: Computer Associates eTrust Intrusion Detection
System 3.0.
Опасность: Высокая.
Описание: Уязвимость существует из-за недостаточной про-
верки значений, передаваемых Microsoft Crypto API функции
CPImportKey. Большое количество данных приведет к гене-
рации исключения и память не будет освобождена. Удален-
ный пользователь может создать специально сформирован-
ный пакет и потребить все доступные ресурсы на системе.
URL производителя: http://www3.ca.com/Solutions/Pro-
duct.asp?ID=163.
Решение: Установите обновление от производителя.
Обход авторизации в реализации
IKE Xauth в Cisco
Программа: Cisco 12.2T, 12.3, и 12.3T.
Опасность: Средняя.
Описание: Удаленный пользователь может послать специ-
ально сформированный пакет на порт UDP 500 службы Cisco
Easy VPN Server Xauth version 6, удачно закончить Xauth-
аутентификацию и получить доступ к ресурсам сети. Для
удачной эксплуатации уязвимости атакующий должен знать
публичный ключ группы для удачного завершения первой
IKE-фазы.
Вторая уязвимость связана с некорректной обработкой
ISAKMP-профиля в Cisco 12.3(8)T, когда профиль присвоен
пользователю, но атрибуты не обработаны. Удаленный не-
авторизованный пользователь может досрочно начать 2-ю
фазу переговоров и удачно пройти аутентификацию.
URL производителя: www.cisco.com
Решение: Установите обновления с сайта производителя.
94
Раскрытие важной информации в Mozilla
Программа: Mozilla 1.7.6 и более ранние версии, Mozilla
Firefox 1.0.2 и более ранние версии.
Опасность: Средняя.
Описание: Уязвимость обнаружена при обработке Javascript
«lambda-выражений» в функции find_replen() файла js/src/
jsstr.c. Удаленный пользователь может получить доступ к
потенциально важной информации на целевой системе.
Пример/Эксплоит: http://cubic.xfo.org.ru/firefox-bug/index.html.
URL производителя: www.mozilla.org.
Решение: Установите обновление от производителя.
Удаленное переполнение буфера
в MailEnable
Программа: MailEnable Enterprise 1.04 и более ранние вер-
сии, MailEnable Professional 1.54 и более ранние версии.
Опасность: Критическая.
Описание: Уязвимость существует при обработке Unicode-
символов в команде EHLO в SMTP-службе. MailEnable ин-
терпретирует Unicode-символ как адрес в памяти и при по-
пытке обратиться к нему аварийно завершает работу. По-
добная уязвимость существует также IMAP-службе. Удален-
ный пользователь может выполнить произвольный код на це-
левой системе с привилегиями уязвимой службы. Пример:
EHLO x99
URL производителя: www.mailenable.com.
Решение: Установите обновление от производителя.
Отказ в обслуживании в Сisco
при использовании SSH+TACACS
Программа: Сisco IOS 12.0S (SSH version 1), IOS 12.1T (SSH
version 1), IOS 12.2 (SSH version 1), IOS 12.2T (SSH version 1),
IOS 12.3T (SSH version 2).
Опасность: Средняя.
Описание: Уязвимость позволяет удаленному пользовате-
лю перегрузить устройство, если используется SSH-сервер
2-й версии вместе с TACACS:
! Если устройство сконфигурировано для авторизации
пользователей с помощью TACACS+ и имя учетной запи-
си содержит доменное имя, устройство будет перегру-
жено.
! Если в процессе аутентификации пользователя, когда сер-
вер ожидает от пользователя ответ с именем учетной за-
писи и паролем, авторизованный пользователь шлет ус-
тройству команду send, устройство будет перегружено.
! Если логировние сообщений перенаправляется SSH-
сессией с помощью команды terminal monitor, устрой-
ству будут посылаться данные этой сессии, даже если
сессия уже завершена.
Утечка памяти возможна в процессе авторизации при
использовании SSH версий 1 и 2. Удаленный пользователь
может вызвать отказ в обслуживании.
URL производителя: www.cisco.com.
Решение: Установите обновление от производителя.
Составил Александр Антипов

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенкла-
туры АРЗИ:
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
подписка на II полугодие 2005
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарья-
на, 22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29)
и АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»

¹4, àïðåëü 2005 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№4(29), Апрель, 2005 год

РЕДАКЦИЯ
ЧИТАЙТЕ
Исполнительный директор
Владимир Положевец
В СЛЕДУЮЩЕМ
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
НОМЕРЕ:
Технический редактор
Владимир Лукин
Редакторы Технологии IP-телефонии ко удачно пойдут дела у Sun Microsis-
Андрей Бешков Часть 1 – исторический tems, и удастся ли Solaris получить при-
Валентин Синицын экскурс ток «свежей крови» благодаря откры-
Алексей Барабанов Данная статья является первой из цик- тию исходных кодов, посмотреть, что же
Михаил Платов ла, посвященного изучению теорети- представляет из себя эта операционная
ческих и практических аспектов систем система, без сомнения, стоит.
РЕКЛАМНАЯ СЛУЖБА IP-телефонии. Как водится, начнем мы
тел./факс: (095) 928-8253 с теории, а именно – с изучения про- Базовая HTTP-авторизация –
Константин Меделян шлого и настоящего основных протоко- защита от честных людей
reсlama@samag.ru лов IP-телефонии. Затем мы рассмот- Базовая авторизация используется по-
рим основные продукты, эти протоко- всеместно для ограничения доступа к
Верстка и оформление лы реализующие. После чего плавно «личным кабинетам», «панелям управ-
imposer@samag.ru перейдем к практической части – на- ления», администраторским веб-интер-
maker_up@samag.ru стройке наиболее популярных общедо- фейсам, форумам и многим другим веб-
Дизайн обложки ступных решений. ресурсам. Думаю, рядовым пользовате-
Николай Петрочук лям сети будет любопытно узнать, как
Решение проблем работает это средство и насколько оно
107045, г. Москва, производительности надёжно? Начинающим веб-мастерам
Ананьевский переулок, дом 4/2 стр. 1 Microsoft SQL Server будет интересно, как его подключить?
тел./факс: (095) 928-8253 Microsoft SQL Server обладает большим А веб-программисты со стажем навер-
Internet: www.samag.ru набором инструментов для анализа его няка задавались вопросом, можно ли
состояния и устранения узких мест в усилить защиту?
РУКОВОДИТЕЛЬ ПРОЕКТА производительности. Однако часто бы-
Петр Положевец вает непонятно, как воспользоваться Файловая система USF/FFS
УЧРЕДИТЕЛИ этим богатством, когда сервер вдруг и ее восстановление
Владимир Положевец начал работать медленно. В статье рас- Файловая система USF (равно как и ее
Александр Михалев сматриваются типичные причины паде- наследница FFS) практически недоку-
ния скорости работы Microsoft SQL ментирована, и основным источником
ИЗДАТЕЛЬ Server 2000 и методы их диагностики и информации становятся исходные тек-
ЗАО «Издательский дом устранения. сты и заголовочные файлы, в которых
«Учительская газета» далеко не каждый с ходу сможет разоб-
Solaris 10 на рабочей раться. Готовых утилит для восстанов-
Отпечатано типографией станции ления тоже нет. А ведь USF/FFS – это
ГП «Московская Типография №13» К лету нынешнего года Sun Microsistems основная файловая система FreeBSD,
Тираж 8400 экз. обещает закончить открытие исходных под которой вращается множество сер-
кодов своей новой операционной сис- веров и рабочих станций. В масштабах
Журнал зарегистрирован темы Solaris 10. Исходники будут дос- сообщества FreeBSD разрушения дан-
в Министерстве РФ по делам печати, тупны по лицензии CDDL на специаль- ных случаются постоянно. Хотите уз-
телерадиовещания и средств мас- но созданном сайте. И хотя пока невоз- нать, как противостоять энтропии? Тог-
совых коммуникаций (свидетельство можно определенно сказать, насколь- да читайте эту статью.
ПИ № 77-12542 от 24 апреля 2002г.)
Уважаемые читатели!
За содержание статьи ответствен-
ность несет автор. За содержание рек- Спешите оформить подписку
ламного обьявления ответственность на второе полугодие 2005 года!
несет рекламодатель. Все права на
опубликованные материалы защище- Приобрести новые и старые номера журнала
ны. Редакция оставляет за собой пра- вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
во изменять содержание следующих
номеров. Доставка почтой в любую точку России.

96