Так видит журнал читатель, который забыл оформить подписку:

СЬ

ЛИ
ЛИ
ТЯ Е

Ж ПИ
ЗА ДНИ
НУ

РА КУ
ЛЫ ГО

ТИ РАС
КУ ВО

О
НИ НО

ТР
№11(36) ноябрь 2005

С
БЫ
подписной индекс 20780
КА

www.samag.ru

Поговорим через Интернет?

И
ЬГ
ЬД О
РА СКА
ТЕ
К

ИС НН
ЕН
УС

БО
НА ТПУ

ИЛ ДА
ТП

Расширяем права доступа

НЧ ЖИ
ВО

РА Е О

КО НЕО
АВ СЛ
Л

в Linux с помощью ACL

Л
ХА

ПО
УЕ

ЗА
Автоматизируем установку
драйверов в Windows
Так видит журнал читатель, оформивший подписку:
Ещё один способ
восстановить MBR
Тонкий клиент –
шаг к мэйнфреймам?
Разрабатываем
документацию в NPJ:
эффективно и удобно!
Используем возможности ftpd
Расширения РHP:
ПОДПИШИТЕСЬ И ЧИТАЙТЕ! пять шагов к написанию
№11(36) ноябрь 2005

Роспечать – 81655 Как сисадмины проводят

Пресса России – 87836 свободное время
Интер-почта – тел. (095) 500-00-60
 оглавление
2 ТЕНДЕНЦИИ БЕЗОПАСНОСТЬ
ИНТЕРВЬЮ 60 Windows Script Host: проводим аудит
безопасности сети
5 MiniMo – минибраузер из семейства Чтобы не тратить массу времени на поиск в логах ин-
Mozilla формации о попытках несанкционированного доступа
Интервью с главой проекта MiniMo – Дугом Тернером. к ресурсам сети, используем сценарии WSH.
Антон Борисов Андрей Бирюков
a.borisov@tesv.tmb.ru mex_inet@rambler.ru

АДМИНИСТРИРОВАНИЕ 66 Проверяем защищенность сети и сервисов

сканером DragonSoft Secure Scanner
8 Поговорим через Интернет? Обзор сканера безопасности. Сергей Яремчук
Анализ наиболее популярных сетей интернет-теле- grinder@ua.fm
фонии. Михаил Платов
platov@cs.vsu.ru WEB-ПРОГРАММИРОВАНИЕ
16 FreeBSD tips: какими возможностями 68 Расширения РHP: пять шагов к написанию
обладает ftpd Как быстро разработать надежное расширение PHP.
Ftpd вполне пригоден для решения большинства типо- Александр Календарев
вых задач по обмену файлами. Сергей Супрунов akalend@mail.ru
amsand@rambler.ru
ПРОГРАММИРОВАНИЕ
20 Автоматизируем установку драйверов
в Windows 74 Редактор для создания скриптов:
С проблемой специальных драйверов мы сталкиваемся, Primal Script 4.0
когда оборудование выходит за стандартную архитекту- Рассматриваем недокументированные возможности
ру простеньких компьютеров. Алексей Барабанов редактора. Иван Коробко
alekseybb@mail.ru ikorobko@prosv.ru

26 GRUB на CD, ИТОГИ IT-ТУРНИРА

или Ещё один способ восстановить MBR
Восстанавливаем MBR минимальными средствами. 78 Сетевой проект для небольшой компании
Алексей Мичурин Сетевая инфраструктура предприятия, разработанная
alexey@office-a.mtu-net.ru командой-победительницей конкурса «Кубок сетевых
проектов Microsoft». Земскова Ольга
32 Тонкий клиент – шаг к мэйнфреймам? zo13@rol.ru
Сегодня снова экономически выгодно использовать Ширнин Олег
мэйнфреймы с подключением легких терминалов – oshirnin@yandex.ru
тонких клиентов. Антон Борисов Цюрюпа Егор
a.borisov@tesv.tmb.ru egts@land.ru

40 Разрабатываем документацию ХОББИ

с помощью NPJ: эффективно и удобно!
Обзор системы коллективной работы Net Project 82 Десять красок неба
Journal. Алексей Коршунов Чему посвящают свое свободное от работы время сис-
akeeper@akeeper.ru темные администраторы? Наталья Алексютина
info1@samag.ru
46 Развертываем сервер Subversion
на платформе FreeBSD РЕТРОСПЕКТИВА
Современная замена устаревшей системы CVS.
Андрей Шетухин 84 Alpha, или история одной архитектуры
shetuhin@corp.mail.ru Павел Болотов
Ольга Никулина walter@alasir.com
nikulina@yandex-team.ru
КНИЖНАЯ ПОЛКА
54 Расширяем права доступа в Linux
с помощью ACL 92 Обзор книжных новинок
ACL позволяет использовать более сложные модели Александр Байрак
доступа, чем традиционная реализация, применяемая x01mer@pisem.net
в Unix-системах. Сергей Яремчук
grinder@ua.fm 52, 53, 91 BUGTRAQ
Летим скорее
Лучше каждому Информация
Оформили на почту!
получать отдельный о подписке
подписку! экземпляр журнала на 94 стр.
Принес номер
Мужики, Почему я до сих пор на работу, И у меня А можно ещё Как же я без
Я забыл
где журнал этого не сделал?! «увели» почитать такая же беда успеть? любимого журнала?
подписаться!
взяли?

№11, ноябрь 2005 1

 тенденции
Microsoft укрепляет ставленной информации; повышением ках организации портала «Сеть твор-
позиции в индустрии квалификации преподавателей и со- ческих учителей» (www.it-n.ru), ор-
IT-образования трудников сферы образования зани- ганизация всевозможных конкурсов
28 октября 2005 г. компания Microsoft мается Национальный фонд подготов- (см. http://www.it-university.ru/itproject)
провела первую ежегодную конфе- ки кадров, имеющей отдельное много- и многое другое. Спецификой почти
ренцию «Образование в XXI веке» миллионное финансирование. всех образовательных проектов явля-
для высшего руководства российс- ется исключительная направленность
ких вузов и органов управления об- Microsoft в образовании на технологии и продукты Microsoft.
разованием. Стратегическими пар- Ольга Дергунова представила по- Исключением из общей массы яв-
тнерами конференции выступили зицию и планы Microsoft на индуст- ляется совместный проект Microsoft
компании Hewlett-Packard и Intel. рию образования в России. 28 октяб- с факультетом «Бизнес-информати-
В конференции приняло участие ря 2004 года компания представи- ки» ГУ-ВШЭ, который направлен на
более 300 руководителей высших ла первый русифицированный про- создание нового подхода подготовки
учебных заведений, представителей дукт из линейки программ для обра- IT-специалистов в сфере высшего об-
региональных и федеральных органов зования – MS ClassServer 3.0. Сегодня, разования. Разработанная специаль-
управления образованием. Во время спустя всего один год, на отечествен- ность «Бизнес-информатика» имеет
пленарного заседания и пяти темати- ном рынке представлена целая серия преимущества с точки зрения препо-
ческих секций прозвучало более 30 до- программных средств и технологий, давания экономических дисциплин, но
кладов, посвященных вопросам ис- а президент российского отделения с точки зрения обучения IT она эклек-
пользования информационных техно- говорит уже о национальных приори- тично дублирует содержание сущест-
логий для поддержки образовательно- тетах в образовании глазами Microsoft. вующих инженерных специальностей.
го процесса, автоматизации админист- В рамках конференции был презенто- Это не позволяет рассматривать ее
ративных функций учебных заведений ван новый продукт Learning Essentials как серьезную альтернативу сущест-
и организации дистанционного обуче- для Microsoft Office, в состав которого вующим специальностям, по которым
ния на предприятиях. Особый интерес вошли ориентированные на обучение выпускаются тысячи лучших IT-кадров
вызвали доклады начальника управле- инструменты для учителей и учащихся. в десятках технических вузов.
ния Федерального агентства по обра- Следует отметить, что данный продукт
зованию РФ Алексея Карпова, прези- демонстрирует важнейшую тенденцию Опыт использования IT
дента Microsoft в России и СНГ Ольги развития офисных средств и их кон- в зарубежных вузах
Дергуновой, директора по IT Универси- вергенции, где функции различных Пол Хопкинс в своем докладе поде-
тета Ньюкастла Пола Хопкинса. приложений объединяются в единую лился опытом использования IT в од-
информационную панель с настраи- ном из ведущих вузов Великобрита-
Итоги пятилетки ваемыми меню и другими активными нии. В качестве ключевой концепции
информатизации образования элементами из разных программ. организации обучения была выделена
Алексей Карпов подвел итоги пяти- Также были представлены продук- задача перехода к новой, производс-
летки информатизации образования ты Learning Network Manager, Microsoft твенной парадигме учебного заведе-
по федеральной целевой программе Class Server 4.0, русская версия об- ния как провайдера образовательных
«Развитие единой образовательной разовательного портала Microsoft и научно-исследовательских услуг.
информационной среды 2001-2005». Learning Gateway (www.mlg-edu.ru) При таком подходе (близким по сво-
На средства бюджета, объемом более и пример организации информацион- им идеям к ITIL и CobiT) предоставле-
8.5 млрд. рублей, удалось: подключить ного портала вуза на базе технологий ние и обеспечение IT может также рас-
к Интернету или ведомственным сетям SharePoint Portal Server 2003. сматриваться как услуга, позволяю-
более 10% школ; увеличить количест- Помимо программных продуктов щая увеличить эффективность обуче-
во персональных компьютеров в шко- Microsoft предлагает целый ряд обра- ния и проведения научных работ. Пол
лах почти в 6 раз, достигнув цифры 80 зовательных проектов, направленных отметил, что, несмотря на необходи-
ПК на одного ученика; разработать 17 на поддержку преподавателей и сту- мость расчета себестоимости и оценки
образовательных порталов и повысить дентов: распространение лучших ме- возврата вложенных средств в обуче-
квалификацию более 50 тыс. препода- тодик преподавания IT-дисциплин ние, в настоящее время не существует
вателей. Для оценки эффективности (MSDN AA Curricula Repository), повы- полноценных пригодных к практичес-
расходования средств на образование шение знаний и навыков преподавате- кому использованию методик.
можно привести следующие факты: лей в области IT (Microsoft IT Academy), Общий объем финансирования,
в Москве и Санкт-Петербурге, где к Ин- тренинги в учебных центрах компаний- выделяемый университетом на IT, со-
тернету подключено более 80% домов, партнеров, междисциплинарный под- ставляет около 2% от общего бюдже-
проживает более 10% населения стра- ход к использованию IT в образовании та (около 10 миллионов $). Общий же
ны; согласно статистике только за 2003 на примере серии материалов для учи- бюджет вуза численностью 17000 сту-
год количество пользователей – свы- телей-предметников «Использование дентов соизмерим с объемом финан-
ше 13 миллионов; в этом году приня- Microsoft Office на уроках», программа сирования упомянутой выше пяти-
то решение о слиянии всех 17 порта- «Партнерство в образовании», подде- летней программы Минобрнауки РФ.
лов в один из-за малых объемов пред- ржка лучших преподавателей в рам- Схема выбора поставщиков IT-реше-

2
 тенденции
ний для использования в вузе следую- Более подробную информацию ли об успешном завершении нагру-
щая: для основных, ядерных приложе- о докладах на конференции и програм- зочного тестирования продукта «Бит-
ний выбираются крупные поставщики мных продуктах Microsoft можно най- рикс: Управление сайтом 4.0». Этот
(Microsoft, SAP, Oracle); для ниши раз- ти по адресу http://www.microsoft.com/ программный продукт предназна-
вивающегося и специализированного Rus/Education. чен для создания, управления и раз-
программного обеспечения (например, вития веб-проектов и ориентирован
системы автоматизации составле- Андрей Филиппович на сегмент малого и среднего бизне-
ния расписания) выбираются лучшие са (SMB).
по результатам анализа; для исследо- Oracle выпускает В качестве тестовой системы был
вательских или маленьких локальных бесплатную редакцию выбран сервер начального уровня
задач выполняются собственные раз- СУБД «Kraftway GEG Express 100» с опера-
работки; для использования студента- Тридцать первого октября 2005 го- ционной системой Red Hat Enterprise
ми выбираются приложения, ориенти- да корпорация Oracle анонсировала Linux AC Release 3, а в качестве ба-
рованные на технологию тонкого кли- выход бета-версии новой редакции зы данных использовалась Oracle 10g
ента; при разработке сервисно-ори- Oracle Database 10g Express Edition Release 2 (Standard Edition One).
ентированной архитектуры (SOA) ис- (Oracle Database XE). Данная редак- Для тестирования были выбраны
пользуются открытые стандарты на ция СУБД распространяется бес- Oracle-версии продукта «Битрикс: Уп-
веб-сервисы. платно, и независимые разработчи- равление сайтом – «Старт» (включа-
При организации IT-инфраструкту- ки программного обеспечения мо- ющая в себя минимальный набор мо-
ры предпочтение отдается беспровод- гут абсолютно свободно распростра- дулей для управления корпоративны-
ной связи. Для удобства администри- нять и внедрять Oracle Database XE ми сайтами) и «Бизнес» (полнофунк-
рования в 90% случаев используется в составе своих решений. Новая ре- циональная версия продукта, предна-
унифицированное программное обес- дакция СУБД основывается на коде значенная для создания и управления
печение от Microsoft (Active Directory, Oracle Database 10g Release 2 и пол- корпоративными порталами, интернет-
XP, Exchange, SharePoint и др.). В ос- ностью совместима с семейством ком- магазинами, сайтами СМИ и другими
тавшихся 10% – используются техноло- мерческих СУБД Oracle Database 10g. интернет-проектами).
гии Apple и UNIX для изучения полигра- Oracle Database XE предоставляет В результате суточного тестирова-
фических систем и проведения некото- разработчикам тот же интерфейс SQL ния данных продуктов были получены
рых научных исследований. К важному и PL/SQL, что доступен и в старших ре- следующие результаты.
преимуществу такой организации до- дакциях, плюс интерфейс к ряду язы- Версия «Старт», включающая 4 мо-
кладчик также отнес удобство органи- ков программирования, включая Java, дуля, «выдержала» 1 117 956 уни-
зации вычислительных кластеров. .NET и PHP. кальных пользователей (3 879 336
Oracle Database XE доступна для 32- хитов), а состоящая из 18 модулей
Курьезы Microsoft разрядных платформ Linux и Windows, версия «Бизнес» – 465 160 уни-
В целом конференция вызвала боль- и на нее накладываются следующие кальных пользователей (1 614 103
шой интерес среди специалистов и бы- ограничения: хита).
ла проведена на высоком техническом Используется только один ЦП. Среднее время ожидания д ля
уровне, однако без курьезов не обош- Используется не более 1 Гб ОЗУ. «Старта» и «Бизнеса» составило
лось. Во время демонстрации реше- Допускается работа только одного 0,265 и 1,107 секунд соответственно.
ний Microsoft сначала не удалось вый- экземпляра БД. Количество же ответов, время ожи-
ти в Интернет для получения доступа Не более 4 Гб пользовательских дания которых от 3 до 7 секунд, со-
к Microsoft Learning Gateway, а затем данных на жестком диске. ставило 0,04% и 0,55% от общего
при попытке запуска системы Learning числа запросов.
Network Manager после перезагрузки Для зарегистрировавшихся на сай-
операционной системы всплыло со- те корпорация Oracle предоставляет Добиться столь высоких показа-
общение о необходимости активации бесплатный доступ к форуму, который телей удалось благодаря 2-уровне-
используемой копии Windows. Это со- сопровождают специалисты компа- вой конфигурации сервера («front-
бытие, произошедшее после слов Оль- нии. Скачать Oracle Database XE мож- end» (прокси-сервер nginx 0.1.44) +
ги Дергуновой о необходимости про- но по ссылке: www.oracle.com/database/ «back end» (apache 1.3.33 + php 4.3.11 +
ведения воспитательной работы сре- xe.html. e-accelerator 0.9.3)) и использованию
ди молодежи по использованию ли- в качестве базы данных Oracle 10g
цензионного программного обеспе- Андрей Маркелов Release 2. В то же время версия про-
чения, с одной стороны, вызвало бур- граммного продукта, использующая
ную радость большей части посетите- Завершено тестирование в качестве базы данных MySQL, проде-
лей конференции, а с другой – позво- нового программного монстрировала гораздо более скром-
лило осознать значимость того факта, продукта по созданию ные результаты – «всего» 30 000 уни-
что в России количество пиратских ко- веб-ресурсов кальных пользователей.
пий программного обеспечения снизи- Первого ноября 2005 года компании
лось с 99% до 87%. «Битрикс», «QSOFT» и ФОРС объяви- Николай Никульшин

№11, ноябрь 2005 3

 тенденции
Unisys ставит на «зрелость» Open Source
Компания Unisys сообщила о том, что рассматривает про-
граммное обеспечение с открытым кодом как «ключевую
область» для роста, и объявила о намерении продвиже-
ния ОС Linux в крупные предприятия. По словам Питера
Блэкмора, исполнительного вице-президента и президен-
та по мировым продажам в Unisys, Open Source уже являет-
ся «созревшей технологией», готовой предоставить разум-
ные и экономичные решения для многих заказчиков. Unisys
уже занимается внедрением проектов с открытым кодом
в IT-структуры крупных компаний: «Сейчас Linux действи-
тельно пользуется спросом. Мы работаем с одним клиен-
том (европейским туристическим предприятием), для ко-
торого обратились к услугам Open Source в масштабной
серверной среде. Мы можем доказать надежность и го-
товность данного решения, а оно сохранит им 30 процен-
тов итоговых затрат».
OpenSync и KDE готовят
ПО синхронизации телефонов
Энтузиасты из проектов OpenSync и KDE занимаются раз-
работкой библиотеки, с помощью которой можно будет
синхронизировать мобильный телефон, КПК, работающий
под управлением Windows CE или Palm, со своим настоль-
ным ПК под управлением ОС Linux. Код старых программ
синхронизации, среди которых пакеты KitchenSync, KSync,
Kandy, libksync, уже удален из KDE (все они будут отсутс-
твовать в следующем major-релизе KDE – 4.0). Появление
первой стабильной версии библиотеки OpenSync ожидает-
ся к началу 2006 года. Тогда же должна выйти и реализа-
ция для KDE. В ней будет представлена возможность син-
хронизировать данные устройств с такими программами,
как Kontact, Evolution, Palm Pilots, SyncML.
ставления для популяризации Linux. Финансовую подде-
ржку проекту оказали компании IBM, Novell, Philips, Red Hat
и Sony.
«Открытая совместная работа критична для создания
инноваций, обеспечивающих глобальный экономический
рост. Препятствия коллаборации для операционной сис-
темы Linux подвергает серьезной опасности возможные
инновации. Для поддержания развития инноваций в про-
граммном обеспечении для Linux должна быть установле-
на новая модель управления интеллектуальной собствен-
ностью – вне зависимости от размера и типа бизнеса или
организации», – пояснил смысл создания OIN ее исполни-
тельный директор Джерри Розенталь.
Novell меняет политику по GNOME и KDE
для SUSE Linux
В начале ноября компания Novell объявила о смене стан-
дартной графической оболочки для SUSE Linux (и Novell
Linux Desktop) с KDE на GNOME, объявив о том, что от-
ныне поддержкой пакетов KDE будет заниматься проект
OpenSUSE. Однако вскоре планы были несколько измене-
ны: из-за широкого резонанса, что вызвало известие в со-
обществе, и большого числа отзывов своих пользователей
Novell уступила и сообщила, что в дальнейшем будет уде-
лять равное внимание поддержке KDE и GNOME в своих
Linux-дистрибутивах.
Составил Дмитрий Шурупов
по материалам www.nixp.ru

Lips займется стандартизацией Linux

в телефонах
PalmSource, Orange и другие компании объединили свои
усилия в стандартизации свободной операционной системы
Linux в среде мобильных телефонов. Главная задача нового
сформированного союза Linux Phone Standard (Lips) Forum –
унифицирование интерфейса ОС Linux для возможности ее
установки на различные модели телефонов. «Существует
потребность в альтернативе Microsoft и Symbian, – проком-
ментировал Джон Острем, член совета Lips, основатель
China Mobilesoft и научный лидер в PalmSource. – Мы заин-
тересованы в борьбе с разнородностью и в предоставлении
стандартной Linux-платформы, которая позволит быстрее
создавать Linux-телефоны по меньшей стоимости и с ог-
ромной интероперабельностью». Первая версия для про-
стейших телефонов, которая позволит совершать звонки
и запускать элементарные приложения, должна появить-
ся в первом квартале 2006 года, а сертифицировать плат-
форму планируется в 2007-м.

Новый альянс предоставит патенты

ОС Linux
10 ноября анонсировано формирование Open Invention
Network (OIN) – новой компании, которая займется покуп-
кой патентов с целью их дальнейшего бесплатного предо-

4
 интервью

MiniMo – мини-браузер
из семейства Mozilla
Mozilla

Антон Борисов
Многим из вас приходилось работать с программными продуктами, в названии которых
присутствует слово Mozilla. В этом году, пожалуй, только ленивый не слышал о браузере
Mozilla FireFox. Однако главный герой сегодняшнего рассказа – браузер MiniMo, родословная
которого начинается с браузера Mozilla. Некоторые детали его разработки и концепцию
развития поведает Дуг Тернер (Doug Turner) – глава проекта.
Расска жите, как вы оказа лись ми. В определенный момент кому-то вильное направление, но одно ясно –
в Netscape Communications Inc., о ва- пришла в голову сумасшедшая идея от «безумной идеи» выиграли милли-
шей работе в этой компании, её ос- выпустить исходный код в публичный оны. «Освобождение ящерицы» в ито-
новных направлениях. доступ. В Netscape Communications мо- ге вылилось в лучший код, стало боль-
Я присоединился к команде Netscape им шефом был Крис Хофман. Он и сей- ше инноваций, и, наконец, война брау-
в 1996 году, для работы над клиен- час мой шеф в Mozilla Foundation. На- зеров вышла на новый виток.
том браузера под Mac-платформу. столько хороший, что у меня нет жела-
Поначалу было не очень интересно, ния мечтать о лучшем. Сколько людей занято в проекте
но это была работа на лучшую компа- MiniMo и кто вам помогает при раз-
нию, над лучшим продуктом того вре- Как бы вы охарактеризовали идею работке?
мени. Годом позже я стал работать выпуска исходного кода Netscape Что касается создания проекта MiniMo,
над вещами гораздо интереснее: се- в публичный доступ? С точки зре- то его родителями являются: Крис
тевое взаимодействие, многопоточ- ния того времени и с точки зрения Хофман, Дарин Фишер (Darin Fisher)
ность, xpcom, низкоуровневые подсис- реалий сегодняшнего дня. и я. Это было несколько лет назад. Да-
темы и над более сложными проблема- Я не был уверен вначале, что это пра- рин теперь работает в Google над дру-

№11, ноябрь 2005 5

 интервью

Что представляет из себя
MiniMo?
После того как в январе 1998 года были
выпущены в свет исходные коды Netscape
Navigator [1], началась новая ветка в исто-
рии развития браузеров. Одним из «побоч-
ных» эффектов стало появление MiniMo
(MiniMozilla) – мини-браузера для КПК и мо-
бильных устройств [2].
Что из себя представляет MiniMo?
Это в первую очередь исходный код бра-
узера Mozilla, который можно собрать
для мобильной платформы, например,
для КПК iPAQ. Вполне очевидно, что полная
функциональность настольной Mozilla для
мобильных устройств не требуется. На пер-
вый план выходит компактность браузера
и повышенные требования к распределе-
нию памяти (в КПК количество ОЗУ все-
таки отличается от настольных ПК). Вто-
рой немаловажный фактор – это умение
отображать html-страницы для экранов
КПК-устройств (разрешение в пределах
160x240 пикселов или более; сейчас уже
типичны устройства с разрешением экра-
на 640х480 пикселов) [3]. Если для настоль-
ных ПК доминирующим браузером являет-
ся Internet Explorer, то для мобильных уст-
ройств это далеко не так: здесь присутс-
твуют такие имена, как Opera, NetFront,
Obigo, Nokia Series 40/60 Browser, Openwave,
Pocket Internet Explorer, NicheView, Picsel,
RocketBrowser, Wapaka, Thunderhawk,
Skweezer, Andromeda и некоторые другие.
Сфера применений пока, на мой взгляд,
достаточно узкая – помимо непосредствен-
ного отображения веб-страниц и удобной
интеграции с Google Maps на этом функцио-
нал и заканчивается. Технология MiniMozilla
построена таким образом, что в принципе
можно отделить интерфейс пользователя
(UI) от ядра браузера Mozilla и построить
новые приложения под конкретные требо-
вания заказчика, но пока об этом мало что
слышно. Также мало слышно и об актив-
ном использовании в MiniMo подключае-
мых модулей. Впрочем, не буду заострять
внимание на том, чего пока нет. Отмечу,
что проект MiniMo идет вперед семимиль-
ными шагами. И лозунгом развития Mozilla
Foundation отчасти может служить фраза
Криса Хофмана (Chris Hofmann) – «Созда-
вайте хорошие продукты, которые приятны
для использования, а остальное приложит-
ся» («Make good software that people like to
use, and the rest will take care of itself»).
Коллектив Mozilla Foundation сложил-
ся в июле 2003 года в основном из быв-
ших участников корпорации Netscape [10].
Он разрабатывает не только MiniMo,
но и такие продукты, как Mozilla FireFox,
Mozilla Thunderbird, Mozilla SeaMonkey,
и многие другие. Большинство из них, ко-
нечно же, напрямую не связано с MiniMo,
но от каждого зависит общее развитие
продукта.
В частности, технологический темп для
развития MiniMo задает Дуг Тернер, Крис
Хофман координирует бизнес-планирова-
ние. Официально Дуг Тернер начал рабо-
тать на Mozilla Foundation с декабря 2004 го-
да. Хотя послужной список данными пер-
сонами не афишируется, но удалось уз-
нать, что до прихода в Netscape в 1996 го-
ду Дуг Тернер работал в компании Apple
Computer Inc.
Первое упоминание об успешном пор-
тировании MiniMo на КПК датируется 8 де-
кабря 2003 года, когда Дуг Тернер пишет
в своем блоге – о запуске Firebird на iPAQ
5555 [4].

гими вещами, а Крис занят создани- изводит КПК и смартфоны для I-Mate, Что касается запуска MiniMo на Opie,
ем бизнес-связей в Mozilla Foundation. HP, Orange, Dell и др.), наш код рабо- то здесь потребуется переписать код
Над MiniMo CE активно работают 6 че- тает нормально. под QT. Как вы знаете, сейчас Mozilla
ловек, каждый в своем направлении. основана на GTK-коде, поэтому зако-
Мы также помогаем нескольким спе- Как вашей команде удается тести- номерно, что и MiniMo зависит от GTK.
циалистам, работающим над версией ровать MiniMo на всех линейках КПК, Портирование на QT-основу происхо-
Linux MiniMo. У нас большая команда скажем, и на семействах Windows дит (см. http://dot.kde.org/1094924433).
тестеров, людей, которые придумыва- Mobile и дистрибутивах Familiar Как только оно завершится, то появит-
ют новые классные идеи, и, конечно же, Linux? Какие виртуальные машины ся причина для перестраивания дере-
мы получаем отдачу от всего направ- вы используете? ва MiniMo, чтобы в дальнейшем выпус-
ления развития FireFox. Прямо сейчас Отличный вопрос. Многие разработ- кать исполняемые файлы и в форма-
Марсио Галлио (Marcio Gallio) и я за- чики других браузеров для мобильных те MiniMo/QT.
няты разработкой ядра MiniMo. Фигу- устройств используют эмулирующие
рально выражаясь, мы стоим на пле- приложения. Для нас это не актуаль- Я попробовал запустить MiniMo 0.07
чах таких гигантов, как Джонни Стен- но, т.к. мы используем ядро от FireFox, в Windows CE 2002 (WinCE 3.0), од-
бэк (Johnny Stenback), Дэвид Барон поэтому если какая-то функция рабо- нако все попытки оказались не-
(David Baron) и всех тех сотрудников, тает в FireFox, то она будет работать удачными. В чем может быть про-
которые двигают технологию Mozilla и в MiniMo. блема, в WinCE 3.0 или все-таки
вперед, т.к. MiniMo базируется в пер- Однако есть такие опции, кото- в MiniMo? Есть ли планы выпускать
вую очередь на коде Mozilla. рые отсутствуют в FireFox, напри- MiniMo в виде одного инсталлятора,
мер, рендеринг для малых экранов а не в виде архива файлов?
На каких аппаратных платформах (Small Screen Rendering). У меня есть Для использования в Windows CE 2002
MiniMo может работать сегодня? мысль написать такое расширение требуется перекомпиляция кода MiniMo
В основном это ARM и несколько x86- для FireFox, чтобы у пользователей ПК с использованием SDK от WinCE 2002.
устройств. Существует несколько спе- была возможность увидеть, как стра- Сейчас мы сфокусированы в основном
цифичных вопросов, но наш код очень ница отображается на устройствах на Windows CE 2003, так что и для бо-
удобен в портировании. На большинс- с экраном 240x360. Мы компилируем лее старой версии WinCE в скором вре-
тве устройств, что поставляет HTC код на настольных ПК и копируем его мени будет релиз. Что касается инс-
(тайваньская компания High Tech на КПК. Затем тестируем и делаем вы- талляторов, то для себя мы использу-
Computer Corporation [11], которая про- вод о функциональности. ем как коммерческие, так и собствен-

6
 интервью
Какие планы развития MiniMo? И как сил бы развитие MiniMo, если на рын-
Дуг Тернер – соавтор первой антиспам происходит тестирование дополни- ке было что-то стоящее.
программы SpamBlaster, созданной в 1997 тельного функционала?
году. Сотруд ник компании Netscape Для MiniMo также существует план Насколько мне известно, с Nokia
Communications c 1996 года. Занимался развития [5]. Что же касается дополни- и с T-Mobile подписаны контракты
развитием объектной модели XPCOM, про- тельного функционала, то он, как пра- по поставке MiniMo вместе с их про-
работкой вопросов поддержки сети и пото- вило, появляется в качестве расши- дукцией. Насколько это верно?
ковых (thread) вопросов в браузерах серии рений к продукту. Например, Spatial У меня не входит в практику распро-
Netscape, а в последствии и в серии Mozilla. Navigation – это расширение, кото- страняться, кто собирается, а кто
В декабре 2004 года возглавил разработ- рое я написал для Pioneer Research. не собирается что-то поставлять, по-
ку браузера MiniMozilla в компании Mozilla Его цель – использовать клавиши вверх, ка не выпущен официальный пресс-
Foundation. вниз и т. д. для навигации по докумен- релиз. Так что, извините, говорить
ту (см. http://www.mozilla.org/access/ об этом преждевременно.
ные инсталляторы. Так что не волнуй- keyboard/snav). На сегодня это расшире-
тесь – MiniMo будет выпускаться и в ка- ние выглядит как опция, которую мож- Есть ли разработчики, которых
честве единого файла. но загрузить с http://addons.mozilla.org. вы могли бы отметить отдельно?
Как только расширение становится до- Мы сотрудничаем с компанией INdT
Для меня представляют интерес статочно востребованным, оно интег- (http://www.indt.org.br/indt), с коман-
русскоязычные ресурсы, поэтому рируется в дерево разработки. Одна- дой, которая работает над разными
я зашел на mail.ru и обратил внима- ко чтобы быть включенным, это конк- Open Source-проектами. В качестве
ние на то, что браузер автоматиче- ретное расширение проходит не толь- одного из таких проектов они выбра-
ски не распознает кодировку. ко через руки тестеров, но и через ру- ли MiniMo. Последние несколько ме-
Мы делаем достаточно широкие шаги ки тех, кто повседневно его использует, сяцев их внимание было сфокусиро-
вперед. Предлагаю использовать вер- т.е. знает расширение практически до вано на GTK-коде нашего кроссплат-
сию 0.08, ибо многие проблемы реша- мелочей. Поэтому относительно качес- форменного браузера. Также среди их
ются с выходом каждой новой версии. тва кода можете не волноваться. работ значится проект MaeMo – пор-
Некоторые вопросы, возникающие тирование на платформу Nokia 770
с перекодировками, связаны с тем, как Означает ли это, что практически (см. http://www.indt.org.br/maemo).
определять установленные на устрой- любое расширение, написанное для
стве шрифты и как проводить переко- FireFox, будет работать и с MiniMo? Ссылки:
дирование из национальных кодовых В общем-то, да. У нас было несколь- 1. http://en.wikipedia.org/wiki/Netscape.
страниц в юникод-представление. На- ко расширений для FireFox, которые 2. http://en.wikipedia.org/wiki/Minimo.
деюсь, в версии 0.10 многие из них бу- через несколько минут доработки за- 3. http://www.linuxdevices.com/articles/
дут решены. работали и с MiniMo. Расширения, AT7396996719.html.
стоящие упоминания, – это adblock 4. http://weblogs.mozillazine.org/dougt/
Действительно здорово осозна- и colorzilla. archives/004471.html – first announcement
вать, что исходный код для MiniMo of FireBird at IPAQ 5555.
и для Firefox почти один и тот же. Есть ли у вас планы по созданию 5. ht tp://w w w.linuxdevices.com /news /
Однако в ходе тестирования MiniMo прототипа для Symbian OS? NS8 91114 50 47.html – roadmap for
на различных версиях Windows CE Д.T.: Таких планов нет. Есть люди, ко- MiniMo.
я столкнулся с проблемой быст- торым нравится Symbian, и те, кото- 6. http://www.meer.net/~dougt/minimo_ce –
родействия. Если я сравню Pocket рые ненавидят его. Я действительно MiniMo WinCE builds – домашняя стра-
Internet Explorer (PIE) с MiniMo, не знаю, к кому я тяготею. Если смо- ница Дуга Тернера. Отсюда вы може-
то последний никак не кажется мне треть на API от Symbian и сравнивать те загрузить последние релизы MiniMo
быстрым. Есть ли какие-либо под- его с Linux, то, скорее всего, я принад- для платформы Windows CE.
вижки в улучшении данной про- лежу ко второму лагерю. 7. http://www.absoluteastronomy.com /
блемы? encyclopedia/m/mi/microbrowser.htm –
Д а , п р о и з в о д и т е л ь н о с т ь и м е е т С о гл а с н о о б з о р а м , в ы п ус к а е - классификация микробраузеров.
очень важное значение. Но срав- мым компанией Opera Software 8. Сравнить характеристики различных
нивать PIE с MiniMo недостаточно Inc., они не рассматривают MiniMo веб-браузеров можно пользуясь табли-
честно, т.к. PIE в действительнос- браузер в качестве конкурента, цей – http://www.absoluteastronomy.com/
ти не отображает многие сайты кор- т.к. Opera-Mini работает на других encyclopedia/c/co/comparison_of_web_
ректно, у него слабая реализация платформах (Symbian OS, Palm OS). browsers.htm.
JavaScript, и он не может выполнять Сможете ли вы утверждать, что ваш 9. http://davetitus.com/mozilla.
AJAX (http://developer.mozilla.org/en/ коллектив также не рассматривает 10. http://www.absoluteastronomy.com /
docs/AJAX). Впрочем, я не открещи- браузер от Opera в качестве конку- encyclopedia/m/mo/mozilla_foundation.
ваюсь от проблемы с быстродействи- рирующего продукта? html.
ем. Да, она существует, и мы ее посте- Мне бы не хотелось оценивать, кто ко- 11. http://en.wikipedia.org/wiki/High_Tech_
пенно решаем. му является конкурентом. Лично я бро- Computer_Corporation.

№11, ноябрь 2005 7

 администрирование
Поговорим через Интернет?
Анализ наиболее популярных сетей
интернет-телефонии
Знаете ли вы, что с помощью компьютера можно не только работать с документами, играть,
обмениваться письмами, но еще и разговаривать? Сегодня, отбросив максимум рекламной
шелухи, мы рассмотрим достоинства и недостатки трех наиболее популярных клиентов
интернет-телефонии – Skype, Gizmo Project и Google Talk.
«А в чем, собственно,
вопрос?»
За последние несколько месяцев ры-
нок компьютерной телефонии пере-
жил несколько значительных событий.
Наиболее интересными среди них яв-
ляются запуск проекта Gizmo Project,
а также открытие голосового сервиса
компанией Google. Сразу после этого
в сети появились многочисленные ста-
тьи, рассказывающие о преимущест-
вах новых сетей перед старыми кон-
курентами. Как ни странно, сколь-ни-
будь единого мнения о том, какая же
сеть на данный момент является луч-
шей, представлено не было. Более то-
го, мнения различных обозревателей
зачастую оказывались диаметрально
противоположными. Для внесения яс-
ности в этот вопрос было произведе-
но небольшое исследование, с резуль-
татами которого вы сможете ознако-
миться в этой статье. Итак, кандидат
№1 – Skype.
Skype, «Let the whole
world talk for free»
В недалеком 2003 году, основате-
ли сети KaZaA Николас Зенстром
и Янус Фрис создали революционную
для своего времени программу для ин-
тернет-телефонии с совершенно непо-
нятным названием – Skype. Ее изюмин-
ка заключалась в том, что для переда-
чи «голоса» использовались идеи пи-
8
ринговых сетей, широко используемых
для обмена файлами (Napster, KaZaA,
Gnutella и др.). С тех пор в течение поч-
ти трех лет сеть Skype активно разви-
вается, а количество пользователей
программы неуклонно продолжает рас-
ти. За первый год работы сеть набрала
свой первый миллион активных пользо-
вателей, за второй год – еще два, сей-
час их количество медленно, но вер-
но приближается к отметке в 5 милли-
онов… Последним значимым этапом
в истории Skype стало слияние с извес-
тными и популярными сервисами элек-
тронной коммерции e-bay и PayPal [1].
Что же лежит в основе успеха Skype?
Для ответа на этот вопрос достаточно
посмотреть на список основных воз-
можностей программы:
Передача речи, мгновенных сооб-
щений и файлов.
Высокое качество речи.
Проведение конференций.
Связь с традиционной телефон-
ной сетью (через сервисы SkypeIn
и SkypeOut).
Дополнительные возможности (ин-
теграция с MS Outlook, Firefox, ра-
бота с сетями wi-fi хот-спотов, воз-
можности «корпоративного» управ-
ления счетами и др.).
Шифрация всех передаваемых дан-
ных (алгоритмы AES, RC4).
Отличная работа из-за NAT и бранд-
мауэров.
Михаил Платов
П о д д е р ж к а р а з л и ч н ы х п л а т-
форм (Windows, Mac OS X, Linux,
PocketPC).
Наличие API для разработки собс-
твенных расширений программы.
27 различных языков в интерфей-
са клиента Skype.
Как работает Skype
Для того чтобы понять техническую
часть, обратимся к рис. 1.
Сеть состоит из программных кли-
ентов Skype, работающих на компью-
терах пользователей. В зависимости
от условий работы один и тот же кли-
ент может выступать либо как «обыч-
ный узел», либо как «суперузел» се-
ти [2]. У последних есть по меньшей
мере два характерных признака:
Они всегда имеют реальный интер-
нет-адрес.
Они принимают непосредственное
участие в поддержке работы сети
Skype.
Собственно, благодаря наличию
«суперузлов» Skype и относят к де-
централизованным сетям. Поиск або-
нентов, отслеживание их текущего со-
стояния (активен/не активен), обмен
мгновенными сообщениями и файла-
ми – все это производится с участи-
ем «супер узлов». Впрочем, их самой
важной функцией является то, что каж-
дый из них может выступать посред-
 администрирование
ником при передаче голосового тра- нивались качество
фика между другими клиентами се- передаваемой ре-
ти Skype, находящимися за сервера- чи, а также величи-
ми NAT (см. вариант «3» на рис. 1). на задержки. С по-
Теоретически подход Skype позволя- м о щ ью Et he rnet-
ет бороться абсолютно со всеми ви- снифера опреде-
дами NAT (см. врезку «NAT и STUN»), лялись характер-
правда, к сожалению, борьба эта ве- ные особенности
дется руками ничего не подозреваю- реализации рабо-
щих абонентов (ведь физически «су- ты клиентов из-за
перузлы» находятся на компьютерах NAT (используемые
самых обычных пользователей сети). протоколы, IP-ад-
Так, один день работы Skype в режиме реса узлов, участ-
«суперузла» может стоить владельцу вующих в переда-
Рисунок 1. Структура сети Skype
компьютера до 800 Мб трафика других че голосового тра-
пользователей Skype [3]. Ситуация усу- фика). Вариант, при котором оба клиента
губляется тем, что на данный момент При тестировании проверялось непосредственно подключены к Ин-
не существует официального способа качество работы в следующих сце- тернет при тестировании не рассмат-
запретить клиенту Skype становиться нариях: ривался. Такая схема подключения яв-
«суперузлом». Конечно же, можно схит- Разговор между двумя абонентами, ляется достаточно редкой. Все же ча-
рить и поместить свой компьютер за находящимися за одним и тем же ще такие люди работают либо из-за
NAT, но в таком случае вы лишь обос- NAT-сервером (внутри организа- сервера NAT, либо через прокси-сер-
трите проблему качества речи в сети, ции или локальной сети). вер (локальные и корпоративные се-
переложив ее решение на плечи дру- Разговор между абонентом находя- ти) и очень редко напрямую (как пра-
гих пользователей Skype. щимся в Интернет (dial-up-подклю- вило, это удел конечных пользовате-
чение), и абонентом за динамичес- лей, часто dial-up). К тому же прове-
Личное знакомство ким NAT (разговор между пользо- дение всех вариантов тестов с реаль-
Итак, идем на http://www.skype.net и за- вателями Интернета, подключен- ными интернет-адресами в моем слу-
гружаем Windows-версию клиента ными к одному и тому же провай- чае было несколько затруднительным.
Skype (на момент написания статьи – деру). Отчаиваться по этому поводу не стоит,
версия 1.3.0.66). Владельцам модемов Разговор между двумя абонента- результаты тестов в данном сценарии
придется подождать загрузки 7-мега- ми (dial-up и LAN), находящимися более чем предсказуемы.
байтного файла установки. После ин- за различными несимметричными
сталляции запустим программу и за- NAT-серверами (разговор между Тестирование Skype
регистрируем себе уникальное имя пользователями Интернета, под- Первый же тест преподнес сюрприз –
в сети Skype. ключенными к различным провай- даже находясь в одной локальной се-
Интерфейс программы достаточно дерам). ти, клиенты Skype умудрялись обме-
прост и понятен (см. рис. 2). нивались данными через «суперузел»
Первое, что мы сделаем, – найдем в Швейцарии, подключенный к Интер-
человека, с которым будем общать- нету с помощью беспроводной тех-
ся (можно искать по skype-именам нологии 802.11. (провайдер Monsoon
или просто найти пользователей в ре- Networks). Думаю здесь комментарии
жиме Skype-me, желающих поболтать), излишни.
и добавим его в список контактов. Пос- При тестировании по второй схе-
ле этого, нажав на зеленую кнопку вни- ме поведение клиента полностью со-
зу экрана, мы начнем звонить. В мо- ответствовало ожидаемому – данные
ем случае вызов проходил достаточно передавались напрямую между учас-
долго – около 10 сек. Кроме того, когда тниками (см. вариант «2» на рис. 1).
у вызываемого абонента было запуще- Субъективно качество речи было луч-
но несколько skype-клиентов на раз- ше, чем при разговоре по обычному те-
ных компьютерах (для Skype такая си- лефону, но все-таки хуже, чем у конку-
туация допускается), звонок иногда до- рентов (см. ниже).
ходил только до одного из них. Третья схема (см. «3», рис. 1) пол-
ностью повторила результаты первой,
Методика тестирования разве что география в этот раз бы-
Для каждой из рассматриваемых се- ла другой – Великобритания, Япония
годня программ проводился опреде- и США. Качество речи сильно меня-
ленный набор испытаний. В процес- лось от звонка к звонку – от полной
се каждого теста субъективно оце- Рисунок 2. Интерфейс skype-клиента невозможности разговора, до ред-

№11, ноябрь 2005 9

 администрирование
ких пропаданий речи, види- ные голосовые звонки або-
мо, при разговорах выбира- нентам д ругих SIP- с етей
лись различные «суперузлы». (несколько VoIP-сетей уни-
Объяснить причину такого по- верситетов, VoIP-сети проек-
ведения достаточно сложно – та SipBroker по всему миру).
протокол закрыт и зашифро- Кроме того, относительно
ван, а сама Skype не спешит просто должна достигаться
раскрывать миру особеннос- и организация связи с обыч-
ти объектов своей интеллек- ными телефонными сетями,
Рисунок 3. Структура сети SipPhone
туальной собственности. за что еще раз скажем спа-
Итак, давайте посмотрим, что же сибо протоколу SIP.
Чем плох Skype? может Gizmo: Для передачи мгновенных сообще-
Самым большим «злом» Skype явля- Передача голоса и мгновенных со- ний используется открытый протокол
ется то, что он использует ресурсы общений. XMPP, на основе которого работают
компьютеров своих пользователей Связь с традиционной телефон- сети Jabber. На данный момент Gizmo
для нужд всей сети в целом. ной сетью через службы Call In Project является участником IM-конфе-
В результате, некоторые образо- и Call Out. дерации [4], что автоматически озна-
вательные учреждения США и Европы Связь с абонентами Gizmo через чает обмен сообщениями с абонента-
официально запретили своим работни- выделенные городские номера до- ми других jabber-сетей.
кам и студентам использовать Skype. ступа (набор добавочного SIP-но-
В основе программы лежат закры- мера). Визуальная «примерка»
тые протоколы. Никто до конца точ- Проведение конференций, в том Основным сайтом проекта является
но не знает, что на самом деле делает числе и с абонентами ТФОП. http://www.gizmoproject.com. Именно
Skype, какие данные и куда он может Бесплатная голосовая почта. оттуда, из раздела Download, я и за-
передавать (посредством тех же «су- Возможность записи разговоров. грузил последнюю версию клиента
перузлов»). Исходный код клиента так- Отображение участников разгово- (1.1 на момент написания статьи). Раз-
же закрыт, поэтому нам остается лишь ра на карте мира. мер дистрибутива для Windows-плат-
«верить», что он не содержит Spyware Использование эмотиконов и зву- формы – чуть более 9 Мб.
или других подобных средств. ковых вставок. Интерфейс клиента достаточно удо-
Из-за использования закрытого Поддержка открытых стандартов бен и интуитивно понятен (см. рис. 4).
протокола интеграция Skype с други- (SIP, Jabber). В о с н о в е л еж и т с тан д ар т н а я
ми сетями на данный момент крайне Связь с другими VoIP-сетями, ис- для всех IM-клиентов идея «списков
затруднительна. Впрочем, судя по су- пользующими SIP. друзей» (buddy list). Имеется поиск, за-
ществованию SkypeOut, это не означа- Возможность работы с использо- писная книжка и история совершенных
ет, что интеграция невозможна в при- ванием аппаратных SIP-шлюзов звонков. Последняя централизованно
нципе, ее нет скорее по политическим и IP-телефонов. хранится на сервере и доступна с лю-
причинам. бого компьютера (у Skype история хра-
Большая часть выпускаемого се- В отличие от Skype, архитекту- нится локально). Голосовая почта ре-
годня оборудования для Skype (так на- ра сети SipPhone более традиционна ализована просто – все оставленные
зываемые skype-телефоны), работа- (см. рис. 3). сообщения в виде wav-файлов (к со-
ет только вместе со skype-клиентом В центре сети находятся серве- жалению, ничем не сжатых) отсыла-
на компьютере пользователя. Таким ры сети SipPhohe.
образом, достаточно сложно исполь- Благодаря исполь-
зовать skype без компьютера. зованию открытых
протоколов в сети
Gizmo Project возможна работа
Автором и владельцем этого проек- не только клиентов
та является Майкл Робертсон, из- Gizmo Project, но и
вестный миру такими брендами как любых других, под-
mp3.com и Linspire (в прошлом – держивающих про-
Lindows). В 2003 году Майкл основал токол SIP, в том чис-
компанию SipPhone, задачей которой ле и аппаратных
было создание сети IP-телефонии на (список рекомен-
базе протокола SIP. В середине 2005 дуемого оборудова-
года состоялся анонс бета-версии про- ния можно найти на
граммного клиента для этой сети – сайте проекта.
Gizmo Project, который многие неза- Всем участни-
медлительно назвали первым реаль- кам сети SipPhone
ным конкурентом Skype. доступны бесплат- Рисунок 4. Интерфейс Gizmo Project

10
 администрирование
ются на указанный в систе- го, но интенсивного тестиро-
ме e-mail. вания Call Out качество речи
Таким образом, сообще- было несколько хуже, чем при
ния голосовой почты также внутрисетевых звонках. При-
можно централизованно хра- чиной этому, судя по всему,
нить на любом почтовом сер- являлось транскодирование.
вере. В параметрах настрой- Дело в том, что подавляю-
ки Gizmo можно указать вто- щее большинство оборудо-
рой e-mail адрес, на который вания операторов не подде-
будут отсылаться уведомле- рживает даже открытый ко-
ния о пришедших голосовых дек iLBC, не говоря уже о ком-
сообщениях (так предлагает- мерческом ISAC и его собра-
ся реализовывать SMS-опо- тьях из пакета GIPS. Поэто-
вещения). При желании мож- му звонки перед терминаци-
Рисунок 5. Отображение положения участников разговора
но настроить безусловную на карте мира ей скорее всего подвергаются
переадресацию входящих транскодированию на одном
звонков на другой номер, в том чис- места – реализованные возможности из серверов SipPhone, которое и при-
ле и номер ТФОП (в этом случае або- STUN оптимальны с точки зрения сов- водит к некоторому ухудшению качес-
нент будет оплачивать все переадре- местимости с другими устройствами тва речи. С другой стороны, благодаря
суемые звонки по соответствующему сети. Впрочем, это вовсе не означает, транскодированию даже пользователи
тарифу для Call Out). что специальные расширения функци- с низкоскоростными интернет-канала-
Другой приятной особенностью ональности для лучшей совместной ми могут делать call-out-звонки с при-
Gizmo является отображение учас- работы Gizmo из-за NAT невозможны емлемым качеством.
тников разговора на карте мира в принципе… Для услуг междугородной и меж-
(см. рис. 5). Для этого использует- дународной телефонии SipPhone,
ся интерфейс системы Google Maps. Групповое использование как и другие подобного рода компании,
К слову реализация этой возможности Одним из таких «расширений» мож- скорее всего использует возможнос-
тоже имеет мелкие недостатки. Так при но считать службу Bonjour. Послед- ти крупных операторов IP-телефонии.
совершении звонков через Call Out на няя является реализацией открыто- Как правило, последние для передачи
карте вместо расположения вызыва- го протокола IETF Zeroconf и активно голоса используют выделенные сети
емого абонента (которое достаточно используется в MacOS X для простой IP MPLS, поэтому проблем с ухудше-
точно можно определить по номеру работы с сервисами в локальной сети нием качества на их участке не воз-
телефона) показывалась точка в США (сетевые настройки компьютеров, ра- никает и наибольшее влияние все-та-
(предположительно точка установки бота с файлами и принтерами, обмен ки оказывает состояние интернет-ка-
шлюза, соединяющего SipPhone c тра- музыкой и картинками). С помощью нала между клиентом и сервером
диционными сетями). этой службы клиенты Gizmo Project SipPhone. На данный момент серверов
могут напрямую передавать голосо- SipPhone, работающих за пределами
Работа с NAT вой трафик при звонках в рамках од- США, обнаружено не было – при раз-
В этом пункте Gizmo Project продол- ной подсети. говорах голосовые пакеты всегда пе-
жает следовать идее максимально- Некоторые пользователи сообща- редавались через единственный сер-
го использования уже существующих ли о проблемах в работе управляе- вер, расположенный в США. (Справед-
и проверенных технологий. При рабо- мого оборудования D-Link, возникаю- ливости ради нужно отметить, что при
те с клиентами, находящимися за NAT, щих после установки Bonjour (вместе прочих равных условиях качество речи
используется открытый протокол с Gizmo Project или Apple iTunes) [5], по- в Gizmo при проведении тестирования
STUN. Правда, как показало практи- этому если возможность прямых раз- из-за NAT было лучше, чем у Skype, ис-
ческое исследование поведения теку- говоров в локальной сети вам не нуж- пользующего для транзита «суперуз-
щей версии Gizmo, возможности STUN на, а потенциально «проблемное» обо- лы» в Японии, Европе и США.)
реализованы далеко не полностью – рудование имеется просто деинстал-
только для передачи данных между лируйте эту службу с помощью про- А все ли хорошо
клиентом за NAT и интернет-сервером граммы TurnOffBonjour.exe, входящей в американском королевстве…
сети SipPhone. В этом случае на качес- в стандартную инсталляцию Gizmo. К сожалению, при работе с Gizmo
тво речи значительное влияние будет не обошлось и без большой ложки де-
оказывать взаимное расположение Особенности терминации гтя. Во-первых, программа действи-
клиента и сервера. Последний, к сло- Для тестирования услуги звонков тельно является бета-версией (а мес-
ву, находится в США. на обычные телефоны все вновь ре- тами даже и альфа), особенно в пла-
Если же вспомнить, что в сети гистрирующиеся пользователи полу- не стабильности. Так, клиент несколь-
SipPhone помимо клиентов Gizmo так- чают на счет 35 центов. Стоимость ко раз произвольно завершал свою ра-
же работают обычные шлюзы и IP-те- звонка в Россию – 7 центов, тарифика- боту (особенно часто при попытке от-
лефоны, то все сразу встает на свои ция – поминутная. В процессе коротко- правки IM-сообщений на русском язы-

№11, ноябрь 2005 11

 администрирование
ке), причем перед повторным запус- руется обмен сообщениями с други-
ком часто требовалось вручную за- ми jabber-серверами в рамках проек-
вершить процесс gizmo.exe. Неболь- та IM Federation [7]. Передача речи на
шой осадок оставила функция отоб- данный момент возможна только меж-
ражения звонков на карте при вызовах ду родными клиентами Google Talk.
в ТФОП. В некоторых специфичных ус- В будущих версиях заявлена под-
ловиях клиент просто не мог подклю- держка протокола SIP. Помимо этого
читься к сети. Однако с учетом того, Google также обещает открыть сооб-
что программа активно развивается ществу детали использования XMPP
и все еще имеет официальный статус для передачи голоса в Google Talk [8].
«бета», можно надеяться, что в скором
времени эти и другие недочеты будут Работа с NAT
успешно устранены.. При работе с клиентами, находящи-
мися за NAT, Gtalk также использу-
Google Talk ет STUN. Качество реализации STUN
24 августа 2005 года состоялся офи- от Google впечатляет – во всех рас-
циальный анонс еще одной голосо- сматриваемых сегодня схемах с NAT
вой службы, на этот раз от компании Gtalk всегда удавалось передавать
Google, известной миру своей одно- Рисунок 6. Интерфейс Google Talk голосовые данные напрямую между
именной поисковой системой. Назва- почтовый адрес не является адресом участниками. Как вы помните, Skype
ние простое – Google Talk или сокра- почтовой системы Google, то вам будет в этом случае использовал «суперу-
щенно – Gtalk. предложено пригласить этого пользо- зел», а Gizmo – специализированный
Основные возможности: вателя в Gmail прямо из Google Talk. сервер в США. Субъективная оцен-
Передача голоса и мгновенных со- С пользователями, имеющими статус ка качества речи лишь подтвердила
общений. «Available», можно общаться. При голо- объективные данные – среди всех рас-
Отображение качества разговора совых сеансах качество речи в реаль- смотренных участников наилучшее ка-
в реальном времени. ном времени отображается индикато- чество речи было у Google Talk.
Уведомления о непрочитанных ром верхней панели, причем достаточ-
письмах в почтовом ящике. но корректно. Связь с телефонными сетями
Быстрое открытие ящика Gmail. Интерфейс клиента вылизан до ме- В настоящее время официально та-
лочей. Приятные меню, автодополне- кой услуги нет. Информации о ее воз-
Как видим, список невелик, но да- ния при вводе адресов, моменталь- можном появлении также нет. Однако
вайте воздержимся от поспешных вы- ное открытие ящика Gmail (без ввода изучение сигнальных сообщений, пе-
водов, ведь, как известно, больше пароля), удобные уведомления о но- редаваемых между сервером и клиен-
не значит лучше… вой почте, ненавязчивое звуковое со- тами Gogle Talk, обернулось несколь-
провождение – и все это при размере ко неожиданным сюрпризом – поми-
Знакомство дистрибутива в 900 Кб! За интерфейс мо декларирования поддержки коде-
Первой приятной особенностью про- Google Talk без разговоров получает ков GIPS и двух стандартных вариаций
граммы стал ее размер – всего лишь свои заслуженные 5 баллов. G711 в сообщениях также присутство-
900 Кб. вала следующая запись:
Для работы с Google Talk понадоби- Протоколы, диалекты… <payload-type xmlns=http://www.google.com/session/phone
лась учетная запись почтовой системы С технической точки зрения выбор id="4" name="G723"/>

Google Mail. Для получения последней Google особенно интересен. Если Таким образом, возможно, уже сей-
нужно попросить любого знакомого Skype использует собственный за- час в клиенте Google Talk есть подде-
с почтой Gmail прислать вам пригла- крытый протокол, а Gizmo Project – ржка популярного в мире IP-телефо-
шение. К сожалению, других офици- стандартный для IP-телефонии SIP, нии кодека G723! С точки зрения здра-
альных способов регистрации в Gmail то в основе Gtalk лежит протокол вого смысла это может означать од-
для людей, проживающих за предела- Jabber/XMPP, широко используемый но – интеграция с телефонными сетя-
ми США, на данный момент нет. Open Source-сообществом для пере- ми не за горами. Причем благодаря то-
После получения приглашения дачи мгновенных сообщений. Благода- му, что поддержка кодека есть непос-
и успешной регистрации можно войти ря этому совместно с Google Talk гипо- редственно в клиенте, отпадает не-
в Gtalk. Интерфейс программы типичен тетически можно использовать абсо- обходимость в перекодировании ре-
для Google – просто, удобно и в то же лютно любой Jabber-клиент. Список га- чи, что для конечных пользователей
время красиво (см. рис. 6). рантированно работающих альтерна- должно отразиться в более высоком
Имеется традиционный список тив можно найти на соответствующем качестве речи при разговорах с або-
контактов, для его наполнения можно разделе сайта google [6]. Клиенты бу- нентами телефонных сетей. Главное,
использовать адресную книгу Gmail дут работать с сервером Google, поэ- чтобы версия в клиенте Google оказа-
или просто ввести e-mail нужного че- тому создавать учетную запись в Gmail лась совместимой с тем, что называ-
ловека в поле поиска. Если введенный все равно придется. В будущем плани- ется G723.1 у телефонистов…

12
 администрирование

NAT и STUN
На сегодняшний день подавляющее чис-
ло компьютеров подключено к Интерне-
ту с использованием протокола четвер-
той версии протокола IP. Одной из извест-
ных проблем этой версии является нехват-
ка адресного пространства. Так, для адре-
сации в IPv4 используется 32 разряда, что
позволяет обращаться к 4 294 967 296 ус-
тройств. Для Интернет на стадии его за-
рождения (20 лет назад) эта цифра ка-
залось огромной. С позиции настоящего
времени эта цифра уже не кажется столь
большой, напротив, многие говорят о гря-
дущей нехватке IP-адресов, особенно ког-
да начнут появляться бытовые устройства
(телефоны, холодильники и другие предме-
ты бытовой техники), подключенные к Ин-
тернету. Сейчас же для «экономии» час-
то используется механизм NAT – Network
Address Translation. Общую идею NAT мож-
но описать так: преобразование адресов
одной сети в адреса другой сети. В наибо-
лее популярном частном случае (подклю-
чение локальной сети к Интернету) это бу-
дет трансляция внутренних адресов ло-
кальной сети (10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16) в один внешний интернет-
адрес, полученный от провайдера. Обраба-
тывая пакеты, NAT-сервер будет просто за-
менять «локальные» адреса клиентов сво-
им интернет-адресом, а при получении от-
ветных данных из Интернета будет прово-
дить обратное преобразование. При этом
для служб, работающих на уровне IP, ника-
ких проблем не возникает – NAT прозрач-
но меняет заголовки IP-пакетов. С прото-
колами более высокого уровня, к сожале-
нию, возникают проблемы. Так, при уста-
новке соединения с помощью SIP участни-
ки диалога внутри SIP-сообщений указы-
вают IP-адреса и номера портов, которые
будут использоваться для передачи RTP-
пакетов. Если NAT-сервер не занимается
анализом содержимого пакетов на уров-
не протокола (а именно так все известные
реализации и поступают), то RTP-пакеты
просто не дойдут до адресата, ведь в SIP-
сообщениях будут указаны внутренние
немаршрутизируемые адреса участни-
ков. Для решения этой проблемы исполь-
зуется протокол STUN – Simple Traversal of
UDP through NAT [9]. Его основная идея за-
ключается в том, чтобы дать возможность
клиенту определить, что он находится за
NAT, а также сообщить ему IP-адрес и но-
мер порта, которые получатся после транс-
ляции внутреннего адреса сервером NAT.
Имея эту информацию, клиент сможет сам
правильно указать в SIP-сообщениях вне-
шний адрес и номер порта для передачи
RTP-данных на сервере NAT.
С точки зрения STUN выделяются 4 ос-
новных типа реализации NAT-серверов:
Динамический неограниченный NAT.
В этом случае все запросы от опреде-
ленного внутреннего IP-адреса и пор-
та отображаются на один и тот же вне-
шний IP-адрес и порт. Кроме того, раз-
личные узлы Интернета могут послать
пакеты узлу за NAT, отправляя их на со-
ответствующий порт NAT-сервера.
Динамический NAT, ограниченный
по IP-адресам. То же, что и предыду-
щее, за исключением того, что вне-
шние узлы могут посылать пакеты
только в том случае, если узел за NAT
сам предварительно посылал им какие-
либо пакеты.
Динамический NAT, ограниченный
по IP-адресам и портам. То же, что
и предыдущее, только ограничения за-
даны более жестко: узел в Интернет мо-
жет отсылать пакеты только с того пор-
та, на который он предварительно что-
то получил от узла из-за NAT.
Симметричный NAT – все пакеты от
внутреннего IP-адреса и порта к вне-
шнему IP-адресу и порту преобразуют-
ся в один и тот же IP-адрес и порт NAT-
сервера. Отличие заключается в том,
что при обращении к различным вне-
шним IP-адресам порты на NAT-серве-
ре тоже будут изменяться. Таким обра-
зом, только один интернет-узел может
посылать пакеты узлу, находящемуся
за NAT-сервером.
Для первых трех типов NAT можно с ус-
пехом использовать внешний STUN-сер-
вер, а вот для четвертого типа этот метод
уже не поможет – номера портов, назнача-
емые для пакетов к STUN-серверу и второ-
му участнику разговора, будут разными.
Единственным возможным здесь вариан-
том является интеграция функциональнос-
ти STUN-сервера в прокси-сервер голосо-
вого трафика. В этом случае номера пор-
тов будет возможно определить, и соеди-
нение будет установлено. Вам это еще ни-
чего не напоминает? Правильно! Именно
так и работает механизм «суперузлов» сети
Skype, позволяющий успешно работать да-
же из-за симметричного сервера NAT.

Чего в Gtalk нет вать таковыми контакты Gmail мож- ализована не вся желаемая функцио-
Оценивать функциональность Google но лишь с очень большой натяжкой), нальность.
Talk достаточно сложно. Если в ряду крайне ограниченны возможности по-
его конкурентов рассматривать Skype иска абонентов (глобального катало- Российский путь
и Gizmo Project, то, безусловно, наибо- га нет, только личная адресная кни- Некоторое представление о том, как
лее существенным недостатком будет га из Gmail). развивается интернет-телефония в ми-
отсутствие связи с традиционной те- ре, мы получили, но что происходит
лефонной сетью. Если же конкурента- Статус и стабильность у нас? Говоря об интернет-телефонии
ми будут «мессенджеры» от Microsoft, На данный момент сервис Gtalk офи- в России, можно упомянуть, как мини-
AOL и Yahoo, то в сравнении с ними уже циально находится в стадии Beta. Од- мум, два проекта – Mail.Ru Agent и сеть
имеющиеся на данный момент воз- нако, как показало непродолжитель- sipnet.ru.
можности передачи голоса будут бо- ное, но достаточно интенсивное тес-
лее чем достаточны. тирование, детище Google на данный Mail.ru Agent
Что же касается других полез- момент более чем стабильно – за все Детальное изучение MRA показа-
ных, но пока отсутствующих функций, время испытаний не возникло ни од- ло, что он скорее является очеред-
то в Gtalk на данный момент нет аудио- ной ошибки. ным ICQ-клоном, ориентированным
и видеоконференций, нельзя исполь- Таким образом, приставка beta в первую очередь на обмен мгновен-
зовать эмотиконы, практически отсутс- в названии данной программы скорее ными сообщениями. Голосовые функ-
твуют профили пользователей (назы- означает то, что пока в программе ре- ции номинально имеются, но качество

№11, ноябрь 2005 13

 администрирование

«Sound by Global IP Sound»
Такую фразу можно встретить в описании
большинства рассмотренных сегодня сис-
тем (кроме сети Тарио и агента Mail.Ru). Не-
которые пояснения по поводу смысла этой
фразы можно найти на сайте [10]. Соглас-
но размещенной там информации, предме-
том деятельности компании Global IP Sound
является разработка и лицензирование
речевых кодеков IP-телефонии, обладаю-
щих высоким качеством речи и более ус-
тойчивых к потерям IP-пакетов. Наиболее
известным кодеком этой компании яв-
ляется iLBC – Internet Low Bitrate Codec
(см. [11]), описание алгоритма работы ко-
торого можно найти в RFC-3951. Другими,
но уже закрытыми, кодеками GIPS являют-
ся – iSAC, Enhanced G711, iPCM-wb. Более
подробное описание их особенностей мож-
но найти в [12], кратко информацию, при-
водимую в данном документе, можно вы-
разить так: «Закрытые кодеки при опре-
деленных условиях могут обеспечить луч-
шее, по сравнению с конкурентами, качес-
тво передачи речи».
А теперь, как говорится, вопрос на за-
сыпку – если все рассмотренные сегод-
ня сети для передачи речи используют
один и тот же набор кодеков от GIPS (а су-
дя по официально доступной информа-
ции, так оно и есть), то почему же так от-
личается качество передачи речи в раз-
личных сетях?
Можно привести два варианта ответа
на этот вопрос:
Используются различные алгоритмы
выбора конкретного кодека из паке-
та, предоставляемого GIPS. Реаль-
но это может означать следующее –
там, где одна программа выбирает,
например, iLBC с размером потока
13.3 кБит/с, другая благодаря исполь-
зованию более совершенных методов
определения имеющейся пропускной
способности выбрала менее требова-
тельный ISAC с битрейтом 10 кБит/с.
Как результат, при нехватке пропуск-
ной способности качество речи у вто-
рого клиента будет лучше.
Благодаря выбору более оптимального
маршрута удалось найти такой путь до-
ставки пакетов, что задержка и процент
потерь оказались меньше, чем у конку-
рентов.
Первый случай скорее является край-
ностью, и его суть кратко можно выразить
так – «ошибка проектировщиков и про-
граммистов».
Второй вариант, при прочих равных ус-
ловиях, может оказывать очень сильное
влияние на качество. Так, разговаривать
через неизвестный узел в Японии или бес-
проводного клиента в Швейцарии (Skype),
как правило, оказывалось хуже, чем через
выделенный сервер в США (Gizmo). Луч-
шее же качество достигалось при переда-
че данных напрямую между участниками
разговора (Google Talk).

их практической реализации (по срав- Работа с NAT ля он запросто может поставить в ту-
нению с тем же GTalk) оставляет же- Как видно из названия, сеть использу- пик – «интуитивного понимания» нет.
лать лучшего. Оценку голосовых воз- ет протокол SIP. Вариант борьбы с NAT Прежде чем что-либо сделать, реко-
можностей, к сожалению, произвес- стандартен – STUN. Сеть предостав- мендуется обязательно ознакомиться
ти не удалось – при нахождении або- ляет свой сервер (stun.sipnet.ru), кли- с соответствующим разделом встро-
нентов за NAT слышимость была ну- ентская часть протокола присутству- енной системы помощи. Кроме того,
левой. ет во всех популярных SIP-клиентах. часть настроек учетной записи доступ-
С технической точки зрения MRA По информации с официального сай- на в свойствах учетной записи сервера
использует собственный бинарный та, реализация STUN в sipnet.ru поз- CommuniGate PRO. Описание этих на-
протокол (на вид достаточно ICQ- воляет работать даже из-за симмет- строек приводится уже в другом мес-
подобный), что ограничивает круг ричного NAT, хотя на практике устано- те. Другими словами, в плане «друже-
его применения только абонентами вить соединение из-за NAT при помо- любного» интерфейса spinet еще есть
mail.ru. щи клиента x-lite мне не удалось. (хо- чему поучиться…
тя Gtalk, Skype и Gizmo соединялись Второй вариант использует те же
Sipnet.ru без проблем). узлы сети Tario, но уже для вызова або-
А вот этот проект, как оказалось, име- нентов sipnet. Позвонив на номер узла
ет самое что ни на есть непосредствен- Связь с телефонными сетями Tario в вашем городе и набрав добавоч-
ное отношение к теме нашего сегод- Связь с телефонными сетями возмож- ный SIP-номер абонента, вы можете
няшнего разговора. Сеть sipnet в неко- на в двух вариантах: позвонить любому пользователю сети
тором смысле можно считать россий- Звонки абонентов sipnet в ТФОП. sipnet. Если же абонент занят или не-
ским аналогом SipPhone. Так, с 27 ок- Звонки из ТФОП абонентам spinet. доступен, вы можете оставить ему со-
тября каждый желающий может бес- общение голосовой почты (для реали-
платно подключиться к сети sipnet.ru, Для «приземления» звонков в те- зации этой возможности используется
заполнив небольшую форму на веб- лефонные сети используется платфор- платформа CommuniGate PRO). Спи-
сайте. Собственного программного ма Tario Softswitch. Одной из ее осо- сок городов и номеров телефонов уз-
клиента (как Gizmo Project у sipphone), бенностей является то, что абоненты лов доступа на данный момент приво-
у sipnet нет, вместо это предлагается сами могут выбирать конкретные уз- дится только в личном кабинете або-
использовать бесплатные версии про- лы, через которые будут совершаться нента sipnet. Звонок на узел Тарио та-
грамм, поддерживающих протокол SIP их звонки (до появления sipnet эта воз- рифицируется как звонок на обычный
(CounterPath x-lite, Microsoft Messenger можность была доступна только опера- городской телефон.
и др). Также можно использовать ап- торам, работающим с Tario). Специа-
паратные голосовые шлюзы, причем листам интерфейс-платформы более Качество речи
юридическим лицам Sipnet готов пре- чем понятен (ведь для них это и дела- К сети могут подключаться любые SIP-
доставить их бесплатно. лось), а вот начинающего пользовате- совместимые клиенты. На официаль-

14
 администрирование
Таблица 1. Сводная таблица возможностей Нет четкой политики относитель-
Возможности Skype Gizmo Project (Beta) Google Talk (Beta) Sipnet.ru* но использования мгновенных со-
Связь с телефонными сетями Да Да Да Да общений.
Возможность проведения
Да Да Нет Нет Общие недочеты в реализации
конференций
служб (неполная локализация), от-
Мгновенные сообщения Да Да Да Нет
Да, за дополнительную
сутствие https в личном кабинете,
Голосовая почта Да, бесплатно Нет Да, бесплатно
плату нетипичный интерфейс форума.
Дополнительные услуги Да, средствами
Да, за дополнительную
(переадресация, автоответчик Да Нет платформы
и т. д.)
плату
CommuniGate PRO Вместо выводов
Передача файлов Да Нет Нет Нет В заключение подведем краткий итог.
Возможность работы с другими
Нет Да Нет Да Самое большое преимущество Skype –
сетями
количество пользователей. Согласи-
Шифрация трафика Да Нет Нет Нет
тесь, довольно сложно использовать
Субъективная оценка работы
4 3 5 2
с NAT (максимум – 5 баллов) Gizmo, если все знакомые в Skype,
«Прямые звонки» между
Нет Да, с помощью Bonjour Да, с помощью STUN Неизвестно а если вспомнить, что Skype еще и за-
абонентами локальной сети
крыт, то надеяться на «мягкую» миг-
Да, с использованием Да, с помощью самой Да, с использованием
Возможность записи разговоров
средств 3-х фирм программы средств 3-х фирм
Нет
рацию и вовсе не приходится. Если же
Набор речевых кодеков
Да Да Да Нет
раньше вы и ваши друзья не пользо-
от Global IP Sound
вались интернет-телефонией, посмот-
Используемый протокол Собственный SIP XMPP SIP
рите на Gizmo Project или Google Talk.
Возможность контроля качества Номинально присутствует, Есть, работает
речи в реальном времени
Нет
но работает некорректно достаточно корректно
Нет
С помощью первого можно звонить
Отображение собеседников
Нет Да Нет Нет
на обычные телефоны, второй же мо-
на карте
жет прийтись по вкусу тем, кто допол-
Возможность расширения
функциональности
Да, через API Нет Нет Нет нительно хочет сменить (или получить)
Размер дистрибутива 7,2 Мб 9,3 Мб 960 Кб Неприменимо e-mail. Владельцам широкополосного
Потребление памяти при работе 18,4 Мб 14 Мб 2,6 Мб Неприменимо подключения к Интернету (128 кбит/с
Windows, MacOS X,
Windows 2000/XP, и выше) можно посмотреть в сторону
Поддерживаемые платформы MacOS X, Linspire Windows 2000/XP Неприменимо
Linux, Pocket PC sipnet, особенно если вам часто прихо-
Статус Release Beta Beta Неприменимо дится звонить, а в плане мгновенных
* Приводятся возможности только для сети Sipnet.ru. Sipnet – это не клиент, а открытая сеть и некоторые пункты к нему (как к сети) сообщений устраивает и ICQ.
не применимы
Более подробное сравнение воз-
ном сайте имеются инструкции по на- нации), но, насколько мне известно, та- можностей всех рассмотренных се-
стройке Microsoft Windows Messenger кого сервиса у sipnet.ru пока нет. годня клиентов можно найти в Таб-
и CounterPath X-lite. При работе с этими лице 1.
программами скорее всего придется Краткий итог
использовать самые неэкономичные Основные плюсы sipnet.ru: Литература и ссылки:
кодеки G711A и G711U (MS Messenger Бесплатные внутрисетевые звонки 1. http://investor.ebay.com/event.cfm.
других и не знает, а все остальное, и голосовая почта. 2. Salman A Baset, Henning Schulzrinne, An
что входит в x-lite, на практике не под- Дешевые междугородные и между- Analysis of the Skype Peer-to-Peer Internet
держивается терминирующими шлю- народные звонки. Telephony Protocol, September 2005.
зами провайдеров). Возможность звонков абонентам 3. http://www.connect.ru/article.asp?id=4997.
Как мы помним из [11], для такой сети sipnet через выделенные го- 4. http://www.imfederation.com.
связи нам понадобится канал свя- родские номера. 5. http://www.voipuser.org/forum_topic_
зи около 80 кБит/c в каждую сторону Возможность пополнения счета че- 2567.html.
(пользователям dial-up можно не бес- рез российские системы интернет- 6. http://www.google.com/talk/otherclients.
покоиться). расчетов. html.
Если же взять SIP-клиент или аппа- Дополнительные возможности (на- 7. http://www.imfederation.com.
ратный шлюз с поддержкой G723 или стройки маршрутизации, заказ 8. http://www.google.com/talk/developer.
G729, то можно без проблем пользо- звонков). html#protocols.
ваться междугородной связью, а вот Возможности группового исполь- 9. Rosenberg J, STUN – Simple Traversal
при разговорах с другими абонента- зования. of User Datagram Protocol (UDP) Through
ми сети трудности останутся – из-за ог- Network Address Translators (NATs),
раничений нашего канала мы не смо- Основные минусы sipnet.ru RFC3489, march 2003.
жем говорить с пользователями x-lite Нет удобного и интуитивно понят- 10. http://www.globalipsound.com.
и MS Messenger. ного интерфейса пользователя. 11. Платов М. Что важно знать об IP-теле-
В принципе эта проблема могла бы Нет четких правил относительно фонии. – Журнал «Системный адми-
решаться использованием централи- используемых кодеков. нистратор», №5, май 2005 г. – 20-25 c.
зованного перекодирования (как это, Сложности в работе dial-up-клиен- 12. Global IP Sound GIPS Codecs – http://www.
например, делает sipphone при терми- тов. globalipsound.com/datasheets/Codecs.pdf.

№11, ноябрь 2005 15

 администрирование
FreeBSD tips: какими возможностями
обладает ftpd
Протокол FTP предназначен для передачи файлов по сети. Существует множество очень
функциональных ftp-серверов, однако для использования в «личных» целях, как правило,
вполне достаточно возможностей входящей в состав FreeBSD программы ftpd.
П
рограмма ftpd представляет собой достаточно прос-
той ftp-сервер. В отличие от таких инструментов,
как ProFTPd, PureFTPd и других, ftpd не имеет раз-
витых средств конфигурирования, работы с правами до-
ступа и т. д. Однако если вы не собираетесь строить пуб-
личный ftp-сервер, то его возможностей вам вполне хва-
тит для организации «бытовых» функций, таких как обмен
файлами между сервером и вашей рабочей машиной, на-
пример, для размещения HTML-страниц на веб-сервере
или настройки простейшего резервирования.
Начнем с теории
Для начала давайте коротко ознакомимся с самим прото-
колом FTP. Он описывается довольно объемным докумен-
том RFC 959 и определен только для транспортного прото-
кола TCP; UDP-реализации, в отличие от TFTP, нет.
Характерной отличительной особенностью FTP от дру-
гих протоколов является то, что он для своей работы за-
действует два порта – порт данных и порт управления.
Порт управления используется для установления соеди-
нения между клиентом и сервером, для управления режи-
мами работы и т. д.
В то время как порт данных служит для передачи запра-
шиваемой информации.
16
Сергей Супрунов
Протоколом определены два режима взаимодействия:
активный и пассивный, понимание которых крайне важно
в случае использования в сети брандмауэров.
Активный режим работы FTP
В активном режиме процесс установления соединения
между сервером и клиентом выглядит следующим об-
разом:
Клиент с непривилегированного порта (с номером боль-
ше 1024) отправляет запрос на порт 21 сервера (порт уп-
равления).
После процедуры авторизации (команды USER и PASS)
клиент начинает прослушивать порт N и отправляет
на сервер команду PORT, сообщающую ему, какой имен-
но порт открыт.
Сервер, получив команду PORT, устанавливает соеди-
нение с указанным портом N со своего порта 20. Это со-
единение используется для передачи данных.
Посмотрим, как это происходит на практике. Для эму-
ляции работы управляющего соединения вполне подой-
дет стандартная утилита telnet. Чтобы посмотреть, как ра-
ботает порт данных, воспользуемся небольшой програм-
мкой на Python:
 администрирование
#!/usr/local/bin/python Теперь по команде LIST, запрашивающей список фай-
# lystener – скрипт для прослушивания указанного порта
лов в текущем каталоге, сервер устанавливает соедине-
import sys, socket ние с указанным портом (со стороны сервера используется
host = str(sys.argv[1]) порт 20) и передает запрошенные данные, которые и фикси-
рует наш сценарий. После выполнения команды соединение
port = int(sys.argv[2])
по порту данных разрывается, но управляющее соединение
s = socket.socket() сохраняется, пока не будет подана команда QUIT.
s.bind((host, port))
s.listen(1) Как видите, активный режим удобен для администра-
m = s.accept() тора сервера, поскольку при этом задействуются только
print 'Connected on', m[1]
порты 20 и 21 (причем инициализация соединения – только
while(1): на 21 порту), а остальные можно смело закрыть брандмау-
rsv = str(m[0].recv(256))
print rsv эром. С другой стороны, для клиента этот режим крайне не-
if rsv == '': приятен, так как вынуждает держать открытыми непривиле-
print 'No data more. Connection is closed.'
break; гированные порты. Поскольку общепринятой практикой яв-
ляется запрет любых входящих соединений на клиентские
m[0].close()
s.close() машины (а в случае работы через NAT вообще требуется
выполнять «проброс» внешних соединений до клиента либо
Этот скрипт будет прослушивать соединение на ука- организовывать работу в режиме прокси-сервера), то в этом
занном в параметрах командной строки порту и выводить плане более удобным является пассивный режим.
на экран всю полученную через созданный сокет инфор-
мацию. Пассивный режим работы FTP
Откроем две терминальные сессии, которые услов- В этом случае все соединения инициируются клиентом,
но назовем cmd (порт управления, обмен данными пока- что позволяет обойти ограничения, налагаемые обычно
зан зеленым шрифтом) и data (порт данных, соответству- брандмауэром и серверами NAT. Процесс организации со-
ющие строки – серые). Ввод пользователя выделен крас- единения теперь выглядит следующим образом:
ным шрифтом. На приведенном ниже листинге строки обо- Клиент с непривилегированного порта (с номером боль-
их терминалов показаны вперемежку, отображая хроноло- ше 1024) отправляет запрос на порт 21 сервера (порт уп-
гию их работы: равления).
После процедуры авторизации (команды USER и PASS)
cmd: serg$ telnet localhost 21
cmd: Trying 127.0.0.1...
клиент отправляет на сервер команду PASV, информи-
cmd: Connected to localhost. рующую о том, что он намерен работать в пассивном
cmd: Escape character is '^]'. режиме.
cmd: 220 myserver.ru FTP server (Version 6.00LS) ready.
cmd: USER username Сервер открывает непривилегированный порт и сооб-
cmd: 331 Password required for username. щает его номер клиенту.
cmd: PASS userpasswd
cmd: 230 User username logged in, access restrictions apply.
Клиент со своего порта N инициирует соединение на ука-
data: serg$ ./lystener localhost 25623 занный сервером порт, который и используется для об-
cmd: PORT 127,0,0,1,100,23 мена данными.
cmd: 200 PORT command successful.
cmd: LIST
cmd: 150 Opening ASCII mode data connection for '/bin/ls'. Чтобы смоделировать работу FTP-клиента в пассивном
data: Connected on ('127.0.0.1', 20)
режиме достаточно двух telnet-сессий:
data: total 8
data: drwxr-xr-x 2 0 0 512 Jun 4 2001 bin
data: drwxr-xr-x 2 1012 0 512 Sep 21 07:44 downdata cmd: serg$ telnet localhost 21
data: drwxr-xr-x 2 1012 0 512 Nov 12 2004 mankit cmd: Trying 127.0.0.1...
data: drwxr-xr-x 2 1012 0 512 Aug 26 04:58 updata cmd: Connected to localhost.
data: cmd: Escape character is '^]'.
data: cmd: 220 myserver.ru FTP server (Version 6.00LS) ready.
data: No data more. Connection is closed. cmd: USER username
cmd: 226 Transfer complete. cmd: 331 Password required for username.
cmd: QUIT cmd: PASS userpasswd
cmd: 221 Goodbye. cmd: 230 User username logged in, access restrictions apply.
cmd: Connection closed by foreign host. cmd: PASV
cmd: 227 Entering Passive Mode (127,0,0,1,245,5)
data: serg$ telnet localhost 62725
Итак, сначала мы устанавливаем соединение с пор- data: Trying 127.0.0.1...
том 21 сервера, проходим процедуру аутентификации. За- data: Connected to localhost.
тем запускаем во втором терминале наш скрипт lystener на data:
cmd:
Escape character is '^]'.
LIST
порту 25623 хоста localhost. Теперь даем серверу команду cmd: 150 Opening ASCII mode data connection for '/bin/ls'.
PORT, сообщая, на каком именно порту мы ждем соедине- data: total 8
data: drwxr-xr-x 2 0 0 512 Jun 4 2001 bin
ния. Обратите внимание на синтаксис команды: в качест- data: drwxr-xr-x 2 1012 0 512 Sep 21 07:44 downdata
ве аргументов указываются шесть октетов (первые четыре data: drwxr-xr-x 2 1012 0 512 Nov 12 2004 mankit
соответствуют IP-адресу хоста, последующие два – стар- data:
data:
drwxr-xr-x 2 1012 0 512 Aug 26 04:58 updata
Connection closed by foreign host.
ший и младший байты номера порта). В нашем случае порт cmd: 226 Transfer complete.
данных – 100*256 + 23 = 25623. cmd: QUIT

№11, ноябрь 2005 17

 администрирование
cmd: 221 Goodbye. Если по соображениям безопасности вы не используете
cmd: Connection closed by foreign host. inetd, а также если FTP-доступ к вашему серверу выполня-
ется достаточно часто, то выгоднее запустить ftpd в режи-
На этот раз оба соединения устанавливаются со сторо- ме демона (с ключом -D). В этом случае сервер будет пос-
ны клиента. Порт, на котором следует открывать соедине- тоянно находиться в памяти.
ние для передачи данных, сервер указывает в ответ на ко- В стартовых сценариях FreeBSD не предусмотрено за-
манду PASV (в данном случае 245*256 + 5 = 62725). пуска ftpd в режиме демона, но нужный скрипт несложно
Однако на сервере при этом должны быть разрешены написать самостоятельно. Поместите в каталог /etc/rc.d та-
соединения на непривилегированные порты, что не поз- кой файл ftpd:
воляет достаточно жестко ограничивать доступ. Как вы,
должно быть, заметили, в пассивном режиме 20 порт не ис- #!/bin/sh
#
пользуется. # PROVIDE: ftpd
# REQUIRE: DAEMON LOGIN
# KEYWORD: shutdown
Расширенные режимы
В дополнение к описанным выше, документ RFC 2428 оп- . /etc/rc.subr
ределяет так называемые расширенные режимы, которые name="ftpd"
позволяют работать в сетях IPv6. В расширенных режимах rcvar=`set _ rcvar`
command="/usr/libexec/${name}"
вместо команд PORT и PASV используются EPRT и EPSV
соответственно. Синтаксис EPRT следующий: load _ rc _ config $name
ftpd _ flags="-D ${ftpd _ flags}"
run _ rc _ command "$1"
EPRT |протокол|адрес|порт|
Не забудьте сделать его исполнимым (chmod a+x ftpd).
Здесь «протокол» может иметь значение 1 (IPv4) или Чтобы этот сценарий мог запускать сервер ftpd, в файл
2 (IPv6), «адрес» – IP-адрес, синтаксис которого должен /etc/rc.conf нужно добавить следующие строки:
соответствовать используемому семейству протоколов,
«порт» – номер порта. ftpd _ enable="YES"
ftpd _ flags="-E"
Команда EPSV может в качестве параметра прини-
мать 1 или 2 (указывает семейство протоколов, которое Вторая строка необязательна и задает дополнитель-
поддерживает клиент). Кроме того, специальная коман- ные параметры запуска (ключ -D будет добавлен приве-
да EPSV ALL информирует сервер о том, что в дальней- денным выше сценарием автоматически). Теперь ftpd бу-
шем будет использоваться только команда EPSV, и все дет автоматически стартовать при загрузке операционной
остальные команды на установление соединения следу- системы. Кроме того, вы можете вручную запускать и ос-
ет отбрасывать. танавливать его:

Что поддерживает ftpd # /etc/rc.d/ftpd start

Сервер ftpd, входящий в состав FreeBSD, по умолчанию мо-
жет обслуживать как активные, так и пассивные соедине-
ния (в том числе и расширенные), режим работы для конк-
ретного сеанса определяется клиентом. Работать ftpd мо-
жет как в режиме демона (постоянно присутствует в памя-
ти и самостоятельно обслуживает соединения на 21 порт),
так и в сотрудничестве с супердемоном inetd, который осу-
ществляет вызов сервера при получении входящего соеди-
нения на порту 21.
Если доступ на ваш сервер по FTP требуется доволь-
но редко, то более удобным выглядит использование inetd
для запуска сервера (если, конечно, этот демон у вас ис-
пользуется). В этом случае не придется держать в памяти
сервер ftpd постоянно – он будет загружаться лишь для об-
служивания конкретного соединения.
Типичная строка запуска в /etc/inetd.conf выглядит сле-
дующим образом:
#ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
Снимите с нее комментарий, пошлите сигнал HUP про-
цессу inetd, и вы получите работающий ftp-сервер, настроен-
ный по умолчанию. О том, что это за настройки и как их мож-
но изменить, мы поговорим в следующем разделе.
# /etc/rc.d/ftpd stop
Теперь ftpd будет вести себя так же, как и любой дру-
гой сервис.
Поговорим о его работе и настройке.
Как работает ftpd
Сервер ftpd поддерживает авторизованный и анонимный
доступ. В любом случае в начале каждого сеанса прово-
дится аутентификация пользователя, после чего пользо-
ватель авторизуется для работы в соответствие со следу-
ющими условиями:
Если пользователь имеет пустой пароль, либо его обо-
лочка по умолчанию отсутствует в /etc/shells, либо его имя
(или наименование группы, членом которой он являет-
ся) указано в файле /etc/ftpusers, то соединение разры-
вается – такому пользователю запрещен доступ по ftp.
Когда имя пользователя или его группа указаны в фай-
ле /etc/ftpchroot, то разрешается ограниченный доступ
– пользователь может работать только в пределах свое-
го домашнего каталога.
В случае, когда в качестве имени указано ftp или
anonymous, соединение рассматривается как аноним-
ное (подробнее об анонимном доступе рассказано в сле-
дующем подразделе).

18

Если же ни одно из приведенных выше условий не вы-
полнено, то в случае указания правильного пароля поль-
зователь получает ftp-доступ ко всей файловой систе-
ме согласно имеющимся у него правам.
Анонимный доступ
Чтобы разрешить анонимный доступ по FTP, вам потребу-
ется вручную создать системного пользователя с именем
ftp. У этого пользователя должна быть «легальная» оболоч-
ка (одна из указанных в /etc/shells), и он должен иметь до-
машний каталог, в котором и будут размещаться файлы, до-
ступные анонимному пользователю. Также у него не может
быть пустого пароля. По умолчанию, анонимный пользова-
тель не может модифицировать или удалять существующие
файлы. Разрешено только создавать новые при условии,
что пользователь ftp будет иметь достаточно прав на запись.
Дополнительно регулировать доступ к каталогам и фай-
лам (например, полностью запретить запись в определен-
ную папку) можно силами операционной системы, выстав-
ляя соответствующие права пользователю ftp. В частнос-
ти, рекомендуется запрещать для пользователя ftp запись
в его домашний каталог, чтобы исключить возможность пе-
реполнения раздела, на котором он размещен.
Ограниченный доступ
В том случае, если имя пользователя присутствует в фай-
ле /etc/ftpchroot, то соответствующий процесс запускает-
ся в chroot-окружении, ограничивая пользователю доступ
только его домашним каталогом (или тем, который указан
во втором поле файла ftpchroot). При необходимости орга-
низовать такую работу для большого числа пользовате-
лей (например, дать всем абонентам доступ для обновле-
ния своих домашних веб-страничек), в ftpchroot можно ука-
зать общую для них группу, предварив ее имя символом @.
Во втором поле дополнительно может быть указан ката-
лог, который следует использовать в качестве корневого
для соответствующего пользователя или группы. Вот при-
мер такого файла:
vasya
petya /var/db/petya
@dialup
Теперь Вася и все пользователи группы dialup смогут
работать только в пределах своих домашних каталогов, а
для Пети в качестве рабочей будет определена указанная
папка /var/db/petya. С помощью разделителя /./ можно ука-
зать каталог, отличающийся от корневого, который ста-
нет текущим:
serg /home/serg/./public _ html
В данном случае для пользователя serg доступ будет
ограничен каталогом /home/serg, но в качестве текущего
при входе на сервер установится /home/serg/public_html.
Как подстроить ftpd под собственные
задачи
Некоторые настройки сервера, в том числе и касающиеся
ограничения доступа, можно выполнить с помощью ключей
№11, ноябрь 2005
администрирование
командной строки. Если вы запускаете ftpd из inetd, добавьте
нужные параметры в соответствующей строке файла inetd.
conf (по умолчанию там записан только ключ -l). Если же
предпочтете воспользоваться приведенным выше сцена-
рием для запуска ftpd в режиме демона, то дополнительные
ключи можно указать в файле rc.conf, в строке ftpd_flags.
Некоторые ключи, которые могут быть полезны:
-D: запускать ftpd в режиме демона.
-a <адрес>: в режиме демона принимать соединения
только на указанный IP-адрес.
-d: включить режим отладки (подробная информация о ра-
боте будет выдаваться серверу syslog как LOG_FTP).
-h: не выводить информацию о системе в сообщениях
сервера.
-l: протоколировать все сессии (обычно используется
/var/log/xferlog).
-A: разрешить только анонимный доступ.
-M: запретить анонимным пользователям создавать пап-
ки.
-m: разрешить анонимным пользователям модифици-
ровать существующие файлы (если для этого достаточ-
но системных прав).
-o, -O: разрешить только запись на сервер всем пользо-
вателям (-o) или только анонимному пользователю (-O).
В частности, таким образом можно организовать сбор
с удаленных серверов файлов резервных копий, чтение
которых пользователями не предусмотрено.
-r: перевести сервер в режим «только для чтения». Лю-
бая модификация размещенных данных будет запре-
щена.
Дополнительную информацию всегда можно найти
на странице руководства man ftpd(8).
Заключение
Как видите, ftpd вполне пригоден для решения большинства
типовых задач по обмену файлами. Если ваши потребности
не выходят за пределы его возможностей, то вряд ли имеет
смысл обременять систему установкой дополнительных па-
кетов. Однако если вам требуется создать «промышленный»
FTP-сервер, позволяющий более гибко управлять правами
доступа, пользователями, параметрами передачи файлов,
то воспользуйтесь более серьезным решением.
19
 администрирование
Автоматизируем установку драйверов
в Windows
Автоматизация установки MS Windows до предела сокращает вмешательство оператора.
Можно сказать, что практически исключает. Но при встрече с нестандартным оборудованием
преимущество оборачивается непреодолимой, на первый взгляд, преградой.
В
серии статей на тему автоматизации работ в сре-
де MS Windows, опубликованных в нашем журнале
[1, 2, 3, 4], не затронуты вопросы автоматической
установки драйверов. В большинстве случаев это не ме-
шает работе, так как используемая операционная систе-
ма славится тем, что имеет в своем дистрибутиве очень
широкий набор драйверов. И традиционно каждый изго-
товитель нового устройства стремится, чтобы его драйвер
был представлен в дистрибутиве MS Windows. А если по-
падается «несчастливое» устройство, которое там отсутс-
твует, то драйвер можно поставить и после, хотя это и пе-
реведет установку из статуса автоматической в рукотвор-
ную. Но, увы, дело оборачивается полным крахом, если
в качестве «незнакомого» для этой чудной ОС выступает
устройство, на которое далее предполагается установка,
то есть дисковый накопитель или его контроллер.
Далее всё будем рассматривать на примере созданно-
го ранее, как указано в перечисленных выше статьях, дис-
трибутивного диска MS Windows XP Professional для авто-
матической установки, запускаемой в виртуальной маши-
не VMWare. Но все сделанные выводы и рассмотренные
приемы справедливы и для других архитектур. Например,
для широко распространенных компьютеров на основе
схемных решений для процессоров AMD.
Итак, в дистрибутиве MS Windows XP отсутствует
драйвер контроллера BusLogic SCSI, и если в настройках
VMWare выбрать в качестве дискового устройства SCSI-
диск, то попытка поставить ОС в среде такой виртуальной
машины завершится неудачей (рис. 1), так как именно кон-
троллер BusLogic эмулируется в VMWare.
Иначе говоря, система не нашла, куда ставиться. Но есть
штатный ход – в процессе установки подгрузить драйвера.
Для этого надо «поймать» на экране установки предложе-
ние нажать <F6> как указание о применении незнакомого
20
Алексей Барабанов
системе устройства и нажать нужную клавишу. Тогда сис-
тема остановит процесс установки и «попросит» устано-
вить дискету с драйверами (рис. 2).
Увы, такой дискеты нет в дистрибутиве эмулятора, и ис-
пользование SCSI-диска не рекомендовано для виртуаль-
ных машин MS Windows XP. Хотя, сам драйвер присутствует
в составе VMWare Tools. Тогда подготовим дискету вручную.
Сначала вставим чистый диск и сформатируем его:
# fdformat /dev/fd0
Double-sided, 80 tracks, 18 sec/track. Total capacity 1440 kB.
Formatting ... done
Verifying ... done
# mkdosfs /dev/fd0
mkdosfs 2.10 (22 Sep 2003)
Device mounted using subfs, please do not access it while creating filesystem
# umount /dev/fd0
# mkdosfs /dev/fd0
mkdosfs 2.10 (22 Sep 2003)
# mount /dev/fd0
Теперь примонтируем диск с VMWare Tools и скопируем
в корень чистого диска файлы с драйверами:
# mount -t iso9660 -o ro,loop ↵
/usr/lib/vmware/isoimages/windows.iso /mnt
# cp -v /mnt/program\ files/VMware/VMware\ ↵
Tools/Drivers/scsi/win2k/* /media/floppy
`/mnt/program
`/mnt/program
files/VMware/VMware
files/VMware/VMware
Tools/Drivers/scsi/win2k/disk.tag' -> `/media/floppy/disk.tag'
Tools/Drivers/scsi/win2k/txtsetup.oem' -> `/media/floppy/txtsetup.oem'
`/mnt/program
`/mnt/program
files/VMware/VMware
files/VMware/VMware
Tools/Drivers/scsi/win2k/vmscsi.cat' -> `/media/floppy/vmscsi.cat'
Tools/Drivers/scsi/win2k/vmscsi.inf' -> `/media/floppy/vmscsi.inf'
`/mnt/program files/VMware/VMware Tools/Drivers/scsi/win2k/vmscsi.sys' -> `/media/floppy/vmscsi.sys'
# umount /dev/fd0
Полученный диск можно использовать при установке
MS Windows. Вставим его в привод в ответ на приглаше-
 администрирование
ние и нажмем «S», как требуется. Система прочтет содер-
жимое диска и предложит подтвердить выбор (рис. 3) на-
жатием «Enter».
Далее система предложит добавить еще какие-нибудь
устройства (рис. 4), на что в нашем случае ответим отка-
зом опять же путем нажатия «Enter».
К сожалению, все перечисленные действия не приве-
дут к успеху. Поскольку в использованном диске автома-
тической установки нет возможности указать иное уст-
ройство загрузки дистрибутивных файлов, чем CD-ROM
и в ответ на запрос, где искать использованный драйвер
vmscsi.sys (рис. 5), приходится или прекращать установку Рисунок 1. Не найдено ни одного дискового устройства
вообще, или, понадеявшись на «авось», пропускать копи-
рование этого файла.
И так как теперь для работы второй фазы установки сис-
темы нужны еще и использованные драйвера SCSI, то не-
удачный финал предопределен (рис. 6).
Ничего не остается, как обратиться к источникам [5, 6, 7].
Здесь можно и закончить нашу историю, мол, читайте и воп-
лощайте. Но, к сожалению, информация с [5] весьма скуд-
на, с [6] противоречива и местами ошибочна, а с [7] откро-
венно наивна, как всякий дословный перевод техническо-
го источника. Хотя, безусловно, если нужно узнать и по-
нять все, то и прочесть кроме этой статьи придется также
все перечисленное.

Добавляем драйверы
устройств загрузки
Итак, проблема заключена в том, что установщик ОС дол- Рисунок 2. Запрос дискеты с драйверами
жен использовать драйвера применяемых дисковых ус-
тройств в процессе установки и далее. В данном случае
все нужные файлы содержатся в /mnt/program\ files/VMware/
VMware\ Tools/Drivers/scsi/win2k. Обычно драйвера постав-
ляются в виде исполняемого бинарного файла с суффик-
сом sys, далее обязательно есть файл с описанием и суф-
фиксом inf, и возможно еще некоторые файлы. Но все они
должны быть упомянуты в строках inf-файла обычно в сек-
ции [SourceDiskFiles]. Иногда все это еще и сопровождается
файлом с цифровой подписью – файл с суффиксом cat.
Точно следуя первой части рецепта с [8], внесем необхо-
димые изменения в файл TXTSETUP.SIF. Нахождение это-
го файла и все сопутствующие проблемы сборки готового
диска с ним уже обсуждались в [1,2,3,4] и здесь мы не бу-
дем еще раз это рассматривать. Вот модификация в фор-
мате, пригодном для автоматического патчирования:
Рисунок 3. Выбор драйвера с дискеты
# diff -Naur TXTSETUP.SIF.orig TXTSETUP.SIF +
*PNP0300 = "i8042prt",{4D36E96B-E325-11CE-BFC1-08002BE10318}
--- TXTSETUP.SIF.orig 2005-10-27 10:15:56.000000000 +0400 *PNP0301 = "i8042prt",{4D36E96B-E325-11CE-BFC1-08002BE10318}
+++ TXTSETUP.SIF 2005-10-29 21:32:40.000000000 +0400 *PNP0302 = "i8042prt",{4D36E96B-E325-11CE-BFC1-08002BE10318}
@@ -206,6 +206,9 @@ @@ -19281,6 +19286,7 @@
isapnp.sys = 1,,,,,,3 _ ,4,1,,,1,4 dac2w2k = dac2w2k.sys,4

+vmscsi.sys = 1,,,,,, _ x,4,1,,,1,4 +vmscsi = vmscsi.sys,4

+
+ [BootBusExtenders.Load]
ksecdd.sys = 100,,,,,, _ 5,4,0,0,,1,4 @@ -21639,6 +21645,7 @@
mountmgr.sys = 100,,,,,,3 _ ,4,0,0,,1,4 perc2 = "Dell PERC 2|3 RAID-╙╝╜БЮ╝╚╚╔Ю"
mrxdav.sys = 100,,,,,,,4,0,0 perc2gat = "Dell PERC 2/3 RAID-╙╝╜БЮ╝╚╚╔Ю (Gatling)"
@@ -18836,6 +18839,8 @@
*PNP0E02 = "pcmcia" +vmscsi = "VMware SCSI Controller"
*PNP0700 = "fdc"
[BootBusExtenders]
+PCI\VEN _ 104B&DEV _ 1040 = "vmscsi" pci = "└Ю═╘╒╔Ю Х╗╜К PCI",files.pci,pci

№11, ноябрь 2005 21

 администрирование
мат. Сам файл vmscsi.sys (или файлы, если их много) на-
до просто скопировать в неизменном виде в директорию
i386 дистрибутивного диска и именно там будет его ис-
кать установщик.
Затем добавляем строку в секцию [HardwareIdsDatabase].
В этой секции описывается соответствие номеров уст-
ройств PCI и их драйверов. В нашем случае будет так PCI\
VEN_104B&DEV_1040 = «vmscsi». Т.е. указывается код
производителя, код устройства и имя файла с драйвером.
Как только установщик обнаруживает некое PCI-устройс-
тво, он ищет по этим кодам драйвер, ему соответствующий,
и затем грузит его, как описано чуть выше. Значения этих
констант можно взять из соответствующего этому драйве-
ру файла INF.
Ну и наконец надо связать с этим драйвером некую стро-
Рисунок 4. Запрос дополнительных драйверов ку комментария, что и делается путем добавления строки
в секцию [SCSI]: vmscsi = «VMWare SCSI Controller». Содер-
жание строки не имеет никакого принципиального значе-
ния для работы системы, но отсутствие ее вовсе недопус-
тимо и приводит завершению установки из-за отсутствия
параметра, описывающего драйвер.
Всего перечисленного должно быть достаточно по логи-
ке. Но только не в MS Windows. В этой чудной системе на-
до еще и специально указать в секции [SCSI.load] загруз-
ку нужного драйвера vmscsi = vmscsi.sys,4 из указанного
места в указанном формате, который далее будет связан
с соответствующим ему PCI-устройством и описание кото-
рого будет взято из соответствующей строки... Уф! Вот те-
Рисунок 5. Vmscsi.sys не найден на источнике установки перь все: файл драйвера скопирован куда надо, файл ука-
заний установщику «что делать», модифицирован как на-
до. Можно собирать диск и устанавливать систему. Сбор-
ка производится, как было описано в [1, 2, 3, 4]. После ус-
тановки обнаруживаем, что драйвер благополучно загру-
жен в систему (рис. 7).
Заметим, никаких дополнительных манипуляций с раз-
мещением таких файлов в директориях Drivers и подобное,
что предлагается в [6, 7, 8], делать не надо. В этом вопро-
се указанные источники заблуждаются.
Рисунок 6. «Голубая смерть»
Точно таким же образом можно на этапе загрузки под-
Здесь добавления вносятся в три секции файла ключить и все остальные драйверы дисковых устройств. Ес-
TXTSETUP.SIF. ли один и тот же драйвер используется для нескольких воз-
Во-первых, в секции [SourceDisksFiles] описываем файл можных PCI устройств, например viamraid, то надо для каж-
(или файлы, если их много), который оригинально размеща- дого набора PCI индексов записать отдельную строку в сек-
ется в директории i386 дистрибутивного диска. Но, как ви- ции [HardwareIdsDatabase], например так:
дите, формат строки немного отличается от предложен-
ного в [8]. Полностью все опции управления описаны в [9]. PCI\VEN _ 1106&DEV _ 3249 = "viamraid"
PCI\VEN _ 1106&DEV _ 3149 = "viamraid"
И здесь обнаруживается лишнее действие – сжатие фай- PCI\VEN _ 1106&DEV _ 3164 = "viamraid"
ла утилитой makecab.exe. Поскольку у нас вся сборка про-
изводится в среде GNU Linux, то ради экономии полутора Если же производитель устройств с разными PCI-ин-
десятков килобайт не будем портить чистоту среды и запус- дексами сотворил драйвера с одинаковыми именами (фир-
кать MS Windows, только чтобы воспользоваться отсутству- ма Intel очень такое любит), то ничего не мешает эти драй-
ющей в Linux утилитой makecab. И всего-то, что придется вера переименовать как угодно и соответственно изме-
сделать – поменять «3_» в строке описания на «_x». Полу- нить все аналогичные строки в TXTSETUP.SIF. Например,
чилось vmscsi.sys = 1,,,,,,_x,4,1,,,1,4. Число пробелов вокруг для драйвера BusLogic из VMWare Tools название файла
знака «=» не принципиально, а вот число запятых – очень можно поменять на vmscsi1.sys без какого-либо ущерба
даже. Вообще, похоже на колдовское заклинание. Главное, работоспособности.
не сбиться ни в одном знаке, а то вместо «грозы» выйдет Политика подключения драйверов должна быть макси-
«коза», а может, что и похуже. Но смысл этой строки по- мально объемлющей. То есть можно включить в загрузку
нятен. Здесь описываются файл с драйвером и его фор- все возможные драйверы, какие найдутся в коллекции со-

22
 администрирование
здателя загрузочного диска. Система сама выберет из это-
го списка те, что соответствуют реально присутствующим
в компьютере устройствам.

Добавляем драйверы устройств

через OemPnPDriversPatch
Как видно все на том же рис. 7 в виртуальном компьюте-
ре присутствует устройство, драйвер для которого не был
найден, это устройство SVGA, вместо которого использо-
ван драйвер VGA общего назначения. И устройство, драй-
вер которого определен в нашем случае недостаточно вер-
но, это драйвер сетевой карты. Использован присутству-
ющий в MS Windows драйвер AMD PCNET, в то время как
в VMWare есть собственный драйвер сетевой карты.
Все драйвера, которые предназначены для использо-
вания с виртуальным оборудованием VMWare, можно най- Рисунок 7. Vmscsi.sys установлен в систему
ти в примонтированном образе VMWare Tools, а именно
в /mnt/program\ files/VMWare/VMWare\ Tools/Drivers. Драй-
вера, подходящие для использования с MS Windows XP, со-
держатся внутри поддиректорий win2k или winnt2k. Возь-
мем все, кроме уже использованного драйвера scsi, и ско-
пируем в директорию дистрибутива $OEM$/$1/Drivers/Very_
looooong_filename. Такое имя выберем для того, чтобы до-
казать, что источники [6, 7] не правы, ограничивая имена
внутри дистрибутивного диска правилом 8.3. В процессе ус-
тановки содержимое дистрибутива, включая Drivers/Very_
looooong_filename, будет перенесено на загрузочный диск.
Для того чтобы использовать эти данные в настройке сис-
темы запишем (или раскомментируем) специальные стро-
ки в WINNT.SIF в секции [Unattended]:

OemPnPDriversPath="Drivers\Very _ looooong _ filename"

DriverSigningPolicy=Ignore Рисунок 8. Устанавливаем дополнительные драйверы
Первая строка укажет путь поиска файлов, а вторая поз- ции [Display] файла WINNT.SIF. Все перечисленные драй-
волит проигнорировать несоответствие подписей драйве- веры вместе со всеми необходимыми файлами были ско-
ров доверенным сертификатам, размещенным в дистри- пированы из директории C:\Drivers\Very_looooong_filename
бутиве. В целевой директории должны собраться следу- внутрь установочной директории MS Windows XP, что вид-
ющие файлы: но на рис. 8 в окошке поиска. Здесь можно сделать вывод,
что директорию с драйверами можно в конце установки уда-
# ls -l /uawsp2/\$OEM\$/\$1/Drivers/Very _ looooong _ filename лять, так же как и директорию с дистрибутивами устанав-
total 204 ливаемых программ в секции [GuiRunOnce]:
drwxr-xr-x 2 root root 4096 Oct 29 17:48 .
drwxr-xr-x 3 root root 4096 Oct 29 17:48 .. # grep -n rmdir WINNT.SIF
-r--r--r-- 1 root root 1929 Mar 23 2005 vmmemctl.inf
-r--r--r-- 1 root root 5452 Mar 23 2005 vmmemctl.sys 539:"%windir%\system32\cmd.exe /c rmdir ↵
-r--r--r-- 1 root root 7890 Mar 23 2005 vmmouse.cat %systemdrive%\InstData /s /q"
-r--r--r-- 1 root root 1312 Mar 23 2005 vmmouse.inf 540:"%windir%\system32\cmd.exe /c rmdir ↵
-r--r--r-- 1 root root 3904 Mar 23 2005 vmmouse.sys %systemdrive%\Drivers /s /q"
-r--r--r-- 1 root root 7900 Mar 23 2005 vmware-nic.cat
-r--r--r-- 1 root root 3561 Mar 23 2005 vmware-nic.inf
-r--r--r-- 1 root root 79584 Mar 23 2005 А вот парочка драйверов vmmemctl.sys и vmmouse.sys
vmx_fb.dll
-r--r--r-- 1 root root 2400 Mar 23 2005 так и не нашла себе применения. И поэтому осталась толь-
vmx_mode.dll
-r--r--r-- 1 root root 9044 Mar 23 2005
ко в C:\Drivers\Very_looooong_filename.
vmx_svga.cat
-r--r--r-- 1 root root 2396 Mar 23 2005 vmx_svga.inf
-r--r--r-- 1 root root 14912 Mar 23 2005 Еще одно интересное наблюдение было сделано в [10].
vmx_svga.sys
-r--r--r-- 1 root root 7860 Mar 23 2005 Установщик не ищет драйвера и их INF-файлы во вложен-
vmxnet.cat
-r--r--r-- 1 root root 3567 Mar 23 2005 vmxnet.inf
-r--r--r-- 1 root root 22528 Mar 23 2005 ных директориях от указанной в OemPnPDriversPath, но ес-
vmxnet.sys
ли записать несколько путей через точку с запятой, то они
После установки наблюдаем следующую картину будут обрабатываться в порядке сортировки имен. То есть
(рис. 8). если некоторые драйвера, например чипсета, требуется
Автоматически были установлены драйверы SCSI, SVGA установить первыми, то директорию с ними надо назвать
(и теперь экран настроен в разрешение 800х600), специаль- именем с использованием символов с меньшими номера-
ный драйвер сетевой карты, то есть так как задано в сек- ми в кодировке.

№11, ноябрь 2005 23

 администрирование
вочного диска. Все нужные драйверы и сопровождающие
их файлы следует разместить внутри директории $OEM$\
Drivers. Причем внутри дерева вложенных директорий лю-
бой глубины. Можно выбирать любые мнемонические име-
на и группировать драйверы хоть по производителям, хоть
по классу устройств.
Если для работы был использован диск, подготовлен-
ный в [1, 2, 3, 4], то должно получиться примерно следу-
ющее:

# ls -l /uawsp2/\$OEM\$
total 180
drwxr-xr-x 4 root root 4096 Mar 22 2005 $$
drwxr-xr-x 6 root root 4096 Oct 31 00:11 $1
drwxr-xr-x 5 root root 4096 Oct 30 22:21 .
drwxr-xr-x 5 root root 4096 Apr 21 2005 ..
-rw-r--r-- 1 root root 118272 Dec 31 2002 AutoIt3.exe
-rw-r--r-- 1 root root 27 Mar 28 2005 Cmdlines.txt
Рисунок 9. Установка драйвера vmmouse drwxr-xr-x 3 root root 4096 Oct 30 22:21 Drivers
-rw-r--r-- 1 root root 264 Oct 5 22:51 Drivers.au3
В формате WINNT.SIF используется 8-битная кодиров- -rw-r--r-- 1 root root 20992 Dec 31 2002 SetupCopyOEMInf.exe
-rw-r--r-- 1 root root 3584 Dec 31 2002 WatchDriverSigningPolicy.exe
ка. Для России это cp866. Хотя достаточно добавить циф- -rw-r--r-- 1 root root 113 Mar 28 2005 mkusers.cmd
ровой префикс к имени директории с драйверами, посколь-
ку порядок цифр в всех кодировках совпадает. По мнению Как уже было сказано, в Drivers кладутся нужные драй-
авторов [10], логика работы системы такова: так как драй- веры. AutoIt3.exe – это интерпретатор скрипта Drivers.au3:
вера чипсета необходимы для работы многих других ус-
тройств, то установка в первую очередь зависимых уст- # cat /heap2/unattended-win/uawsp2/\$OEM\$/Drivers.au3
ройств не произойдет должным образом, если еще не ус- ProcessSetPriority("setup.exe",0)
тановлены драйвера основных. Run(@ScriptDir & "\WatchDriverSigningPolicy.exe")
ProcessWait("WatchDriverSigningPolicy.exe")
Но проблема с неустановленными драйверами vmmemctl. RunWait(@ScriptDir & "\SetupCopyOEMInf.exe Drivers")
sys и vmmouse.sys таким путем не решается. Так как эти ProcessClose("WatchDriverSigningPolicy.exe")
ProcessSetPriority("setup.exe",2)
драйвера проиграли конкуренцию в PnP тем, которых пред-
почел PnP-резолвер, использовавший информацию из INF- А SetupCopyOEMInf.exe и WatchDriverSigningPolicy.exe –
файлов. И эти драйвера приходится добавлять вручную че- это простенькие программки, первая из которых выполня-
рез «Мастер обновления оборудования». Выбираем «Уста- ет соответствующий системный вызов [14], а вторая избав-
новку из указанного места» и режим «Не выполнять поиск. ляет от диалога с вопросом о доверии поставщику в слу-
Я сам выберу нужный драйвер» (см. рис. 9). чае нахождения неподписанных драйверов.
Получается, что драйвер манипулятора мышь изVMWare Для запуска указанных программ используется следую-
не был установлен, но прошел этап регистрации. Иначе го- щая последовательность строк, записываемых в WINNT.SIF
воря, логика работы системы иная, чем это предполагают в секции [GuiUnattended]:
авторы [10]. Система регистрирует все драйвера. И как
только после установки некоторых из них появится воз- DetachedProgram="%windir%\system32\cmd.exe"
Arguments="/Q /C FOR /F %I IN (%SystemRoot%\SYSTEM32\ ↵
можность установки зависимых, то это произойдет да- $WINNT$.INF) DO (FOR %J IN (%I$OEM$) DO (IF EXIST %J ↵
же, если в последовательности сортировки имя директо- start /min /D%J Autoit3.exe Drivers.au3)))"
рии с главными драйверами получило очередность пос-
ле директории с зависимыми. Удивительно, что фантазия Этот набор символов, который можно детально ра-
с цифровыми префиксами повторяется из рецепта в ре- зобрать с помощью [15], приводит к запуску скрипта
цепт на [6] и [7]. Drivers.au3 в фазе T-39 [3] процесса установки. После че-
Тем не менее метод регистрации всех драйверов зара- го все драйверы с установочного диска регистрируются в
нее без учета их так называемой очередности был успеш- базе драйверов и далее участвуют в установке. Именно
но реализован. «участвуют»! То есть и этот метод не приводит к гаранти-
руемой установке конкурентных драйверов. Иначе говоря,
Добавляем драйверы устройств установка идет все также на основании информации из INF-
через DetachedProgram файлов. Единственное преимущество в том, что драйверы
Существует еще один способ подгрузить в автоматическом размещаются на CD в произвольной структуре директорий
режиме драйверы в устанавливаемую систему. В секции и в процессе установки не копируются на диск вовсе.
[GuiUnattended] можно указать опцию DetachedProgram [11], Не стоит забывать, что хотя все драйверы регистрируют-
в которой описать программу, запускаемую параллельно ся в системной базе, но те, что не подключаются в процес-
с выполнением основной программы setup.exe. Этот метод се установки, остаются на дистрибутивном диске. И именно
установки драйверов подробно описан в [12]. Там же приве- там система далее ожидает их найти. То есть для VMWare та-
дена ссылка на архив необходимых программ [13]. Его на- ким местом будет «D:\$OEM$\Drivers\...». Значит, если далее
до загрузить и распаковать в директорию $OEM$ устано- предполагается проблемный драйвер установить вручную,

24

то потребуется или оставить дистрибутивный диск в лотке
дисковода, или позаботиться об обязательном подключе-
нии компьютера к сети. Поэтому предлагается композит-
ный вариант, описанный далее.
Практические выводы
Как уже было сказано выше, с проблемой специальных
драйверов приходится сталкиваться лишь только оборудо-
вание выйдет за стандартную Intel-архитектуру простень-
ких компьютеров общего применения. Можно подготовить-
ся заранее, а можно принять меры сразу же после получе-
ния нового оборудования.
Первым делом надо взять диск с драйверами, постав-
ляемый с оборудованием, и найти там драйверы дисковых
устройств и контроллеров. Их следует устанавливать ме-
тодом, описанным в разделе «Добавляем драйверы уст-
ройств загрузки». Все файлы *.sys копируются в $OEM$,
и, пользуясь информацией из соответствующих *.inf, вно-
сятся модификации в TXTSETUP.SIF. Здесь еще одна под-
сказка. Все, кто внимательно читал, должны были уже дога-
даться, что установщик ОС считывает файл TXTSETUP.SIF
целиком и анализирует его. Другими словами, нет необхо-
димости выискивать в этом полумегабайтном файле тре-
буемые секции и добавлять в них строчки, как предлагает-
ся в [6, 7]. Достаточно просто дописать к файлу новые сек-
ции с нужными ключами. Система сама во всем разберет-
ся и соединит все одноименные секции в одну. Драйверы
остальных периферийных устройств, видеоадаптеры, се-
тевые карты, модемы и прочее копируются вместе со все-
ми сопутствующими файлами внутрь директории с любым
мнемоническим именем, располагаемой в $OEM$\Drivers
так, как описано в разделе «Добавление драйверов уст-
ройств через DetachedProgram». И соответственно моди-
фицируется WINNT.SIF для запуска установочного скрип-
та Drivers.au3, который также вместе со всеми прилагае-
мыми программами помещается в $OEM$.
Узнать заранее, какие драйверы будут проигнориро-
ваны в процессе автоматической установки, невозмож-
но, и поэтому на начальном этапе подготовку установоч-
ного диска можно было бы считать завершенной. Если
после инсталляции ОС на жесткий диск компьютера выяс-
нится, что некоторые особенно нужные драйверы не бы-
ли установлены, то их следует далее устанавливать так,
как описано в разделе «Добавление драйверов устройств
через OemPnPDriversPatch», но при этом запретить уда-
ление директории с драйверами из WINNT.SIF в секции
[GuiRunOnce]. Тогда нужные драйверы зарегистрируются
и далее можно будет их доставить прямо с жесткого дис-
ка компьютера в сеансе удаленного подключения к рабо-
чему столу. И здесь снова подсказка. Поскольку есть ка-
тегория устройств, которые подключаются динамически, –
модемы, сканеры, принтеры, и драйвера таких устройств
могут быть затребованы работающей системой в процес-
се эксплуатации, то их тоже следует разместить в неуда-
ляемой директории $OEM$\$1\Drivers. Будучи зарегистри-
рованными, эти драйверы установятся при первом исполь-
зовании подключаемого устройства.
Таким образом, в каждой локальной сети должен нахо-
диться установочный диск, модифицированный согласно
№11, ноябрь 2005
администрирование
составу используемого оборудования. Ну а поскольку все
работы по созданию такого диска выполнялись в среде GNU
Linux, то после приобретения нового и неизвестного ком-
пьютера нужно лишь попросить установить диск с драйве-
рами от него в локальный привод компьютера с GNU Linux,
затем в сеансе удаленного подключения через SSH доба-
вить новые драйвера в рабочую директорию для создания
загрузочного CD и записать новую версию диска автома-
тической установки для этой локальной сети с учетом но-
вого компьютера. Вот и все! Далее все операции автомати-
зированы, как описано в [3, 4]. И ваше удаленное админис-
трирование станет безграничным настолько, что его мож-
но будет осуществлять даже с пляжа Мондраго на остро-
ве Майорка через GPRS-роуминг с мобильного телефона
с Nokia 6670. Правда, придется купить к телефону беспро-
водную клавиатуру, но... это уже детали!
Литература и ссылки:
1. Барабанов А. Автоматизация MS Windows, или Autoit как меч-
та эникейщика. Часть 1. – Журнал «Системный администра-
тор», №4, апрель 2005 г. – 11-15 с.
2. Барабанов А. «Автоматизация MS Windows, или Autoit как меч-
та эникейщика. Часть 2. – Журнал «Системный администра-
тор», №5, май 2005 г. – 54-58 с.
3. Барабанов А. «Автоматизация MS Windows, или Autoit как меч-
та эникейщика. Часть 3. – Журнал «Системный администра-
тор», №6, июнь 2005 г. – 25-31 с.
4. Барабанов А. «Автоматизация MS Windows, или Autoit как меч-
та эникейщика. Часть 4. – Журнал «Системный администра-
тор», №7, июль 2005 г. – 46-47 с.
5. Оригинальная информация по созданию дисков автомати-
ческой установки MS Windows – http://www.microsoft.com/
resources/documentation/WindowsServ/2003/all/techref/en-us/
Default.asp?url=/Resources/Documentation/windowsserv/2003/
all/techref/en-us/W2K3TR_unatt_how.asp?frame=true&hidetoc=
true.
6. Сайт с источником знаний и откровений по автоматизации ус-
тановки MS Windows – http://unattended.msfn.org.
7. Русский перевод и адаптация информации с unattended.msfn.
org – http://oszone.net/display.php?id=2747.
8. Перевод статьи об интеграции дисковых драйверов – http://
oszone.net/display.php?id=2782.
9. Перевод статьи о параметрах [SourceDisksFiles] – http://oszone.
net/display.php?id=3123.
10. Перевод статьи об установке через WINNT.SIF – http://oszone.
net/display.php?id=2781.
11. Описание опций WINNT.SIF в секции GuiUnattended – http://
www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/TechRef/755f8019-165a-4a50-802d-d1b116e91e7a.mspx.
12. Drivers from CD (AutoIt method) – http://www.msfn.org/board/index.
php?showtopic=51406.
13. Архив DriversAutoit.zip – http://www.msfn.org/board/index.php?
act=Attach&type=post&id=9070.
14. Описание SetupCopyOEMInf – http://msdn.microsoft.com/library/
default.asp?url=/library/en-us/setupapi/setup/setupcopyoeminf.
asp.
15. Справочник по опциям командной строки MS Windows XP –
http://www.microsoft.com/resources/documentation/windows/xp/
all/proddocs/en-us/if.mspx.
25
 администрирование

GRUB на CD, или Ещё один способ

восстановить MBR

Алексей Мичурин
Потеря MBR – наверное, самая досадная потеря. Порча считанных байт полностью
парализует абсолютно исправную систему. Если вы активно экспериментируете с
операционными системами, то знакомы с такой ситуацией не понаслышке. Существует
простое и универсальное решение на основе GRUB, способное спасти ситуацию минимальными
средствами и силами.

М
ы обсудим пути решения про-
блем, возникающих при за-
грузке системы. Поэтому спер-
ва вкратце рассмотрим этот процесс.
Процесс загрузки
Начнем с основных этапов загрузки
операционных систем на платформе
PC, разберёмся, какие возможны от-
казы и как их избежать.
Первое, что загружает BIOS с жёс-
ткого диска, – это MBR, самый пер-
вый сектор диска. В MBR содержатся
таблица разделов диска и небольшая
программа, которой и передаёт управ-
ление BIOS.
Этот загрузчик анализирует табли-
цу разделов и считывает загрузочный
раздел одной из партиций. Обычно вы-
бирается активная партиция, хотя есть
и исключения (например, Boot Easy –
стандартный загрузчик для FreeBSD).
Загрузочная запись партиции
обычно составляет один сектор –
512 байт (однако и тут есть исключе-
ния, например, QNX). Нередко этот за-
грузчик уже «умеет» работать с файло-
вой системой, он в состоянии подгру-
зить собственные модули и способен
загрузить ядро или другую программу,

26
 администрирование
осуществляющую настрой- няли настройки, удалили или
ку и запуск ядра (например, переместили какие-то файлы,
loader во FreeBSD). установили новую версию ПО
На рис. 1 показаны схе- и не обновили загрузочные
мы загрузки трёх ОС. Изоб- записи, произвели тонкую на-
ражённая структура диска стройку файловой системы,
предельно проста: нет расши- изменив её параметры.
ренной партиции, нет разде- Причины можно перечис-
лов подкачки и прочих дета- лять бесконечно. Для разных
лей. Имеется только три пар- ОС они специфичны и зависят
тиции, на каждой из которых не только от возможностей
установлена своя ОС. загрузчика, но и от особен-
Windows/DOS загружает- ностей файловой системы.
ся согласно описанной схеме.
MBR-код считывает загруз- Другие отказы
чик с партиции, а тот считы- Некоторые системы (напри-
вает и запускает программу- мер, FreeBSD) используют
загрузчик ядра. дополнительные фазы за-
Linux загружается по такой грузки. На этих фазах тоже
же схеме. Заметьте, в MBR могут возникнуть проблемы.
и в загрузочной области пар- Но из своего опыта могу ска-
тиции могут быть разные за- зать, что чаще всего страда-
грузчики. Так в MBR может Рисунок 1. Схема загрузки. На диске три раздела, в которых ют ранние фазы, которые де-
установлены Windows, Linux и FreeBSD
находиться Boot Easy, а для лят между собой разные ОС.
загрузки ядра при этом будет исполь- свой собственный загрузчик, который Экзотические промежуточные за-
зоваться LILO, хотя в пакет LILO, ко- в состоянии загрузить только её. грузчики как раз мало кому известны,
нечно, входит собственный MBR-за- Ск ла д ыв аетс я з нако ма я мно - и их практически никто «не трогает».
грузчик. гим ситуация: чтобы загрузить Linux Когда отработали все загрузочные
Загрузка FreeBSD идёт по чуть бо- (или другую, отличную от Windows ОС), секторы, могут возникнуть проблемы
лее сложной схеме. Согласно стандар- вам надо восстановить LILO (или дру- с ядром. В этой статье мы не будем де-
тной процедуре, MBR-код (в терминах гой, отличный от Windows-загрузчи- тально рассматривать эти вопросы, со-
FreeBSD «boot0») загружает boot1-код ка), а чтобы восстановить LILO – за- средоточившись только на процессе
из партиции. Но во FreeBSD предус- грузить Linux. загрузки. А проблемы ядра отнесём
мотрено разбиение партиции на под- Вторая часто встречающаяся си- к разряду проблем ОС.
разделы (в терминах FreeBSD парти- туация: вы решили усовершенство-
ция называется «слайс», а подпарти- вать загрузчик, но забыли включить Live CD: он ли нам нужен?
ция – «партиция»). Поэтому процесс в нём жизненно важную функцию. Итак, ваша ОС цела, но загрузчик ис-
повторяется в уменьшенном масшта- Например, вы могли нас траи- порчен, и загрузиться вы не можете.
бе: загрузчик boot1 считывает и запус- вать стандартный загрузчик FreeBSD Вам требуется восстановить загруз-
кает код boot2 из подпартиции. Boot2 (с помощью команды boot0cfg) и за- чик. Решение «всё переустановить»
загружает программу loader, которая быть включить поддержку больших не подходит, ведь при этом вы поте-
конфигурирует и запускает ядро. винчестеров (ключ -o packet), которая ряете данные.
Как видите, за исключением неко- по умолчанию отключена. После пере- Первое, что приходит на ум, – вос-
торых деталей, процедуры загрузки са- загрузки вы обнаружите, что или ниче- пользоваться загрузочным диском. Ес-
мых разных ОС весьма схожи. И сбои го не загружается, или доступна только ли у вас имеется «спасательный» CD
в процессе загрузки часто имеют оди- ОС из первой партиции. А это, скорее от вашей ОС, то скорее всего он вам
наковую природу. всего, Windows, которая никак не помо- поможет. После загрузки можно смон-
жет вам исправить ситуацию. тировать партицию с «потерянной» ОС
Возможные сбои и выполнить команду chroot. После это-
при загрузке Второй шаг загрузки го вы окажетесь в привычной среде.
Систематизировать сбои проще все- Следующий этап более «интеллекту- К сожалению, этот приём может
го по фазам загрузки, на которых они ален», и здесь могут случиться самые не сработать. Чаще всего, магическо-
случаются. разные поломки. го диска просто не оказывается под ру-
Этот загрузчик уже считывает дан- кой в нужный момент. Для комфорт-
Первый шаг загрузки ные, расположенные в файловой сис- ной работы вам скорее всего придёт-
С утратой главного загрузчика (MBR) теме (он может «знать» физическое ся скорректировать переменные ок-
сталкиваются все, кто устанавливает расположение данных или с файла- ружения PATH, PAGER, EDITOR, LANG
Windows. Эта ОС не предоставляет ни- ми), поэтому он может потерять рабо- и другие. Могут понадобиться и другие
какого выбора и всегда устанавливает тоспособность из-за того, что вы поме- (порой неожиданные и не очевидные)

№11, ноябрь 2005 27

 администрирование
настройки. Кроме того, возможен конфликт между ядром, default 0
timeout 300
загруженным с CD и ПО, принадлежащем вашей ОС. Ве- color light-green/black black/green
роятность такого конфликта не велика, но она тем боль-
# FreeBSD
ше, чем более творчески вы подходили к системе, само- title FreeBSD /dev/ad0s1a
стоятельно собирали ПО, корректировали исходные коды, root (hd0,0,a)
kernel /boot/loader
устанавливали новые версии ядра и прочее. title FreeBSD /dev/ad0s2a
Можно воспользоваться не «спасательным» диском, root (hd0,1,a)
kernel /boot/loader
а просто Live-дистрибутивом. Но и этот подход не гаранти- title FreeBSD /dev/ad0s3a
рует стопроцентный успех. root (hd0,2,a)
kernel /boot/loader
Во-первых, не все Live-дистрибутивы содержат средства title FreeBSD /dev/ad0s4a
восстановления загрузочных записей. Во-вторых, средс- root (hd0,3,a)
kernel /boot/loader
тва могут быть, но не те или не той версии. В-третьих, мо-
гут даже совпасть версии, но вам бы хотелось восстано- # Linux
title Linux (/boot/vmlinuz) /dev/hda1
вить именно свой загрузчик, так любовно скомпилирован- root (hd0,0)
ный с уникальным набором опций. В-четвёртых, устанав- kernel /boot/vmlinuz root=/dev/hda1
title Linux (/boot/vmlinuz) /dev/hda2
ливая загрузчик с CD, надо детальнейшим образом настро- root (hd0,1)
ить его, чтобы он загружал необходимые файлы не с того kernel /boot/vmlinuz root=/dev/hda2
title Linux (/boot/vmlinuz) /dev/hda3
диска, с которого его устанавливают (так по умолчанию root (hd0,2)
настраивается большинство загрузчиков), а с указанного. kernel /boot/vmlinuz root=/dev/hda3
title Linux (/boot/vmlinuz) /dev/hda4
Не все загрузчики вообще допускают подобную настройку. root (hd0,3)
Кроме того, надо учитывать, что сталкиваться с такого ро- kernel /boot/vmlinuz root=/dev/hda4
да ситуациями приходится не часто, и, скорее всего, при- # Windows
дётся внимательно изучить документацию. Напомню так- title Windows
же, что при использовании Live-CD у вас не будет выбора, rootnoverify (hd0,0)
chainloader +1
и все манипуляции вы будете производить не в «привыч- makeactive
ной обстановке», а в среде Live-дистрибутива, скорее все- # halt/reboot
го, в условиях некоторого (или острого) дефицита средств title REBOOT
и возможностей. reboot
title HALT
Здесь-то и возникает мысль: «вот бы на минуточку пог- halt
рузиться в мой Linux/FreeBSD/что-то ещё; минуты бы хвати-
ло, чтобы исправить все проблемы в лучшем виде». Имен- Я не буду здесь даже пытаться пересказать докумен-
но это и поможет сделать GRUBable CD. тацию на GRUB. Ограничусь только краткими коммента-
Слово «GRUBable», как вы, наверное, уже догада- риями.
лись, является производным от «bootable». Но обычный Самые первые директивы задают глобальные парамет-
bootable-CD содержит ОС, способную работать автоном- ры: default – секция, загружаемая по прошествии тайм-ау-
но, а GRUBable-CD содержит мощный загрузчик GRUB, та; timeout – тайм-аут в секундах (его в данном случае луч-
способный загружать любую ОС, но на самом CD ника- ше сделать побольше, чтобы было время сориентировать-
кая ОС не установлена. (Слово «GRUBable» придумал ав- ся); color – цвета, их можно было оставить «умолчательны-
тор, нигде ранее он не встречал ни такого слова, ни описа- ми», но лично мне нравится зелёный. Кроме того, исполь-
ния подобного подхода.) GRUBable CD может взять на се- зование необычного цвета позволит вам быстро сориенти-
бя все функции первого и второго загрузчиков и загру- роваться, если вы загрузитесь с компакт-диска по ошибке
зить именно вашу ОС, даже если все boot-сектора были или случайно.
повреждены. Секция «FreeBSD» состоит из четырёх блоков, каждый
Конечно, отсутствие на диске ОС нельзя отнести к чис- из которых позволяет загрузить ОС с одной из четырёх
лу преимуществ предлагаемого решения, но зато создать партиций (это придаст нашему диску некоторую универ-
GRUBable CD можно за считанные минуты, а пользы он мо- сальность). Директива title задаёт заголовок, который бу-
жет принести даже больше, чем иной Live-CD. дет фигурировать в меню. Root задаёт корневое устройс-
тво. GRUB нумерует устройства от нуля и партиции тоже
Создаём GRUBable CD за пять минут от нуля(!). Команда kernel загружает и выполняет загруз-
Чтобы установить GRUB на CD, нужно совсем немного. Пер- чик ядра FreeBSD.
вым делом раздобудьте бинарный дистрибутив GRUB. Ско- Аналогично построена и секция «Linux». Здесь тоже
рее всего, он уже есть или на вашем диске, или среди дис- имеется четыре подобные записи. Следует сделать толь-
трибутивов. (Как скомпилировать GRUB самостоятельно, ко одну оговорку относительно директивы kernel. В Linux
мы ещё обсудим.) Найдите в нём файл-образ stage2_eltorito. нет чёткого места в файловой системе для ядра. В старых
Всё, больше от GRUB вам ничего не понадобится. дистрибутивах ядро находилось в корне файловой систе-
мы /vmlinuz. Именно на это ориентировались создатели до-
Создаём конфигурационный файл кументации на GRUB. Но сейчас, как мне кажется, ядро ча-
Теперь создадим файл-меню. Предлагаю рассмотреть сле- ще хранится в директории /boot. Имя vmlinuz тоже уходит
дующий вариант: в прошлое. Сейчас можно встретить имя bzImage и дру-

28
 администрирование
гие. Все эти обстоятельства следует зование команды initrd. Ядра NetBSD Опция -R подключает расширение
учесть при создании конфигурацион- и OpenBSD не распознаются, если они Rock Ridge.
ного файла. В тексте title лучше оста- скомпилированы не как a.out, а как ELF. Опция -jcharset эквивалентна паре
вить напоминание, где GRUB будет ис- Чтобы загрузить ELF-ядро, его тип сле- опций -J и -input-charset. Первая –
кать ядро. Так вы избежите многих не- дует указывать явно: включает использование Joliet-
доразумений и неожиданностей. записей, хранящих имена фай-
Секция «Windows» устроена иначе. kernel --type=netbsd /boot/netbsd-elf лов и директорий в Unicode, а вто-
Это связано с тем, что в данном слу- рая – задаёт исходную кодировку
чае GRUB может взять на себя только QNX отличается двухкилобайтным для корректного преобразования
функции первого загрузчика (MBR). загрузчиком, поэтому аргумент коман- в Unicode. Эти опции всем хорошо
Командой rootnoverify мы устанавли- ды chainloader должен быть скоррек- знакомы.
ваем корневое устройство, но не мон- тирован: Опция -b указывает имя файла-об-
тируем его. Далее загружаем первый раза загрузчика (все пути указыва-
сектор (команда chainloader), в кото- chainloader +4 ются относительно корня файловой
ром и содержится загрузчик. И в за- системы компакт-диска).
ключение делаем партицию актив- Одним словом, заглянуть в доку- Опция -c задаёт имя служебного
ной (makeactive), DOS/Windows к это- ментацию никогда не помешает. файла, который будет создан са-
му не равнодушен. мой mkisofs. Он в какой-то степени
Вообще-то по такой же схеме мож- Создаём ISO-образ выполняет роль первого загрузчи-
но загружать и другие ОС. Например, Давайте создадим временную дирек- ка. Эту опцию можно и не исполь-
загрузить FreeBSD, заменив только торию и назовём её для определён- зовать, тогда файл будет создан
первый загрузчик, можно так: ности iso. В ней мы подготовим дере- в корне файловой системы.
во каталогов, подлежащее переносу Опция -no-emul-boot говорит о том,
title FreeBSD на CD. Нам понадобится два файла: что при загрузке не надо эмулиро-
rootnoverify (hd0,0)
chainloader +1 iso/boot/grub/menu.lst – конфигураци- вать дисковод. Существуют про-
онный файл, который мы только что со- цедуры загрузки, при которых
После выполнения этих команд здали, и iso/boot/grub/stage2_eltorito – CD-ROM рассматривается как дис-
GRUB передаст управление boot1-про- файл из дистрибутива GRUB. В при- ковод «A:», что позволяет старым
цедуре, и загрузка пойдёт по естест- нципе, файл stage2_eltorito можно бы- загрузчикам чувствовать себя
венному для FreeBSD сценарию. ло бы поместить и в любое другое мес- как дома. У нас другой случай.
Чаще всего такие приёмы не оправ- то файловой системы, но вот файл Опция -boot-load-size указывает
даны, и лучше использовать все име- menu.lst должен находиться именно длину загрузчика, вернее, части
ющиеся возможности GRUB, но быва- в директории /boot/grub/. загрузчика, которую следует счи-
ют и исключения. Например, вы може- Кроме того, на этом диске можно тать в память.
те обновить Windows на машине с дву- сохранить резервную копию критичных Опция -boot-info-table говорит
мя ОС: Windows и Linux. При этом об- данных. Вернее, целесообразнее пос- о том, что в образе загрузчика
новлении теряется только MBR-запись, тупать наоборот: делать Backup-дис- (у нас это файл stage2_eltorito) сле-
но основной код LILO, находящийся за ки «загрузочными». Это потребует рас- дует разместить служебную таб-
пределами MBR, цел. Зачастую LILO хода лишних 100 килобайт (что не су- лицу. Поэтому файл и изменяется
выполняет довольно сложные функции, щественно даже для CD, не говоря уж при создании образа. Надо ска-
например, подгружает initrd (с этим мо- о DVD), но значительно повысит цен- зать, что при таком наборе опций
жет справиться и GRUB). Возможно, ность такой резервной копии. эта опция совершенно не обяза-
LILO запускает ядро с опциями, кото- Теперь создаём ISO-образ: тельна – таблица всё равно была
рые вы просто забыли, или вам просто бы создана.
лень их снова набирать. Одним словом, mkisofs -R \ Последняя опция -o указывает имя
-jcharset koi8-r \
вы потеряли MBR, но хотите запустить -b boot/grub/stage2 _ eltorito \ iso-файла.
LILO, а не просто «сырое» ядро. Здесь- -c boot/boot.catalog \
-no-emul-boot \
то вам и пригодится указанная возмож- -boot-load-size 4 \ Итак, образ boot.iso готов.
ность, надо только правильно указать -boot-info-table \
-o boot.iso \
партицию: iso Записываем CD и загружаемся
с него
title LILO on hda2 Обратите внимание, файл stage2_ Записать полученный образ на CD
rootnoverify (hd0,1)
chainloader +1 eltorito должен быть доступен для за- можно любым, привычным для вас,
писи, а утилита mkisofs этой доступнос- способом.
Если вы планируете загружать тью непременно воспользуется и слег- Под Linux:
другие ОС, то рекомендую обратить- ка его изменит(!). Позаботьтесь о ре-
ся к документации на GRUB. Практи- зервной копии этого файла. cdrecord -dev=0,1,0 -data boot.iso
чески любая ОС имеет собственную Давайте рассмотрим опции по по-
специфику. Linux допускает исполь- рядку. Или под FreeBSD:

№11, ноябрь 2005 29

 администрирование

Рисунок 2. Меню GRUB Рисунок 3. Результат выполнения команды help в командной

строке GRUB
burncd -v -f /dev/acd0 data boot.iso fixate строки в рамках одной статьи просто невозможно. Да это
и не нужно. Список команд вы можете получить, набрав
Можно воспользоваться и любыми Windows-утилитами. help (см. рис. 3).
Теперь при загрузке с этого диска вы увидите меню Подробную справку по любой команде можно получить,
(см. рис. 2). набрав: «help команда».
Вы можете выбрать нужный пункт и загрузиться или вос- Большинство команд покажутся знакомыми и понятны-
пользоваться дополнительными возможностями, доступны- ми пользователям UNIX. За подробной информацией обра-
ми, как вы видите, по клавишам «e» (редактирование ме- щайтесь к документации.
ню) и «c» (командная строка).
Что можно усовершенствовать
Дополнительные возможности Наш первый GRUBable CD мы создали практически без
GRUB-диск предоставляет гораздо больше возможностей, усилий. А что, если подойти к вопросу немного более твор-
чем просто выбор одного из пунктов меню. Нажав кноп- чески?
ку «c», вы попадаете в командную строку, откуда можете
сами вводить любые команды. Скажем, если у вас в ме- Размещаем файлы по своему усмотрению
ню не предусмотрена загрузка ядра /boot/bzImage-myone, Кому-то может не понравиться фиксированность путей
то вы можете ввести соответствующие команды и загру- и захочется разместить файлы по собственному усмот-
жать именно это ядро. Не забудьте только ввести в заклю- рению.
чение команду boot. При работе с меню GRUB добавляет её Добиться большей компактности и гибкости можно,
автоматически, но с консоли её следует вводить вручную. вкомпиллировав конфигурационный файл в тело stage2_
То же самое можно сделать, перейдя в режим редактиро- eltorito. Эта возможность появилась в GRUB ещё в 2002 го-
вания меню (клавиша «e») и скорректировав аргумент ко- ду, и в данном случае она как нельзя кстати. Файл с меню
манды kernel. Режим редактирования позволяет не только всё равно нельзя будет отредактировать на компакт-дис-
изменять, но и добавлять/удалять команды. ке, а значит, вы не теряете никаких возможностей, «зашив»
Кроме того, если вы использовали GRUB ранее (до ава- меню в тело загрузчика. Тем более что вы всегда сможете
рии), вы можете загрузить файл-меню, хранящийся у вас выйти из встроенного меню и воспользоваться всеми пре-
на диске. Для этого достаточно ввести команду (в режиме имуществами командной строки. Зато теперь вы сможете
командной строки) следующего вида: размещать файлы на диске как вам заблагорассудится.
Взять исходные коды GRUB можно на официальной
configfile (hd0,2)/boot/grub/menu.lst странице проекта http://www.gnu.org/software/grub/grub.html.
На момент написания статьи самой свежей была версия
После этого вы окажетесь в привычном меню. 0.97, о ней и пойдёт речь.
Особо следует отметить, что командная строка GRUB Собирать GRUB я бы посоветовал под обычным пользо-
оснащена прекрасным механизмом автодополнения. Если вателем, чтобы подстраховаться от неожиданностей и оши-
вы напишете только первую букву этой команды и нажмёте бок. GRUB очень неприхотлив и собирается практически
клавишу «Tab», то GRUB выдаст вам подсказку: любыми средствами. Так, например, в INSTALL написано,
что для сборки нужен GNU make, но у меня GRUB прекрас-
Possible commands are: cat chainloader cmp color configfile
но собрался и обычным make (под FreeBSD).
Если вы добавите теперь ещё две буквы («о» и «n») и сно- Процедура сборки стандартная: скачиваем, разархиви-
ва нажмёте «Tab», то GRUB дополнит строчку до «configfile» руем, конфигурируем:
автоматически. Автодополнение работает с дисками, ката-
логами и файлами, что очень удобно. ./configure \
--prefix=$HOME/GRUB \
Командная строка GRUB предоставляет широчайший --enable-preset-menu=menu.lst
набор возможностей. GRUB позволяет работать с файло-
выми системами, искать файлы (команда find), просмат- Здесь я указал два ключа: первый предписывает произ-
ривать их содержимое (cat). Он имеет средства диагнос- водить установку в домашний каталог, второй – вкомпил-
тики оборудования, «ручной» детализации параметров лировать указанное меню.
дисков и многие другие. Описать все средства командной Затем выполняем make и make install.

30
 администрирование
Теперь полученный файл stage2_eltorito (он лежит в ди- но – от CD или локального диска до NFS или удалённого
ректории $HOME/GRUB/lib/grub/i386-unknown) является TFTP-сервера.
полностью самодостаточным. Его можно положить в лю- Но следует помнить, что, увеличив функциональность
бое место файловой системы компакт диска; файл menu.lst нашего CD, мы снизили его универсальность. Восполь-
больше не требуется. зоваться новой функцией можно только при совпадении
Такое решение, безусловно, привлекает компактностью версий ядра. Иначе ядро-варяг, загруженное с CD, может
и изяществом. Тем более что, из встроенного меню всегда не воспринять модули, хранящиеся на диске и рассчитан-
можно выйти, выполнить любые команды или даже загру- ные на другое ядро. Даже при полном совпадении версий
зить другое меню. Но я бы советовал держать на диске до- (но не сборок) недоразумение могут вызвать некоторые
кументацию к GRUB. Можно сохранить на диске ещё и ко- действия rc-скриптов (скажем, попытки поднять сетевые
пию вкомпиллированного меню, хотя, как вы видели, пун- интерфейсы, поддержка которых не предусмотрена CD-яд-
кты меню всегда можно просмотреть и отредактировать ром). Но в целом это довольно жизнеспособная схема.
по клавише «e». Понятно, что следующим шагом после переноса яд-
ра на CD будет перенос на CD init, rc-скриптов, а следова-
Сохраняем образы загрузчиков на CD тельно, и корневой файловой системы. Но тогда мы полу-
Вы видели, что при загрузке DOS мы просто считывали чим Live-CD со всеми его преимуществами и недостатка-
первый сектор DOS-партиции. GRUB, по понятным причи- ми, а мы договорились не рассматривать вопросы созда-
нам, не умеет загружать ядро DOS и Windows и делегирует ния загрузочных CD.
эти функции «родному» загрузчику. Так же обстоят дела и
с некоторыми другими ОС, например, с QNX. Перспективы GRUB
Если испортится загрузчик, расположенный в партиции, Напомню, что GRUB снабжён доброй сотней мегабайт до-
то загрузка ОС станет невозможна. Так ли это? Не совсем. кументации. За рамками нашего рассмотрения остались
Вы можете создать образ загрузочных секторов. GRUB спо- возможности GRUB, связанные с загрузкой по сети (GRUB
собен загрузить образ из файла. поддерживает сетевые интерфейсы и такие протоколы,
Создать образ проще всего командой dd. Пример как TFTP и DHCP), удалённым управлением, монтирова-
под Linux: нием образов (только из grub shell). GRUB может выпол-
нять и функции утилиты fdisk (хотя, мне кажется, что луч-
dd if=/dev/hda1 of=DOS-BOOT-IMAGE bs=512 count=1 ше не использовать его в этом качестве без крайней необ-
ходимости). С полученного нами диска можно произвести
А загрузить образ можно уже знакомой нам командой даже полноценную инсталляцию GRUB как менеджера за-
chainloader, указав не сектор, а путь к файлу: грузки. Оставим обсуждение этих вопросов разработчи-
кам документации.
chainloader (cd)/boot/DOS-BOOT-IMAGE Но в этой статье невозможно обойти вниманием вопрос
развития GRUB. Дело в том, что именно сейчас GRUB стоит
Следует только иметь в виду, что никто не гарантиру- на распутье. Разработчики GNU GRUB заморозили проект.
ет, что в разных версиях ОС загрузчики будут одинаковы Теперь в GNU GRUB будут вноситься только косметические
или хотя бы совместимы. улучшения и исправления ошибок. Вместо GNU GRUB по-
явился новый проект GRUB2. Пока, правда, версии 2 нет.
Первый шаг к Live-CD На момент написания статьи самой свежей является вер-
Пока рассматриваемые нами решения бессильны в ситуа- сия 1.91. Изменений огромное множество. Перечислить их
ции, когда испорченным оказалось ядро системы. Но и эту все очень трудно. Это и поддержка новых устройств, и под-
проблему можно разрешить минимальными усилиями. До- держка локализации и национальных алфавитов, и новые
статочно разместить работоспособное ядро на том же CD, файловые системы, и ОС-специфичные загрузчики (та-
а в меню добавить следующие инструкции: кие, как loader во FreeBSD), и более дружественный интер-
фейс инсталлятора, и графические меню... Но в целом, как
title Linux (kernel root=/dev/hda1) мне кажется, GRUB2 продолжил линию GNU GRUB. Он всё
kernel (cd)/boot/vmlinuz root=/dev/hda1
больше становится похож на операционную систему, у ко-
Вы видите, что теперь мы загружаем ядро с CD, но тре- торой интерфейс меню и командной строки встроен в яд-
буем, чтобы в качестве root-устройства была смонтирована ро. Во всём остальном это ОС: GRUB умеет работать с ос-
первая партиция жёсткого диска. Если на первой партиции новными устройствами (не только консоль и диски, но даже
у вас действительно установлен Linux, то ядро (загруженное сетевые карты), работает с файловыми системами, позво-
с CD) как ни в чём ни бывало смонтирует эту партицию как ляет загружать и выполнять код. Не это ли основные при-
коревую файловую систему, и запустит процесс init. знаки операционной системы? Все эти качества GNU GRUB
С такого диска можно загрузить Linux, даже если были развиваются и усиливаются в GRUB2.
испорчены все загрузочные сектора и ядро. Единственным минусом GRUB2 является острый дефицит
Аналогично можно сохранить на CD ядро FreeBSD и про- документации. Именно поэтому объём дистрибутива втрое
грамму его загрузки – loader. Здесь есть множество вари- меньше. Ситуация с документацией и определила мой выбор
антов, потому что loader сам является весьма мощной про- в пользу старого доброго GNU GRUB при написании этой ста-
граммой и может загрузить ядро практически откуда угод- тьи. Но это «пока». Будущее, конечно, за GRUB2.

№11, ноябрь 2005 31

 администрирование

Тонкий клиент – шаг к мэйнфреймам?

Антон Борисов

Когда-то терминалы подключались к мощным серверам и обработка информации

происходила на мэйнфреймах. Затем появились достаточно мощные ПЭВМ, и информация
стала обрабатываться на рабочих местах. Похоже, история любит повторяться, но сегодня
уже в зеркальном отражении – становится опять экономически выгодно использовать
мэйнфреймы с подключением легких терминалов – тонких клиентов.

К
ак показывает практика, чем отображают выполнение програмно- много и аппаратного обеспечения ЭВМ.
сложнее становится система, го обеспечения на серверной сторо- В TCO-анализе учитывается не толь-
тем больше усилий требуется, не, при этом, будучи клиентской час- ко стоимость обеспечения, но и, напри-
чтобы поддержать ее в рабочем состо- тью, могут быть совершенно облегчен- мер, поддержка в дальнейшем пользо-
янии. В то же время становится очевид- ными. Под облегченностью понимает- вателей и их обучение [4].
ной специализация тех или иных биз- ся как использование старой техни- Итак, у вас есть старый парк тех-
нес-процессов. Можно уже четко опре- ки (класса первых Pentium), так и сов- ники, который вы не считаете раци-
делить, какие конкретно ресурсы тре- ременных ПЭВМ с интегрированны- ональным выводить из применения,
буются определенным пользователям ми сетевыми-, видеоконтроллерами, но в то же время отдаете себе отчет,
для решения их бизнес-задач. Исходя но со скромной производительнос- что достичь приемлемых результа-
из указанных предпосылок, данным тью, так и специализированных тер- тов на такой технике уже нельзя, или
пользователям следует выделить не- миналов [1]. С одной стороны, мы уве- вы организуете рабочие места с чис-
обходимый конкретно им инструмен- личиваем срок службы старой техни- того листа и решаете для себя воп-
тарий, но не более того. Кроме этого, ки, перенося вычислительные функ- рос, как грамотно провести внедрение
установку (а в дальнейшем и обнов- ции на производительный выделен- бизнес-процессов на рабочих местах.
ление) пакетов прикладных программ, ный сервер приложений (я все-таки на- Вполне возможно, что после сегод-
хранение электронной документации деюсь, что у вас он уже функциониру- няшнего материала некоторые вопро-
также рациональнее вести в одном ет), с другой стороны, путем унифика- сы для вас исчезнут.
месте – на производительном терми- ции терминалов можем снизить время Насколько вы помните, в преды-
нальном сервере. Таким образом, про- простоя отдельно взятого терминала дущей публикации [5] мы использова-
ведя анализ потоков данных и выяснив и снизить стоимость обслуживания вы- ли так называемую barebone-систему
структуру документооборота, предпри- числительной техники – модный в пос- на аппаратной платформе VIA EPIA-M.
ятие может попробовать преобразо- леднее время термин TCO (Total Cost of Помимо вполне удовлетворительной
вать структуру рабочих мест. Ownership) [2]. В свое время TCO-ана- производительности на плате интегри-
Из названия следует, что ориен- лиз был предложен компанией Gartner рованы сетевая и звуковая платы. Дан-
тир сделан на создание тонких кли- Group для оценки прямых [3] и косвен- ный факт позволяет построить на ба-
ентов, т.е. создание ПЭВМ, которые ных затрат от приобретения програм- зе EPIA-M бездисковые терминальные

32
 администрирование
станции, где загрузка операционной системы происходит дисков, однако с дискеты возможно запустить более-менее
по сетевому интерфейсу. работоспособную версию ОС, чтобы отследить трафик, пе-
Одним из довольно любопытных проектов явля- редаваемый по сети. Возможные последствия? Например,
ется ThinStation [6]. Его корни уходят в такие проекты, два одинаковых IP-адреса в ЛВС. Во-вторых, подготов-
как NetStation, PXES. Заимствовав идею сетевой загруз- ка загрузочных дискет, с определенным набором драйве-
ки, проект постепенно вырос до сегодняшнего состояния ров – не самое лучшее времяпровождение, если есть ва-
и в определенной степени представляет из себя вполне за- риант лучше, а именно, интеграция PXE-кода в системный
конченный продукт. BIOS. И в-третьих, подумайте о людях – если вы сэконо-
Давайте посмотрим, что же из себя представляет дан- мили на нормальной сетевой карте, на более-менее сов-
ное творение. Вы уже могли быть с ним знакомы по публи- ременном терминале, на дисплее, то задумайтесь, а име-
кации в журнале за прошлый год [7]. Пакет системных про- ете ли вы вообще право требовать с них повышения про-
грамм busybox (объединяющий в одном флаконе упрощен- изводительности?
ный вариант bash, awk, cat, chmod, grep и ряда других), се- Небольшое отступление – не следует забывать, что об-
рия драйверов для различных сетевых карт, пакет приклад- новление BIOS возможно в том случае, если в материнской
ных программ, таких как клиенты rdesktop, telnet, а также се- плате используется Flash-микросхема. Они начали широко
рия X-серверов составляют основу «тонкой станции». Даль- применяться в Pentium-системах. В более ранних, напри-
нейшая сборка позволяет получить образ в виде файлов мер на базе 80486 ПЭВМ, использовались как flash-микро-
.nbi (etherboot-загрузка), initrd, .iso, pxelinux, syslinux. В част- схемы, так и микросхема однократной записи. В еще более
ности, связка из initrd и pxelinux позволяет создать сетевые древних (80386) использовались однократные.
бездисковые терминалы. Помимо указанных пакетов есть Подумайте, а будут ли вообще работать такие ПЭВМ
возможность доукомплектовать загрузочный образ таки- с ThinStation – ведь существуют вполне определенные ми-
ми пакетами, как vncviewer, tarantella, xnest, dillo, nx, Firefox, нимальные требования для запуска тонкого клиента:
MPlayer и рядом других. Частота ЦП – x86 100 МГц.
Дистрибутив ThinStation разделяется на часть для ко- Размер ОЗУ – 16 Мб.
нечного пользователя (40 Мб) и на часть, ориентирован- Размер видеопамяти – не менее 1 Мб.
ную прежде всего на разработчика (400 Мб). В первой час-
ти все программные пакеты уже скомпилированы и зада- Более подробно, как модифицировать BIOS см. [9].
ча пользователя заключается в том, чтобы выбрать те па- А сейчас предварительно узнайте, как точно называет-
кеты, которые ему потребуются для работы. Вторая часть – ся ваша сетевая плата, затем на сайте [10] забирайте
это те же самые пакеты, только в исходных текстах. До- PXE ROM-код и с помощью утилит amiflash [11], cbrom про-
бавление своей собственной, предварительно скомпи- изводите следующие манипуляции:
лированной программы в дистрибутив ThinStation для ко-
нечного пользователя скорее всего закончится неудачно. FLASH879 /SBIOS.BIN
С чем это связано? Прежде всего различие в версиях биб-
лиотеки GLIBC, используемой в дистрибутиве (там вер- Сохранили в файл BIOS.BIN содержимое flash-памяти.
сия GLIBC 2.1.3) и вашей. Если программа скомпилирова- В определенных случаях, места в BIOS может не хва-
на полностью статически, то проблем в принципе не долж- тить для добавления нового кода. Поэтому давайте узна-
но возникнуть. Вариант для разработчика предназначен ем, из каких составных частей состоит ваш BIOS, прежде
для тех случаев, когда добавление в лоб собственного па- чем добавить PXE-код.
кета не срабатывает.
Коммерческие продукты сами не входят в состав дис- CBROM.EXE BIOS.BIN /D
трибутива, а представлены в виде ссылок. Поэтому, ког- CBROM V2.15 (C)Award Software 2001 All Rights Reserved.

да вы выбираете клиентов, например, NoMachine, Citrix
или Tarantella, то по мере сборки загрузочного образа
они будут скачаны wget с сайтов производителей.
Нам сегодня потребуется дистрибутив ThinStation для ко-
нечного пользователя[8]. Но перед тем как начнем сборку
загрузочного образа, давайте добьемся, чтобы ПЭВМ мог-
ла загружаться по сети.
Добавляем LAN ROM в системный BIOS
В случае, если вы счастливый обладатель старых ПЭВМ
и/или сетевых карт без дополнительного слота с микросхе-
******** BIOS.BIN BIOS component ********
No. Item-Name Original-Size Compressed-Size Original-File-Name
===============================================================================
0. System BIOS 20000h(128.00K)13E32h(79.55K)test.BIN
1. XGROUP CODE 0EE90h(59.64K)0A362h(40.85K)awardext.rom
2. ACPI table
3. EPA LOGO
04F6Fh(19.86K)01A60h(6.59K)ACPITBL.BIN
0168Ch(5.64K)0030Dh(0.76K)AwardBmp.bmp
4. YGROUP ROM 06B50h(26.83K)04693h(17.64K)awardeyt.rom
5. GROUP ROM[ 0] 06190h(24.39K)02765h(9.85K)_EN_CODE.BIN
6. PCI ROM[A] 0C000h(48.00K)06431h(25.05K)NVRAID.ROM
7. OEM1 CODE 02410h(9.02K)00DF3h(3.49K)BSMICODE.ROM
8. OEM0 CODE 01F26h(7.79K)01787h(5.88K)SBF.BIN
Total compress code space = 34000h(208.00K)
Total compressed code size = 2F6A4h(189.66K)
Remain compress code space = 0495Ch(18.34K)

мой, содержащей PXE-код, то единственный способ для до- ** Micro Code Information **
Update ID CPUID | Update ID CPUID | Update ID CPUID | Update ID CPUID
бавления функции сетевой загрузки – это дополнить сис- ------------------+--------------------+--------------------+-------------------
темный BIOS материнской платы кодом для сетевой пла-
ты. Зачем именно изменять системный BIOS, а не исполь- Очевидно, что для работы тонкого клиента код, отве-
зовать загрузку, например, с НГМД? Во-первых, для безо- чающий за работу RAID-подсистемы, в принципе не ну-
пасности. Хотя бездисковые терминалы и не имеют жестких жен (выделен красным шрифтом). Предлагаю его удалить,

№11, ноябрь 2005 33

 администрирование
а на освободившееся место поместить нужный нам PXE-код
сетевой карты. Предупреждение о потенциальной опасности рекомен-
дуемых действий.
CBROM.EXE BIOS.BIN /PCI release Внимание! Описанные в журнале действия по измене-
CBROM V2.15 (C)Award Software 2001 All Rights Reserved. нию содержимого flash-памяти материнской платы потенци-
PCI ROM - - - [A] : NVRAID.ROM
[PCI-A] ROM is release ально опасны. Ответственность за корректное и/или некор-
ректное модифицирование BIOS лежит полностью на пле-
Удалили ненужный компонент. чах владельца ПЭВМ.

CBROM.EXE BIOS.BIN /PCI netboot.rom Использование BIOS Savior [5] и источника бесперебой-
CBROMV2.15 (C)Award Software 2001 All Rights Reserved. ного питания позволит избежать многих подводных кам-
Adding netboot.rom .... 68.5%
ней и практически полностью избежать негативных пос-
Добавили PXE-код от сетевой карты. ледствий от пропадания питания на вашем рабочем месте
И еще раз посмотрим на структуру BIOS. по время перезаписи микросхемы flash-памяти.
CBROM.EXE BIOS.BIN /D После добавления сетевого кода в системный BIOS сле-
дует записать последний в микросхему Flash-памяти. Сле-
CBROM V2.15 (C)Award Software 2001 All Rights Reserved.
дует делать это осторожно, т.к. испортив и/или записав не-
******** BIOS.BIN BIOS component ********
корректно код, вы на выходе получите неработающую ма-
No. Item-Name Original-Size Compressed-Size Original-File-Name теринскую плату. Лично для меня самым удобным вариан-
================================================================================
0. System BIOS 20000h(128.00K)13E32h(79.55K)test.BIN том является использование утилиты amiflash.
С ее помощью можно автоматически определить ис-
1. XGROUP CODE 0EE90h(59.64K)0A362h(40.85K)awardext.rom
2. ACPI table 04F6Fh(19.86K)01A60h(6.59K)ACPITBL.BIN
3. EPA LOGO
4. YGROUP ROM
0168Ch(5.64K)0030Dh(0.76K)AwardBmp.bmp
06B50h(26.83K)04693h(17.64K)awardeyt.rom
пользуемый чипсет материнской платы, а соответственно
5. GROUP ROM[ 0] 06190h(24.39K)02765h(9.85K)_EN_CODE.BIN не ломать голову, как называется микросхема flash-памя-
ти, и проверить, насколько правильно была произведена
6. OEM1 CODE 02410h(9.02K)00DF3h(3.49K)BSMICODE.ROM
7. OEM0 CODE 01F26h(7.79K)01787h(5.88K)SBF.BIN
8. PCI ROM[A] 08000h(32.00K)057E2h(21.97K)netboot.rom
запись в данную микросхему. В целом, интерфейс доста-
Total compress code space = 34000h(208.00K) точно симпатичный, а самое главное – утилита небольшая
Total compressed code size = 2EA55h(186.58K)
Remain compress code space = 055ABh(21.42K) (умещается на системную дискету), для своей работы тре-
** Micro Code Information **
бует DOS и стабильно работает. Если по каким-либо причи-
Update ID CPUID | Update ID CPUID | Update ID CPUID | Update ID CPUID нам она не удовлетворяет вашим требованиям, то попро-
------------------+--------------------+--------------------+-------------------
буйте использовать uniflash. Она также работает под DOS,
Теперь остается записать BIOS во flash-память. размером несколько меньше amiflash, но по личным ощу-
щениям является несколько перегруженной.
FLASH879 BIOS.ROM /A /B /E /R Записали обновленный BIOS в материнскую плату, пере-
загрузили ПЭВМ – работает. Если не работает – записываем
Опции, которые используются в примере, обозначают: во flash-память предварительно сохраненный, неизменен-
/R – произвести перезагрузку, после операции записи ный файл BIOS на программаторе. Хотя при наличии BIOS
во flash-память. Savior такие проблемы не должны вас особо расстраивать –
/E – очистить CMOS-память во избежание возможных просто переключите на резервную микросхему и попробуйте
недоразумений после перезаписи. еще раз. В BIOS Setup выбираете приоритетность загрузки –
/B – также произвести перезапись секции BootBlock ставите LAN ROM. Если нет пункта с упоминанием сетевой
во flash-памяти (опционально). загрузки, то скорее всего конфигурация сетевого кода про-
/A – не запускать GUI-режим, а работать в командной изойдет непосредственно после POST-процедур.
строке. Однако, если вы формируете терминальные клиен-
ты на основе VIA EPIA-M, то PXE-код уже интегрирован
Сохранять/изменять системный BIOS можно также ути- в составе системного BIOS. Нужно всего лишь выставить
литами: awdflash [12], uniflash [13], phlash [14] или другими. в BIOS Setup приоритетность загрузки ОС – начинать с за-
Добавлять код от сетевой платы в системный BIOS нужно грузки по LAN.
следующими утилитами: Терминальные клиенты на VIA EPIA-M используются, на-
cbrom – если используется AwardBIOS. пример, в техническом университете Дании. Mike Eriksen ис-
amimm – если используется AMIBIOS. пользовал именно эти аппаратные решения, когда описал
prepare – если используется PhoenixBIOS. свой опыт [15]. Правда, он реализовывал загрузку клиен-
тов с твердотельных накопителей compact-flash.
Экзотику, такую как SystemSoftBIOS, DELLXBIOS,
ACERBIOS, HPBIOS, я не рассматриваю, так как по сути та- Загружаем PXE-код
кие ПЭВМ встречаются достаточно редко, и утилит для из- Будем считать, что сетевая плата на клиенте коррект-
менения этих BIOS практически не существует для конеч- но работает, и PXE-код посылает DHCP-запросы в ок-
ных пользователей. ружающий эфир. Следует оправдать ожидания сетевой
Изменение flash-памяти достаточно непростая проце- платы и обработать DHCP-пакеты с помощью службы
дура, поэтому: dhcpd (более подробно, см. /usr/doc/Linux-HOWTOs/DHCP,

34

/usr/doc/dnsmasq-2.8/FAQ). Для этого в загрузочный скрипт
/etc/rc.d/rc.local добавляем строчку «/usr/sbin/dhcpd eth0»,
либо запускаем данный сервис в виде отдельной службы,
например, через /etc/rc.d/rc.dhcpd. Или в случае, когда для
старта службы dhcp используется скрипт /etc/init.d/rc.dhcpd,
настроим запуск как «invoke.rc dhcpd start».
Не забудем также раскомментировать (если она, конеч-
но же, закомментирована) в /etc/inetd.conf строчку, упоми-
нающую сервис tftp. В конечном виде строка выглядит сле-
дующим образом:
tftp dgram udp wait root ↵ вавшее себя Linux-ядро линейки 2.4. В-третьих, и это, по-
/usr/sbin/in.tftpd in.tftpd -s /tftpboot -vv
Для обладателей RedHat-систем, где используется
xinetd.conf, добавление выглядит примерно так:
service tftp
{ # tar xzvf Thinstation-2.1.3.tar.gz
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -l -s /tftpboot
disable = no
} держиваемых сетевых карт более 20, включены драйверы
Именно по протоколу tftp будет происходить загрузка
файлов тонкого клиента ThinStation.
Чтобы суперсервер inetd перечитал свой конфигураци-
онный файл, подадим следующую команду:
# killall -HUP inetd
Отредактируем файл /etc/dhcpd.conf или создадим
его заново, в случае, если он отсутствует. У меня он вы-
глядит примерно так:
ddns-update-style none;
subnet 10.0.0.0 netmask 255.0.0.0 {
option broadcast-address 10.0.255.255;
max-lease-time 7200;
default-lease-time 600;
} ssh – клиент Secure Shell.
host TS_EPIA_M_01 {
hardware ethernet 00:40:63:d6:69:d7;
fixed-address 10.0.0.50;
filename "pxelinux.0";
} бочем столе.
Функционирование сервера dhcp возможно в двух ре-
жимах – либо с внесением изменений в DNS-сервер, либо
без внесения таких изменений. Естественно, что подразу-
мевается не прямое изменение DNS-записей, а путем от-
правки пакетов на DNS-сервер. В любом случае, динамичес-
кое изменение записей в DNS-сервере нам не требуется, по-
этому выставляем глобальный параметр ddns-update-style
как none.
Чтобы dhcp-сервер смог корректно обслуживать сеть
10.0.0.0 с маской 255.0.0.0 добавляем конструкцию subnet {}.
Время ожидания (в секундах) запросов от PXE-клиентов
выставляется опциями max-lease-time, default-lease-time.
В конструкции host {} объявляется об узле TS_EPIA_M_01,
с MAC-адресом 00:40:63:d6:69:d7, которому будет назначен
№11, ноябрь 2005
администрирование
IP-адрес 10.0.0.50. Для сетевой загрузки этого узла служит
файл pxelinux.0, размещенный на tftp-сервере.
После таких приготовлений необходимо подготовить
файлы, которые будут загружаться по сети. Итак, пере-
ходим непосредственно к приготовлению тонкого клиен-
та – ThinStation.
Генерируем загрузочный образ
Я предлагаю остановить свой выбор на версии 2.1.3.
Во-первых, эта версия является самой последней из ста-
бильных. Во-вторых, используется хорошо зарекомендо-
жалуй, самая объективная причина – для ThinStation 2.1.3
скомпилировано самое большое количество приложений,
среди которых Mozilla Firefox, Sylpheed, MPlayer.
# wget Thinstation-2.1.3.tar.gz
# cd Thinstation-2.1.3
Конфигурация для сборки тонкого клиента представ-
лена файлом build.conf. В принципе, для любой x86-систе-
мы можно подготовить рабочий вариант. Количество под-
для более 15 звуковых карт. Видеоподсистема поддержи-
вается для более 20 разновидностей видео-карт. Назва-
ния модулей говорят сами за себя: xorg6-i740, xorg6-i810,
xorg6-savage, xorg6-via, xorg6-vesa. В любом случае, даже
если специализированный драйвер не подошел, у вас оста-
ется возможность использовать VGA- или VESA-драйвер.
Список доступных прикладных пакетов указан ниже:
rdesktop – RDP-клиент для подключения к терминаль-
ным серверам на основе Microsoft Windows.
rdesktop_svga – тот же самый клиент, используемый
в случае, когда на терминальной машине экстремаль-
но мало ОЗУ.
vncviewer – VNC-клиент.
ica – Citrix-клиент.
xnest – XDM-клиент.
rxvt – облегченный xterm-клиент.
tn5250 – терминальный эмулятор 5250.
blackbox – оконный менеджер.
xtdesk – приложение для обработки пиктограмм на ра-
icewm – еще один легкий оконный менеджер.
lp_server – сервис удаленной печати (с поддержкой
JetDirect).
tftpd – встроенный tftp-сервер.
samba-server – smb-сервер.
И завершается данный конфигурационный файл спис-
ком параметров, включая пароли для vncviewer, пароль
для доступа к терминальной станции по сети, а также разре-
шение для графической подсистемы и некоторые другие.
В качестве примера рассмотрим мой вариант build.conf:
1 module agpgart
2 module 3c59x
3 module 8139too
4 module e100
35
 администрирование
В файле build.conf он фигурирует в такой форме:

package ica
param icaurl http://download2.citrix.com/files/en ↵
/products/client/ica/current/linuxx86.tar.gz

Если вы будете использовать Citrix-клиент, то он будет

Рисунок 1. IP-адрес получен от DHCP-сервера и происходит
загрузка ядра Linux
загружен из сети с указанного сайта.
Чтобы гарантированно запустить графический режим
на терминальных клиентах я использовал универсальный
VESA-драйвер.
Клавиатурная раскладка используется английская.
Есть возможность добавить и нашу национальную рас-
кладку, раскомментировав в вашем файле конфигура-
ции thinstation.conf.network соответствующий пункт с рус-
ской раскладкой:

KEYBOARD_MAP=ru

В строчках 11-15 подключаю необходимые для демонс-

трационной работы утилиты. Следующие две строки озна-
чают, что оконным менеджером будет blackbox, а за появле-
ние ярлыков на рабочем столе – отвечает пакет xtdesk.
В строках 18-19 выставляем пароли для доступа к дан-
ной терминальной станции и для доступа с терминальной
станции на VNC-сервер.
По умолчанию картинка проекта ThinStation включена
во время загрузки (см. строчку 20).
Разрешение X-сервера на стороне терминального кли-
ента выставлено в 1024x768 (см. строчку 21). И, наконец, в 22
Рисунок 2. Указываем расположение сервера приложений строчке указано, что требуется отображать сообщения, от-
5 module via-rhine носящиеся к процессу загрузки, инициализации и за началь-
6 module usb-hid ную настройку сетевых конфигурационных параметров.
7 module usb-storage Далее запускаем сборку:
8 module smbfs
9 package xorg6-vesa # ./build

10 package keymaps-en_us
И переписываем приготовленные файлы в каталог tftp-
11 package rdesktop
12 package vncviewer сервера:
13 package rxvt
14 package xterm # su -
15 package ssh # cp -R ./boot-images/pxe /tftpboot
16 package blackbox
17 package xtdesk В принципе, на этом этапе можно запускать терминаль-
ный клиент и смотреть, как происходит процесс загрузки.
18 param rootpasswd root
19 param xorgvncpasswd vnc В качестве визуального примера я привожу, как процесс
загрузки происходит в виртуальной машине.
20 param bootlogo true
21 param bootresolution 1024x768 С момента включения VIA EPIA-M до момента определе-
22 param bootverbosity 7 ния IP-адреса по dhcp-протоколу прошло 25 секунд.
Еще 25 секунд требуется на распаковку образа в памяти
Строчки 1-5 отвечают (нумерация строк приведена терминального узла, настройку служб и рабочего стола.
для удобства обсуждения, в build.conf ее естественно быть Щелкаем на пиктограмму RDP-клиента и вводим адрес
не должно) за включение в состав формируемого пакета Windows Terminal Server (см. рис. 2). А также имя пользова-
сетевых драйверов для указанных карт. Строка 6 означает, теля и пароль (см. рис. 3).
что USB-клавиатура и USB-мышь, будучи подключены к тер- И присоединяемся к Windows-серверу (см. рис. 4).
миналу, смогут функционировать. В строке 7 в формирую- Небольшая особенность работы RDP-клиента в вер-
щийся пакет подключается модуль для работы с USB-брел- сии ThinStation 2.1.3 – если вы подключите поддержку зву-
ками. Строка 8 подключает модуль, отвечающий за работу ка на терминалах, где используется звуковой драйвер i810,
файловой системы SMB. то воспроизведение звука будет ускоренным. Проблема, на-
Для подключения к Citrix-серверам используется загруз- сколько я помню, заключалась в драйвере i810 и решена
ка бинарного клиента с сайта Citrix. в новой серии ThinStation 2.2.

36
 администрирование

Рисунок 3. Для ввода используется русский язык Рисунок 4. Экран удаленного сервера

Что касается хранимых профилей миться с готовыми решениями, кото- Было отрадно также увидеть дейс-
пользователей, в случае, если наду- рые доступны на рынке на сегодня- твительно сверхкомпактные термина-
маете включать в загружаемый образ ший день. лы с аппаратной начинкой, аналогич-
браузер Mozilla Firefox, то хочу обратить Итак, начнем, пожалуй, с тонких кли- ной, что и у «старших» братьев [1].
ваше внимание на секцию STORAGE ентов серии e100 от компании Neoware На рынке тонких клиентов рабо-
в конфигурационном файле thinstation. [17]. Данная серия представляет собой тают такие производители, как Wyse
conf.network (он должен быть распо- младшую линейку тонких клиентов. За- Technology, Boca Research, Netier
ложен на tftp-сервере, как и загружа- грузка происходит со встроенной кар- Technologies, Network Computer Devices,
емый образ). ты compact-flash. Размеры варьируются TeleVideo, IBM, Compaq, Dell, Fujitsu-
В частности, опции STORAGE_ от 32 до 512 Мб. Количество ОЗУ может Siemens, Unisys и другие.
PATH, STORAGE_SERVER и STORAGE_ быть от 128 до 512 Мб. Операционная Однако не стоит думать, что тонкие
PREFIX отвечают за формирование система на клиентах может быть Linux, клиенты выпускаются только западны-
полного пути к сохраняемому профи- Windows CE, Windows XPe. Подде- ми компаниями. Это не так. У нас тоже
лю. Профиль может быть сохранен ли- ржка протоколов RDP/ICA обязательна умеют собирать тонкие клиенты. Сре-
бо по NFS, либо по SMB-протоколу. для любой модели – в случае, если ис- ди таких компаний фигурируют следу-
Также файл thinstation.conf.network пользуется Linux-терминал, применяет- ющие имена – K-Systems, Nienshanz,
предназначен для более тонкой на- ся rdesktop и ICAClient под Linux, в слу- AK-Systems, Kraftway. Цены на тонкие
стройки каждого конкретного кли- чае Windows-терминала – встроенные клиенты чуть-чуть ниже, нежели у за-
ента. Например, видеоразрешение клиенты Remote Terminal Connection рубежных коллег.
для X-сервера задается именно там. и Citrix Client под Win32. Максимальное
видеоразрешение одинаково для всех Выводы
Аппаратные альтернативы моделей данного ряда и составляет Я не агитирую вас пересматривать си-
В случае, если у вас за спиной нет 1600x1200. туацию, которая, как иногда утвержда-
обоза старой техники и вы начинаете Если вы внимательно смотрите ют старожилы, «исторически сложи-
комплектовать предприятие, что го- на названия приведенных моделей, лась» на ваших рабочих местах в ту
ворится с нуля, то предлагаю ознако- то видите, что последний клиент ос- или иную сторону – оставить всё как
Таблица 1. Цены на тонкие клиенты нован на Windows XPe. Новая опера- есть или обратить внимание на новые
от Neoware [18] ционная система от Microsoft? Вовсе возможности. В любом случае реше-
Название модели Цена нет – это урезанная версия Windows ние всегда остается за вами. Следу-
Neoware e100 (Linux) от 369 у.е. XP для встраиваемых систем. Кстати ет учесть, что ThinStation – это конс-
Neoware e100 (Windows CE) от 399 у.е. говоря, у этой корпорации также есть труктор, у которого есть, естествен-
Neoware e100 (Windows XPe) от 599 у.е. планы на использование старой техни- но, и плюсы и минусы. Плюс – мож-
ки в качестве тонких клиентов [19]. но сконструировать практически лю-
Таблица 2. Цены на тонкие клиенты
от HP [20] Симпатично выглядят с эстетичес- бую конфигурацию для рабочей стан-
Название модели Цена кой точки зрения и тонкие клиенты ции (в рамках терминального вариан-
HP Thin Client t5710 от 509 у.е. от компании Hewlett-Packard. Функци- та). Минус, и достаточно жирный, за-
ональность у продукции от HP анало- ключается в том, что добавление собс-
HP Thin Client t5525 от 379 у.е.
гична продукции от Neoware – похоже, твенного приложения в ThinStation тре-
HP Thin Client t5520 от 359 у.е.
что наличие поддержки протоколов бует, чтобы у разработчика было не ме-
HP Thin Client t5515 от 330 у.е.
RDP/ICA стало стандартом де-факто. нее 3 Гб для распакованного архива
HP Thin Client t5510 от 359 у.е. Чем же привлекательны тонкие кли- и еще не менее 3 Гб для собираемых
HP Thin Client t5125 от 289 у.е. енты от HP, неужели ценой? пакетов. В общем – это отдельная ис-

№11, ноябрь 2005 37

 администрирование
тория. Если вам требуется всего лишь ваться на сервере, применяйте, на- №11, ноябрь 2004 г. – 12-14 с.
посмотреть на ThinStation, то позво- пример, следующие цифры (в каждом 8. ht tp://peterhost.dl.sourceforge.net /
лю себе смелость порекомендовать конкретном случае они будут, естест- sourceforge /thinstation / Thinstation-
вам сайт [21], где вы можете выбрать венно, разные) – минимальный объ- 2.1.3.tar.gz.
на веб-форме необходимые вам паке- ем для каждого клиента начинается 9. Касперски К. Модифицируем BIOS. –
ты и получить уже скомпонованный за- со 100-150 Мб памяти. Умножаем на Журнал «Системный администратор»,
гружаемый образ. количество подключаемых пользова- №6, июнь 2005 г. – 81-85 с.
Впрочем, если ваше добавляемое телей и получаем ОЗУ терминально- 10. http://www.rom-o-matic.net.
приложение не использует видео-аксе- го сервера. 11. http://www.ami.com/support/downloads/
лерацию, (а под ней я понимаю прямой amiflash.zip.
доступ к видеокарте, например, с по- Благодарности 12. ftp://ftp.support.acer-euro.com/utilities/
мощью SDL-библиотеки), то разумнее Спасибо Mike Eriksen за любезное пре- awdflash/awdflash826b.zip.
разместить его на сервере, и задача доставление идеи по использованию 13. http://www.uniflash.org/download/uf140.
сводится к банальной правильной на- VIA EPIA-M в качестве легковесного zip.
стройке ThinStation, которую мы с вами терминального решения. 14. ftp://ftp.support.acer-euro.com/utilities/
уже провели. В противном случае, при- winphlash/winphlash-utility.zip.
дется долго тянуть за ниточки и добав- Литература и ссылки: 15. http://struktur.kemi.dtu.dk/thinstation –
лять все необходимые пакеты. Впро- 1. http://www.windowsfordevices.com/news/ Thinstation and VIA Epia – a perfect
чем, если ваше приложение того сто- NS3139003780.html. match.
ит, то почему бы и нет? 2. http://en.wikipedia.org/wiki/Total_cost_of_ 16. h t t p : / / w w w. x b i t l a b s . c o m / a r t i c l e s /
Отдельной графой необходимо ownership. mainboards/display/ami-bios-update.html.
упомянуть о терминальном сервере. 3. http://www.darwinmag.com/read/110103/ 17. http://www.neoware.com.
Это одна из ключевых фигур на пред- question74.html. 18. http://www.neoware.com/thin-clients/e100.
приятии, на которую ложится основ- 4. http://www.ibusiness.ru /marcet /CIO/ html.
ная нагрузка. Как и всё в природе не 19102. 19. ht t p : / / w w w.t h i n p l a n e t .c o m / t r e n d s /
убывает и не прирастает на пустом 5. Борисов А. Используем LinuxBIOS mseiger0505.asp – Microsoft Preps Thin
месте, так и в этом случае надо пом- на системах VIA EPIA-M. – Журнал Client for XP.
нить, что, уменьшив производитель- «Системный администратор», №8, ав- 20. http://h10010.www1.hp.com/wwpc/us/en/
ность на терминалах, следует нарас- густ 2005 г. – 76-80 с. sm/WF04a/12454-321959-89307-338927-
тить функционал на терминальном 6. http://thinstation.sf.net. 89307.html.
сервере [22]. Это большая отдельная 7. Маркелов А. Использование бездиско- 21. http://struktur.kemi.dtu.dk/thinstation/TS.
тема. Для оценки суммарного коли- вых Linux-станций с загрузкой по сети. – 22. http://www.entry.kiev.ua/systems/citrix/
чества ОЗУ, которое будет использо- Журнал «Системный администратор», index.html.

Редакция нового электронного приложения На данный момент файл с «Open

к журналу «Системный администратор», полностью Source» 001 скачали около 4000 поль-
посвященного программному обеспечению с открытым зователей, а в начале декабря выйдет
кодом, представила первые выпуски «Open Source» второй выпуск электронного приложе-
ния. Среди ожидаемых материалов –
14 ноября свет увидел «Open Source» 5 VIM! Начни! Константин Фадеев руководство для начинающих по уста-
001 – 9-страничный файл в формате рассказывает начинающим поль- новке Linux-дистрибутива Gentoo, срав-
PDF (сами материалы заняли 8 стра- зователям об основах использова- нение двух многопротокольных клиен-
ниц) и сейчас доступен для свобод- ния легендарного свободного кон- тов обмена мгновенными сообщениями
ного скачивания (после регистрации) сольного текстового редактора. с открытым кодом (Gaim и SIM), обзор
на сайте http://osa.samag.ru. 5 GTK+ 2 в Free Pascal 2. Материал кросс-платформенной системы пакетов
В первом выпуске электронно- Владимира Кемпика о создании для UNIX/Linux-систем OpenPKG.
го приложения можно найти новости графических приложений (на ба- Редакция «Open Source» напоми-
мира Open Source и краткий анонс зе библиотеки с открытым кодом нает, что продолжает принимать лю-
OpenBSD 3.8 (автором этих материа- GTK+) на языке программирования бые отзывы, пожелания, поправки
лов стал Дмитрий Шурупов), а также Pascal с использованием компиля- и рекомендации читателей, уже ус-
четыре статьи: тора проекта Free Pascal. певших ознакомиться с первым вы-
5 Ubuntu 5.10 – первый взгляд 5 Firefox: триумфальное восхожде- пуском электронного приложения, и по
на «Линукс для людей». Обзор ние. Андрей Коврин освещает всю вопросам концепции приложения в це-
от Владимира Якубовского, посвя- историю революционного веб-бра- лом. Мы с удовольствием рассмотрим
щенный недавно вышедшей вер- узера проекта Mozilla (от появления предложения по сотрудничеству, а так-
сии GNU/Linux-дистрибутива на ба- Phoenix до наших дней), раскрывая же всегда рады видеть новых авторов,
зе Debian, сумевшего быстро заво- подробности достигнутого (и, воз- желающих опубликовать свои матери-
евать популярность среди пользо- можно, еще предстоящего) успеха алы. Связаться с нами можно по элек-
вателей настольных ПК. Firefox. тронной почте osa@samag.ru.

38
 администрирование

Разрабатываем документацию
с помощью NPJ: эффективно и удобно!

Алексей Коршунов
Ведение документации на свою рабочую сеть давно стало правилом хорошего тона
для любого уважающего и считающего себя профессионалом системного администратора.
Дело здесь вовсе не в служебных обязанностях, а скорее в прямой необходимости.

О
собенно если сеть состоит
из более чем одного сервера
и пяти рабочих станций. В слу-
чае с Linux-серверами это правило
действительно вдвойне, потому как
способов настроить один и тот же сер-
вис может быть не два и даже не три.
Очень часто работа с Open Source-
проектом (не важно, его разработка
или установка) тесно связана с чте-
нием и написанием документации.
Все мы знаем, что память человека
обладает избирательностью и имеет
свойство убирать «на дальнюю полку»
неиспользуемые в данный момент зна-

40

Рисунок 1. Пример внешнего вида личного пространства
ния. Количество же таких знаний на-
прямую зависит от вашего опыта ра-
боты и размера серверного парка ва-
шей компании.
По своему опыту могу сказать,
что пара десятков грамотно написан-
ных (собственноручно) документов
по настройке «типовых» решений –
сильно облегчают жизнь и навсегда
избавляют от мучительных воспоми-
наний. Больше нет раздумий о том,
что же я на этот раз забыл куда про-
писать и какой нюанс, встретивший-
ся когда-то, никак не может всплыть
из глубин моей памяти. Не стану от-
рицать, наверное, существуют су-
пер-профессионалы, которые помнят
всё и всегда, но мне такие не известны.
Гуру, с которыми мне приходилось об-
щаться, нет-нет да и говорили в ответ
на вопрос «Что-то такое было... Я точ-
но не помню».
К чему я всё это? А к тому, что при-
вычку писать (хотя бы даже для себя)
документацию о настройке сервисов,
в которых столкнулись с проблемами,
о встретившихся тонкостях и особен-
ностях – можно смело назвать весьма
полезной привычкой и крайне необхо-
димой практикой. Это логическое про-
должение привычки многих людей –
записывать в КПК, документы и дру-
гие менее удобные для поиска инфор-
мации источники.
Что такое NPJ
Для разработки документации из на-
иболее удобных инструментов мож-
№11, ноябрь 2005
администрирование
разработка и сбор документации, мо-
гу привести npj.akeeper.ru. Учитывая
весьма продвинутые средства поис-
ка по узлу NPJ – это крайне удобный
инструмент.
Суть удобств:
Установка и настройка, как прави-
ло, занимает 5-10 минут.
Гибкость архитектуры позволяет
создавать на вашем узле практи-
чески всё что угодно – от баналь-
ного блога (есть ресурс, где NPJ
используется для ведения личных
дневников livejournal) до серьёзного
ресурса по разработке, представ-
лению и ведению проекта.
Сквозная авторизация на узлах
других систем (о ней чуть ниже)
позволяет вам принимать участие
в работе на любых узлах, подклю-
чённых к общей сети NPJ-узлов.
но выделить «НетПроектЖурнал» На одном узле может быть создано
или просто NPJ. Он построен на при- сколь угодно много рабочих групп,
нципах работы любого Open Source- каждой из которых допустимо за-
проекта. Люди объединяются в со- ниматься своим независимым про-
общества (рабочие группы) и рабо- ектом.
тают над какой-либо документаци- Рабочие группы могут быть публич-
ей. Для примера ведения проекта мо- ные, премодерируемые, скрытые.
гу привести весьма простой, но от то- Любая страница внутри узла мо-
го не менее удобный биллинг «cake» жет выступать в любом качест-
(http://npj.ru/cake). В данном случае ве – от обычного документа, до
сайт проекта является и его главной формы форума (об этом тоже чуть
страницей, и местом разработки до- позже).
кументации, и местом поддержки Помимо участия в рабочих группах
проекта, так как NPJ – гибкий инс- пользователь узла всегда имеет
трумент и фактически может высту- собственный личный журнал и воз-
пать в любом качестве. Для приме- можность создания своих докумен-
ра ресурса, основная цель которого тов.
Рисунок 2. Начинать творить можно отсюда
41
 администрирование
Гибкость настройки системы прав стройках. Механизм работы этой сис- хотите разместить в документе или где-
позволяет определить, кто, к чему, темы довольно прост – при заходе то ещё ссылку на файл, то для разме-
какой будет иметь доступ. (Это ка- на любую гостевую NPJ система на- щения этого файла на сервере вам
сается как документов и записей ра- ходит куки-файл от родного (для вас) придётся воспользоваться помощью
бочей группы, так и документов с за- хоста и запрашивает у него вашу ав- других сервисов.
писями любого пользователя. Толь- торизацию. Если ваш хост авториза- Ещё одна деталь, на которую хо-
ко вы решаете, с каким доступом со- цию подтверждает, то на гостевом уз- телось бы обратить ваше внимание.
здаете запись или документ.) ле вы будете представлены под име- NPJ написан c применением концеп-
Несколько способов представле- нем yournick@yourhost, и вся ваша де- ций ООП, а следовательно, добавле-
ния индекса и разбиения по кате- ятельность перестаёт быть анонимной. ние функциональности не составля-
гориям всей документации рабочей Почему это важно? ет особого труда. Например, в мою
группы. Благодаря авторизованной та- NPJ-систему были внесены необхо-
Легкость поиска по всему узлу. ким образом деятельности вы може- димые изменения, которые позво-
В узле, при условии соответствую- те подписаться на уведомления с раз- лили использовать одну общую базу
щей настройки доступа, комменти- ных узлов. Это одна из самых полез- пользователей как для этой системы,
ровать можно всё, а получать ком- ных функций NPJ. Можно получать уве- так и для phpbb2 форума. Это оказа-
ментарии и отвечать на них можно домления о: лось весьма удобно, а реализация не
прямо из вашего почтового кли- Создании новых документов. В том заняла и двух дней.
ента. (Больше никаких идиотских числе, получать в письме весь но-
писем: «Появился новый коммен- вый документ, со всей разметкой. Как NPJ выглядит
тарий, на который вы подписаны. Изменениях в существующих доку- и работает
Пройдите по ссылке, чтобы его уви- ментах. Для установки NPJ-узла не требуется
деть» – забудьте! Жить стало зна- Анонсах на узлах (о создании но- неординарных усилий. Всё происхо-
чительно проще и удобнее.) вых групп, сообществ, разрабо- дит гладко, и система встаёт, что на-
При разработке документации ток). зывается, из коробки. На сайте про-
ведётся история её изменения, ко- Новых комментариях к записям, екта (http://www.npj.ru) содержится де-
торую всегда можно просмотреть в том числе отвечать на эти ком- тальная информация по установке,
и точно узнать, какие правки и до- ментарии прямо из вашей люби- и там же можно всегда скачать пос-
бавления были произведены. Бо- мой почтовой программы. леднюю версию системы. Начать ра-
лее того, всегда можно вернуться Прочие уведомления. боту лучше всего с изучения страницы
к одной из сохранённых версий до- http://npj.ru/npjdev/release. Для работы
кумента. Особого внимания заслуживает то, NPJ необходимы: Apache (возможно,
Документ можно анонсировать что любая страница журнала может вы- он так же будет работать и с другими
по рабочим группам, сообщив та- ступать в совершенно разных качест- веб-серверами), MySQL, а также PHP.
ким образом о его существовании. вах. Для пояснения необходимо немно- На сайте проекта нет информации
Есть возможность создать дайд- го рассказать об архитектуре этой сис- о минимально необходимой конфигу-
жест. темы. Суть архитектуры «НетПроект- рации компьютера для установки. Од-
Благодаря Wiki-разметке, писать Журнал» можно было бы охарактери- нако я устанавливал NPJ на Linux-ма-
документы не просто, а очень прос- зовать как «вот вам пластилин, что на шины следующей конфигурации (PIII,
то. И крайне приятно. ум пришло, то и лепите». Это значит, 256 Мб RAM, 10 Гб HDD) и никаких про-
Интерфейс для каждой группы, что каждая страница доступна для ре- блем в работе не замечал.
пользователя настраивается инди- дактирования и может как содержать Я не буду описывать процесс кон-
видуально. информацию в самой себе, так и яв- фигурирования нового узла, так как
Возможность прямо с центральной ляться (например) оглавлением для уже выше было сказано – исчерпыва-
страницы увидеть все документы, раздела. Вы можете создать ссылку ющая информация находится на сай-
изменения в документах всех поль- в теле страницы на объект, который те разработчиков (который пред-
зователей, ленту всех пользовате- не существует. А сразу после сохра- ставляет из себя такой же NPJ-узел).
лей, ленту всех анонсов, список нения созданной страницы можно пе- Единственное, обращу ваше внимание
изменений в дайджестах и так да- рейти на эту ссылку и тут же создать на две настройки. Если вы хотите полу-
лее. документ, который будет по ней рас- чать уведомления на почту, то придёт-
Поддержка RSS. полагаться. И только вам решать, бу- ся создать почтовый аккаунт для NPJ
Есть багтрекер. дет это документом или очередным ог- и обеспечить
лавлением, каталогом, индексом, гос- к нему pop3-
Выше я упоминал сквозную авто- тевой книгой или чем-то ещё. д о с т у п. Н а -
ризацию на разных узлах. Дело в том, Потенциальный «минус», кото- стройки для
что каждый узел «НетПроектЖурна- рый довольно скоро бросается в гла- э т о г о п р о -
ла» имеет возможность войти в объ- за, – отсутствие возможности загруз- п и с ы в а ю т -
единённую общую сеть. Это произ- ки на сервер узла файлов через веб- с я в ф а й л е Рисунок 3. Типичное
оформление главной
водится нажатием пары ссылок в на- интерфейс. Другими словами, если вы config_tunes. страницы узла

42
 администрирование
php. И если вы хотите прини- в своём личном пространстве.
мать участие в работе на дру- Для сведения, рабочая группа
гих узлах с теми приятными может существовать в скры-
мелочами, что были описаны том виде для единственно-
выше, включите интеграцию го пользователя. Это весьма
вашего узла в общую сеть. полезно, когда ваш узел пуб-
Это делается двумя кликами личный и на нём присутству-
на странице администриро- ет много людей, а вы по каким-
вания – http://npj.example.ru/ то причинам не хотите разгла-
manage/nns. шать информацию, с которой
После установки в ва- работаете. (Я это использо-
шем распоряжении будет од- вал для ведения докумен-
на группа, по умолчанию на- тации на всю сеть компании
зывающаяся node@имяузла, на своём узле, который досту-
а также личная область, до- пен всему Интернету.)
ступная всем пользователям Рабочие группы на узлах
(см. рис. 1). NPJ – это фактически разгра-
Вы можете выбрать не- ничение прав между пользо-
Рисунок 4. Рассматриваем группы более внимательно
сколько вариантов оформ- вателями узла. Они существу-
ления узла для вас, а также умолча- и использовали исключительно в лич- ют для определения политики выдачи
ния для тех пользователей, которые ных целях. (отображения) информации, с которой
не сделали собственных предустано- Как только вы увидите всё это бо- работают члены группы, а также для
вок. Первое делается в настройках гатство, возникнет вопрос – как же определения прав доступа каждого
вашего профиля, а второе, соответс- всем этим пользоваться. К сожалению члена. Группы могут быть публичными,
твенно, в настройках узла. По умол- или к счастью, NPJ имеет достаточно премодерируемыми, а также, как уже
чанию выставлен стиль «simplifica», но высокий «уровень вхождения», поэто- упоминалось, скрытыми.
многие предпочитают более аскетич- му на первых порах у пользователей Члены групп могут обладать раз-
ный стиль «academic». Мне, правда, не возникает множество вопросов о спо- ными правами, от читательских до ме-
нравится ни тот, ни другой, так как их собах взаимодействия с узлом. Здесь неджерских (администраторских). Ра-
функциональность для меня не под- на помощь приходит выражение, ко- зумеется, в пределах своих групп. Ес-
ходит. Я использую «minikui», который торое уже прозвучало выше, – каждая ли пользователь является менеджером
вы можете видеть на рис. 1. Его основ- страница узла – это «пластилин», из ко- пусть даже основной рабочей группы
ное преимущество – удобство в быс- торого вы можете «лепить» что угод- node@имяузла – это не означает, что
тром доступе к множеству функций но. Для того, чтобы понять, о чем я го- он становится администратором узла.
и свойств страницы. Например, к свое- ворю, просто кликните дважды на лю- Если вы создали рабочую груп-
му стыду, я так и не понял, как в стиле бой странице узла. Например, на цен- пу (или же решили использовать
«academic» добиться быстрого и удоб- тральной. И если вы обладаете адми- уже существующую), то можете сра-
ного (а главное постоянного, вне зави- нистраторскими правами – получите зу приступить к оформлению и на-
симости от просматриваемой страни- окно для редактирования страницы полнению её материалами. Для это-
цы) доступа к поиску. (см. рис. 2). го достаточно зайти на страницу груп-
Есть и другие причины заглянуть Начиная с этого момента вы може- пы, которая, как правило, выглядит
в пользовательские настройки. Напри- те как угодно до неузнаваемости из- http://имяузла/имярабгруппы и точно
мер, там есть выбор между использо- менить главную страницу вашего уз- так же, как на центральной странице,
ванием вики/вака разметки и более на- ла. Воспользуйтесь ссылкой на опи- кликнуть на ней дважды. Откроется
глядного редактора в стиле MS Word. сание различных тегов и разметки – уже знакомое окно редактирования.
В личной области вы можете вес- http://www.npj.ru/node/chastyevoprosy/ Оформление первой страницы ра-
ти свой дневник (как тот же livejournal) zapisizhurnala/wikisintaksis. Есть непи- бочей группы может состоять из рубри-
и, например, таким образом протоко- саные стандарты оформления главной катора материалов, алфавитного спис-
лировать для себя разработки на узле. страницы. Однако следовать им вов- ка и т. п. Причем для использования,
Там же у вас есть возможность созда- се не обязательно. Вы можете пос- например, рубрикатора, вам потребу-
вать собственные документы, не при- мотреть, как могут выглядеть заглав-
вязанные ни к какой рабочей груп- ные страницы просто попутешество-
пе. Строго говоря, рабочие группы во- вав по разным узлам.
обще не обязательный атрибут, если Когда с центральной страницей бу-
узел создавался не с целью обеспе- дет покончено, в зависимости от то-
чения какого-либо проекта, которым го, собираетесь ли вы заводить ра-
занимаются много людей. Мне извес- бочую группу или нет, – можете прой-
тно немало случаев, когда NPJ стави- ти в редактирование рабочих групп
ли на собственной локальной машине или же просто приступить к работе Рисунок 5. Начинаем мять «пластилин»

№11, ноябрь 2005 43

 администрирование
Рисунок 6. Две инкарнации одинаковых страниц
Рисунок 7. Структура рабочей группы «Город-Инфо»
ется только добавить код на страницу,
рубрики будут отображаться автома-
тически. (Разумеется, если при вводе
документов, вы будете учитывать не-
обходимость указания рубрики для до-
кумента.)
Для пробы описанных выше воз-
можностей давайте создадим на стра-
нице новой рабочей группы ссылку
на два объекта. Допустим, что первая
ссылка будет документом, а вторая –
оглавлением (см. рис. 5).
После сохранения мы увидим под-
чёркнутые пунктиром наши ссыл-
ки и знак вопроса в конце. При клике
на этот знак вопроса нам будет пред-
ложено создать не существующий по-
ка объект.
Теперь заполним первую страницу
текстом, а на второй сделаем оглавле-
ние (см. рис. 6).
Как вы видите, от того, что страни-
цы нами предназначались для разных
целей, – суть их не изменилась. Мы мо-
жем в первый документ добавить ог-
лавление какого-нибудь нового раз-
дела. А можем, наоборот, на второй
созданной странице написать текст
и разместить (к примеру) картинку.
В любой момент вы можете про-
смотреть код практически любой стра-
ницы (причем необязательно только
вашего узла). Для этого достаточно на-
брать http://npj.example.ru/page/source,
и вы получите указанную страницу
в wiki-разметке.
Надеюсь, теперь вы поняли, что
каждая страница NPJ-узла – это шаб-
лон, в котором может находиться всё,
что вам заблагорассудится. Фактичес-
ки это можно представить как кучу html-
файлов, которые между собой увяза-
ны так, как вы сами посчитали необхо-
44
димым. От обычных html-текстов их от-
личает только удобство использова-
ния, удобство редактирования и про-
чие «полезности», что уже были озву-
чены выше.
Использование NPJ
в работе
Какую конкретно документацию вес-
ти в NPJ, решать вам. От себя я мо-
гу поделиться той схемой, благодаря
которой у меня навсегда исчезла про-
блема ответа на вопрос (начальству
или самому себе), что где находится
и как оно работает. Эта схема исполь-
зовалась в компании «Город-Инфо»
(см. рис. 7).
Как видно из рисунка, фактически
все области работы службы системных
администраторов компании здесь ос-
вещены. Разумеется, часть информа-
ции не отображена на схеме и вклю-
чена в пункты «прочее», но и того,
что отображено, более чем достаточ-
но для понимания. Стрелками отобра-
жены ссылки между разделами. Мно-
жество перекрёстных ссылок нахо-
дится и внутри документов, но отоб-
разить это на схеме не представляет-
ся возможным.
Там же системными администра-
торами компании велась разработка
документации, которая впоследствии
предоставлялась клиентам и заказчи-
кам. NPJ позволяла не только вместе
выполнять такие работы, но и отслежи-
вать изменения в документе. А также
предоставляла площадь для дебатов
по поводу внесения тех или иных из-
менений. Впоследствии там же долж-
на была начаться разработка целого
пакета документации, так как именно
это средство было признано наиболее
подходящим для проведения такой ра-
боты (разработка с участием геогра-
фически сильно удалённых пользо-
вателей), но к тому времени я поки-
нул компанию.
Не буду рассказывать, как нам по-
могала в работе документация, состав-
ленная в NPJ весьма помагала в ра-
боте. Мы забыли, что такое «гадать»
или в чем-то сомневаться. Просто от-
крываешь браузер, и вся детальная ин-
формация перед глазами.
Выводы
Способов применения в работе узла
NPJ ровно столько, сколько вы смо-
жете придумать. Может быть, вы пред-
почтёте записывать в собственный
журнал интересные находки «на бу-
дущее», а в документах сохранять,
к примеру, особо удачные конфигура-
ционные файлы или же их описание.
Может быть, вы создадите отдельную
рабочую группу, где будете вести всю
документацию по своей сети. А может,
вы посвятите свой узел поддержке ка-
кого-либо проекта, разработкой кото-
рого в данный момент занимаетесь
или только планируете заняться.
Многие тонкости работы NPJ оста-
лись за рамками статьи. Причин для
этого несколько. Во-первых, несмот-
ря на то, что я давно пользуюсь этой
системой, для меня ещё не все тон-
кости раскрыты. Во-вторых, многое
из оставленного за рамками статьи от-
носится к редко используемому, и да-
леко не всем будет интересно. Напри-
мер, работа с «Сообществами», внут-
ри которых создавать документы не-
льзя. Эта такая дискуссионная форма,
но применения ей я не нашёл, поэто-
му в своём рассказе пропустил. А са-
мую сложную проблему в использо-
вании NPJ, понимание, как это рабо-
тает, хочется надеяться, я помог вам
разрешить.
Одно могу сказать вам точно, пос-
ле того, как привыкаешь пользоваться
в работе таким удобным инструментом,
он становится незаменимым помощни-
ком. И это неудивительно. Вы не тра-
тите время на поиск места для сохра-
нения мыслей или целого докумен-
та, не мучаетесь с построением кра-
сивой структуры, не страдаете от не-
корректно работающего поиска, кото-
рый никак не хочет выдать требуемое –
вы просто делаете свою работу.
 администрирование
Развертываем сервер Subversion
на платформе FreeBSD
Андрей Шетухин,
Шетухин,
Ольга Никулина
Прогресс в области разработки систем контроля версий не стоит на месте. Представляем вам
Subversion – современную замену устаревшей системы CVS.
Что такое Subversion?
Если коротко, Subversion – это сво-
бодно распространяемая система
контроля версий, призванная заме-
нить собой устаревшую систему CVS.
Subversion используется такими про-
граммистскими коллективами, как ко-
манда разработчиков компиляторов
GNU, KDE Development Team, разработ-
чиками СУБД Ingres, Apache Software
Foundation, Samba и многими, многими
другими. Далеко не полный список про-
ектов, исходные коды которых хранятся
в Subversion, доступен по ссылке: http://
subversion.tigris.org/testimonials.htm.
CVS vs Subversion
Поскольку Subversion разрабатыва-
лась как продвинутая замена CVS, из-
начально ставилась задача: сохранить
всю привычную функциональность
при добавлении новых возможнос-
тей. Поэтому большинство широкоис-
пользуемых команд Subversion имеют
такой же синтаксис, как и CVS. Пере-
ход на Subversion несложен и не тре-
бует долгого привыкания.
Атомарное принятие изменений.
Поддержка атомарных коммитов
позволяет либо принимать весь из-
мененный код, либо не принимать
изменения вовсе, если транзакция
по каким-либо причинам (напри-
мер, из-за падения канала) не бы-
ла завершена. Subversion подде-
рживает такой режим работы и га-
рантирует, что репозиторий не бу-
дет содержать в себе несовмести-
мых данных – либо репозиторий
останется неизмененным, либо об-
новление будет полным.
Переименование, перенос и ко-
пирование файлов и каталогов
46
без потери версионирования
и истории изменений. В отличие
от CVS, которая требует вмеша-
тельства администратора серве-
ра и ручного копирования файлов,
Subversion изначально обладает та-
кой возможностью, а при установке
модуля SVN::Mirror, разработанно-
го Chia-Ling Kao, Subversion также
«обучается» клонировать данные
из текущего в произвольный уда-
ленный репозиторий.
Права доступа к репозиторию.
Вы можете назначать пользова-
телям права доступа к различным
частям репозитория, простым ре-
дактированием текстового конфи-
гурационного файла.
Комментарии к каждому изме-
ненному объекту. Теперь вы може-
те оставлять комментарий в журна-
ле коммита к любому измененному
вами файлу.
Простота развертывания сис-
темы. Для построения полноцен-
ной работоспособной системы
Subversion в большинстве случа-
ев необходим только веб-сервер
Apache2 и интерпретатор PHP, а ми-
нимальный набор утилит Subversion,
позволяющий работать по протоко-
лам SVN и SVN + SSH, вообще не
требует установки стороннего ПО.
Простота интеграции в сущест-
вующую инфраструктуру сети.
Доступ к репозиторию Subversion
может осуществляться по протоко-
лам HTTP, HTTPS, SVN, SVN+SSH,
из набора которых вы сможете лег-
ко выбрать наиболее подходящий
для заданной конфигурации сети.
Разнообразные веб-интерфейсы
для доступа к репозиторию. На те-
кущий момент доступно около де-
сятка программ для работы с репо-
зиторием SVN: ViewCVS, SVN::Web,
WebSVN, ViewSVN, mod_svn_view,
Chora, Trac, SVN::RaWeb::Ligh, SVN
Browser, Insurrection и т. д. В данной
статье мы рассмотрим настрой-
ку WebSVN как наиболее простого
и в то же время функционального
инструмента.
Кроме утилит командной строки,
доступны также графические ин-
терфейсы: кроссплатформенный
RapidSVN, TortoiseSVN – плагин
для MS Windows Explorer, а также –
Jsvn, написанный на Java и доступ-
ный везде, где есть Java-машина.
Ну и, наконец, лицензия. Subversion –
программное обеспечение с откры-
тым кодом и распространяется
по лицензии Apache/BSD-style.
Что входит в состав
пакета Subversion
svn – клиент Subversion. Представ-
ляет собой утилиту командной
строки, осуществляющую доступ
к репозиторию Subversion.
svnversion – программа, показы-
вающая состояние компонент те-
кущего репозитория.
svnlook – утилита для контроля ре-
позитария Subversion.
svnadmin – утилита для создания,
управления и восстановления ре-
позитария Subversion.
svndumpfilter – программа филь-
трации дампов репозитория
Subversion.
mod_dav_svn – модуль для веб-сер-
вера Apache2, предоставляющий
доступ в репозиторий Subversion
по протоколам HTTP и HTTPS.
 администрирование
svnserve – программа-сервер, запускающаяся как оди- либо:
ночный демон или из inetd и предоставляющая доступ
к репозиторию Subversion по протоколу SVN или SSH. # pw -V /usr/home/jails/svn/etc useradd admin -g 0 ↵
-d /usr/home/jails/svn/usr/home/admin -s /bin/csh ↵
-h 0 -m
План установки Subversion
Установка необходимого ПО. В этом разделе будут Для удобства работы присваиваем пользователю группу
описаны установка и запуск FreeBSD Jail, установка веб- 0 (wheel) и разрешаем в jail запуск sshd. В файл /usr/home/
сервера Apache 2.X, Subversion, PHP4 и WebSVN. jails/svn/etc/rc.conf добавляем строчку sshd_enable=”YES”
Создание сертификатов и конфигурация серверно- и запускаем jail командой /etc/rc.d/jail start. Если все сделано
го ПО. Здесь мы рассмотрим создание собственного са- правильно, команда jls(8) выведет примерно следующее:
моподписанного сертификата (Certificate Authority, CA),
создание сертификата сервера и создание клиентских # jls
сертификатов. JID IP Address Hostname Path
Настройка клиентов SVN на *nix и Windows. Этот раз- 1 XX.YY.XX.TT svn.reki.ru /usr/home/jails/svn

дел посвящен работе с Subversion на платформе *nix Заходим в jail по ssh, получаем права суперпользовате-
(Linux/FreeBSD/Solaris ), а также установке на Windows- ля, выкачиваем и разворачиваем архив дерева портов:
машину клиента TortoiseSVN.
# ssh XX.YY.XX.TT -l admin
# su - root
Создаем и устанавливаем Jail # cd /usr
Jail необходим для того, чтобы система контроля версий жи- # fetch ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports ↵
/ports.tar.gz
ла в собственном мире и никак не пересекалась с остальны- # tar -xzf ports.tar.gz
ми приложениями. Кроме того, используя jail, вы повышаете
общий уровень защищенности системы: если обнаружится Начиная с этого момента jail представляет собой пол-
уязвимость в пакетах Subversion, Apache или PHP, основная ноценную виртуальную машину, доступную для админис-
система не пострадает. Jail будет также полезен в том слу- трирования по ssh.
чае, если на основной системе установлен Apache 1.3.X.
Если для Subversion используется выделенный сервер, Устанавливаем веб-сервер Apache2
этот пункт можно смело пропустить. Для повышения общего уровня безопасности, будем ав-
Собираем jail. Обратите внимание, что на FreeBSD 5.3 торизовывать клиента через подписанный нами серти-
команда «make world DESTDIR=$D» из jail(8) не работает. фикат; поэтому нам следует воспользоваться опцией
Вместо нее следует воспользоваться командами: FakeBasicAuth. При входе клиента с выданным нами сер-
тификатом на сервер Apache произведет псевдоавториза-
make buildworld цию, основываясь на данных сертификата.
make installworld DESTDIR=$D
Надо отметить, что при подобной авторизации имя поль-
Итак, в нашем случае сборка jail будет выглядеть так: зователя выглядит как строка свойств сертификата. Соот-
ветственно при коммите через HTTPS имя пользователя бу-
# cd /usr/src дет не stellar, а /C=RU/ST=-/L=Moscow/O=Reki.ru/OU=SVN/
# mkdir -p /usr/home/jails/svn
# make buildworld CN=stellar/emailAddress=stellar@reki.ru. Понятно, что нали-
# make installworld DESTDIR=/usr/home/jails/svn чие в двух ипостасях одного и того же пользователя никого
# cd etc
# make distribution DESTDIR=/usr/home/jails/svn устроить не может и хорошим решением было бы взять в ка-
честве логина часть строки данных сертификата. Для этого
В файл /etc/rc.conf добавляем следующие строчки: в Apache предусмотрена директива SSLUserName и... увы
и ах, мир несовершенен: без исправлений кода mod_ssl оп-
jail _ enable="YES" # Включаем загрузку jail ции FakeBasicAuth и SSLUserName вместе не работают.
# Список всех jail, которые есть в системе
jail _ list="svn" К счастью, по URL http://reki.ru/products/subversion/patch-
# Запрещаем изменение hostname из jail server-ssl_engine_kernel.c, теперь доступен патч, исправля-
jail _ set _ hostname _ allow="NO"
# Разрешаем для jail обмен только по TCP/IP ющий это недоразумение.
jail _ socket _ unixiproute _ only="YES" Для сборки Apache с поддержкой FakeBasicAuth +
# Запрещаем SystemV IPC внутри jail
jail _ sysvipc _ allow="NO" SSLUserName надо скачать патч и положить его в каталог
/usr/ports/www/apache2/files. Если предполагается, что репо-
# Для jail с именем "svn"
jail _ svn _ rootdir="/usr/home/jails/svn" # Каталог jail зиторий Subversion будет храниться в BerkeleyDB, нам так-
jail _ svn _ hostname="svn.reki.ru" # Имя хоста jail же будет необходимо включить поддержку BerkeleyDB
jail _ svn _ ip="XX.YY.XX.TT" # IP адрес
jail _ svn _ exec="/bin/sh /etc/rc" # Скрипт инициализации для Apache.
jail _ svn _ devfs _ enable="YES" # Монтировать devfs в jail Итак, устанавливаем необходимые переменные окру-
жения и запускаем установку Apache.
Добавляем пользователя, под которым мы будем захо-
дить в jail. Для этого можно воспользоваться командой: # cd /usr/ports/www/apache2
# setenv WITH _ BERKELEYDB db42
# cd files
# vipw -d /usr/home/jails/svn/etc # fetch http://reki.ru/products/subversion ↵

№11, ноябрь 2005 47

 администрирование
/patch-server-ssl _ engine _ kernel.c
# cd ../
# make install clean
Устанавливаем систему контроля версий
Subversion
Поскольку предполагается, что доступ к SVN будет осущест-
вляться по протоколу HTTPS, нам следует установить мо-
дуль mod_dav_svn. По умолчанию репозиторий SVN созда-
ется в каталоге /home/svn/repos.
# cd /usr/ports/devel/subversion
# setenv WITH _ MOD _ DAV _ SVN yes
# setenv WITH _ APACHE2 _ APR yes
# make install clean
Если требуется подсветка синтаксиса исходных фай-
лов, устанавливаем программу enscript. В этом случае
в файле конфигурации WebSVN следует включить под-
дежку enscript.
# cd /usr/ports/print/enscript-a4
# make install clean
Устанавливаем PHP4
PHP4 нам понадобится для WebSVN – веб-фронтэнда репо-
зитория. Для работы WebSVN необходимо установить рас-
ширения PHP для поддержки zlib и pcre.
# cd /usr/ports/lang/php4
# make install clean
# cd /usr/ports/lang/php4-extensions
# make install clean
Устанавливаем и настраиваем WebSVN
По умолчанию WebSVN устанавливается в /usr/local/www/
data/WebSVN. Для наших целей придется скопировать его
содержимое в каталог /usr/home/www/svn/svn.reki.ru/www.
# cd /usr/ports/devel/websvn
# make install clean
# mkdir -p /usr/home/www/svn/svn.reki.ru/www
# mkdir -p /var/log/apache/www/svn.reki.ru
# cp -r /usr/local/www/data/WebSVN ↵
/usr/home/www/svn/svn.reki.ru/www
// Правим файл конфигурации фронтэнда
# vi /usr/home/www/svn/svn.reki.ru/www/include/config.inc
Примерный вид файла конфигурации следующий:
// Указываем пути к программам svn, diff, sed, tar и gzip
$config->setSVNCommandPath("/usr/local/bin");
$config->setDiffPath("/usr/bin");
$config->setSedPath("/usr/bin");
$config->setTarPath("/usr/bin");
$config->setGZipPath("/usr/bin");
// Перечисляем все те репозитории, которые должны быть
// доступны через фронтэнд
$config->addRepository("Example Repository #1", ↵
"/usr/home/svn/example");
$config->addRepository(«Example Repository #2", ↵
"/usr/home/svn/example2");
// Язык веб-интерфейса
include("languages/russian.inc");
// Кодировки веб-интерфейса
$config->setInputEncoding("windows-1251");
$config->setOutputEncoding("windows-1251");
// Включить кэширование данных для фронтэнда
$config->setCachingOn();
48
// Разрешить скачивание проекта в виде tar.gz-архива
$config->allowDownload();
// Включить подсветку синтаксиса программой enscript
$config->setEnscriptPath("/usr/local/bin");
$config->useEnscript();
Создаем сертификаты и конфигурируем
серверное ПО
Создаем собственный самоподписанный сертификат
(Certificate Authority, CA). Используя этот сертификат, мы бу-
дем подписывать сертификат сервера и все клиентские
сертификаты.
# openssl req -new -newkey rsa:1024 -x509 -days 3650 -nodes ↵
-out ca.crt -keyout ca.key -subj /C=RU/ST=- ↵
/L=Moscow/O=Reki.ru/OU=Certificate _ Issuer ↵
/CN=reki.ru/emailAddress=admin@reki.ru
Перечислим список команд:
req – запрос на создание нового сертификата.
-new – cоздание запроса на сертификат (Certificate Signing
Request, CSR).
-newkey rsa:1024 – длина RSA ключа сертификата.
-x509 – создание самоподписанного сертификата вмес-
то создания CSR.
-days 3650 – срок действия сертификата (10 лет). Это зна-
чение должно быть больше срока действия создаваемо-
го сертификата сервера и клиентских сертификатов.
-nodes – флаг, указывающий не шифровать ключ.
-out ca.crt – сертификат.
-keyout ca.key – закрытый ключ сертификата.
-subj – данные сертификата.
Строка subj имеет следующие поля:
С – код страны (Country). Двухбуквенная аббревиатура.
ST – название республики, региона или округа (State
Name).
L – название города/деревни (Locality Name).
O – организация (Organization Name).
OU – отдел организации (Organization Unit).
CN – имя. Для сервера – ServerName; для клиентского
сертификата – что угодно.
emailAddress – почтовый адрес администратора сервера.
Для создания серверного и клиентских сертификатов
вам понадобится либо воспользоваться стандартным фай-
лом конфигурации openssl.cnf, который, как правило, нахо-
дится в каталоге /etc/ssl, либо вручную создать собственный
файл конфигурации (название файла – ca.config):
[ca]
default _ ca = CA _ CLIENT
[CA _ CLIENT]
# Рабочий каталог для базы данных клиентских ключей
dir = ./db
# Каталог для новых сертификатов
certs = $dir/certs
# Каталог, куда будут складываться выписанные сертификаты
new _ certs _ dir = $dir/newcerts
# Индекс базы данных выписанных ключей
database = $dir/index.txt
# Номер текущего ключа
serial = $dir/serial
# Собственный самоподписанный сертификат CA
 администрирование
certificate = ./ca.crt ErrorLog /var/log/apache/www/svn.reki.ru/error _ log
# Закрытый ключ сертификата CA CustomLog /var/log/apache/www/svn.reki.ru/access _ log ↵
private _ key = ./ca.key "%t %h %{SSL _ PROTOCOL}x ↵
%{SSL _ CIPHER}x \"%r\" %b"
# Время, на которое выписывается клиентский сертификат
default _ days = 365 SSLEngine on

default _ crl _ days = 7 # Срок действия CRL SSLCipherSuite ↵

default _ md = md5 # Алгоритм подписи ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+ ↵
LOW:+SSLv2:+EXP:+eNULL
# Название секции политики
policy = policy _ anything SSLCertificateFile ↵
/usr/local/etc/apache2/ssl.crt/server.crt
[policy _ anything] SSLCertificateKeyFile ↵
# Разрешаем не указывать код страны /usr/local/etc/apache2/ssl.key/server.key
countryName = optional
# ------ // ------- название штата или округа SSLCACertificateFile ↵
stateOrProvinceName = optional /usr/local/etc/apache2/ssl.crt/ca.crt
# ------ // ------- название города/деревни
localityName = optional SSLVerifyClient require
# ------ // ------- название организации # Пускаем только тех пользователей, которые имеют
organizationName = optional # подписанные нами сертификаты
# ------ // ------- название отдела SSLVerifyDepth 1
organizationalUnitName = optional
# Обязательно указать имя. <Location />
commonName = supplied SSLVerifyClient require
# Почтовый адрес можно не указывать # Для совместной работы этих опций
emailAddress = optional SSLOptions +FakeBasicAuth
SSLUserName SSL _ CLIENT _ S _ DN _ CN # необходим патч
AuthName "SVN"
Создаем структуру каталогов, описанную в секции AuthType Basic
AuthUserFile ↵
[CA_CLIENT] /usr/home/www/svn/svn.reki.ru/.htpasswd _ ssl
require valid-user
# mkdir -p /usr/local/etc/crt </Location>
# cd /usr/local/etc/crt
// Создаем и редактируем файл конфигурации <Location /svn>
# vi ca.config DAV svn # Обработчик DAV - svn
# mkdir ./db # общий каталог для репизиториев
# mkdir ./db/certs SVNParentPath /usr/home/svn
# mkdir ./db/newcerts
# touch ./db/index.txt AuthzSVNAccessFile ↵
# echo "01" > ./db/serial /usr/home/www/svn/svn.reki.ru/.htauth _ svn

require valid-user
Создаем сертификат сервера: </Location>

SetEnvIf User-Agent «.*MSIE.*» nokeepalive ↵

# openssl req -new -newkey rsa:1024 -nodes ↵
-keyout server.key -out server.csr ↵
-subj /C=RU/ST=-/L=Moscow/O=Reki.ru/OU=SVN ↵
/CN=svn.reki.ru/emailAddress=svn@svn.reki.ru
Для сертификата сервера тег CN должен содержать
его ServerName. В данном случае – это svn.reki.ru.
Подписываем сертификат собственным CA:
# openssl ca -config ca.config -in server.csr ↵
-out server.crt -batch
Устанавливаем сертификаты:
# cp server.crt /usr/local/etc/apache2/ssl.crt/server.crt
# cp server.key /usr/local/etc/apache2/ssl.key/server.key
# cp ca.crt /usr/local/etc/apache2/ssl.crt/ca.crt
Конфигурируем веб-сервер. Создаем необходимую
структуру каталогов:
# mkdir -p /var/log/apache/www/svn.reki.ru
# mkdir -p /usr/home/www/svn/svn.reki.ru/www
В файл /usr/local/etc/apache2/ssl.conf прописываем кон-
фигурацию виртуального веб-сервера:
<VirtualHost *:443>
DocumentRoot /usr/home/www/svn/svn.reki.ru/www
ServerName svn.reki.ru:443
ServerAdmin admin@svn.reki.ru
ssl-unclean-shutdown downgrade-1.0 ↵
force-response-1.0
</VirtualHost>
Строчки, выделенные красным, указывает серверу,
что принимать соединение необходимо только для тех кли-
ентов, которые имеют «правильный», то есть выданный на-
ми сертификат. В строках, выделенных зеленым, мы ими-
тируем авторизацию по паролю. Это необходимо для того,
чтобы разрешить доступ к репозиторию SVN только тем
пользователям, которым выдан личный сертификат SSL.
Для этого мы указываем «файл паролей», находящийся
по адресу: /usr/home/www/svn/svn.reki.ru/.htpasswd_ssl. Его
содержимое состоит из строки CN (commonName), которую
мы задавали при создании пользовательского ключа, и ма-
гического заклинания «xxj31ZMTZzkVA», являющегося DES-
хэшем слова «password».
stellar:xxj31ZMTZzkVA
oniks:xxj31ZMTZzkVA
Заметим, что поскольку это не настоящая авторизация
(по-настоящему мы авторизуемся через сертификат), у всех
пользователей один и тот же пароль: «xxj31ZMTZzkVA»:
«password».
Синие строки указывают, какой путь будет использовать-
ся для https-доступа к SVN. Для нашего случая это https://
svn.reki.ru/svn. Ввиду того, что мы планируем использовать
Subversion для нескольких разных проектов одновременно,

№11, ноябрь 2005 49

 администрирование
нам потребуется при помощи директивы SVNParentPath ука- 33928 ?? SsJ 0:03.31 /usr/local/sbin/httpd -k start -DSSL
зать общий родительский каталог для всех репозиториев. 81260 ?? IJ 0:00.01 /usr/local/sbin/httpd -k start -DSSL
81261 ?? IJ 0:00.00 /usr/local/sbin/httpd -k start -DSSL
Все репозитории из каталога /usr/home/svn будут доступ- 81262 ?? IJ 0:00.00 /usr/local/sbin/httpd -k start -DSSL
ны как https://svn.reki.ru/svn/имя_репозитория. 81263 ?? IJ 0:00.00 /usr/local/sbin/httpd -k start -DSSL
Теперь нам остается только раздать пользователям пра- 81264
81271
??
??
IJ
IJ
0:00.00
0:00.01
/usr/local/sbin/httpd
/usr/local/sbin/httpd
-k
-k
start
start
-DSSL
-DSSL
ва доступа к проектам. Для этого используется директива
AuthzSVNAccessFile, указывающая файл с описанием прав На этот момент настройка сервера Subversion завер-
доступа к тому или иному репозиторию. шена.
Формат файла следующий:
Отправка информации о коммитах
# имя репозитория:/путь
[example:/]
по почте
# Имена пользователей = права доступа До и после каждого события (commit, lock, unlock) Subversion
stellar = rw выполняет так называемые скрипты-зацепки (hook-scripts).
oniks = rw
Они располагаются в каталоге имя_репозитория/hooks.
[example2:/] Скрипты, выполняющиеся до действия, имеют префикс
stellar = rw
oniks = r «pre-», а после – соответственно «post-». Так, скрипт, запус-
кающийся перед процессом коммита, будет иметь название
Пользователь stellar имеет полный доступ к репозито- «pre-commit», а скрипт, вызывающийся после завершения
риям example и example1, а пользователь oniks – полный до- процедуры коммита – «post-commit». Соответственно, поме-
ступ к example и право на чтение из example2. щая в эти скрипты вызов программы svnmailer, мы будем рас-
сылать информацию о проведенных в проекте изменениях.
Создаем репозитории Установка программы svnmailer не представляет слож-
Поскольку мы условились, что будем использовать ности:
Subversion для двух проектов с именами example и example2,
создаем два репозитория в каталоге /usr/home/svn: # cd /usr/ports/mail/svnmailer
# make install clean

# svnadmin create /usr/home/svn/example Для рассылки оповещений о проведенных коммитах,

# svnadmin create /usr/home/svn/example2
# chown -R www:www /usr/home/svn/ создаем в каталогах репозиториев файл hooks/post-commit
и добавляем в него строчки:
Структура проекта может быть произвольной, но об-
щепринято создавать три основных каталога: branches – #!/bin/sh
REPOS="$1"
для веток, tags – для тегов проекта и trunk – непосредс- REV="$2"
твенную рабочую область для коммитов. Чтобы каждый /usr/local/bin/svn-mailer --commit --repository ↵
"${REPOS}" --revision "${REV}" --config ↵
раз не делать одну и ту же работу, создаем шаблон проек- /usr/local/etc/svn/mailer.conf &
та с основными каталогами и импортируем его в создан-
ные репозитории: Создаем файл /usr/local/etc/svn/mailer.conf, содержащий
конфигурацию списка рассылки по проектам.
# svnadmin create /usr/home/svn/example
# mkdir -p /usr/local/share/svn/skel [example] # Имя репозитория
// Каталог с шаблоном репозитория for _ repos = .*/example
# cd /usr/local/share/svn/skel from _ addr = %(author)s
# mkdir branches tags trunk # Список рассылки
# svn import /usr/local/share/svn/skel/tree ↵ to _ addr = test-developersA@example.ru
file:///usr/home/svn/example -m "initial import" [examle2]
for _ repos = .*/example2
from _ addr = %(author)s
В дальнейшем можно создавать каталоги внутри проек- to _ addr = test-developersB@example.ru
та посредством команды «svn add», удалять их – командой
[maps] # Список подстановок
«svn delete». Права на каталоги репозиториев должны при- from _ addr = [authors] # Авторы
надлежать пользователю, от которого запущен Apache. to _ addr = [mailing-lists] # Подписчики
[authors]
В файл /etc/rc.conf добавляем строчки: oniks = nikulina@example.ru
stellar = stellar@example.ru
[mailing-lists]
apache2 _ enable="YES" oniks = nikulina@example.ru
apache2ssl _ enable="YES" stellar = stellar@example.ru
test-developersA = test-developersA@example.ru
и запускаем Apache: test-developersB = test-developersB@example.ru
test-developersC = test-developersC@example.ru
# /usr/local/etc/rc.d/apache2.sh start

Если все сделано правильно, команда ps(1) покажет не- Настройка клиентов SVN
что похожее на это: Создаем и подписываем клиентский сертификат. Рассмот-
рим создание клиентского сертификата на примере поль-
# ps axw | grep httpdvv зователя stellar.

50

# openssl req -new -newkey rsa:1024 -nodes ↵
-keyout stellar.key -out stellar.csr ↵
-subj /C=RU/ST=-/L=Moscow/O=Reki.ru ↵
/OU=SVN/CN=stellar/emailAddress=stellar@reki.ru
администрирование
Если импорт произведен успешно, при заходе на https://
svn.reki.ru появляется диалог выбора сертификата p12.

Generating a 1024 bit RSA private key

Проверка работы Subversion из *nix
.++++++ Для доступа к репозиторию используется утилита svn.
.....++++++ Ее синтаксис во многом повторяет синтаксис команды
writing new private key to 'stellar.key'
cvs. Например, чтобы получить список файлов, необхо-
Подписываем созданный сертификат. димо указать ключ list и через пробел – URL-репозитории
Subversion: svn list URL.
# openssl ca -config ca.config -in stellar.csr ↵ При первом запуске svn выдаст достаточно большое ко-
-out stellar.crt -batch
личество информации:
Using configuration from ca.config
DEBUG[load_index]: unique_subject = "yes" # svn list https://svn.reki.ru/svn/example/
Check that the request matches the signature
Signature ok Authentication realm: https://svn.reki.ru:443
The Subject’s Distinguished Name is as follows Client certificate filename: /usr/home/stellar/stellar.p12
countryName :PRINTABLE:'RU' Error validating server certificate for 'https://svn.reki.ru:443':
stateOrProvinceName :PRINTABLE:'-' - The certificate is not issued by a trusted authority.
localityName :PRINTABLE:'Moscow' Use the fingerprint to validate the certificate manually!
organizationName :PRINTABLE:'Reki.ru' Certificate information:
organizationalUnitName:PRINTABLE:'SVN' - Hostname: svn.reki.ru
commonName :PRINTABLE:'stellar' - Valid: from Sep 15 09:23:00 2005 GMT until Sep 13 09:23:00 2006 GMT
emailAddress :IA5STRING:'stellar@reki.ru' - Issuer: Certificate Issuer, Reki.ru, Moscow, -, RU
- Fingerprint: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Certificate is to be certified until Sep 15 14:57:05 2006 GMT (365 days)
(R)eject, accept (t)emporarily or accept (p)ermanently? p
branches/
Write out database with 1 new entries tags/
Data Base Updated
При следующих запусках svn количество выводимой
Подготавливаем сертификат для передачи пользовате- информации будет много меньшим:
лю. Для этого выполняем следующую команду:
# svn list https://svn.reki.ru/svn/example/
# openssl pkcs12 -export -in stellar.crt ↵ Authentication realm: https://svn.reki.ru:443
-inkey stellar.key -certfile ca.crt -out server.p12 ↵
-passout pass: Client certificate filename: /usr/home/stellar/stellar.p12
branches/
tags/
При необходимости можно защитить передаваемый
сертификат паролем, указав его в поле «-passout pass:па-
роль:». Сертификат готов к передаче клиенту. Проверка работы Subversion из Windows
Вносим сертификат в список авторизации на сервер. Для работы с Subversion из-под Windows лучше всего восполь-
Для этого в файл /usr/home/www/svn/svn.reki.ru/.htpasswd_ssl зоваться программой TortoiseSVN. Узнать больше об этой
добавляем строчку: программе можно на сайте http://tortoisesvn.tigris.org.
После установки TortoiseSVN в меню, вызываемом
stellar:xxj31ZMTZzkVA по правому клику мышки, будет доступен пункт «SVN
Checkout». При попытке первого checkout программа потре-
бует ввести URL репозитория и файл сертификата p12. От-
Настройка клиентов SVN на *nix сутствие ошибок во время checkout – признак того, что сис-
и Windows тема настроена правильно.
Рассмотрим настройку клиентов SVN на различных ОС.
Вы увидите насколько это легко. Также проверим работу Выводы
Subversion из-под этих ОС. Subversion – кроссплатформенный, легкий в настройке и об-
служивании инструмент, который позволит вашему большо-
Установка сертификатов в браузерах Firefox му коллективу вести распределенную разработку проектов
и Microsoft Internet Explorer со сложной иерархией каталогов. При этом гибкая систе-
Передаем полученный сертификат на машину клиента лю- ма прав доступа гарантирует безопасность и необходимую
бым известным защищенным способом. Это можно сделать, конфиденциальность данных и кода проекта.
воспользовавшись SSH или sFTP.
Для установки сертификата следует выполнить следу- Литература, ссылки:
ющие действия: 1. Subversion Book. Доступна в виде HTML, XML Docbook и PDF на ан-
Для Microsoft Internet Explorer: зайти в меню «Tools → глийском и русском языках – http://svnbook.red-bean.com.
Internet Options → Content → Certificates → Import» и вы- 2. Сравнение систем контроля версий. Довольно полное опи-
брать файл сертификата. сание семнадцати систем контроля версий, как коммер-
Для Mozilla Firefox – ненамного сложнее. Зайти в меню ческих, так и open source. Доступно на английском языке –
«Инструменты → Настройки → Сертификаты → Упоря- http://better-scm.berlios.de/comparison/comparison.html.
дочить сертификаты → Восстановить» и также выбрать 3. TortoiseSVN. FAQ и описание Windows-клиента Subversion –
файл сертификата. http://tortoisesvn.tigris.org.

№11, ноябрь 2005 51

 bugtraq
Переполнение кучи в системных
таймерах в Cisco IOS
Программа: Cisco IOS 10.x, Cisco IOS 11.x, Cisco IOS 12.x,
Cisco IOS R11.x, Cisco IOS R12.x.
Опасность: Высокая.
Описание: Уязвимость обнаружена в системных таймерах
на Cisco IOS. Злоумышленник может вызвать переполне-
ние кучи и выполнить произвольный код на целевой сис-
теме или произвести DoS-атаку.
URL производителя: www.cisco.com.
Решение: Установите исправление с сайта производите-
ля.
Множественные уязвимости в NetBSD
Программа: NetBSD 1.x.
Опасность: Высокая.
Описание: 1. Удаленное переполнение буфера в telnet-кли-
енте на различных платформах BSD.
2. Множественные уязвимости в CVS. Удаленный поль-
зователь может вызвать отказ в обслуживании или выпол-
нить произвольный код на целевой системе. Локальный
пользователь может повысить свои привилегии на сис-
теме.
3. Целочисленное переполнение в коде совместимос-
ти с FreeBSD может привести к повреждению динамичес-
кой памяти. Локальный пользователь может вызвать отказ
в обслуживании или выполнить произвольные код на сис-
теме с root-привилегиями.
4. Небезопасное создание временных файлов в ути-
лите imake во время генерации страниц помощи. Локаль-
ный пользователь может с помощью специально сформи-
рованной символической ссылки повысить свои привиле-
гии на системе.
5. Уязвимость в OpenSSL позволяет злоумышленнику
обойти некоторые ограничения безопасности.
6. Обход ограничений безопасности обнаружен в ntpd.
Приложение может быть запущено с некорректными груп-
повыми привилегиями.
7. Ошибка обнаружена в функции ptrace() при проверке
привилегий процесса перед присоединением к другим про-
цессам. Локальный пользователь может подключить suid-
процесс, который вызывает функцию exec() и произвести
дополнительные системные вызовы.
URL производителя: www.netbsd.org.
Решение: Установите исправления с сайта производите-
ля.
Отказ в обслуживании
в Serv-U FTP Server
Программа: Serv-U FTP Server версии до 6.1.0.4.
Опасность: Средняя.
Описание: Удаленный пользователь может послать спе-
циально сформированный пакет приложению и вызвать
отказ в обслуживании. Подробности уязвимости не сооб-
щаются.
URL производителя: www.serv-u.com.
Решение: Установите последнюю версию (6.1.0.4) с сай-
та производителя.
52
Множественные уязвимости в PHP
Программа: PHP 4.4.0 и более ранние версии, PHP 5.0.5
и более ранние версии.
Опасность: Средняя.
Описание: 1. Массив GLOBALS является недостаточно за-
щищенным. Удаленный пользователь может переопреде-
лить глобальные переменные с помощью multipart/form-data
POST-запроса со специально сформированным полем file
upload или посредством сценария, вызывающего функцию
extract() или import_request_variables(). Удачная эксплуата-
ция уязвимости требует, чтобы опция register_globals была
включена в конфигурационном файле PHP.
2. Обнаружена ошибка при обработке входных данных
в функции parse_str(), когда эта функция вызывается толь-
ко с одним параметром. Злоумышленник может отключить
memory_limit во время обработки входных данных в функ-
ции parse_str() путем отправки уязвимой функции большого
количества переменных. Функция parse_str() на время об-
работки входных данных включает опцию register_globals,
и если во время выполнения функции произойдет отключе-
ние memory_limit, то опция register_globals останется вклю-
ченной до перезагрузки веб-сервера.
3. Межсайтовый скриптинг возможен при обработке
входных данных в функции phpinfo(). Удаленный пользова-
тель может с помощью специально сформированного URL
выполнить произвольный HTML-сценарий в браузере жер-
твы в контексте безопасности уязвимого сайта.
4. Удаленный пользователь может обойти механизмы
безопасности «safe_mode» и «open_basedir» с помощью
модулей ext/curl и ext/gd.
5. Неопределенная ошибка при вызове функции
virtual() в Apache 2 может быть использована для обхо-
да ограничений безопасности директив «safe_mode»
и «open_basedir».
URL производителя: www.php.net.
Решение: Установите последнюю версию (4.4.1) с сайта
производителя.
Уязвимость форматной строки
в OpenVPN
Программа: OpenVPN версии до 2.0.3.
Опасность: Средняя.
Описание: Уязвимость форматной строки обнаружена
в функции foreign_option() в файле options.c при обработ-
ке входных данных. Удаленный пользователь, контроли-
рующий VPN-сервер, может выполнить произвольный код
на OpenVPN-клиенте. Для удачной эксплуатации уязвимос-
ти опция pull должна быть разрешена в конфигурационном
файле клиента.
Ошибка разыменования нулевого указателя обнаруже-
на при неудачном вызове функции accept() в OpenVPN-сер-
вере, работающем в TCP-режиме. Удаленный пользователь
может вызвать отказ в обслуживании приложения.
URL производителя: www.openvpn.net.
Решение: Установите последнюю версию (2.0.3) с сайта
производителя.
Составил Александр Антипов

Отказ в обслуживании в Sun Java JRE
Программа: Sun Java JRE 1.4.2_08, 1.4.2_09, и 1.5.0_05.
Опасность: Низкая.
Описание: Уязвимость существует в Sun Java Runtime
Environment при обработке сериализированных Java-объ-
ектов. Удаленный пользователь может аварийно завер-
шить работу Java Virtual Machine с помощью специально-
го приложения, десериализирующего объекты их недове-
ренных источников.
URL производителя: www.sun.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Небезопасный вызов функции
CreateProcess() у различных
производителей
Программа: RealPlayer 10.5. Kaspersky Anti-Virus for Windows сценарий в браузере жертвы в контексте безопасности
File Servers 5.0, iTunes 4.7.1.30, Microsoft Antispyware 1.0.509 уязвимого сайта.
(Beta 1), VMWare Workstation 5.0.0 build-13124.
Опасность: Средняя.
Описание: Microsoft Windows API использует функцию сценария usercp_register.php и может быть эксплуатиро-
CreateProcess() для создания нового процесса и его пер- вана посредством вставки произвольных выражений типа
вичной нити. Функция CreateProcessAsUser() выполняет та- «field=xxx» в запрос. Уязвимость существует при выключен-
кую же функцию, но позволяет процессу быть запущенным ной опции magic_quotes_gpc.
в контексте безопасности пользователя.
Функция CreateProcess() выглядит таким образом:
BOOL CreateProcess(
LPCTSTR lpПриложениеName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);
Переменная lpПриложениеName содержит имя испол-
няемого модуля. Если эта переменная содержит значение
NULL, то имя исполняемого модуля будет состоять из пер-
вого пробела и строки lpCommandLine. Например:
CreateProcess(
NULL,
c:\program files\sub dir\program.exe,
...
);
В приведенном примере строка будет интерпретирова-
на функцией следующим образом:
c:\program.exe files\sub dir\program name
c:\program files\sub.exe dir\program name
c:\program files\sub dir\program.exe
Итак, если приложение program.exe существует в кор-
невом каталоге диска C:\, то оно будет выполнено вместо
целевого приложения.
Этот случай поведения функции описан непосредствен-
но в документации API: http://msdn.microsoft.com/library/en-
us/dllproc/base/createprocessasuser.asp.
Для успешной эксплуатации уязвимости злоумышлен-
нику необходимо внедрить злонамеренный код в файл
C:\program.exe. Это может быть сделано с помощью соци-
альной инженерии или посредством других уязвимостей.
№11, ноябрь 2005
bugtraq
Успешная эксплуатация уязвимости позволит злоумыш-
леннику выполнить произвольный код на целевой систе-
ме с привилегиями пользователя, запустившего уязвимое
приложение.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Множественные уязвимости в phpBB
Программа: phpBB 2.0.17 и более ранние версии.
Опасность: Высокая.
Описание: 1. Межсайтовый скриптинг возможен из-за недо-
статочной обработки входных данных в параметре error_msg
сценария usercp_register.php, параметре forward_page сце-
нария login.php и параметре list_cat сценария search.php.
Удаленный пользователь может с помощью специально
сформированного URL выполнить произвольный HTML-
2. SQL-инъекция возможна из-за недостаточной обра-
ботки входных данных в параметре signature_bbcode_uid
3. Уязвимость обнаружена при обработке входных
данных в параметре signature_bbcode_uid сценария
usercp_register.php. Удаленный пользователь может изме-
нить значения, которые передаются в функцию preg_replace()
и выполнить произвольный PHP-код на целевой системе.
URL производителя: www.phpbb.com.
Решение: Установите последнюю версию (2.0.18) с сайта
производителя.
Обход ограничений безопасности
в SELinux unix_chkpwd
Программа: SELinux unix_chkpwd.
Опасность: Низкая.
Описание: Уязвимость обнаружена в SELinux. Локальный
пользователь может с помощью утилиты unix_chkpwd про-
извести перебор паролей к системным учетным записям.
Неудачные попытки входа в систему не логируются.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Переполнение буфера в VERITAS
NetBackup
Программа: VERITAS NetBackup Enterprise Server Server/
Client version 5.0 и 5.1.
Опасность: Средняя.
Описание: Уязвимость обнаружена в библиотеке, исполь-
зуемой vmd (Volume Manager Daemon). Удаленный пользо-
ватель может вызвать отказ в обслуживании, прервав про-
цесс резервного копирования или выполнить произвольный
код на целевой системе посредством vmd-демона.
URL производителя: www.symantec.com.
Решение: Установите исправление с сайта производите-
ля.
Составил Александр Антипов
53
 администрирование

Расширяем права доступа в Linux

с помощью ACL

Сергей Яремчук
Одноуровневой модели прав доступа пользователей, которая применяется в Linux
и во всех UNIX-подобных операционных системах, на сегодняшний день явно недостаточно.
Вам придётся очень постараться, чтобы правильно распределить права доступа к объекту.
Списки контроля доступа позволяют более гибко решить эту задачу.

евять бит плюс три специаль-
ных бита позволяют опреде-
лить права доступа к файлу
(чтение, запись, исполнение)
только для трех класов пользовате-
лей – владелец, группа и остальные.
Такой механизм в большинстве случа-
ев не пригоден для решения даже от-
носительно простых задач. Чтобы оп-
ределить доступ к какому-нибудь доку-
менту или ресурсу, пользователя обыч-
но включают в определенную груп-
пу. Все, кто входит в эту группу, име-
ют одинаковые права, т.е. использует-
ся принцип «всё или ничего». Списки
контроля доступа ACL (Access Control
Lists) позволяют установить права до-
ступа к файлам не только для вла-
дельца и группы, но и индивидуаль-
но для любого другого пользователя стоящее время известны две разра-
или группы, без каких-либо ограниче- ботки, реализующие списки контроля
ний по количеству устанавливаемых доступа для Linux, о которых сегодня
пользователей/групп. и поговорим.
Кроме того, технология ACL может
использоваться, например, для досту- Проект Linux Extended
па к SUID-файлам, определяя пользо- Attributes and ACLs
вателей, которым действительно не- Этот проект [1] предоставляет пат-
обходим запуск таких файлов. Опера- чи к ядрам версий 2.4 (ext2, ext3, nfs)
ционные системы Windows на ядре NT и 2.6 (nfs), реализующие расширен-
и Novell Netware изначально поддержи- ные атрибуты (EA – Extended Attributes)
вают более гибкий механизм доступа и POSIX ACL, а также библиотеки
к файлу. В мир Linux эта технология и инструменты для работы с ними.
пришла относительно недавно (в ядре Напомню, что ядра версии 2.6 уже
поддержка ACL появилась с версии 2.5, поддерживают ACL для ext2, ext3, jfs
хотя патчи были доступны еще с вер- и xfs, поэтому необходимости в ис-
сий 2.2.12), и сейчас она реализована пользовании патча для этих файловых
для основных файловых систем ext2, систем нет, хотя на сайте можно полу-
ext3, XFS, ReiserFS, JFS и NFS. В на- чить ссылки на все текущие исправле-

54

ния. Для ядра 2.4 доступен комбинированный патч, включа-
ющий все необходимые компоненты (ea+acl+nfsacl+sec), ли-
бо можно устанавливать каждый патч отдельно. Для вклю-
чения ACL при конфигурировании ядра необходимо
в «File System» активировать пункт «Extended Attributes»
и затем «POSIX Access Control Lists» выбранной файловой
системы (см. рис. 1).
Для тех, кто редактирует конфигурационный файл вруч-
ную, список параметров выглядит так:
# grep 'XATTR\|POSIX _ ACL' /usr/src/linux/.config
CONFIG _ EXT2 _ FS _ XATTR=y
CONFIG _ EXT2 _ FS _ POSIX _ ACL=y
CONFIG _ EXT3 _ FS _ XATTR=y
CONFIG _ EXT3 _ FS _ POSIX _ ACL=y
CONFIG _ REISERFS _ FS _ XATTR=y
CONFIG _ REISERFS _ FS _ POSIX _ ACL=y
CONFIG _ FS _ POSIX _ ACL=y
CONFIG _ XFS _ POSIX _ ACL=y
# CONFIG _ DEVPTS _ FS _ XATTR is not set
# CONFIG _ TMPFS _ XATTR is not set
# CONFIG _ CIFS _ XATTR is not set
После того как ядро перекомпилировано, можно при-
ступать к работе.
Работа Linux ACLs базируется на использовании EA
для хранения данных о правах пользователей и групп
на файлы. Расширенные атрибуты представляют собой
произвольные пары имя/значение, которые навсегда при-
вязаны к определенному inode (файлу, каталогу, устройс-
тву и пр.), подобно тому как строка запуска связана с про-
цессом. EA могут быть использованы для загрузки систем-
ных объектов, обеспечивающих, например, дополнитель-
ные характеристики безопасности, ACL или объектов поль-
зователя, а также типа MIME, кодировки и прочего. Подроб-
ности смотрите в man attr(5).
Пользователи ALTLinux могут получить необходимые
утилиты, использовав apt-get.
# apt-get install acl attr
Мне неизвестно другое применение EA, кроме ACL
(ну разве метки каталогу присваивать), поэтому перейдем
непосредственно к теме статьи.
Для создания EA используется утилита setfattr, получить
информацию об EA можно, использовав getfattr из комплек-
та сoreutils (ранее fileutils). Но перед тем как начать рабо-
тать, необходимо перемонтировать дисковый раздел, доба-
вив опцию acl и/или user_xattr (по умолчанию раздел мон-
тируется с опциями noacl и nouser_xattr.).
# mount /home -o remount,acl
Соответственно, для того чтобы использовать ACL
при загрузке, запись в /etc/fstab будет выглядеть прибли-
зительно так:
/dev/hda5 /home reiserfs defaults,acl 1 1 # setfacl -m m::rx file
Переходим в смонтированный раздел, создаем ката-
лог и устанавливаем право на чтение/запись пользователю
sergej и группе sales на чтение/запись/выполнение (напом-
№11, ноябрь 2005
администрирование
Рисунок 1. Для включения POSIX ACL необходимо отметить
при конфигурировании ядра соответствующие пункты
ню, выполнение для каталога означает получение списка
файлов). Опция -m (--modify) означает модификацию раз-
решений. В случае если нужно сразу установить несколько
разрешений, то перечисляем их через запятую.
# mkdir test _ acl
# setfacl -dm user:sergej:rw,group:sales:rwx test _ acl
Смотрим, что получилось.
# getfacl test _ acl
# file: test_acl
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:sergej:rw-
default:group::r-x
default:group: sales: rwx
default:mask::rwx
default:other::r-x
В результате получим информацию о пользователе-вла-
дельце и группе-владельце. Строки user, group и other явля-
ются базовыми данными и соответствуют стандартным пра-
вам доступа. Аналогичные строки, начинающиеся с default,
соответствуют значению по умолчанию ACL для каталога
(указываются с помощью опции -d), при создании ново-
го подкаталога или файла внутри этого каталога этот па-
раметр наследуется. Естественно, файлы не могут иметь
по умолчанию ACL, только каталоги, поэтому такая коман-
да будет завершена с ошибкой.
# setfacl -dm u:sergej:rw test _ file
setfacl: test_file: Only directories can have default ACLs
Строка default:mask показывает маску эффективных
прав, которую не могут превысить пользователь или груп-
па. Используя маску, можно задать общие права для всех
пользователей и групп, например:
Как видите, для пользователя sergej и группы sales уста-
новлены отличные от всех остальных права. При этом, ес-
ли вы попытаетесь установить параметры для несущест-
55
 администрирование
вующего пользователя или группы, утилита завершит вы- # mv test _ acl work
# getfacl work/test _ acl
полнение с ошибкой.
Кстати, установить новые разрешения в файловой сис- # file: work/test_acl
теме, смонтированной без опции ACL, не получится. # owner: root
# group: root
user::rwx
# setfacl -dm u:sergej:rw /home/sergej/acl group::r-x
other::r-x
setfacl: /home/sergej/acl: Operation not supported
default:user::rwx
default:user:sergej:rw-
Проверим наследование атрибутов. default:group::r-x
default:group: sales: rwx
default:mask::rwx
# mkdir test _ acl/subdir default:other::r-x
# getfacl test _ acl/subdir

И в качестве вывода получим: Все атрибуты на месте, т.е. команда mv перемещает

файлы вместе с привязанными к ним списками контроля
# file: test_acl/subdir
# owner: root
доступа. Теперь переместим тестовый каталог в раздел
# group: root смонтированный без ACL и проверим разрешения:
user::rwx
group::r-x
# mv test _ acl /home/sergej/
other::r-x # getfacl /home/sergej/test _ acl
default:user::rwx
default:user:sergej:rw- # file: home/sergej/test_acl
default:group::r-x # owner: root
default:group: sales: rwx # group: root
default:mask::rwx user::rwx
default:other::r-x group::r-x
other::r-x
Теперь пробуем создать файл в каталоге:
Из увиденного можно сделать однозначный вывод: без ука-
# mount /home -o remount,acl зания при монтировании дискового раздела опции ACL
списки контроля доступа работать не будут. Утилита getfacl
Смотрим атрибуты: при использовании на таком разделе выведет стандарт-
ные права доступа.
# getfacl test _ acl/test _ file А вот при копировании получились несколько другие
# file: test_acl/test_file результаты. Создадим файл и еще один тестовый каталог,
# owner: root но при установке разрешения для каталога не будем ис-
# group: root
user::rw- пользовать опцию -d:
user:sergej:rw- #effective:rwx
group::r-x # touch test _ acl _ file
group:sales:rwx #effective:r-x # setfacl -m u:vasja:rw,g:webmaster:rwx test _ acl _ file
mask::rw-
other::r— Проверяем:

Пользователь sergej и группа sales унаследовали права. Убе- # getfacl test _ acl _ file
димся, что стандартные права доступа все еще существуют. # file: test_acl_file
# owner: root
# ls -al test _ acl # group: root
user::rw-
итого 1 user: vasja:rw-
drwxr-xr-x 2 root root 80 Окт 22 16:10 . group::r--
drwxr-xr-x 21 root root 592 Окт 22 16:00 .. group:webmaster:rwx
-rw-rw-r-- 1 root root 0 Окт 22 16:10 test_file mask::rwx
other::r--
В некоторых дистрибутивах команда ls для файлов и ка-
талогов, в которых используется ACL, дополнительно выво- Теперь сделаем копию файла в текущем каталоге:
дит знак +, например drwxr-xr-x+. От чего зависит присутс-
твие плюса в выводе, мне, к сожалению, неизвестно. Ко- # apt-get install acl attr
манда chmod также работает с такими файлами и катало-
гами, только теперь изменяются не права доступа пользо- Проверяем разрешения:
вателей, а значение маски доступа.
# getfacl test _ acl _ 2
Сохранение расширеных прав # file: test_acl_2
при копировании и перемещении # owner: root
# group: root
В документации сказано, что при копировании и переме- user::rw-
щении расширенные права доступа должны сохраняться, group::r-x
что сейчас и проверим: other::r--

56
 администрирование
Как видите, разрешения изменились и соответствуют стан- правильная» утилита может сделать бесполезной всю бе-
дартным установкам, определенным переменной umask. Те- зопасность с ACL.
перь копируем файл в каталог test_acl, в котором при со-
здании разрешений использовался параметр -d. Некоторые опции утилит
setfacl и getfacl
# cp test _ acl _ file test _ acl При помощи связки getfacl/setfacl можно сохранить и вос-
# getfacl test _ acl/test _ acl _ file
становить списки контроля доступа, это может понадо-
# file: test_acl/test_acl_file биться при архивировании данных или переносе в дру-
# owner: root
# group: root
гую систему.
user::rw-
user:sergej:rw- #effective:rwx # getfacl -R --skip-base . > backup.acl
group::r-x # setfacl --restore=backup.acl
group:sales:rwx #effective:r-x
mask::rw- Если для некоторого файла или каталога требуется ус-
other::r--
тановить разрешения, которые сходны с уже имеющими-
ся, то можно поступить так (опции, написанные с заглавной
Разрешения изменились и соответствуют файлу test_file, буквы, применяются при использовании в качестве ввода
который был создан в этом каталоге. результата работы другой утилиты).

# mkdir dir # getfacl -a dir | setfacl -M - dir

# setfacl -m u:fedja:rw,g:netadmin:rwx test _ acl _ file
# getfacl dir
# file: dir
# owner: root
# group: root
user::rwx
user: fedja:rw-
group::r-x
group:netadmin:rwx
mask::rwx
other::r-x
Теперь копируем в этот каталог тестовый файл.
# cp test _ acl _ file dir
И проверяем:
# getfacl dir/test _ acl _ file
# file: dir/test_acl_file
# owner: root
# group: root
user::rw-
group::r-x
other::r--
Если при создании каталога не использовался пара-
метр -d, разрешения не наследуются и при копировании
(создании) файлов и каталогов права доступа соответс-
твуют стандартным разрешениям UNIX, т.е. фактически
обнуляются.
И еще один интересный момент, о котором стоит упо-
мянуть. Операции копирования и перемещения были про-
деланы и другими инструментами. Результат эксперимента
с Midnight Commander совпал с результатом использования
утилит ср и mv, а вот Konqueror при перемещении не сохра-
нил расширенные права. Почти аналогично ведут себя kate
и Kwrite. Если сохранять результат в текущий файл, то пра-
ва сохраняются, а если в новый, то теряются. Все это вы-
глядит несколько странно, потому что за операции с права-
ми по идее должно отвечать ядро. Как видите, при исполь-
зовании ACL необходимо очень тщательно отбирать и инс-
трументы, т.к. при работе с некоторыми утилитами права
теряются. Ошибка может привести к тому, что любая «не-
# getfacl file1 | setfacl -S- file2
Чтобы удалить разрешение, используйте опцию -х. На-
пример, удалим права для группы sales:
# setfacl -x g:sales test _ acl
Опция -m модифицирует (а фактически сохраняет) ста-
рые разрешения, добавляя к ним новые. В некоторых слу-
чаях проще установить новые права на файл или ката-
лог, полностью затерев старые. Для этих целей использу-
ется флаг -s.
# setfacl -m u:fedja:rw,g:netadmin:rwx test _ acl _ file
Установленную для каталога маску доступа, использу-
емую по умолчанию, можно изменить так:
# setfacl -m default:u::rx acldir
Поддержка ACL в NFS и Samba
Поддержка ACL в NFS еще не закончена, но 4 версия прото-
кола уже поддерживает стандартизованные удаленные вы-
зовы процедур на получение и установку разрешений ACL.
Причем правильно обрабатывает запросы демон, рабо-
тающий в пространстве ядра. Демон, работающий в про-
странстве пользователя, поддерживает только вторую вер-
сию протокола и неправильно обслуживает запросы. Кли-
енты, работающие со второй версией протокола, исполь-
зуют традиционные девять бит, поэтому при передаче ин-
формация об ACL искажается. Уже в третьей версии кли-
енты для запроса прав пользователя опираются на вызов
ACCESS, и точное разрешение этого вопроса предоставля-
ется клиенту. Хотя стоит отметить, что существуют реше-
ния, позволяющие использовать ACL поверх NFS, но это те-
ма другого разговора. Пока же разработчики рекомендуют
использовать ACL при работе с NFS осторожно.
Зато списки контроля доступа могут использоваться
вместе с Samba, что позволяет объединить Linux-сервер
и Windows Active Directory. Хотя стоит отметить, что POSIX

№11, ноябрь 2005 57

 администрирование
кой подход применен в trustees. В июне 2005 года стал на-
конец доступен стабильный релиз новой версии 3.0, о ко-
тором пойдет речь далее.
Trustees позволяет дать доступ пользователю или груп-
пе пользователей к дереву каталогов, а не единственному
файлу, что является отходом от стандарта POSIX ACL. В при-
нципе в большинтсве случаев создание каталога и опреде-
ление к нему доступа, является типичной задачей, доступ
к отдельному файлу регулируется реже и является частным
решением. Поэтому такой подход вполне себя оправдыва-
ет. К тому же в этом случае не требуется установка тысяч
разрешений для каждого файла, что может привести при
невнимательности к ошибке, и теперь администратору лег-
Рисунок 2. После пропатчивания в Security options появится че контролировать разрешения т.к. все ограничения для ка-
новый пункт Trustees ACLS, который необходимо включить
талога и подкаталогов записываются в одной строке. Кроме
ACL и Windows NT/2000/XP ACL имеют отличия, но сервер того в этом случае снимается зависимость от используемой
Samba достаточно близко может работать с разрешениями, файловой системы и сервиса. Поэтому Trustees в принципе
принятыми в Windows-среде, обеспечивая практически все можно использовать при работе с Samba, ftp, NFS, http.
действия. Для работы Samba с ACL необходимо не только ус- Кроме принципа организации доступа Novell Netware
тановить поддержку ACL в ядре, но и собрать Samba с опци- в проекте использованы наработки Java Security.
ей --with-acl-support. А в конфигурационном файле smb.conf В архиве размером 26.3 Кб содержатся патчи к ядрам
в разделе предоставляемого ресурса должно быть прописа- версии 2.6 (2.6.8-2.6.13-rc3), исходные тексты для компиля-
но nt acl support = yes. Для установки и просмотра разреше- ции модуля и утилиты settrustees. Trustees можно скомпили-
ний можно использовать не только утилиты администриро- ровать вместе с ядром или установить как модуль.
вания Windows, но и консольную утилиту smbcacls, запуска- Для первого варианта необходимы исходные тексты яд-
емую на стороне сервера. Формат запуска утилиты такой: ра с номером версии, для которого имеется патч (при от-
сутствии такового можно попробовать ближайший по но-
smbcacls //server/share filename [options] меру, с большой вероятностью он будет работать). Далее
поступаем обычным образом:
Неудобно, что опции несколько отличаются от setacl.
Так опция -А добавляет разрешение к файлу или каталогу # cd /usr/src/linux-2.6.11
# patch -p1 < ../2.6.11.diff
сохраняя предыдущее, опция -s устанавливает новые раз-
решения затирая старые. При помощи опции -M изменя- patching
patching
file
file
security/trustees/trustees.h
security/trustees/init.c
ется маска доступа, а опции -С и -G позволяют указать но- patching file security/trustees/funcs.c
вого владельца и группу-владельца. patching file security/trustees/fs.c
patching file security/trustees/Kconfig
Кроме стандартных rwx для файлов и каталогов можно patching file security/trustees/trustees_private.h
установить дополнительные права: patching file security/trustees/Makefile
D - разрешение на удаление. patching file security/trustees/security.c
patching file security/Kconfig
P – изменение разрешения ка объекту. patching file security/trustees/Kbuild
O - установка владельца. patching file security/Makefile

И комбинированные: При конфигурировании необходимо включить пункт

READ – эквивалентно RX. Trustees ACLS в Security options (рис. 2). При ручном ре-
CHANGE – эквивалентно RWXD. дактировании раскомментируем следующие строки в фай-
FULL – эквивалентно RWXDPO. ле .config:

Проект Trustees #
# Security options
Разработчикам проекта Trustees [2] схема, применяемая #
в POSIX ACL, показалась неудобной. Для поддержания в ра- CONFIG _ SECURITY=y
CONFIG _ SECURITY _ TRUSTEES=y
бочем состоянии системы POSIX ACL требуются инструмен-
ты, позволяющие рекурсивно обходить каталоги, необхо- После чего ядро компилируется и устанавливается
димые для установки или изменения разрешений. Кроме обычным образом.
того, при большом количестве объектов такая схема тре- При установке в качестве модуля необходимо наличие
бует особого внимания и контроля. Схема, используемая исходных текстов рабочего ядра (оно должно быть обяза-
в Novell Netware, несколько проще, т.к. для установки раз- тельно собрано с опцией CONFIG_SECURITY). Далее пе-
решений используется один конфигурационный файл, ко- реходим в каталог module распакованного архива trustees
торый будет полностью контролироваться системным ад- и вводим make install. Если при компиляции не будут най-
министратором и не потребует разработки дополнитель- дены исходные тексты, то следует указать их местонахож-
ного инструментария либо сложных скриптов. Именно та- дение вручную.

58

# make KDIR=/usr/src/linux-2.6.11 install
После успешной компиляции модуля переходим в под-
каталог src и вводим make, получившийся исполняемый
файл settrustees копируем в /usr/sbin, чтобы он был досту-
пен только пользователю root. Теперь все готово к работе.
Загружаем модуль modprobe trustees.ko, либо перегружа-
ем систему с новым ядром.
Для задания разрешения по умолчанию использует-
ся конфигурационный файл /etc/trustees.conf, но его мож-
но переопределить опцией -f. Все записи по одной в стро-
ку состоят из устройства с каталогом/файлом и парамет-
ров доступа к нему.
[/block/device]/any/path:usr1:flags:+grp1:flags...
[/network/share]I/any/path:+grp2:flags:*:flags...
Обратите внимание на флаг I во втором примере. С его
помощью указываются на чувствительные к регистру букв
устройства. Иначе для //smb/share/DIR и //smb/share/dir будут
установлены одни и те же права доступа. Каталоги, находя-
щиеся на определенном устройстве, описываются без ука-
зания точки монтирования, т.е. если прописывается ката-
лог /home/sergej, а раздел /home смонтирован на /dev/hda5,
то указывается он так:
[/dev/hda5]/sergej
а не так:
[/dev/hda5]/home/sergej
В качестве указания параметров доступа используют-
ся следующие флаги:
R – разрешение на чтение любых файлов;
W – разрешение на запись файлов и каталогов;
B – просмотр (Browse) списка файлов в каталоге (по-
добно установке права на исполнение для каталогов);
E – чтение (rEad) каталогов;
X – выполнение (eXecute) файлов;
U – установка стандартных прав доступа UNIX (по умол-
чанию).
Пустой параметр означает запрет всех полномочий.
Вместе с флагами могут использоваться следующие моди-
фикаторы, которые могут устанавливаться, например для
временного переопределения прав:
C – очистка (Clear) разрешений;
D – запрет (Deny) доступа;
! – запись для всех, кроме указанных пользователей или
групп;
O – один уровень, т.е. все файлы и каталоги внутри,
но без подкаталогов;
* – означает всех пользователей.
Пустые линии игнорируются, знак решетки (#) означа-
ет комментарий.
Для примера занесем в файл информацию, запреща-
ющую пользователю sergej запись в каталог, находящийся
на разделе с файловой системой FAT, традиционно имею-
№11, ноябрь 2005
администрирование
щий права доступа 777, и ограничимся одним уровнем ре-
курсии.
[/dev/hda6]/win/test:sergej:REBO
Теперь создаем тестовый каталог и указываем моду-
лю на необходимость монтирования виртуальной файло-
вой системы.
# mkdir /mnt/win/test
# mount -t trusteesfs none /mnt/win/test
Так монтируются каталоги индивидуально, если требу-
ется смонтировать все каталоги из файла /etc/trustees.conf,
то вызывается утилита settrustees.
Можно проверить:
# mount | grep trusteesfs
none on /mnt/win/test type trusteesfs (rw)
Пробуем создать файл:
# touch /mnt/win/test/test _ file
touch: невозможно выполнить touch для 'test_file': Permission denied
Что и следовало ожидать. Стоит отметить, что создание
файла на уровень выше или ниже тестового каталога прой-
дет без проблем. Чтобы остановить использование вирту-
альной файловой системы, достаточно набрать:
# settrustees -D
Более жизненный пример. Позволим веб-серверу счи-
тывать данные из каталога с документами, а веб-мастерам,
кроме того и изменение файлов:
[/dev/hda3]/httpd/htdocs:apache:REBX
[/dev/hda3]/httpd/htdocs:+web _ editors:RWEBX
Выводы
Итак, применение ACL позволяет использовать более слож-
ные модели доступа, чем традиционная реализация, приме-
няемая в UNIX-системах. Используя ACL, даже при неболь-
шом количестве пользователей администратор может су-
щественно упростить процесс распределения полномочий
пользователей. Но на сегодняшний день без боязни можно
использовать лишь консольные утилиты, остальные нуж-
даются в предварительном тестировании перед использо-
ванием в промышленной среде.
Ссылки:
1. Сайт проекта Linux Extended Attributes and ACLs – http://acl.
bestbits.at.
2. Сайт проекта Trustees – http://www.aeruder.net/trustees.
3. SUSE Linux Administration Guide – http://www.suse.de/~agruen/
acl/chapter/fs_acl-en.pdf.
4. POSIX Access Control Lists on Linux – http://www.suse.de/~agruen/
acl/linux-acls.
5. Сайт проекта Linux NFSv4 – http://www.citi.umich.edu/projects/
nfsv4.
59
 безопасность
Windows Script Host: проводим аудит
безопасности сети
Вам наверняка приходится тратить массу времени, чтобы найти в логах информацию
о попытках несанкционированного доступа к ресурсам сети. Для автоматизации
осуществления поиска информации о событиях аудита и построения отчетов предлагаем вам
использовать сценарии Windows Script Host.
Вступительное слово
Думаю, любому из вас будет интерес-
но узнать, кто, когда и с каких машин
пытался зайти в сеть вашей компании,
особенно это интересно в случаях, ког-
да для доступа в сеть использовалась
учетная запись с администраторски-
ми правами. UNIX-системы для реше-
ния подобных задач обладают массой
свободно распространяемых программ.
Они позволяют администраторам, под-
корректировав соответствующим об-
разом исходный код сценария, произ-
водить аудит событий доступа к сети
и получать отчет, содержащий все не-
обходимые сведения об удачных и/или
неудачных попутках проникновения
в систему и получения доступа к раз-
личным ресурсам сети. С Windows все
несколько сложнее, существующие ре-
шения, как правило, являются коммер-
ческими и требуют от системных ад-
министраторов серьезной подготовки.
Также в силу недоступности исходного
кода их достаточно трудно, а зачастую
и просто невозможно, изменять и дора-
батывать для аудита своей сети.
В данной статье мы рассмотрим ре-
шение задачи аудита – события входа
по учетной записи с помощью Windows
Script Host. Вначале напишем сцена-
рий на VBScript, который осуществля-
ет сбор нужных сообщений из жур-
нала событий и сохранение этих со-
бытий в базе данных MS SQL Server
2000, потом создадим сценарий, кото-
рый генерирует отчеты за день для ад-
министратора, содержащие информа-
цию об удачных и неудачных попытках
входа в сеть, и напоследок решим одну
прикладную бизнес-задачу: реализу-
ем систему учета присутствия сотруд-
60
ников на рабочих местах с помощью
аудита событий Logon/Logoff. Но пре-
жде всего необходимо создать поли-
тики аудита для нашей сети.
Готовим сеть к аудиту
В Windows 2000/2003 по умолчанию ау-
дит всех категорий безопасности от-
ключен. Администратор создает поли-
тику аудита, определяя, для каких ти-
пов событий безопасности нужно вы-
полнять аудит. Исходя из требований
корпоративной политики безопаснос-
ти своей организации, администратор
может также задать аудит доступа к от-
дельным объектам.
Первым шагом в создании полити-
ки является определение событий, для
которых должен выполняться аудит.
При этом доступны следующие ка-
тегории событий:
Account logon events (аутенти-
фикация пользователей на кон-
троллерах домена) – если аудит
успешных попыток входа в систе-
му включен на контроллере доме-
на, в журнал будет заноситься за-
пись о каждом пользователе, про-
шедшем проверку на этом конт-
роллере домена, несмотря на то
что пользователь на самом деле
входит в систему на рабочей стан-
ции домена.
Account management (управление
учетными записями) – аудит всех
событий, связанных с управлением
учетными записями на компьютере.
К таким событиям относятся, в част-
ности, следующие: создание, изме-
нение или удаление учетной записи
пользователя или группы; переиме-
нование, отключение или включе-
Андрей Бирюков
ние учетной записи пользователя;
задание или изменение пароля.
Directory service access (доступ
к службе каталогов) – контроль со-
бытий доступа пользователя к объ-
екту каталога Active Directory, для ко-
торого задана собственная систем-
ная таблица управления доступом.
Logon events (события входа) –
подлежит ли аудиту каждая попыт-
ка пользователя войти в систему
или выйти из нее на данном ком-
пьютере, или подключиться к нему
через сеть.
Object access (доступ к объек-
там) – контроль событий доступа
пользователя к объекту – напри-
мер, к файлу, папке, разделу реес-
тра, принтеру и т. п.
Policy change (изменение поли-
тик) – осуществляется ли аудит из-
менений политик назначения прав
пользователей, политик аудита или
политик доверительных отноше-
ний.
Privilege use (использование при-
вилегий) – подлежит ли аудиту
каждая попытка пользователя вос-
пользоваться предоставленными
ему правами.
Process tracking (отслеживание
процесса) – аудит таких событий,
как активизация программы, за-
вершение процесса, повторение
дескрипторов и косвенный доступ
к объекту.
System events (системные собы-
тия) – производится ли аудит собы-
тий перезагрузки или отключения
компьютера, а также события, вли-
яющие на системную безопасность
или на журнал безопасности.
 безопасность

Рисунок 1. Список политик аудита. Обведена «Account Logon Рисунок 2. Журнал событий. Выделены два сообщения: нижнее –
Events» неудачная попытка войти в систему и верхняя – удачный вход

Чтобы выбрать категории событий всего это ограниченность размера жур- резервного копирования и корпора-
для аудита, необходимо сначала оп- нала событий, из-за которой часть со- тивных антивирусов. Так что вполне
ределить, является ли данный сервер общений рано или поздно будут удале- логичным будет использование дан-
контроллером домена. ны. С настройками по умолчанию жур- ной СУБД в качестве хранилища на-
Если это рядовой сервер, то нужно нал событий при достижении заданного ших сообщений аудита. Сразу огово-
выбрать «Administrative tools → Local ограничения на размер затирает старые рюсь, что основы построения баз дан-
security policy → Audit policy». Если аудит сообщения новыми по принципу очере- ных и SQL-запросов не являются те-
производится на контроллере домена, ди (FIFO, First In First Out). При этом раз- мой статьи, эти аспекты будут снабже-
то нужно выбрать «Active Directory Users мер файла журнала Security по умол- ны лишь краткими комментариями. За
And Computers», затем открыть запись чанию равен 131072 Кб. Если за сут- более подробной информацией може-
для данного домена, выбрать меню ки в журнал заносится несколько ты- те обратиться к источникам справоч-
«Action → Properties → Group policy → сяч сообщений, то 128 Мб это не слиш- ной информации [2, 3].
Edit», далее надо открыть «Computer ком много. Можно также настроить, что- Наша база-хранилище сообщений
Configuration → Windows Settings → бы журнал затирал сообщения по про- будет иметь следующие поля:
Security Settings → Local Policies», пос- шествии определенного количествf Событие (Event ID).
ле чего выбрать «Audit Policy». дней или не затирал сообщения вооб- Дата и время.
При любом методе в результате вы- ще [1]. Правда, в последнем случае, ког- Имя пользователя (домен\пользо-
бора Audit policy в правой панели поя- да файл журнала достигнет ограниче- ватель, под которым осуществля-
вятся доступные для аудита категории ния по размеру, наш сервер может во- лась попытка входа).
событий. Для того чтобы модифици- обще прекратить функционировать, по- Workstation (имя машины, с кото-
ровать политику для какой-либо кате- ка не будет произведена ручная очис- рой осуществлялась попытка вхо-
гории аудита, щелкните правой кноп- тка. Согласитесь, особенно неприятно, да, может быть пустым).
кой на этом событии и выберите пункт если это произойдет, скажем, в суббо- IP-адрес (машина в локальной се-
«Security». Далее необходимо устано- ту ночью. Вторым недостатком исполь- ти, с которой осуществлялась по-
вить флажок для аудита успешных по- зования журнала событий для задач пытка входа).
пыток входа в сеть и/или аудита безу- аудита сети является то, что построе-
спешных. В нашем случае необходимо ние отчетов затруднено. Можно, конеч-
выбрать «Audit Account Logon Events» но, делать выборку каждый день вруч-
и отметить «Success» и «Failure». В ре- ную с помощью стандартного фильтра
зультате получаем окно, аналогичное Event Viewer, однако автоматизировать
изображенному на рис. 1. этот процесс с помощью VBScript будет
Таким образом, теперь в журна- крайне сложно и неудобно.
ле событий «Event Log», в разделе Таким образом, возникает необхо-
«Security» при каждой попытке входа димость в использовании базы данных
пользователя в систему будет появ- для хранения сообщений о событиях.
ляться соответствующее сообщение
(см. рис. 2). Настраиваем хранилище
Однако для решения нашей задачи сообщений аудита
использование журнала событий в ка- Microsoft SQL Server 2000, или его
честве хранилища информации о по- бесплатная урезанная реализация
пытках входа в сеть – не самый лучший MSDE, активно используются различ-
Рисунок 3. Сообщение об удачном входе
выход. Причин тому несколько, прежде ными приложениями от 1С до систем в систему

№11, ноябрь 2005 61

 безопасность
Создадим в MS SQL Server базу Audit, а в ней таблицу
Logons, эти действия можно осуществить, например, с помо-
щью Query Analyzer [3], выполнив следующий SQL-скрипт.
Листинг 1. SQL-скрипт для создания таблицы Logons
CREATE TABLE [dbo].[Logons] (
[id] [int] IDENTITY (1, 1) NOT NULL ,
[Event_vch] [varchar] (50) COLLATE ↵
Cyrillic_General_CI_AS NULL ,
[Date_dat] [datetime] NULL ,
[User_vch] [varchar] (50) COLLATE ↵
Cyrillic_General_CI_AS NULL ,
[WID_vch] [varchar] (50) COLLATE ↵
Cyrillic_General_CI_AS NULL ,
[Address_vch] [varchar] (50) COLLATE ↵
Cyrillic_General_CI_AS NULL
) ON [PRIMARY]
GO
Итак, создали базу, в которой будет храниться инфор-
мация о попытках входа в систему. Думаю, не стоит напо-
минать, что необходимо подумать о защите данной базы,
так как в случае обнаружения и расследования несанкцио-
нированного проникновения в систему информация из базы
может оказать неоценимую помощь администратору.
Теперь приступим к написанию сценария, который бу-
дет осуществлять выборку сообщений из журнала собы-
тий и сохранение их в базу.
Кто пришел, когда пришел,
откуда пришел…
Прежде всего подробно опишу структуру WSH-сценария,
для того чтобы при необходимости вы легко могли приспо-
собить его для решения своих задач, например, аудита до-
ступа к объектам или аудита изменения политик.
Итак, первым делом нам необходимо узнать, какую дату
и время имеет последняя запись в базе данных. Это нужно
для того, чтобы не копировать одно и то же по нескольку раз.
Это можно сделать с помощью следующего запроса:
SELECT Max(Date_dat) AS Last FROM Logons
Данный запрос возвратит дату последней записи. Та-
ким образом, мы определили, после какого времени нуж-
но сохранять в базе поступившие сообщения. Очевидно
при первом запуске сценария данный запрос возвратит пу-
стую строку и нам придется копировать все сообщения.
Скорее всего в журнале событий «Security», кроме собы-
тий аудита «Account Logon Events», могут оказаться еще ка-
кие-то сообщения о других событиях в системе. В связи
с этим нам необходимо отфильтровывать нужные сооб-
щения (см. рис. 3).
События, которые нас интересуют, имеют следующие
Event ID:
673 – Удачная попытка входа в систему.
675 – Неудачная попытка входа в систему.
538 – Выход из системы (Logoff).
Таким образом, будем осуществлять выборку событий
с этими номерами. Затем нам необходимо извлечь инфор-
мацию для занесения в базу. В частности Event ID, Date Time,
а также из поля Description: User Name, WID и IP-адрес. Если
с первыми двумя значениями все ясно и просто, то для по-
лучения последних трех придется использовать специаль-
62
ную функцию Substring. Как видно из рис. 3, записи в по-
ле Description занесены построчно, и каждая строка имеет
следующий вид: «параметр: значение». Для того чтобы из-
влечь значение из определенной строки, необходимо пере-
дать функции Substring значение «параметр».
Листинг 2. Функция substring для поиска вхождений искомой
строки
Function SubString(Str1)
strpos1=InStr(1,Str,str1)
strtemp=Right(Str, Len(str)-strpos1-Len(str1))
strpos2=InStr(1,Strtemp,Chr(10))
SubString=trim(Left(strtemp,strpos2))
End Function
Следует отметить, что данная функция универсальная
и ее можно использовать для поиска вхождений при напи-
сании своих сценариев, главное – соблюдать формат, при-
меняемый для поиска.
Еще одним важным моментом является формат да-
ты и времени, используемые при сохранении сообщений
в базе. Я не случайно использовал одно поле для хранения
в базе даты и времени, несмотря на то что в журнале собы-
тий задействованы два поля. Если у нас поле типа datetime
содержит дату и время, то к значениям этого поля можно
применять математические функции, в частности мы уже
использовали Max, а также <, = , > которые нам еще пот-
ребуются в дальнейшем. Если бы мы использовали отде-
льные поля для даты и времени, то математические функ-
ции применять было бы гораздо сложнее. Однако тут воз-
никает еще одна сложность: для полей типа datetime необ-
ходимо передавать данные строго в определенном фор-
мате «мм.дд.гггг чч:мм:сс». При этом надо использовать
функцию SQL CONVERT. В результате работы этой функ-
ции с определенными параметрами (110 – для даты и 114 –
для времени) мы получаем корректно сохраненную дату
в базе. Подробнее о команде CONVERT и кодах, исполь-
зуемых для форматирования дат, читайте в [2].
Итак, мы завершили разбор сообщений журнала собы-
тий, и теперь остается только сохранить полученную инфор-
мацию в базе. Далее приводится полный текст сценария, ко-
торый осуществляет сбор и сохранение данных в базу.
Листинг 3. Сценарий для поиска и сохранения искомых
сообщений в базе данных
Dim Cnxn, strCnxn
Dim rsCustomers, strSQLCustomers
Dim EventDate, EventTime, EventTmp
Dim objWMI, objItem ' Objects
Dim strComputer
Dim intEvent,intRec, colLoggedEvents
Dim Str, strtemp
Function SubString(Str1)
strpos1=InStr(1,Str,str1)
strtemp=Left(Right(Str, strpos1+2), Len(str1))
strpos2=InStr(1,Strtemp,Chr(10))
SubString=Left(strtemp,strpos2)
End Function
strComputer="127.0.0.1"
Set objWMI = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colLoggedEvents = objWMI.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile = 'Security'" )
Set Cnxn = wscript.CreateObject("ADODB.Connection")
strCnxn = "Provider='sqloledb';Data Source=" & _
"127.0.0.1;" & _
"Server=MyServer;Database=Audit;Trusted_Connection=yes"
// устанавливаем соединение с SQL-сервером

Cnxn.Open strCnxn
LastRec=""
Line=" SELECT Max(Date_dat) AS Last FROM Logons"
Set rs=Cnxn.execute(Line)
'wscript.echo rs("Last")
If not(rs.eof) Then LastRec=Left(rs("Last"),19)
// находим дату последней записи
rs.close
last=0
intRec=0
For Each objItem in colLoggedEvents
EventTmp=Mid(objItem.TimeWritten, 7,2)+"."+ ↵
Mid(objItem.TimeWritten, 5, 2)+"."+ ↵
Mid(objItem.TimeWritten, 1,4)+" "+ ↵
Mid(objItem.TimeWritten, 9,2)+":"+ ↵
Mid(objItem.TimeWritten, 11, 2)+":"+ ↵
Mid(objItem.TimeWritten, 13,2)
// время каждого события
If (EventTmp=LastRec) Then Last=1
// сравниваем
If Last=0 Then
// пока даты не равны, ищем соответствующие события
If objItem.eventCode=675 Then
str=objItem.message
IpAddr=substring("Client Address:")
UserName=substring("User Name:")
UserID=substring("User ID:")
EventDate=Mid(objItem.TimeWritten,5,2)+ ↵
"."+Mid(objItem.TimeWritten, 7, 2)+ ↵
"."+Mid(objItem.TimeWritten, 1,4)
EventTime=Mid(objItem.TimeWritten,9,2)+ ↵
":"+Mid(objItem.TimeWritten,11,2)+ ↵
":"+Mid(objItem.TimeWritten, 13,2)
Str=objItem.message
Line=” INSERT INTO dbo.Logons ↵
( Event_vch, Date_dat, User_vch, ↵
WID_vch, Address_vch)VALUES ↵
( '675', CONVERT(DATETIME, ↵
'"+EventDate+"', 110)+ CONVERT(DATETIME, ↵
'"+EventTime+"', 114), '"+UserName+"','" ↵
+UserID+"','"+IpAddr+"')"
Set rs=Cnxn.execute(Line)
End if
If objItem.eventCode=673 Then
str=objItem.message
IpAddr=substring("Client Address:")
UserName=substring("User Name:")
UserID=substring("Service Name:")
EventDate=Mid(objItem.TimeWritten, 5,2)+ ↵
"."+Mid(objItem.TimeWritten, 7, 2)+ ↵
"."+Mid(objItem.TimeWritten, 1,4)
EventTime=Mid(objItem.TimeWritten, 9,2)+ ↵
":"+Mid(objItem.TimeWritten, 11, 2)+ ↵
":"+Mid(objItem.TimeWritten, 13,2)
Str=objItem.message
Line=" INSERT INTO dbo.Logons ( Event_vch, ↵
Date_dat, User_vch, WID_vch, Address_vch) ↵
VALUES ( '673', CONVERT(DATETIME, ↵
'"+EventDate+"', 110)+CONVERT(DATETIME, ↵
'"+EventTime+"', 114), '"+UserName+"', ↵
'"+UserID+"','"+IpAddr+"')"
Set rs=Cnxn.execute(Line)
End if
If objItem.eventCode=538 Then
str=objItem.message
IpAddr=substring("User Name:")
EventDate=Mid(objItem.TimeWritten, 5,2)+ ↵
"."+Mid(objItem.TimeWritten, 7, 2)+ ↵
"."+Mid(objItem.TimeWritten, 1,4)
EventTime=Mid(objItem.TimeWritten, 9,2)+ ↵
":"+Mid(objItem.TimeWritten, 11, 2)+ ↵
":"+Mid(objItem.TimeWritten, 13,2)
Str=objItem.message
Line=" INSERT INTO dbo.Logons ( Event_vch, ↵
Date_dat, User_vch, WID_vch, Address_vch) ↵
VALUES ( '538', CONVERT(DATETIME, ↵
'"+EventDate+"', 110)+CONVERT(DATETIME, ↵
'"+EventTime+"', 114), '"+UserName+"' ↵
,'','')"
Set rs=Cnxn.execute(Line)
End if
End If
intrec=intRec+1
Next
cnxn.close
№11, ноябрь 2005
безопасность
Этот сценарий нужно запускать с частотой как минимум
один раз в сутки, чтобы журнал событий не переполнился
и соответственно записи не начали затирать друг друга.
Отчетность прежде всего
Сценарий написан, информация о попытках доступа в сеть
исправно заносится в нашу базу, теперь самое время на-
чать получать подробные отчеты о том, кто, когда и откуда
пытался получить доступ в нашу сеть.
Наш отчет будет сохраняться в формате HTML и от-
крываться с помощью браузера. Сценарий очень похож
на предыдущий, и расписывать его подробно, думаю, не-
обязательно.
Листинг 4. Сценарий для построения отчетов
strComputer="127.0.0.1"
Set objWMI = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colLoggedEvents = objWMI.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile = 'Security'")
Set objFso = CreateObject("Scripting.FileSystemObject")
' open connection
Set Cnxn = wscript.CreateObject("ADODB.Connection")
strCnxn = "Provider='sqloledb';Data Source=" & _
"127.0.0.1;" & _
"Server=MyServer;Database=Audit;Trusted_Connection=yes"
Cnxn.Open strCnxn
Set strFile = objFso.CreateTextFile("c:\report.htm", True)
strFile.WriteLine("<html><title>Аудит системы ↵
</title><body>")
strFile.WriteLine("<center><b>Отчет от "& Date &" ↵
</b><table><tbody><tr><td>Имя пользователя ↵
</td><td>Время события</td><td>Событие ↵
</td><td>UserID</td><td>IP адрес</td></tr>")
DateNow=
Line=" SELECT DISTINCT(User_vch) FROM Logons"
Set rs1=Cnxn.execute(Line)
Do While not(rs1.eof)
Line=" SELECT * FROM Logons WHERE ↵
(Date_dat > CONVERT(DATETIME, '" & Date &" ↵
00:00:00', 102)) AND (Date_dat < CONVERT(DATETIME, ↵
'" & Date & " 23:59:59', 102)) AND ↵
(User_vch = '"+rs1("User_vch")+"')"
Set rs2=Cnxn.execute(Line)
strFile.WriteLine("<TR>")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("User_vch"))
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("Date_dat"))
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
If (rs2(“Event_vch”)="673") Then ↵
strFile.WriteLine("<FONT COLOR=red>Неудачная ↵
попытка входа</FONT>")
If (rs2("Event_vch”)="675") Then ↵
strFile.WriteLine("<FONT COLOR=green>Удачный ↵
вход</FONT>")
If (rs2("Event_vch")="538") Then ↵
strFile.WriteLine("<FONT COLOR=navy>Выход ↵
из системы</FONT>")
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("WID_vch"))
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("Address_vch"))
strFile.WriteLine("</td> ")
strFile.WriteLine("</TR>")
rs2.close
rs1.MoveNext
loop
strFile.WriteLine("</tbody></table></center></html>")
rs1.close
Cnxn.close
Set WshShell = CreateObject("WScript.Shell")
Return = WshShell.Run("iexplore.exe c:\report.htm", 1)
63
 безопасность
Данный сценарий выводит информацию о попытках войти
в сеть, которые были произведены в течение текущих суток.
При этом сначала осуществляется выборка по всем пользо-
вателям, которые «засветились» в журнале событий, затем
делается запрос для каждого пользователя. Вывод осущест-
вляется в html-файл. По окончании созданный файл автомати-
чески открывается в браузере. Если данный сценарий запус-
кается автоматически по расписанию, то открывать браузер
с отчетом не нужно, и две последние строки из исходного тек-
ста можно удалить. Сообщения о неудачных попытках входа
в сеть выводятся красным цветом, удачные – зеленым, а вы-
ходы из системы – темно-синим. Сообщения будут выводиться
в том порядке, в каком они попали в базу, однако SQL-запро-
сы можно переписать, например, для вывода сообщений па-
рами вход-выход. О том, как это сделать, речь пойдет далее.
Итак, мы получили два сценария, один из которых осущест-
вляет выборку нужных данных из журнала событий, а второй
выполняет запрос, с помощью которого мы получаем инфор-
мацию о попытках входа в сеть за определенный период. Оба
сценария можно последовательно выполнять в конце каждых
суток, а полученные результаты выкладывать на внутренний
веб-сервер, в соответствующую папку. Тогда сисадмин сети
каждое утро, приходя на работу, будет получать отчет о попыт-
ках доступа к ресурсам сети за предыдущие сутки.
Задача аудита попыток доступа в сеть и построения удо-
бочитаемых отчетов для системного администратора нами
успешно решена. Однако будет нелишним рассмотреть еще
одну возможность для применения сценариев WSH и политик
аудита Account Logon Events – это построение системы уче-
та рабочего времени. Решение данной задачи часто взвали-
вают на плечи системных администраторов, особенно в не-
больших компаниях. Если в вашей организации использу-
ется домен Active Directory, то каждый день, приходя на свое
рабочее место, пользователи должны аутентифицироваться
в домене, введя свой логин и пароль (в нашей системе ауди-
та это событие 675 Удачный вход в систему). А в конце рабо-
чего дня пользователи должны корректно завершить рабо-
ту системы (событие 538 Logoff). Таким образом, для полу-
чения информации о времени прихода сотрудника на рабо-
ту нам необходимо получить самое раннее время события
675, а для получения времени ухода – самое позднее вре-
мя события 538. Сделать это можно с помощью следующего
громоздкого с виду запроса. Тут следует сразу оговориться:
в данном случае мы предполагаем, что в нашей сети кругло-
суточно работают сервера и все задачи, требующие продол-
жительных расчетов, выполняются только на них, а рабочие
станции включают сотрудники, приходя на работу.
Листинг 5. Запрос, возвращающий самый ранний logon
и самый поздний logoff
SELECT MAX(Date_dat) AS Last, MIN(Date_dat) ↵
AS First, User_vch FROM Logons WHERE ↵
(Date_dat > CONVERT(DATETIME, '2005-11-01 00:00:00', ↵
102)) AND (Date_dat < CONVERT(DATETIME, ↵
'2005-11-01 23:59:59', 102)) AND ↵
(User_vch = '"+rs1("User_vch")+"') AND ↵
((Event_vch='675') OR (Event_vch='538')) ↵
GROUP BY User_vch
Данный запрос возвратит два значения first и last, со-
ответствующие времени входа в систему и времени выхо-
да из нее.
64
Листинг 6.Сценарий построения отчета для контроля
рабочего времени
strComputer="127.0.0.1"
Set objWMI = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colLoggedEvents = objWMI.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile = 'Security'")
Set objFso = CreateObject("Scripting.FileSystemObject")
Set Cnxn = wscript.CreateObject("ADODB.Connection")
strCnxn = "Provider=’sqloledb’;Data Source=" & _
"127.0.0.1;" & _
"Server=MyServer;Database=Audit;Trusted_Connection=yes"
Cnxn.Open strCnxn
Set strFile = objFso.CreateTextFile("c:\report.htm", True)
strFile.WriteLine("<html><title>Учет времени ↵
</title><body>")
strFile.WriteLine("<center><b>Отчет</b><table> ↵
<tbody><tr><td>Имя пользователя</td><td> ↵
Время прихода</td><td>Время ухода</td></tr>")
Line=" SELECT DISTINCT(User_vch) FROM Logons"
// извлекаем имена пользователей
Set rs1=Cnxn.execute(Line)
Do While not(rs1.eof)
For i=1 to 30 // Цикл по количеству дней в месяце
Line=" SELECT MAX(Date_dat) AS Last, ↵
MIN(Date_dat) AS First, User_vch FROM ↵
Logons WHERE (Date_dat > CONVERT(DATETIME, ↵
'2005-11-"& i &" 00:00:00', 102)) AND ↵
(Date_dat < CONVERT(DATETIME, '2005-11-""& i ↵
&" 23:59:59', 102)) AND (User_vch = ‘'"+rs1 ↵
("User_vch")+"') AND ((Event_vch='675') OR ↵
(Event_vch='538')) GROUP BY User_vch"
Set rs2=Cnxn.execute(Line)
If not(rs2.eof) Then
strFile.WriteLine("<TR>")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("User_vch"))
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2("First"))
strFile.WriteLine("</td> ")
strFile.WriteLine("<td> ")
strFile.WriteLine(rs2(«Last»))
strFile.WriteLine("</td> ")
strFile.WriteLine("</TR>")
End If
rs2.close
Next
rs1.MoveNext
loop
strFile.WriteLine("</tbody></table></center></html>")
rs1.close
Set WshShell = CreateObject("WScript.Shell")
Return = WshShell.Run("iexplore.exe c:\report.htm", 1)
Cnxn.close
В результате работы данного WSH-сценария будет по-
лучаться HTML-документ, в котором для каждого пользо-
вателя будут по дням расписаны дата и время входа в сеть
и выхода из нее, то есть фактически время прихода и ухо-
да на работу.
Итак, теперь мы с помощью наглядных примеров сце-
нариев на VBScript продемонстрировали возможнос-
ти Windows Script Host для решения задач аудита досту-
па в сеть.
Надеюсь, материал, изложенный в этой статье, приго-
дится системным администраторам и поможет им сэконо-
мить рабочее время, затрачиваемое на поиск событий, уг-
рожающих безопасности вверенной им сети.
Литература:
1. Windows Server 2003. Справочник администратора.
2. Microsoft SQL Server Books Online.
3. Администрирование Microsoft SQL Server 2000. Сертифика-
ционный экзамен 70-228.
 безопасность
Проверяем защищенность сети и сервисов
сканером DragonSoft Secure Scanner
Сегодня каждый компьютер, подключенный к Интернету, подвергается большому количеству
самых разнообразных опасностей. Несмотря на то что инструменты, предназначенные
для защиты систем и сетей, постоянно совершенствуются, противостоять всем угрозам –
непростая задача.
О
сновные усилия администра-
торов направлены на меропри-
ятия, которые можно охаракте-
ризовать как пассивные методы защи-
ты, т.е. использование межсетевых эк-
ранов, виртуальных частных сетей, ан-
тивирусов, систем обнаружения атак,
обновление систем, установка пат-
чей и прочее. Возможно, при постоян-
ном внимании этого бывает достаточ-
но. Но опыт показывает, что отследить
все моменты практически невозмож-
но. Особенно это актуально для боль-
ших сетей, в которых используется
разнообразное программное обеспе-
чение. Программы быстро устарева-
ют, а заплатки можно установить цен-
трализованно не для всех. Со време-
нем в используемых сервисах навер-
няка будут обнаружены уязвимости
или сервисы попросту могут быть не-
правильно настроены, что приведет
к образованию слабых участков. По-
этому наряду с пассивными метода-
ми защиты необходимо периодичес-
ки использовать и активные, а поп-
росту говоря, работать с теми же инс-
трументами, что и взломщик, и, полу-
чив результат, оценить уровень защи-
щенности. Такой аудит можно провес-
ти двумя способами. Первый, нанять
специалистов одной из компаний, за-
нимающихся информационной безо-
пасностью. Полученный в этом слу-
чае отчет будет наиболее полным, хо-
тя бы потому, что на результат не бу-
дет влиять заинтересованность работ-
ников компании, к тому же взгляд пос-
тороннего всегда более свеж. Но с дру-
гой стороны, стоит это отнюдь не де-
шево, а учитывая, что уязвимости по-
66
Сергей Яремчук
являются постоянно, то исследования грамма производит проверку ассоци-
быстро потеряют свою актуальность. ированных уязвимостей. Для опреде-
Поэтому такой вариант больше подхо- ления сервисов используется техноло-
дит для проведения всестороннего ау- гия intelligent protocol identification, ко-
дита всей системы безопасности ком- торая распознает возможный сервис
пании. А для проверки защищенности не только по номеру открытого пор-
сетей и сервисов лучше использовать та, но и дополнительно анализируют-
сканеры безопасности, что позволит ся входные данные, чтобы подтвердить
проводить такие проверки постоян- свои выводы. Для работы DSS потре-
но. Одним из таких сканеров являет- буется компьютер класса Pentium 266
ся DragonSoft Secure Scanner тайвань- с 64 Мб ОЗУ (лучше 128 Мб) и 500 Мб
ской DragonSoft Security Associates, ос- свободного места на жестком диске,
нованной в 2002 году. с установленной Windows NT 4.0 SP3,
Разработчик позиционирует DSS Windows 2000/XP.
как комплексное решение для обна- На сайте проекта [1] можно полу-
ружения уязвимых мест в сети уров- чить 30-дневную ознакомительную
ня предприятия. Утилита позволя- версию DSS. Для ее получения необ-
ет проверить компьютеры, в качест- ходимо первоначально зарегистриро-
ве операционной системы использу- ваться, после чего на указанный поч-
ющие Windows 9x/NT/2000/XP/2003, товый адрес придет ссылка для закач-
Sun Solaris, BSD, Linux и некоторые он- ки. Примечательно, что кроме срока
лайновые сервисы (HTTP, FTP, POP3, действия больше никаких ограниче-
SMTP). На момент написания статьи ба- ний нет, что позволяет наиболее пол-
за DSS содержала информацию о 2145 но оценить продукт. К тому же этого
уязвимостях. Если сравнить с анало- времени достаточно, чтобы, например,
гичными продуктами вроде XSpider перейдя на новую работу, провести ау-
(http://www.ptsecurity.ru) или Shadow дит сети и устранить проблемы. При
Security Scanner (http://www.safety-lab.com), каждом запуске появляется меню (см.
то в заявленных цифрах DSS явно про- рис. 1), позволяющее выбрать вари-
игрывает. С другой стороны, охватить ант предполагаемой работы. Как ви-
все системы и уязвимости доволь- дите, имеется три варианта тестирова-
но тяжело, и в настоящий момент на- ния (Vulnerability Scan, Password Check,
блюдается «специализация» скане- DoS Test). Четвертый пункт позволя-
ров безопасности, что позволяет на- ет открыть файл с расширением *.dss,
иболее полно охватить определен- в котором сохранены настройки и ре-
ный сегмент. Для уменьшения време- зультаты ранее проведенного тести-
ни сканирования и количества лож- рования, что дает возможность на-
ных срабатываний используется тех- пример продолжить незаконченную
нология FPP (False Positives Prevention). работу. По умолчанию DSS включа-
При этом сначала производится поиск ет 9 политик сканирования (Complete,
имеющихся сервисов, а затем про- Database, NetBIOS, PortScan, SANS 20,
 безопасность
Normal, BackDoor, UNIX и Windows). Та- бое удобное время.
кое разделение позволяет более гиб- Так как DSS являет-
ко выбрать действительно необходи- ся утилитой аудита,
мый в конкретном случае вариант тес- одним из требова-
та, ведь в больших сетях при исполь- ний к которой ско-
зовании всех политик получение ре- рость сканирова-
зультата может затянуться. При необ- ния, а не скрытость,
ходимости пользователь может отре- то паузу между по-
дактировать текущую политику скани- пытками перебора
рования либо создать на основе имею- пароля устанавли-
щихся свою. Так, при помощи редакто- вать нельзя. Прак-
ра политик можно изменить: диапазон тически также лег-
сканируемых портов, реакцию на от- ко ис пользовать
сутствие пинга, параметры NetBIOS, и DoS Test, кото-
вид аудита, сканирование по протоко- рый имитирует од-
лу UDP, файлы с логинами и паролями, ноименную атаку. Рисунок 2. Отчеты DSS позволяют оценить общую обстановку
которые будут использованы при до- Кроме указанных тестов дополни- та html, к сожалению, импорт в pdf, бо-
ступе к ftp, http, NetBIOS, и некоторые тельно в руки администратора попа- лее удобный для печати, не поддержи-
другие настройки. Интересно, что для дают полезные утилиты с графичес- вается. В этом случае DSS предлагает
NetBIOS возможно автоматическое за- ким интерфейсом вроде DNS Lookup, три типа отчетов: Complete, Executive
несение данных, исправляющих непра- IP Reverse, Traceroute. Для удобства и Technician. При этом каждый может
вильную настройку, в реестры клиент- можно использовать встроенный пла- иметь три стиля: Default, Modern и Lite.
ских машин. Для этого необходимо ак- нировщик и проводить проверку ав- Отчет Complete содержит всю инфор-
тивировать опцию «Automatic registry томатически, например ночью, когда мацию. Отчет Executive предназначен
bug fix», результат ее работы будет сеть не загружена. В этом случае ре- для неспециалистов и содержит ин-
отображен в отчете. зультат сканирования дополнительно формацию о просканированных уз-
В утилите удобно реализован им- можно отправить и по почте, для че- лах, «TOP 6» самых уязвимых узлов,
порт IP-адресов. Эту операцию мож- го в подпункте Config Alert заполняют- обобщенные результаты о защищен-
но проделать тремя способами: не- ся параметры SMTP сервера и заго- ности сети. Графики, представленные
посредственным введением, задани- ловок письма. этим отчетом, будут хорошим аргумен-
ем диапазона или использованием Кроме того, DSS позволяет запус- том при разговоре с начальством. От-
текстового файла, в котором поме- кать тест с командной строки. Для это- чет Technician предназначен для спе-
щен список. Естественно, в програм- го первоначально создается шаблон циалистов безопасности и системных
ме такого рода необходимо периоди- проверки, а затем набирается коман- администраторов и содержит опи-
чески обновлять базы, содержащие да dss_winnt.exe *.dss scan. сание уязвимостей и рекомендации
описание новых уязвимостей. Зайдя Сильной стороной DSS всегда были к их устранению. При желании, зай-
в «Tools → Options → Update», можно отчеты. После сканирования админист- дя в «Report → Configure», можно из-
установить автоматическое обновле- ратор получит полную информацию обо менить параметры отчетов, добавить
ние баз. Здесь же в пункте Protection всех найденных узлах и работающих свой логотип и заголовок. Кроме отче-
можно защитить настройки програм- на них серверах, программах и их вер- тов, всю информацию можно занести
мы паролем. сиях (если возможно), включая МАС-ад- в базу данных. По умолчанию в качес-
Следующий тест Password Check рес, NetBIOS-имя, имена пользователей тве источника установлен DSS2_DB
позволяет проверить устойчивость па- и прочее. Если будут найдены уязви- использующий Microsoft Access Driver
ролей в таких сервисах: ftp, http, pop3, мости, то будут указаны степень опас- и сохраняющий информацию в файл
imap, telnet, MSSQL и MySQL. Для это- ности (Info, Low, Medium, High) и крат- scandb.mdb. Как вариант для хранения
го указывается IP-адрес, опциональ- кое описание со ссылками на ресурсы информации можно использовать фай-
но порт и файлы с логинами и паро- BugTraq, DragonSoft, ISS X-Force и CVE- лы Microsoft Excel или dBASE (*.dbf).
лями и количес- ID (Common Vulnerability and Exposure), Сканер безопасности DragonSoft
тво потоков ска- где можно найти более подробное объ- Secure Scanner является удобным инс-
нирования. Гото- яснение. При оценке риска программа трументом, позволяющим оценить за-
вые файлы с па- следует стандарту BS7799. щищенность сети и избежать проблем.
ролями и логи- На отдельных страницах будет до- Выдаваемые отчеты помогут не толь-
нами можно най- ступна сборная информация, выво- ко убедить начальство в реальности
ти в подкатало- дящая общее количество уязвимос- проблем, но и оказать помощь в их ус-
ге Dic. Сос тоя- тей по адресам (см. рис. 2), по уров- транении.
ние текущей про- ню опасности, категориям, а также спи-
верки можно со- сок обнаруженных операционных сис- Ссылка:
Рисунок 1. Вначале
необходимо выбрать х ран и т ь и п р о - тем и открытых портов. Всю информа- 1. Сайт DragonSoft Security Associates –
тип будущей работы д о л ж и т ь в л ю - цию можно сохранить в файл форма- http://www.dragonsoft.com.

№11, ноябрь 2005 67

 web-программирование
Расширения РHP:
пять шагов к написанию
Расширение в PHP – это набор дополнительных функций, не входящих в ядро PHP-engine.
Расширения, как и само ядро PHP-engine, написаны на С, что значительно повышает
быстродействие системы, а также позволяет осуществлять доступ к внешним библиотекам
и создавать более эффективные веб-приложения. Так как же быстро и надежно разработать
расширение?
В
полне закономерный вопрос – зачем нужны допол-
нительные расширения? Казалось бы, все что нужно
скриптовому языку, в PHP уже охвачено. В последний
дистрибутив четвертой версии входит 74 РНР-расширения.
На официальном сайте www.php.net есть раздел, специаль-
но посвященный этой теме: www.pecl.php.net. На данноме
ресурсе находится библиотека исходных текстов еще 132-х
дополнительных расширений. Не стоит забывать, что PHP
относится к языкам интерпритируемого типа, т.е. каждая ко-
манда языка интерпритируется во время исполнения, что
заметно проигрывает в скорости языкам компилируемого
типа. Практика показывает, что для ускорения части фун-
кционала (написание функций с использованием битовых
операций, т.к. они медленно отрабатываются на PHP и очень
замедляют работу скрипта) приходится писать расшире-
ния, а также если необходимо обратиться к уже сущест-
вующим C-библиотекам (например, криптографические
или ГИС-библиотеки). Наверное, у каждого из вас найдет-
ся своя причина, чтобы написать новое расширение.
Данная статья поможет вам понять основы построе-
ния расширений и освоить технику написания расширений
под *nix-системы. Написание расширений под Windows от-
личается только способом компилирования и обращения
к внешним библиотекам.
В двух словах, под расширением понимается часть PHP-
функций, которые реализованы в виде отдельного модуля,
написанного на С. Данные функции могут либо подклю-
чаться, как внешний модуль, либо скомпилированы ста-
тически в исходный код PHP. Простым примером расши-
68
Это намного проще,
чем кажется с первого раза
Александр Календарев
рения является модуль php_mysql, который реализует ин-
терфейс с БД MySql. Интерфейсом взаимодействия меж-
ду внешними функциями и ядром PHP (PHP-engine) явля-
ется PHP API, а начиная с версии 4.1.0 в качестве API ис-
пользуется Zend API.
Шаг первый
Создаем шаблон расширения (скелетон)
Для написания и компиляции расширений вам понадобится
дистрибутив PHP. Первоначально входим в директорию ext,
в которой находятся папки с исходными кодами всех расши-
рений. Внутри папки ext находится папка skeleton, которая
представляет собой заготовку или шаблон для написания
расширений. В принципе, данная папка нам может и не по-
надобиться. Процесс написания шаблонов уже автомати-
зирован, нам остается только запустить скрипт генерации
шаблона расширения или, как его называют разработчи-
ки, «скелетона». Запуск скрипта без параметров приведет
к выдаче на консоль перечня всех параметров:
# ./ext _ skel
./ext_skel --extname=module [--proto=file] [--stubs=file] [--xml[=file]]
[--skel=dir] [--full-xml] [--no-help]
--extname=module
--proto=file
module is the name of your extension
file contains prototypes of functions to create
--stubs=file generate only function stubs in file
--xml generate xml documentation to be added to phpdoc-cvs
--skel=dir path to the skeleton directory
--full-xml generate xml documentation for a self-contained extension
(not yet implemented)
--no-help don’t try to be nice and create comments in the code
and helper functions to test if the module compiled
 web-программирование
Для создания модуля первоночально необходимо за- раскомментировать строки 10 и 12 с описанием макроса
пустить скрипт с параметром: PHP_ARG_WITH.
Для динамического модуля необходимо раскомменти-
# ./ext _ skel --extname=module ровать строчки с описанием макроса PHP_ARG_ENABLE
(это будут строки 16 и 18). Данный макрос устанавлива-
После отработки скрипта будет создана директория test ет соответствия переменным для макроса PHP_NEW_
с файлами шаблона («скелетон») модуля. EXTENSION как компиляция динамического модуля (shared
objects).
# ./ext _ skel --extname=test Первый аргумент макроса PHP_NEW_EXTENSION зада-
Creating directory test ет имя расширения. Второй аргумент – файл источника (ис-
Creating basic files: config.m4 .cvsignore test.c php_test.h CREDITS EXPERIMENTAL
tests/001.phpt test.php [done]. ходный файл описания с-функций), и третий – это имя внут-
To use your new extension, you will have to execute the following steps:
ренней переменной, которая используется в макросах.
Ниже будет приведен пример config.m4 для конфигу-
1. $ cd ..
2. $ vi ext/test/config.m4 рирования расширения под компиляцию динамическо-
3.
4.
$
$
./buildconf
./configure --[with|enable]-test
го модуля. Раскомментированные строки отмечены крас-
5. $ make ным шрифтом.
6. $ ./php -f ext/test/test.php
7. $ vi ext/test/test.c
8. $ make 1 dnl $Id$
2 dnl config.m4 for extension test
Repeat steps 3-6 until you are satisfied with ext/test/config.m4 and step 6 3
confirms that your module is compiled into PHP. Then, start writing code 4 dnl Comments in this file start with the string 'dnl'.
and repeat the last two steps as often as necessary.
5 dnl Remove where necessary. This file will not work
6 dnl without editing.
Мы с вами только что создали шаблон нашего первого 7
8 dnl If your extension references something external, ↵
расширения. В поддиректории test находятся следующие use with:
сгенерированные файлы: 9
10 dnl PHP _ ARG _ WITH(test, for test support,
-rw-r--r-- 1 4 Nov 2 00:01 CREDITS – текстовый, инфор- 11 dnl Make sure that the comment is aligned:
мационный. 12 dnl [ --with-test Include test support])
13
-rw-r--r-- 1 0 Nov 2 00:01 EXPERIMENTAL – текстовый, ин- 14 dnl Otherwise use enable:
формационный. 15
16 PHP _ ARG _ ENABLE(test, whether to enable test support,
-rw-r--r-- 1 1964 Nov 2 00:01 config.m4 – шаблон конфи- 17 dnl Make sure that the comment is aligned:
гурационного файла. 18 [ --enable-test Enable test support] )
19
-rw-r--r-- 1 2707 Nov 2 00:01 php_test.h – шаблон файла 20 if test "$PHP _ TEST" != "no"; then
заголовков (Н-файл). 21 dnl Write more examples of tests here...
22
-rw-r--r-- 1 5379 Nov 2 00:01 test.c – шаблон исходного 23 dnl # --with-test -> check with-path
файла на С. 24 dnl SEARCH _ PATH="/usr/local /usr" # you might ↵
want to change this
-rw-r--r-- 1 469 Nov 2 00:01 test.php – шаблон тестового 25 dnl SEARCH _ FOR="/include/test.h" # you most likely ↵
файла. want to change this
26 dnl if test -r $PHP _ TEST/; then # path given ↵
drwxr-xr-x 2 0 Nov 2 00:01 tests – директория для регрес- as parameter
сионных тестов. 27 dnl TEST _ DIR=$PHP _ TEST
28 dnl else # search default path list
29 dnl AC _ MSG _ CHECKING([for test files in default ↵
Шаг второй 30
path])
dnl for i in $SEARCH _ PATH ; do
Настраиваем конфигурацию config.m4 31 dnl if test -r $i/$SEARCH _ FOR; then
Следующий шаг в настройке нашего шаблона – это задание 32 dnl TEST _ DIR=$i
33 dnl AC _ MSG _ RESULT(found in $i)
конфигурационного файла. Модуль будущего расширения 34 dnl fi
может быть скомпилирован либо как внешний so-модуль 35 dnl done
36 dnl fi
(shared object), либо статически, как часть php. Для отлад- 37 dnl
ки расширения удобнее его собирать как внешний модуль. 38 dnl if test -z "$TEST _ DIR"; then
39 dnl AC _ MSG _ RESULT([not found])
Достоинство такого подхода в том, что при этом не нужно 40 dnl AC _ MSG _ ERROR([Please reinstall the test ↵
пересобирать PHP полностью, а достаточно лишь отдельно distribution])
41 dnl fi
перекомпилировать только одно исходное расширение. 42
Если модуль собирается статически, то при кон- 43 dnl # --with-test -> add include path
44 dnl PHP _ ADD _ INCLUDE($TEST _ DIR/include)
фигурировании ядра php необходимо задать ключи: 45
./configure --with-test или ./configure --enable-test. 46 dnl # --with-test -> check for lib and symbol ↵
presence
Как вы видите (пример config.m расположен ниже), 47 dnl LIBNAME=test # you may want to change this
большинство директив в файле config.m закомментиро- 48 dnl LIBSYMBOL=test # you most likely want to change ↵
this
вано символами dnl. Вам необходимо раскомментировать 49
те строки, которые указывают, в каком качестве (динами- 50 dnl PHP _ CHECK _ LIBRARY($LIBNAME,$LIBSYMBOL,
51 dnl [
ческого или статического модуля) в дальнейшем будет ис- 52 dnl PHP _ ADD _ LIBRARY _ WITH _ PATH($LIBNAME, ↵
пользовано расширение. В случае если вы будете конфи- $TEST _ DIR/lib, TEST _ SHARED _ LIBADD)
53 dnl AC _ DEFINE(HAVE _ TESTLIB,1,[ ])
гурировать наш модуль как статический, то необходимо 54 dnl ],[

№11, ноябрь 2005 69

 web-программирование
55 dnl AC _ MSG _ ERROR([wrong test lib version or ↵ пировать или перенести скомпилированный файл модуля
lib not found])
56 dnl ],[ в директорию самого расширения.
57 dnl -L$TEST _ DIR/lib -lm -ldl
58 dnl ]) # cd modules
59 dnl # cp * ..
60 dnl
PHP _ SUBST(TEST _ SHARED _ LIBADD) # cd ..
61 # php test.php
62 PHP _ NEW _ EXTENSION(test, test.c, $ext _ shared)
63 fi Functions available in the test extension:<br>
confirm_test_compiled<br>
Для осуществления некоторых условий проверок <br>
Congratulations! You have successfully modified ext/test/config.m4.
(например, на наличие некоторых необходимых библиотек Module test is now compiled into PHP.
или соответствие допустимых версий) для положительной
компиляции на этапе конфигурирования, раскомментируй- Как вы видите, при запуске наш тестовый модуль выво-
те соответствующие строчки с 20 по 60. дит нам поздравление, что он успешно скомпилирован.
Если cli-версия PHP отсутствует, то необходимо наш
Шаг третий модуль переписать в директорию, определенную в php.ini
Компиляция (секция Paths and Directories) как директория для расши-
Как уже упоминалось, компиляция нашего расширения рений, а также дописать строчку, которая определяет под-
может быть как в модуль, который является частью само- ключение нашего расширения (строка выделена красным
го PHP, так и во внешний модуль, подгружаемый во вре- шрифтом).
мя исполнения. Строки в php.ini:
Для статической компиляции необходимо в домашней
директории php выполнить команды: ; UNIX: "/path1:/path2"
extension _ dir = ".;/usr/local/php/extension"
# ./buildconf ; Dynamic Extensions ;
# ./configure --enable-test [прочие опции] extension=test.so
# make
# make install Необходимо отметить, что при перекомпиляции модуля
достаточно выполнить только одну команду make.
Как упоминалось выше, для отладки лучше используй-
те компиляцию расширения как внешнего модуля (test.so). Шаг четвертый
Для этого необходимо выполнить следующие команды: Добавляем новую функцию
Вы научились компилировать шаблон php-расширения.
# cd test Но при разработке модуля, как правило, необходимо ис-
# phpize
# ./configure --enable-test=shared пользовать множество функций.
# make Прежде чем рассмотреть, как добавлять новую фун-
# make install
кцию, перейдем к рассмотрению сгенерированного кода
По окончании работы скрипта появляется директория на С (файл test.с) :
modules, в которой должен быть файл test.so. Если во время
компиляции происходят какие-то ошибки, то это, как пра- 1 #include "php.h"
2 #include "php _ ini.h"
вило, связанно с тем, что некоторые пути не прописаны, 3 #include "ext/standard/info.h"
или какие-то библиотеки не найдены. 4 #include "php _ test.h"
5
6 /* If you declare any globals in php _ test.h
Проверка 7
8
uncomment this: ZEND _ DECLARE _ MODULE _ GLOBALS(test)
*/
Как правило, если все удачно скомпилировано, то мож- 9
но сразу же осуществить тестовую проверку. Если на сер- 10 /* True global resources – no need for thread safety ↵
here */
вере установлена cli-версия PHP (версия PHP для коман- 11 static int le _ test;
дной строки), то вы можете прямо из консоли проверить, 12
13 /* {{{ test _ functions[]
как скомпилировалось наше расширение. 14* Every user visible function must have an entry ↵
in test _ functions[].
15 */
# php test.php 16 function _ entry test _ functions[] = {
Warning: dl(): Unable to load dynamic library './test.so' - ./test.so: cannot open 17 PHP _ FE(confirm _ test _ compiled, NULL) ↵
shared object file: No such file or directory in /usr/local/src/php-4.4.0/ext/test/ /* For testing, remove later. */
test.php on line 4 Functions available in the test extension:<br> 18 {NULL, NULL, NULL} /* Must be the last line ↵
Warning: Invalid argument supplied for foreach() in /usr/local/src/php-4.4.0/ext/ in test _ functions[] */
test/test.php on line 9<br> 19 };
Module test is not compiled into PHP
20 /* }}} */
21
22 /* {{{ test _ module _ entry
Не стоит сразу так расстраиваться, php просто не нашел 23 */
наш модуль, т.к. модуль лежит в поддиректории modules, 24 zend _ module _ entry test _ module _ entry = {
25 #if ZEND _ MODULE _ API _ NO >= 20010901
а php осуществляет поиск при отсутствии полного пути 26 STANDARD _ MODULE _ HEADER,
в текущей директории. 27 #endif
28 "test",
Для того чтобы проверить работу, достаточно лишь ско- 29 test _ functions,

70
 web-программирование
30 PHP _ MINIT(test), 107 php _ info _ print _ table _ header(2, ↵
31 PHP _ MSHUTDOWN(test), "test support#, "enabled#);
32 PHP _ RINIT(test), /* Replace with NULL ↵ 108 php _ info _ print _ table _ end();
if there’s nothing to do at request start */ 109
33 PHP _ RSHUTDOWN(test), /* Replace with NULL ↵ 110 /* Remove comments if you have entries in php.ini
if there’s nothing to do at request end */ 111 DISPLAY _ INI _ ENTRIES(); */
34 PHP _ MINFO(test), 112 }
35 #if ZEND _ MODULE _ API _ NO >= 20010901 113 /* }}} */
36 "0.1", /* Replace with version number for your ↵ 114
extension */ 115
37 #endif 116 /* Remove the following function when you have succesfully
38 STANDARD _ MODULE _ PROPERTIES 117 modified config.m4 so that your module can be compiled
39 }; 118 into PHP, it exists only for testing purposes. */
40 /* }}} */ 119
41 120 /* Every user-visible function in PHP should ↵
42 #ifdef COMPILE _ DL _ TEST document itself in the source */
43 ZEND _ GET _ MODULE(test) 121 /* {{{ proto string confirm _ test _ compiled(string arg)
44 #endif 122 Return a string to confirm that the module is ↵
45 /* {{{ PHP _ INI compiled in */
46 */ 123 PHP _ FUNCTION(confirm _ test _ compiled)
47 /* Remove comments and fill if you need to have ↵ 124 {
entries in php.ini 125 char *arg = NULL;
48 PHP _ INI _ BEGIN() 126 int arg _ len, len;
49 STD _ PHP _ INI _ ENTRY("test.global _ value", "42", ↵ 127 char string[256];
PHP _ INI _ ALL, OnUpdateInt, global _ value, ↵ 128
zend _ test _ globals, test _ globals) 129 if (zend _ parse _ parameters(ZEND _ NUM _ ARGS() ↵
50 STD _ PHP _ INI _ ENTRY("test.global _ string", ↵ TSRMLS _ CC, "s", &arg, &arg _ len) == FAILURE) {
"foobar", PHP _ INI _ ALL, OnUpdateString, ↵ 130 return;
global _ string, zend _ test _ globals, test _ globals) 131 }
51 PHP _ INI _ END() 132
52 */ 133 len = sprintf(string, "Congratulations! You have ↵
53 /* }}} */ successfully modified ext/%.78s/config.m4. Module ↵
54 %.78s is now compiled into PHP.", "test", arg);
55 /* {{{ php _ test _ init _ globals */ 134 RETURN _ STRINGL(string, len, 1);
56 /* Uncomment this function if you have INI entries 135 }
57 static void php _ test _ init _ globals ↵ 136 /* }}} */
(zend _ test _ globals *test _ globals)
58 {
59 test _ globals->global _ value = 0; Рассмотрим более подробно содержание файла test.с.
60 test _ globals->global _ string = NULL; Все PHP-модули имеют общую структуру:
61 }
62 */ блок включения заголовков (макросы, определения API,
63 /* }}} */ внешние библиотеки);
64
65 /* {{{ PHP _ MINIT _ FUNCTION */ С-объявление функции экспорта;
66 PHP _ MINIT _ FUNCTION(test) блок объявлений функций (PHP) Zend;
67 {
68 /* If you have INI entries, uncomment these lines блок объявлений модуля (PHP) Zend;
69 ZEND _ INIT _ MODULE _ GLOBALS ↵ реализация get_module();
(test, php _ test _ init _ globals, NULL);
70 REGISTER _ INI _ ENTRIES(); реализация всех экспортных функций.
71 */
72 return SUCCESS;
73 } Объявление функции экспорта (строки) находится в за-
74 /* }}} */ головочном h-файле (php_test.h):
75
76 /* {{{ PHP _ MSHUTDOWN _ FUNCTION
77 */ /* For testing, remove later. */
78 PHP _ MSHUTDOWN _ FUNCTION(test) PHP _ FUNCTION(confirm _ test _ compiled);
79 {
80 /* uncomment this line if you have INI entries В нашем случае это только одна функция, которая бы-
81 UNREGISTER _ INI _ ENTRIES();
82 */ ла сгенерирована скриптом «скелетона»: confirm_test_
83 return SUCCESS; compiled().
84 }
85 /* }}} */ Если вам необходимо добавить новую функцию, то для
86 этого добавляйте макрос ее описания в заголовочный файл
87 /* Remove if there’s nothing to do at request start */
88 /* {{{ PHP _ RINIT _ FUNCTION */ php_test.h. Например, если вы хотите добавить новую функ-
89 PHP _ RINIT _ FUNCTION(test) цию add_string(), то должны дополнить заголовочный файл
90 {
91 return SUCCESS; (php_test.h) макросом описания экспортируемой функции
92 } (красным цветом помечен добавленный текст) :
93 /* }}} */
94
95 /* Remove if there’s nothing to do at request end */ PHP _ FUNCTION(confirm _ test _ compiled);
96 /* {{{ PHP _ RSHUTDOWN _ FUNCTION */ /* добавляем объявление экспортируемой функции */
97 PHP _ RSHUTDOWN _ FUNCTION(test) PHP _ FUNCTION(add _ string);
98 {
99 return SUCCESS;
100 } Блок объявлений функций Zend в коде (файл test.с)
101 /* }}} */ строки 16-19. Для каждой видимой для PHP-функции не-
102
103 /* {{{ PHP _ MINFO _ FUNCTION */ обходимо описывать ее в function_entry. Для того чтобы
104 PHP _ MINFO _ FUNCTION(test) добавить новую функцию, необходимо расширить опи-
105 {
106 php _ info _ print _ table _ start(); сание структуры (красным цветом помечен добавленный
текст):

№11, ноябрь 2005 71

 web-программирование
16 function _ entry test _ functions[] = { Далее немного изменим файл test.php:
17 PHP _ FE(confirm _ test _ compiled, NULL)
PHP _ FE(add _ string, NULL)
/* добавляем объявление новой функций */ <?
18 {NULL, NULL, NULL} /* эта строка всегда должна print PHP _ SHLIB _ SUFFIX;
быть последней в описании*/ if(!extension _ loaded('test')) {
19 }; dl('test.' . PHP _ SHLIB _ SUFFIX);
}
$module = 'test';
Макрос PHP_FE(name,arg_types) определяет имя точки $functions = get _ extension _ funcs($module);
echo "Functions available in the test extension:<br>\n";
входа в описании function_entry. foreach($functions as $func) {
Если уже реализовано описание функции и мы хотим echo $func."<br>\n";
}
дополнить API нашего расширения еще одной точкой входа, echo "<br>\n";
т.е. создать псевдоним функции (или alias), тогда мы опреде-
print add _ string($module);
ляем alias с помощью макроса: PHP_FALIAS(name,alias,arg_ ?>
types).
Блок объявлений модуля Zend запоминается в струк- П р и в е р н о й ко м п и л я ц и и в ы з о в фу н к ц и и ad d _
туре zend_module_entry test_module_entry{} (строки 24-40) string($module) выдаст перечень доступных функций и свои
и содержит всю информацию о содержании нашего моду- поздравления: «Congratulations! You have successfully new
ля (расширения). Как правило, нам изменять код в данной function» – это и есть поздравления.
структуре не приходится.
Данные структуры test_module_entry: # php test.php
Functions available in the test extension:<br>
28 "test" , /* имя модуля */. confirm_test_compiled<br>
29 test _ functions, /* ссылка на блок объявлений add_string<br>
функций, стр 16 */ <br>
30 PHP _ MINIT(test), /* ссылка на описание функции Congratulations! You have successfully new function
инициализации модуля,
стр 65-74 */
31 PHP _ MSHUTDOWN(test), /* ссылка на описание функции
деинициализации модуля,
Шаг пятый
стр 76-85 */ Передача параметров
32 PHP _ RINIT(test), /* ссылка на описание функции Вы научились создавать шаблон модуля, добавлять в не-
при инициализации страницы,
стр 88-93 */ го функции. Конечно, функции нужны для того, чтоб что-то
33 PHP _ RSHUTDOWN(test), /* ссылка на описание функции вычислять или производить какие-то действия с данными.
при деинициализации страницы,
стр 96-101 */ Для этого в функцию необходимо передать какой-нибудь
34 PHP _ MINFO(test), ), /* ссылка на описание список параметров и получить результат.
функции, которая выдает
информацию для phpinfo() */ Для передачи параметров из PHP в модуль используют-
35 #if ZEND _ MODULE _ API _ NO >= 20010901 ся макросы. Макрос ZEND_NUM_ARGS() возвращает коли-
36 "0.1", )
/* Номер версии нашего расширения */ чество аргументов, переданное PHP-скриптом в модуль.
37 #endif Можно, например, для контроля количества аргументов
использовать следующий код:
Описание тела самой функции определяется макросом
PHP_FUNCTION (name). Описание функции confirm_test_ if(ZEND _ NUM _ ARGS() != 2) WRONG _ PARAM _ COUNT;
compiled() определено в строчках 121-136. Если вы хотите
добавить новую функцию add_string(), то необходмио скопи- Необходимо заметить, что макрос WRONG_PARAM_
ровать строчки 121-136 ниже и изменить имя функции и со- COUNT определен в $PHP_HOME/Zend/zend_API.h, поэто-
держание того, что она должна выводить (красным цветом му необходимо добавить заголовочный файл:
помечен измененный текст):
#include "zend _ API.h"
/* {{{ proto string confirm _ test _ compiled(string arg) */

PHP _ FUNCTION(add _ string) При выполнении макроса WRONG_PARAM_COUNT

{ будет выдано следующее предупреждение:
char *arg = NULL;
int arg _ len, len;
char string[256]; <b>Warning</b> Wrong parameter count for module test()in /usr/
local/src/php-4.4.0/ext/test/test.php on line 4
if (zend _ parse _ parameters(ZEND _ NUM _ ARGS() ↵
TSRMLS _ CC, "s", &arg, &arg _ len) == FAILURE) Макрос zend_parse_parameters производит анализ
{ return; }
(проверку) параметров.
len = sprintf(string, "Congratulations! You have ↵
successfully new function "); int zend _ parse _ parameters(
RETURN _ STRINGL(string, len, 1);
} /* количество аргументов. Может быть ZEND _ NUM _ ARGS() */
int num _ args TSRMLS _ DC,
/* }}} */
char *type _ spec, /* спецификация */
Нам остается повторить шаг 3 – компиляцию. Надеюсь, /* объявление аргумента в соответствии с его типом*/
arg _ type arg,
она прошла удачно. ...);

72
 web-программирование
Рассмотрим наш пример (файл test.с), строка 129. char *arg = NULL;
int arg _ len, len;
В данном макросе для определения первого аргумен- int i = 0 ;
та – количество переданных параметров – используется char string[256];
ZEND_NUM_ARGS(). if (zend _ parse _ parameters(ZEND _ NUM _ ARGS() ↵
Вторым параметром стоит спецификация «s», кото- TSRMLS _ CC, "s|l", &arg, &arg _ len, ) == FAILURE)
{ return; }
рая указывает на тип передаваемого аргумента – стро-
ка. Третьим и четвертым параметрами являются значе- len = sprintf(string, "Congratulations! You pass ↵
parameters string: %s <br>\n integer: %l ", arg, i );
ния переменных, в которые передается содержание стро- RETURN _ STRINGL(string, len, 1);
ки и ее длины. }
Спецификация определяется символами типа и спец- /* }}} */
символами. Символы типа определяют тип переменной,
притом первый символ типа определяет тип первого аргу- Запуск тестового скрипта выдаст следующие резуль-
мента, второй – второго и так далее… таты:
В PHP API определены следующие символы типа:
l – long; # php test.php
d – double; Congratulations! You pass parameters string: test <br>
s – string (с заключающим нетерминальным ‘\0’) и его Integer: 12

длина;
b – boolean; В случае если на этапе обработки параметров вычис-
r – ресурс; ляются какие-либо ошибки или несоответствия, то можно
a – массив; использовать макрос:
o – объект;
O – объект, определенный как точка входа zval*; php _ error(
E _ WARNING, /* тип сообщения, в данном случае WARNING,
z – Zend – объект(zval*). для ошибки тип E _ ERROR */
message , /* сообщение */
/* имя вызываемой функци */
Ресурс, массив и объект должны иметь тип zval*. [ get _ active _ function _ name( TSRMLS _ C )]
Специальные символы дополняют спецификацию ти- );
пов:
| – определяет границу между обязательными и необя- И последнее, без чего не было бы логического завер-
зательными (опциональными) параметрами. Необяза- шения, так это возвращаемые значения функций. Каждая
тельные параметры в этом случае инициализируются определенная в РНР функция может что-либо возвращать:
значениями по умолчанию. в нашем примере файл test.с возвращает в строке 134 стро-
/ – при анализе параметра вызывает функцию ковое значение (строку string_value длиной lenght_string)
SEPARATE_ZVAL_IF_NOT_REF(), которая предостав- используя Макрос RETURN_STRINGL(string_value, lenght_
ляет копию параметра, если он не является ссылкой. string, duplicate_flag).
! – следующий параметр может специфицировать тип У всех макросов тип возвращаемого значения понятен
или значение NULL (применимо только к типам a, o, O, из их названия. Например, макрос RETURN_LONG(long_
r и z). Если будет значение NULL, то будет установлен value) возвращает значение, определенное типом long.
указатель на переменную параметра в NULL. Существуют следующие макросы:
RETURN_BOOL (bool)
Примеры спецификаций: RETURN_NULL
«ssl|a» – передается три обязательных парамет- RETURN_FALSE
ра («string», «string», «long») и один опциональный, RETURN_TRUE
тип «array». RETURN_DOUBLE(double)
«a/» – передается раздельный массив. RETURN_STRING(string_value, duplicate_flag)
RETURN_EMPTY_STRING()
В качестве примера изменим строку в файле test.php: RETURN_RESOURCE (resource)

<? Следует отметить отличие макроса RETURN_STRINGL()

if(!extension _ loaded('test')) {
dl('test.' . PHP _ SHLIB _ SUFFIX); от RETURN_STRING() в том, что первый макрос работает
} быстрее второго за счет явного определения количества
$module = 'test';
$i = 12; выводимых символов.
print add _ string($module, $i );
?> Вместо заключения
В принципе данных знаний вам будет достаточно для на-
А в файле test.с изменим тело функции add_string: писания простых функций, которые можно использовать
в РНР. Более подробную информацию по данной теме мож-
/* {{{ proto string confirm _ test _ compiled(string arg) */ но найти на официальном сайте: http://ru.php.net/streams
PHP _ FUNCTION(add _ string)
{ или http://zend.com/apidoc/zend.php.

№11, ноябрь 2005 73

 программирование
Редактор для создания скриптов:
PrimalScript 4.0
Существует множество редакторов, позволяющих создавать скрипты. Как правило,
они поддерживают один-два языка программирования. Редактор PrimalScript 4.0, имеет
встроенную поддержку более чем 30 языков программирования, начиная от HTML, XML
и VBScript, и заканчивая узкоспециализированными, такими как KIXTart.
О
том, как пользоваться этим редактором, вы мо-
жете узнать из встроенной справки в редактор
или из официальной документации, опубликованной
на сайте разработчика (http://www.sapien.com). Мы погово-
рим о недокументированных возможностях, вы сможете са-
мостоятельно интегрировать в редактор свои собственные
шаблоны, создавать описание новых языков программиро-
вания, при необходимости вносить изменения в объектную
модель, отображаемую в виде подсказки.
Интегрируем собственные шаблоны
Каждый программист имеет собственные наработки, кото-
рые позволяют ему быстро и качественно создавать раз-
личные скрипты. Получив возможность интегрировать их
в редактор, он сможет еще быстрее их создавать, не тра-
тя время на поиск нужного файла, содержащего шаблон.
Словом, это позволит сделать работу в редакторе еще при-
ятнее и эффективнее.
Создадим шаблон, в котором осуществляется соеди-
нение с Active Directory с помощью ADODB-соединения.
За основу шаблона примем сценарий, с помощью которо-
го осуществляется чтение всех пользователей в AD (о том,
74
Иван Коробко
как осуществляется подключение и чтение данных из AD,
см. статью «Программное управление ADSI: LDAP», №3,
2004 г.):
domain = "LDAP://" + ↵
GetObject("LDAP://RootDSE").Get("defaultNamingContext")
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.CommandTimeout = 120
objConnection.Provider = "ADsDSOObject"
objConnection.Properties("ADSI Flag")=1+2
objConnection.Properties("User ID")="msk\adminstrator"
objConnection.Properties("Password")="password"
objConnection.Properties("Encrypt Password")=TRUE
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.properties("Page size")=10000
objCommand.properties("Timeout")=300
objCommand.properties("Cache Results")=false
Set st=objconnection.execute("SELECT Samaccountname, ↵
description FROM ' " & Domain & " ' ↵
WHERE objectClass='person')
st.Movefirst
Temp=""
Do Until st.EOF
SamAccountName=""
SamAccountName= St.Fields("Samaccountname").Value
Description=""
A _ Description= St.Fields("Description").Value

Рисунок 1. Файловая структура PrimalScript
Рисунок 2. Вид окна Tools для управления отображения меню
с шаблонами
Рисунок 3. Snippet Browser. Пример использования шаблонов
Рисунок 4. Тестовая объектная модель
№11, ноябрь 2005
программирование
For Each AA in A _ Description
Description= Description+AA
Next
Temp=Temp+ "Имя: "+ SamAccountName + "Описание: " + ↵
Description +chr(13)+chr(10)
st.MoveNext
Loop
Wscript.Echo Temp
Из приведенного сценария можно сделать несколько
шаблонов: шаблон определения длинного имени домена,
соединения с AD, SQL-запрос обращения к объекту, чте-
ния данных строка и массив.
Однако ограничимся созданием только одного шабло-
на. По местоположению в скрипте соединение с AD распо-
лагается в самом начале и сразу после него формирует-
ся SQL-запрос.
Выбор создания именно такого шаблона не случаен. Де-
ло в том, что для успешного соединения с AD и чтения/запи-
си данных необходимы административные права доступа.
Как следствие, эти значения параметров необходимо ука-
зать, и они не статичны, поэтому для формирования шаб-
лона скрипт необходимо трансформировать:
Admin _ Name=" "
Password=" "
Set Domain= GetObject("LDAP://RootDSE"). ↵
Get("defaultNamingContextм)
Short _ Domain = mid(Domain, instr(Domain,"=")+1, ↵
instr(Domain,",")-instr(Domain,"=")-1)
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.CommandTimeout = 120
objConnection.Provider = "ADsDSOObject"
objConnection.Properties("ADSI Flag")=1+2
objConnection.Properties("User ID")= Short _ Domain + ↵
"\"+Admin _ Name
objConnection.Properties("Password")=Password
objConnection.Properties("Encrypt Password")=TRUE
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.properties("Page size")=10000
objCommand.properties("Timeout")=300
objCommand.properties("Cache Results")=false
Именно такой шаблон, в котором имя и пароль пользо-
вателя перенесены в начало скрипта, будет просто и удоб-
но использовать.
Определившись с содержанием шаблона, обратим-
ся к файловой структуре редактора PrimalScript. Шаб-
лон представляет собой текстовый файл с расширением
snippet, расположенном в папке «C:\Program Files\SAPIEN\
PrimalScript Professional\Snippets\», если программа уста-
новлена по умолчанию. Иерархическую структуру распо-
ложения шаблонов и описания функций различных язы-
ков определяет структура каталогов и файлы с расшире-
нием snippet (см. рис. 1).
Итак, создадим в каталоге «Snippets» подкаталог «Шаб-
лоны на VBScript», а в нем файл «AD Connection.snippet», ко-
торый является текстовым. Все его содержимое представ-
ляет собой шаблон.
После создания файла и заполнения его содержимым
необходимо перезапустить PrimalScript, чтобы внесенные
в файловую структуру изменения вступили в силу.
Войдя в редактор, необходимо вызвать меню «Snippets
Windows», в котором находятся все шаблоны. Для этого не-
обходимо в меню «Tools» выбрать пункт Options, а в поя-
75
 программирование
вившемся окне войти в «Environment/Nexus Windows» и
сделать активным меню «Snippet Browser», как это показа-
но на рис. 2. Чтобы сделанные изменения вступили в си-
лу, необходимо перезапустить редактор.
Затем в навигаторе «Snippet Browser» (см. рис. 3) по-
мимо 10 встроенных подразделов появится еще один
– «Шаблоны на VBScript», в котором будет один шаблон
«AD Connection». Для его использования необходимо со-
здать файл с расширением VBS и два раза нажать мыш-
кой по файлу. Содержимое файла «AD Connection.snippet»,
содержащее шаблон, будет добавлено в сценарий.
Описываем новую объектную модель
Создание собственных объектных моделей поможет вам
избежать ошибок при создании кода.
Разберем простой пример. На рис. 4 изображена некая
объектная модель, которую предстоит описать. В ней при-
сутствует ряд объектов, которые имеют свойства.
Существует несколько правил описания модели.
По структуре файл представляет собой INI-файлы, которые
раньше активно использовались. Иерархии описываются
с помощью имени раздела. Сами параметры, которые мо-
гут быть объектами или свойствами, различаются симво-
лами «P» или «M» соответственно. Синтаксис строки вы-
глядит следующим образом: сначала пишется идентифи-
катор P или M. Затем пишется название объекта или свойс-
тва, после него уточняющие параметры. Обратите внима-
ние, что в названии раздела и описании значения раздела
между идентификатором и именем объекта символ пробе-
ла не допускается!
Итак, объектная модель любых объектов описывается
в текстовых файлах с расширением «sense», расположенных
в корневом каталоге программы. Как правило, объектная мо-
дель используется при создании скрипта на том или ином
языке программирования. В корневом каталоге редактора
присутствует несколько файлов с расширением «sense». Для
описания нового языка программирования необходимо со-
здать новый файл с таким расширением и описать его в на-
стройках программы. Мы же отредактируем файл, предна-
значенный для создания сценариев на VBScript.
Отображенная иерархическая модель описывается
в файле, как показано на рис. 5, там же показана иерар-
хическая связь объектов. Связанные объекты выделены
Рисунок 6. Демонстрация работы тестовой объектной модели
76
одинаковыми цветами. На-
правления связей (дочер-
ний /родительский объ-
ект) показаны на рисунке
стрелками.
После того как создан-
ный текст добавлен в ко-
нец файла VBScript.sense,
Рисунок 5. Описание объектной
необходимо перезагрузить модели в файле
редактор и создать или от-
крыть любой файл с расширением VBS. Итак, пробуем: на-
бираем Root и видим, что можем выбрать один из объек-
тов: Object_1 или Object_2, или одно из свойств объекта
Root – Property_1 или Property_2 (см. рис. 6). Продолжим
тест. Выберем объект Object_2. В нем мы увидим еще два
свойства и объект – выберем его. У выбранного объекта
Object_2_1 есть единственное свойство Property_2_1_1, ко-
торое мы и выберем.
Добавляем новые функции
в существующие языки
программирования
Существует масса языков программирования, набор фун-
кций которых расширяется до сих пор: выходят новые вер-
сии. Ярким примером представителя такого языка програм-
мирования является KIXTart, который уже несколько лет на-
ходится в активной разработке. С выходом новой версии
в нем становятся доступны новые функции, которые хоте-
лось бы сделать «понятными» для редактора. Для этого нам
опять же придется отредактировать соответствующий файл
с расширением «sense», например, KIXTart.sense.
Приведу пример добавления абстрактной функции
WriteToXml(), которая имеет три параметра: имя файла, за-
писываемый текст и кодировку. Причем кодировка – не обя-
зательный параметр. Исходя из этих условий, функция име-
ет синтаксис:
WriteToXml("filename", "doby" [, "encoding"])
Для того чтобы редактор воспринял «WriteToXml» как
служебное слово, необходимо в файл Kixtart.sense доба-
вить строку:
M, WriteToXml("filename", "doby" [, "encoding"])
Обратите внимание, что пробел между «M» и названи-
ем функции не допускается.
После сохранения файла также необходимо перезагру-
зить редактор, чтобы внесенные в файлы изменения всту-
пили в силу.
Заключение
Теперь, когда вы знаете, как создать собственные шабло-
ны, добавлять описания новых функций и объектные моде-
ли различных объектов для разных языков, хочется наде-
яться, что программирование станет для вас еще большим
удовольствием, поскольку сделан огромный шаг по предуп-
реждению синтаксических ошибок и удобству использова-
ния созданных вами же шаблонов.
 итоги IT-турнира
Сетевой проект для небольшой компании
Наедавно завершился студенческий IT-турнир «Кубок сетевых проектов Microsoft», который
был организован компаниями SoftLine, Microsoft, ZyXEL и Учебным центром ВМК МГУ & SoftLine
Academy (www.it-university.ru). В результате акции по одному и тому же техническому заданию
студенческими командами были разработаны и реализованы различные варианты сетевой
инфраструктуры предприятия, один из которых представлен в статье.
Слово команды «H0lid@ys»
Наша команда принимала участие в студенческом турнире
«Кубок сетевых проектов Microsoft», и по совокупности оце-
нок наш проект занял первое место. В этой статье мы пред-
ставляем вам свое решение, а также комментарии специ-
алистов, обратите внимание, что проект содержит некото-
рые недочёты. На них по ходу статьи оставят свои коммен-
тарии специалисты комиссии, принимавшей у нас этот про-
ект. Полную документацию ищите на сайте организатора,
где проходил этот турнир (http://www.it-university.ru/center/it-
project/windescr.asp).
Состав команды:
Руководитель проекта – Земскова Ольга (студентка 5 кур-
са МИЭМ, Microsoft Certified Systems Administrator).
Исполнитель решения – Цюрюпа Егор (студент 4 курса
МИЭТ).
Составитель проектной документации и демонстра-
тор решения – Ширнин Олег (студент 5 курса МИЭМ,
Microsoft Certified Systems Administrator).
Техническое задание: описание сетевой
инфраструктуры компании
Сетевая инфраструктура компании до начала проектиро-
вания и схема сети уже были приведены в прошлом номе-
ре журнала (№10), и, чтобы не повторяться, здесь укажем
только самые необходимые данные.
До недавнего времени у компании был один офис с одно-
ранговой сетью, не подключенной к Интернету. Недавно был
арендован новый офис, при этом планируется, что оба офи-
са будут подключены к Интернету с помощью высокоско-
ростного ADSL-соединения. Компания уже закупила 5 сер-
веров с OC Microsoft Windows Server 2003 Standard Edition.
Три из них установлены в основном офисе и два – в дополни-
тельном офисе. Все клиентские компьютеры – Windows XP
Professional. Приобретено также беспроводное и ADSL-обо-
рудование компании ZyXEL (P-662HW и P-2602HW), заклю-
чен договор с провайдером и выполнено подключение офи-
сов к Интернету на скорости 7,5 Мбит/с с выделением по од-
ному статическому IP-адресу на каждый офис.
Техническое задание: требования
к проекту
1. Организовать обмен документами между офиса-
ми. В каждом из офисов должен быть файловый сер-
78
Ольга Земскова,
Олег Ширнин, Егор Цюрюпа
вер для хранения и обмена документами между сотруд-
никами офиса, а также для обмена документами между
офисами. Этот сервер предназначен только для хране-
ния деловых документов, запись на него музыкальных
и видеофайлов запрещена. Обмен документами между
офисами должен осуществляться только через локаль-
ный или удаленный файловый сервер. Прямой обмен
документами между клиентскими станциями разных
офисов должен быть заблокирован. Доступ сотрудни-
ков офиса к файловому серверу, расположенному в дру-
гом офисе, должен быть «прозрачным», т.е. не должны
запрашиваться имя и пароль.
2. Защитить информацию при обмене между офиса-
ми. Для защиты передаваемой между офисами ин-
формации должно быть организовано шифрование
на этапе передачи данных через Интернет. При этом
длина ключа шифрования должна составлять не ме-
нее 128 бит.
3. Обеспечить безопасную и эффективную работу
с Интернетом. Организации требуется решение, поз-
воляющее:
Ограничивать доступ в Интернет для отдельных
групп пользователей.
Вести журнал доступа в Интернет и проводить ана-
лиз использования Интернета (наиболее попу-
лярные сайты, объем загруженный из Интернета
тем или иным пользователем и т. д.).
Безопасно публиковать внутренние серверы (веб-
серверы и сервер электронной почты) для обеспе-
чения доступа к ним из Интернета.
4. Обеспечить удобство администрирования сети.
Предложенное решение должно максимально сокра-
щать издержки на администрирование и поддержку
IT-инфраструктуры. Типичные задачи администриро-
вания (создание новых пользователей, разграничение
доступа, развертывание приложений и т. д.) должны вы-
полняться максимально просто.
5. Внедрить систему электронной почты. Компании
требуется внедрение системы электронной почты, поз-
воляющей обмениваться электронной почтой как внут-
ри организации, так и за ее пределами. Поскольку в ор-
ганизации уже давно используется Microsoft Office,
большинство клиентов будут работать с электронной
почтой с помощью Microsoft Outlook, но должна быть

также предусмотрена возможность применения и дру-
гих клиентов электронной почты. Для упрощения пере-
писки крайне желательно, чтобы для любого пользова-
теля был доступен общий адресный список, содержа-
щий электронные адреса всех пользователей органи-
зации.
6. Реализовать беспроводное подключение в офи-
сах. В обоих офисах решено организовать беспровод-
ной доступ к сети организации для приезжающих тор-
говых представителей и партнеров. Всех беспроводных
клиентов можно разделить на два класса:
Беспроводные клиенты, которым требуется ограни-
ченный доступ к документам организации (доступ
к определенным общим папкам) и доступ к Интерне-
ту. Обычно это партнеры, приезжающие на несколь-
ко дней и работающие в офисе.
Беспроводные клиенты, которым не требуется до-
ступ к документам организации, но требуется до-
ступ к Интернету.
Для обоих классов клиентов беспроводной доступ дол-
жен быть аутентифицированным. Беспроводное реше-
ние также должно обеспечивать конфиденциальность
передаваемого беспроводного трафика путем шифро-
вания. Длина ключа шифрования – не менее 128 бит.
При шифровании беспроводного трафика требуется
периодическая смена ключа шифрования для затруд-
нения криптографических атак.
7. Установить веб-сервер организации. Веб-студией
разработан веб-сайт компании, который должен быть
размещен на одном из серверов основного офиса и к ко-
торому требуется обеспечить доступ из Интернета.
Запись www.eurostroy-m.ru внесена в DNS-зону
eurostroy-m.ru, которая поддерживается DNS-сервером
провайдера. Эта запись соответствует статическому
IP-адресу, выделенному провайдером при подключении
основного офиса к Интернету через ADSL-соединение.
По предварительным оценкам, объем информации, за-
гружаемый с сайта, не превысит 300 Мб в сутки.
Реализация проекта
После анализа технических требований проекта командой
были приняты следующие решения:
Требования 1 и 2
Согласно ТЗ выделено только по одному «реальному»
IP-адресу на каждый из офисов, поэтому в офисах ком-
пании будет применена частная IP-адресация (согласно
RFC1918). Для подключения к Интернету будет исполь-
зовано устройство, выполняющее функции NAT (network
address translator). Для маршрутизации между сетями офи-
сов, каждая из которых находится за NAT-устройством,
между этими устройствами будет установлен шифрован-
ный VPN-туннель. В качестве кандидатов на VPN-прото-
кол могут рассматриваться PPTP, L2TP или IPSec в тун-
нельном режиме. Командой был выбран протокол PPTP
как более простой в настройке и обеспечивающий требо-
вания ТЗ. После настройки VPN-туннеля серверы и рабо-
чие станции одного офиса смогут непосредственно взаи-
модействовать с серверами и рабочими станциями дру-
№11, ноябрь 2005
итоги IT-турнира
Рисунок 1. Схема сети предприятия, предложенная командой
H0lid@ys
гого офиса, как если бы они просто находились в разных
сегментах одной локальной сети.
Требование 3
Поскольку стоит задача устанавливать разный уровень
доступа к Интернету для различных пользователей и вес-
ти удобный журнал использования Интернета, необходи-
мо выбрать подходящее решение. Если в качестве уст-
ройства-шлюза будет использован интернет-центр ZyXEL,
то в полном объеме требование выполнить не удастся. По-
этому следует применить специализированный Firewall/
Proxy server. В качестве такого решения командой был вы-
бран MS ISA Server 2004. Его основное достоинство – обес-
печение контроля доступа в Интернет не по IP-адресам ком-
пьютеров, а по пользователям Active Directory. Причем при
попытке пользователя выйти в Интернет с использовани-
ем любой программы (браузер, FTP-клиент, ICQ и т. д.) ау-
тентификация пользователя проходит для пользователя
абсолютно незаметно. Это достигается путем установки
на каждом клиентском компьютере специального ПО, на-
зываемого «Firewall Client». Важно заметить, что установка
Firewall Client не является обязательной, она лишь позволя-
ет обеспечить аутентификацию для любых Winsock-прило-
жений, а не только для веб-браузеров.
Также ISA Server позволяет анализировать трафик, ко-
торый передается между офисами по VPN-туннелю и кон-
тролировать доступ между ними. Так можно выполнить
требование: «Прямой обмен документами между клиент-
скими станциями разных офисов должен быть заблоки-
рован». ISA Server 2004 может ввести журнал как в файл,
так и в базу данных, а также имеет удобные средства пос-
троения отчетов.
Поскольку ISA Server 2004 используется как шлюз для
доступа в Интернет, он должен быть расположен меж-
ду сетью офиса и Интернетом и выполнять функции NAT.
Тем не менее подключение к Интернету уже выполнено с ис-
пользованием интернет-центра ZyXEL, который также яв-
ляется NAT-устройством. Решить проблему можно несколь-
кими способами, например, запросив у провайдера допол-
нительные IP-адреса и организовав маршрутизацию, или
перевести интернет-центр в режим моста (если это позво-
ляет провайдер). Команда решила просто настроить на ин-
тернет-центре трансляцию всех портов (port translation) для
входящих запросов. В этом случае все запросы, поступаю-
79
 итоги IT-турнира
щие на внешний IP-адрес интернет-центра ZyXEL, перена-
правляются на внешний IP-адрес компьютера MS ISA Server
2004 и тот же самый порт.
При отправке клиентом пакета в Интернет, этот пакет
идет следующим путем:
1. Клиент.
2. ISA Server 2004 (NAT+контроль доступа в Интернет).
3. Интернет-центр ZyXEL (NAT).
4. Маршрутизатор провайдера и далее – в сеть Интернет.
Простота настройки и поддержки. В минимальном вари-
анте настройки после установки MS Exchange достаточ-
но задать почтовый домен организации (@eurostroy-m.ru)
и можно приступать к созданию почтовых ящиков.
Наличие встроенного доступа к электронной почте через
веб-браузер по протоколу HTTP – Outlook Web Access.
Этот метод может применяться, например, сотрудником
компании для доступа к почте из интернет-кафе, если
сотрудник находится в командировке.

Требование 4 Комментарий экспертов

Служба каталогов Active Directory (AD) позволит сократить Для повышения безопасности электронной почты можно размес-
затраты на администрирование по сравнению с одноранго- тить SMTP Relay на отдельном компьютере, расположенном в сети
вой сетью. С помощью единой системы AD можно органи- 10.1.1.0. Эту роль может выполнить компьютер – веб-сервер, если
зовать прозрачный доступ пользователя ко всем ресурсам он будет перемещен из внутренней сети в DMZ (см. ниже коммен-
(общим папкам, принтерам, своему хранилищу электрон- тарий к «Требованию 7»). На этом же компьютере можно устано-
ной почты), а также обеспечить централизованное управле- вить программу блокирования спама и проверки почты на виру-
ние клиентскими компьютерами с помощью Групповой по- сы. Это позволит затруднить атаки, явно направленные против
литики (Group policy). При внедрении AD в сети с несколь- MS Exchange Server. Вся входящая почта будет приходить снача-
кими офисами встает вопрос о количестве доменов. Можно ла на SMTP Relay, где будет проверяться на вирусы и спам, а за-
внедрить в компании один домен или два домена – по одно- тем уже будет пересылаться на MS Exchange Server. Это изме-
му домену в каждый офис (в одном лесу AD). Команда вы- нение конфигурации также потребует изменения правил транс-
брала вариант с одним доменом. К преимуществам этого ляции портов на интернет-центре и изменения правил публика-
варианта можно отнести простоту и надежность. Отказоус- ции на ISA Server.
тойчивость AD достигается установкой по одному контрол-
леру домена в каждом офисе. Для оптимизации трафика Требование 6
репликации AD и трафика входа пользователей в сеть со- Беспроводной доступ клиентов к сети организации обес-
здано 2 сайта (site) AD, которые включают IP-адреса соот- печивается с помощью интернет-центра ZyXEL. Для аутен-
ветствующего офиса. тификации применяется механизм 802.1x (с применени-
ем протокола PEAP), поддерживаемый современным бес-
Требование 5 проводным оборудованием и клиентскими операционны-
Внедрение системы электронной почты требует установ- ми системами Windows 2000 и Windows XP. С использова-
ки одного или нескольких почтовых серверов. Основную нием 802.1x (PEAP) аутентификация выполняется следую-
проблему представляет наличие единого адресного спис- щим образом:
ка всей организации. Этот список должен храниться в од- Клиентский компьютер пересылает на беспроводную
ном экземпляре, чтобы все изменения, вносимые в него, точку доступа имя и пароль для аутентификации.
сразу были видны всем клиентам. Поскольку в компании Точка доступа пересылает эти учетные данные на сер-
используется MS Office, в качестве сервера был выбран вер RADIUS, адрес которого задается при настройке
MS Exchange Server 2003 Standard Edition. Эта редакция точки доступа.
имеет ограничение 16 Гб на максимальный размер поч- Сервер RADIUS проверяет имя и пароль любым подде-
тового хранилища (mailbox store), что вполне достаточно рживаемым им способом. В случае успешной провер-
для нужд этой компании. ки сервер RADIUS с помощью пакета Access-Accept со-
Выбор MS Exchange Server 2003 в качестве системы общает точке доступа, что доступ для клиента разре-
электронной почты предоставляет компании следующие шен. После этого точка доступа разрешает обмен кад-
преимущества: рами между клиентом и проводной сетью, а также дру-
Единый адресный список всей компании (формируется гими беспроводными клиентами.
на основе учетных записей в Active Directory). При со-
здании для пользователя почтового ящика его адрес Сервер RADIUS (известный в Windows как IAS – Internet
немедленно становится доступен в общем адресном Authentication Service) входит в состав ОС Windows Server
списке. 2003. При этом проверка имени и пароля проводится ли-
Интеграция с Active Directory. Доступ к почтовому ящи- бо с использованием локальной базы учетных записей
ку осуществляется «прозрачно», без запроса отдельно- Windows, либо с использованием базы учетных записей
го имени и пароля, так как для аутентификации пользо- Active Directory (по умолчанию). Для работы 802.1x (PEAP)
вателя используются его доменные учетные данные. необходимо также наличие цифрового сертификата на сер-
Хранение всей электронной почты, личных контактов, вере RADIUS, поэтому для выписки сертификатов на од-
задач, заметок и т. д. на сервере. При этом все выше- ном из компьютеров установлена служба сертификации
перечисленные элементы будут доступны пользовате- (Certificate Services), которая также входит в состав Windows
лю с любого компьютера и даже за пределами органи- Server 2003.
зации (через Outlook Web Access). Плюсами технологии 802.1x (PEAP) являются:

80

Аутентификация по именам и паролям, что позволяет
вести журнал подключений и отслеживать попытки до-
ступа к беспроводной сети.
Лучшая управляемость, поскольку для смены пароля
достаточно изменить его в Active Directory и не требу-
ется перенастройка точки доступа.
Автоматическое согласование ключей шифрования тра-
фика (WEP) между точкой доступа и клиентом при под-
ключении, что позволяет повысить безопасность бес-
проводного доступа и выполнить требование ТЗ.
Для шифрования беспроводного трафика был приме-
нен протокол шифрования WEP 128 бит.
Доступ к сети для беспроводных пользователей контроли-
руется политикой удаленного доступа, созданной на сервере
RADIUS. Эта политика разрешает подключение к беспровод-
ной сети членам группы безопасности WLAN Access в рабочее
время по рабочим дням. Эта группа в свою очередь включает
две глобальные группы безопасности: WLAN Users и WLAN
Computers. Группа WLAN Users включает в себя группы WLAN
Users Visitors (включает пользователя wlan_visitor) и WLAN
Users Partners. Группа WLAN Computers не используется в сце-
нарии, однако спроектирована с расчетом на то, что компа-
ния в будущем будет владеть беспроводными компьютерами –
членами домена. Кроме того, политика беспроводного досту-
па предусматривает повторную аутентификацию пользовате-
ля в сети каждые 15 минут (Session Timeout), что является ре-
комендуемым временем для смены пароля WEP.
Беспроводному клиенту, которому требуется только
доступ к Интернету, сообщается имя и пароль пользова-
теля wlan_visitor. Этому пользователю явно запрещен до-
ступ к общим ресурсам. Если же клиенту требуется доступ
как к Интернету, так и к сети организации, ему сообщается
имя и пароль учетной записи, специально созданной для
этого человека администратором и включенной в группу
WLAN Users Partners. В обоих случаях беспроводной пользо-
ватель попадает в сеть 10.x.x.x, для которой на соответству-
ющем шлюзе ISA Server публикуется внутренний файловый
сервер, расположенный на контроллере домена (ISA Server
2004 Server Publishing rule, протокол CIFS Server).
Комментарий экспертов
Применение криптографически слабого протокола WEP в данном
сценарии ничем не оправдано. Рекомендуется применение прото-
кола WPA, поддержка которого имеется как в оборудовании ZyXEL,
так и в ОС Windows XP. Это потребует всего лишь выбора соот-
ветствующей опции при настройке интернет-центра ZyXEL и при
настройке беспроводных клиентов.
Публикация на ISA Server протокола CIFS для беспроводных
клиентов (для обеспечения доступа к общим папкам на контрол-
лере домена) не кажется хорошей идеей. На наш взгляд, лучше
было бы создать на самом компьютере ISA Server отдельную об-
щую папку, открыть к ней доступ из сети 10.x.x.x и использовать
ее для обмена данными между сотрудниками организации и бес-
проводными клиентами.
Требование 7
По соображениям безопасности веб-сервер в основном
офисе (MS IIS 6.0) было решено разместить на отдельном
№11, ноябрь 2005
итоги IT-турнира
Рисунок 2. Схема сети предприятия с учетом предложенных
экспертами изменений
сервере, не входящем в домен. Сервер публикуется на ISA
Server 2004 основного офиса с помощью стандартного пра-
вила публикации веб-серверов.
Комментарий экспертов
Размещение веб-сервера во внутренней сети организации не
является хорошей практикой. Рекомендуется перенос веб-сер-
вера в сеть 10.1.1.0, которая находится между интернет-центром
и ISA Server. При этом необходимо будет перенастроить интернет-
центр так, чтобы выполнялась не полная трансляция всех пор-
тов на адрес ISA Server, а только трансляция портов для прото-
кола PPTP. После этого на интернет-центре нужно будет задать,
что порты 80 TCP (HTTP) и 25 TCP (SMTP) будут транслировать-
ся на IP-адрес веб-сервера.
Заключение экспертов
Команда очень тщательно подошла к планированию про-
екта. В качестве положительных моментов можно отме-
тить использование одного домена (согласно ТЗ приме-
нение двух доменов видится неоправданным) и реали-
зованную полную отказоустойчивость основных служб
(AD, DNS, DHCP). Тем не менее решение получилось до-
вольно дорогим (стоимость операционных систем соглас-
но ТЗ не учитывалась). Дополнительные затраты потребо-
вались на приобретение 2-х экземпляров ISA Server 2004
Standard Edition и MS Exchange Server Standard Edition. При-
мерная стоимость решения составила $6935 (MS Exchange
Server Standard Edition + 35 Клиентских лицензий + 2 шт.
MS ISA Server 2004 Standard Edition). Для сравнения – не-
которые команды реализовали проект, используя толь-
ко встроенные возможности оборудования ZyXEL и ОС
Microsoft Windows (правда, в ущерб некоторой функцио-
нальности).
Рекомендуемая схема сети предприятия с учетом пред-
ложенных экспертами изменений приведена на рис. 2.
В целом сложность проекта соответствовала квали-
фикации Сертифицированного Системного Админист-
ратора Microsoft (MCSA), а большинство настроек изу-
чалось в учебных курсах Microsoft «MS-2273 Управле-
ние и поддержка среды Microsoft Windows Server 2003»
(http://www.it-university.ru/courses/ms-2273.asp) и «MS-2277
Внедрение, управление и сопровождение сетевой ин-
фраструктуры Windows Server 2003: сетевые службы»
(http://www.it-university.ru/courses/ms-2277.asp).
81
 хобби
Глядя в унылое осеннее

Десять красок неба небо Петербурга, я знаю,

почему герой нашего
очерка выбрал себе такое
увлечение. Ему захотелось
разукрасить стылую
панораму небес, уронить
на нее кляксу яркой краски,
чтобы ожил и зацвел сам
воздух. Чтобы возникла
перед взором радуга
детства. Предполагаю,
что отсылка в пору юной
беззаботности будет
оспорена нашим героем,
но, скажите, какие
ассоциации возникают
у вас при словосочетании
«воздушный змей»?

К
онечно, солнце, луг и веселые Именно так его и зовут – Ара. Пото- ных змеев демонстрируют собствен-
босые пятки автора затеи. Ни- му что змей переливается неправдо- ные произведения. Здесь изготовле-
куда не деться – картина де- подобно сочными красками. В закат- ние небесных птиц сродни искусству,
тства. Впрочем, Дмитрий Репин начал ном свете солнца он пурпурно-чер- поэтому формы, цвета, узоры не удив-
делать воздушных змеев не в босоно- ный, и при взгляде на его двухметро- ляют – поражают.
гую пору, а будучи взрослым челове- вый размах крыльев охватывает поч- – Меня воздушные змеи интере-
ком, серьезным компьютерным спе- ти мистический восторг. суют не с точки зрения их летных ка-
циалистом. Он так и говорит: полгода Ира смеется – их птицы раз от ра- честв, – признается Дмитрий, – а с эс-
назад вдруг посетила уверенность, что за становятся крупнее в размерах, тетической точки зрения. Да, есть
в его руках обретут жизнь воздушные на что Дмитрий резонно отвечает: стандартные геометрические формы,
птицы. Не откладывая дело в долгий чем больше воздушный змей, тем эф- есть планы их построения, но воздуш-
ящик, наш герой нашел оконные шта- фектнее он смотрится в небе. А вооб- ный змей – это не летательный аппа-
пики, связал и заклеил бумагой. Со- ще, когда в воздух поднимается не- рат. Если хотите, это способ самовы-
оружение даже полетало немного во сколько змеев – это зрелище гран- ражения, способ отразить свой внут-
дворе. С этого, можно сказать, и на- диозное. ренний мир. В частности поэтому, из-
чалась жизнь петербургских небесных В Японии и Китае устраиваются це- готовление змеев было бы полезным
змеев. Пока их в коллекции Дмитрия лые фестивали, где создатели воздуш- занятием для детей.
около десятка. Увы, самого первого Я смотрю на фотографию послед-
сохранить не удалось, зато некоторые него воздушного змея Дмитрия и Иры,
его детали пригодились другим небес- который демонстрировался на автовы-
ным собратьям. ставке, и соглашаюсь с нашим героем.
Как человек, у которого уже есть Банальным треугольником или ромбом
полугодичный опыт создания воз- трудно выразить свои мироощущения.
душных змеев, Дмитрий утверждает, Человек создан, чтобы творить. Пос-
что взлететь может все. Даже аллюми- ледний змей Дмитрия и Иры – это на-
ниевая крышка от кастрюли. Главное, стоящее творение. Голова китайско-
правильно привязать веревки и пой- го дракона из папье-маше, длинное
мать сильный ветер. В Японии, к при- туловище, окольцованное лоскутами
меру, запускают змеев до 800 кило- огненной ткани. Ни дать, ни взять ска-
граммов весом! Я, безусловно, восхи- зочный персонаж.
щаюсь гигантоманией японцев, но бли- – Сколько времени уходит на созда-
же сердцу все же двух-трехметровые ние воздушного змея?
красавцы Дмитрия. Он и его жена Ира, – Всегда по-разному. От одного дня
которая работает системным админис- до нескольких недель. Саму конструк-
тратором, показывают фотографии цию соорудить несложно, гораздо тя-
летнего полета воздушного змея Ара. Китайский дракон желее придумать и воплотить в жизнь

82
 хобби

Воздушный змей – это не летательный аппарат, а способ Запуск воздушного змея из кальки
самовыражения
декор. Занятие простое, но занимает Самое любопытное, что ни Дима, рассказать себе и миру, как прекрас-
очень много времени. Как правило, ин- ни Ира сами никогда не парили в не- но, в сущности, бытие.
женерная идея – моя, а Ира занимает- бе: не прыгали с парашютом. Хотя Ди- – Есть ли у вас единомышленни-
ся дизайном. ма мечтает об этом. А еще подумы- ки в городе?
– Следующий воздушный змей, ка- вал сделать дельтаплан, но очень уж – Ни в городе, ни в России не встре-
ким он будет? ответственность большая. Надо быть чал. Оказывается, воздушными зме-
– Сейчас я размышляю над конс- профессионалом, поскольку дельтап- ями никто в нашей стране серьезно
трукцией, которая могла бы склады- лан – это крылья для человека. Диле- не увлекается.
ваться. Причём так, чтобы с ней мог тантство в данном случае может сто- – А за рубежом?
управиться человек, который в пер- ить кому-то жизни. – Думал о том, чтобы завязать пе-
вый раз держит в руках змея. До этого Я спрашиваю Дмитрия, не меша- реписку с иностранными создателя-
все наши змеи были практически не- ет ли увлечение работе системным ми воздушных змеев, но пока не пы-
разборными. Это неудобно и нетранс- администратором. Нет, отрицатель- тался, хочется сначала научиться де-
портабельно. Если змей будет склады- но кивает головой, наоборот, хобби – лать что-то достойное, достигнуть оп-
ваться, его можно отвезти, выпустить это отдушина. ределенного мастерства, чтобы было
в поле. Был бы ровный ветер. Что ж, вполне понимаю и даже не стыдно показать, скажем, китайс-
– На какую высоту поднимается представляю, как приятно прийти ве- ким «змееводам».
воздушный змей? чером в теплый уют квартиры и уви- – Мне кажется, Дмитрию и Ире
– Насколько хватает нити на катуш- деть на стене, на диване, на полу час- это обязательно удастся – выйти
ке – пятьдесят метров. ти еще не сложенного, не склеенного, на высокий уровень мастерства. Не-
– И свободно парит? но уже рожденного персонажа тво- д аром фамилии у них харак тер -
– Да. ей жизни. Приблизиться к нему и па- ные… Репин и Сурикова. Вы соглас-
– Птицы удивляются? рой движений определить его черты ны со мной?
– Не то слово, – улыбается Ира. – и формы и уже мысленно проследить,
Изумлены! как возносится в небо твоя попытка Наталья Алексютина

Чем занимаются системные администраторы

в свободное от работы время?
Давно известно, что если единствен-
ный интерес человека в жизни – ра-
бота, то спустя довольно непродол-
жительное время этот человек чахнет
и для общества пропадает. Ежеднев-
ный маршрут «работа-дом» становится
мягкой клеткой, из который выбрать-
ся подчас не так-то просто. Редакция
журнала с удовольствием представ-
ляет вашему вниманию новую руб-
рику «Хобби». В этой рубрике мы бу-
дем рассказывать о том, как прово-
дят свое свободное ваши коллеги, ка-
кие хобби и увлечения помогают спра-
виться с ежедневной рутиной, а заодно
с пользой и интересом провести име-
ющееся свободное время. Пора поло-
жить конец «цивилизованному» отды-
ху перед монитором (или телевизором)
и «национальному спорту» по продав-
ливанию дивана. Мы надеемся, что ка-
кая-то из статей поможет вам най-
ти своё увлечение, которое позволит
в редкие свободные от забот часы от-
дыхать душой и телом. Если у вас есть
хобби или увлечение, о котором вы хо-
тели бы рассказать – пишите на адрес
sekretar@samag.ru. Полет Ары под Павловском

№11, ноябрь 2005 83

 ретроспектива

Alpha, или История одной архитектуры

Павел Болотов
Долгое время процессоры архитектуры Alpha были теми немногими, к производительности
которых стремились. Тем не менее в последнее время информация об этой архитектуре почти
исчезла со страниц новостных обзоров, а заодно и из списков предлагаемой продукции.
Может создаться впечатление, что архитектура канула не иначе, как в мир иной.

П
олулегендарная архитектура пускниками Массачусетского техноло- высокий однокамерный холодильник)
Alpha, в прошлом долгое вре- гического института, Кеннетом Ольсе- и умеренной стоимости (около 18 тыс.
мя лидировавшая в плане про- ном (Kenneth Olsen) и Харланом Андер- долл. США за базовую конфигурацию
изводительности среди многочислен- соном (Harlan Anderson). в ценах 1965 года).
ных RISC- и CISC-архитектур, своим Первое время они проектировали Ещё 4 года спустя был запущен
существованием была обязана аме- и выпускали разного рода элементар- в производство 36-битный PDP-10,
ные модули для компьютерной техни- потомок экспериментального PDP-6,
риканской Digital Equipment Corporation
(сокращённо DEC). Прежде чем при- ки того времени. позиционируемый для требователь-
ступить к рассмотрению этой инте- Но уже в 1960 году был выпущен ных к производительности научных,
их первый компьютер, 18-битный промышленных и военных расчётов.
ресной архитектуры, стоит кратко рас-
сказать об истории компании-основа- PDP-1 (Portable Data Processor – 1), спо- Несмотря на высокую цену, модифи-
собный производить около 100 тыс. кации оригинального PDP-10 успеш-
тельницы, хотя бы потому, что она то-
го вполне заслуживает. операций в секунду. но продавались вплоть до середины
В 1964 году был представлен 1980-х годов.
PDP и VAX, 12-битный PDP-8, который справедли- Другой интересной разработкой
или Древние времена во считают первым серийно выпускае- компании того времени был 16-бит-
Корпорация была основана в 1957 го- мым «мини-компьютером» из-за отно- ный PDP-11, потомок PDP-8. Благо-
ду двумя инженерами, бывшими вы- сительно небольших размеров (с не- даря сбалансированной архитекту-

84

ре, имеющей в своей основе систем-
ную шину Unibus (или её модификации
под названием Q-bus), а также вследс-
твие простого набора команд и относи-
тельно невысокой себестоимости мо-
дельный ряд PDP-11 быстро обретал
популярность.
Стоит отметить, что клоны PDP-11
выпускали и в странах бывшей Орга-
низации Варшавского Договора: СМ-4,
СМ-1420, СМ-1600, ИЗОТ-1016, ДВК...
Хотя PDP-11 был очень успешной
разработкой (к слову, на нём и на PDP-7
было осуществлено первое издание
ОС UNIX в Bell Laboratories в 1971 го-
ду), но обладал одним существенным
недостатком: ограничением на макси-
мальный размер адресного пространс-
тва в 64 Кб, следующим из его 16-бит-
ности. Поэтому в 1975 году внутри ком-
пании началась работа двух конкури-
рующих проектов, призванных опре-
делить направление будущих разра-
боток.
Один из них назывался «Едино-
рог» (Unicorn) и развивал идеи, зало-
женные в PDP-10.
Второй проект, «Звезда» (Star), на-
ходился под руководством Гордона
Белла (Gordon Bell) и работал над усо-
вершенствованием PDP-11.
После анализа результатов обоих
направлений проект «Единорог» был
закрыт, как и разработка 36-битной
архитектуры PDP-10 в целом, а про-
ект «Звезда» дал начало новой 32-бит-
ной архитектуре VAX (Virtual Address
eXtension), являвшейся улучшенной
реализацией PDP-11.
В октябре 1977 года было пред-
ставлено первое материальное воп-
лощение этой архитектуры – модель
11/780, а в феврале следующего го-
да была выпущена новая операцион-
ная система для этой аппаратной плат-
формы – VMS (Virtual Memory System),
вскоре переименованная в VAX/VMS, а
позже и в OpenVMS. На машины архи-
тектуры VAX также была портирована
классическая ОС UNIX.
Если кратко подвести итоги, то мож-
но уверенно сказать, что архитектура
VAX была достойным наследником
PDP-11. Её модельный ряд насчиты-
вал несколько десятков наименова-
ний – от компактных рабочих стан-
ций до 6-процессорных тяжёлых сер-
веров. По сей день тысячи VAX рабо-
тают в многочисленных промышлен-
№11, ноябрь 2005
ных и военных структурах, что уже го-
ворит о многом.
PRISM и Alpha,
или Наступление RISC
Тем не менее начало 1980-х годов оз-
наменовалось наступлением RISC-ар-
хитектур. Хотя первые из них, MIPS
и SPARC, всё ещё не могли сущест-
венно потеснить VAX, но в перспекти-
ве их потенциал был более значителен.
Разумеется, это не означало неизбеж-
ное поражение VAX в ближайшем бу-
дущем, но в долгосрочной перспекти-
ве её шансы на удержание большой
доли рынка рабочих станций и сер-
веров были сомнительны, а на толь-
ко что сформировавшемся рынке пер-
сональных компьютеров хозяйничали
Intel и Motorola (с постепенным преоб-
ладанием первой).
Поэтому руководство DEC с 1982
года финансировало несколько внут-
ренних проектов по RISC-разработ-
кам (Titan, SAFE, HR-32, CASCADE),
а в 1985 году свело их в один под на-
званием PRISM (PaRallel Instruction Set
Machine), находившийся под руководс-
твом Дэвида Катлера (David Cutler). Хо-
тя к 1988 году проект 32-битного RISC-
процессора всё ещё находился в про-
цессе разработки, руководство ком-
пании сочло дальнейшее финанси-
рование нецелесообразным и закры-
ло его. В знак протеста Катлер ушёл
в Microsoft, где возглавил подразделе-
ние по разработке Windows NT (тогда
ещё именовавшейся OS/2 3.0).
В середине 1989 года руководство
компании приняло решение возобно-
вить работу над собственным RISC-
процессором, но на этот раз постанов-
ка задачи была несколько иная. Новый
процессор должен был быть изначаль-
но 64-битным, но в то же время иметь
минимум несовместимостей с архи-
тектурой VAX, что должно было облег-
чить портирование под него существу-
ющей программной базы. К тому же
конкуренты в лице MIPS и Sun были
уже в процессе перехода на 64-бит-
ные решения.
Была создана рабочая группа под
руководством Ричарда Витека (Richard
Witek) и Ричарда Сайтса (Richard Sites),
которая разработала процессор под
кодовым названием Alpha, представ-
ленный 25 февраля 1992 года в То-
кио. Он был представителем «чистой»
ретроспектива
64-битной архитектуры (в противовес
MIPS, SPARC, PA-RISC и POWER, быв-
ших изначально 32-битными и только
со временем расширенных до 64-бит-
ных), оперировавшей инструкциями
фиксированной длины (по 32 бита),
обладал 32 целочисленными 64-бит-
ными и 32 вещественными 64-битны-
ми регистрами, работал с 43-битными
виртуальными адресами (с расшире-
нием вплоть до 64-битных в перспек-
тиве для архитектуры) и использовал,
как VAX, little-endian порядок следова-
ния байт (то есть, когда младший байт
регистра занимает при записи млад-
ший адрес в памяти), который тради-
ционно поддерживался Intel в противо-
вес к big-endian (где младший байт ре-
гистра занимает при записи старший
адрес в памяти), внедрённому Motorola
и поддерживаемому конкурентными
RISC-архитектурами того времени.
Стоит отметить, что блок вещест-
венных вычислений поддерживал про-
извольный доступ к вещественным
регистрам в отличие от процессоров
архитектуры x86, которые работали
с примитивным стековым доступом.
В целом новая архитектура выгля-
дела серьёзным заделом на будущее,
поэтому заявленный срок её подде-
ржки и развития в 25 лет особого удив-
ления не вызывал.
С точки зрения набора инструкций,
архитектура шла по пути достаточного
минимализма, чтобы облегчить скоро-
стное декодирование и облегчить кон-
вейеризацию вычислений. Например,
инструкции целочисленного деления
аппаратно отсутствовали, так как бы-
ли наиболее сложными из целочислен-
ных и плохо поддавались конвейери-
зации, а потому просто эмулировались,
так как на практике необходимость
в их использовании возникала относи-
тельно редко. Все инструкции условно
подразделялись на 5 категорий:
для целочисленных вычислений;
для вещественных вычислений;
для отработки условных и безу-
словных переходов, а также срав-
нения;
для загрузки и сохранения дан-
ных;
д ля специфических за дач
(PALcode).
В целом ставка делалась на до-
стижение высоких тактовых частот,
85
 ретроспектива
но не в ущерб надёжности или масш-
табируемости. Кроме того, новая ар-
хитектура была «настоящей» RISC.
Для облегчения понимания концеп-
туальных различий между RISC-про-
цессорами (Reduced Instruction Set
Computing) и CISC-процессорами
(Complex Instruction Set Computing)
приводятся следующие ключевые мо-
менты:
длина инструкции: фиксированная
в RISC (вне зависимости от харак-
тера инструкции), но произвольная
в CISC (в зависимости от характе-
ра инструкции);
набор инструкций: сбалансирован-
ный в RISC (подбираемый с точки
зрения удобства выполнения про-
цессором) и широкий в CISC (под-
бираемый с точки зрения удобства
программиста);
доступ к памяти: разрешён только
для инструкций загрузки/сохране-
ния в RISC, но без подобного огра-
ничения в CISC.
Alpha 21064,
или Штурм рынка
Первый Alpha-процессор предпо-
лагалось запустить в производство
на очень высокой тактовой часто-
те – 150 МГц, а впоследствии довести
до 200 МГц при тех же производствен-
ных нормах. С этой задачей конструк-
торы и технологии DEC успешно спра-
вились. Процессор получил рыноч-
ное название 21064 («21» указывал,
что он являлся представителем архи-
тектуры XXI века, «0» – процессорное
поколение, «64» – разрядность в би-
тах), а архитектура получила название
Alpha. Процессоры этой архитектуры
также часто можно встретить и под ко-
довыми именами. Например, у 21064
оно было EV4 («EV» предположитель-
но является аббревиатурой «Extended
VAX», а «4» – поколением техпроцесса,
CMOS4, что в свою очередь есть аб-
бревиатура Complementary Metal Oxide
Semiconductor).
EV4 поступил в производство на пе-
редовом для того времени 3-слой-
ном 0,75 мкм техпроцессе, который
был впоследствии модифицирован
до 0,675 мкм (CMOS4S). В архитек-
турном плане процессор состоял из
одного целочисленного конвейера
(E-box, 7 стадий), одного веществен-
ного конвейера (F-box, 10 стадий), де-
86
Первый процессор Alpha – 21064 (EV4)
кодера и планировщика (I-box), бло-
ка загрузки/сохранения (A-box), конт-
роллера кэш-памяти и системной ши-
ны (C-box). Расчёт виртуальных ад-
ресов, обычно входящий в функции
A-box, производился на целочислен-
ном конвейере E-box.
Процессор содержал 8 Кб кэша
инструкций (I-cache, instruction cache)
и 8 Кб кэша данных (D-cache, data
cache), а также поддерживал вне-
шний кэш 2-го уровня (B-cache, back-
up cache) размером до 16 Мб (обыч-
но от 512 Кб до 2 Мб), хотя шина до-
ступа к нему мультиплексировалась
с системной, что несколько ограничи-
вало производительность, но упроща-
ло разводку (сокращало количество
требуемых выходных контактов про-
цессора и проводников на материнс-
кой плате). Кроме всего прочего, при-
сутствовала поддержка многопроцес-
сорного режима.
Несмотря на отличные показате-
ли производительности, EV4 был до-
вольно дорог для многих потенциаль-
ных покупателей, поэтому в сентябре
1993 года был представлен его уде-
шевлённый собрат – 21066 (он же LCA4
или LCA4S). Будучи основан на яд-
ре EV4, этот процессор дополнитель-
но включал поддержку контроллеров
PCI и оперативной памяти, а также не-
которых менее важных функций. Одна-
ко разрядность системной шины была
урезана со 128 до 64 бит, а тактовые
частоты были занижены (от 100 МГц
до 166 МГц). В остальном процессор
производился по тому же CMOS4S тех-
процессу, что и поздние EV4, хотя уже
месяц спустя был анонсирован 21064A
(EV45), модифицированный вариант
EV4, производимый по 4-слойному 0,5
мкм CMOS5 техпроцессу.
В ноябре 1994 года была пред-
ставлена почти аналогично модифи-
цированная версия LCA4 – 21066A
(LCA45).
Стоит отметить, что привычка мар-
кетологов DEC добавлять букву к мо-
дели процессора при перепроектиров-
ке под новый техпроцесс сохранилась
и в дальнейшем.
В то время как LCA45 архитектур-
но почти не отличался от LCA4, то раз-
меры I-cache и D-cache у EV45 были
удвоены, что не могло не отразиться
на производительности. К тому же бла-
годаря новым техпроцессам удалось
поднять тактовые частоты процессо-
ров: до 300 МГц у EV45 и до 233 МГц
у LCA45. Для сравнения, самые быст-
рые процессоры архитектуры x86 то-
го времени, Intel Pentium и Intel 486DX4,
соответственно работали на такто-
вых частотах в 66 МГц и 100 МГц мак-
симум.
Первые наборы системной логики
(чипсеты) для EV4 были спроектиро-
ваны для использования периферий-
ных шин TURBOchannel, FutureBus+
и XMI. Несмотря на то что эти шины
были весьма скоростными для свое-
го времени (около 100Мб/с на шину),
они не получили широкого распро-
странения.
Поэтому DEC начала активно раз-
рабатывать поддержку стандартных
шинных интерфейсов, таких как PCI
и ISA (EISA). В начале 1994 года был
выпущен чипсет DEC Apecs в двух ис-
полнениях (для 128-битной и 64-бит-
ной 33 МГц системной шины, модели
21072 и 21071 соответственно), под-
держивающий 32-битную 33 МГц ши-
ну PCI. Между прочим, 21072 состоял
из 6 микросхем, а 21071 – из 4. Под-
держка шины ISA или EISA добавля-
лась установкой стандратного мос-
та на шину PCI типа i82378IB (ISA)
или i82378EB (EISA).
Что касалось ценовой политики,
то первые системы на основе про-
цессоров Alpha стоили весьма нема-
ло. Например, выпущенная в октябре
1992 года рабочая станция DEC 3000
Model 500 AXP (кодовое имя Flamingo)
в комплекте с 19-дюймовым монито-
ром стоила 39 тыс. долл. США, а пред-
ставленные в июле 1994 года рабочие
станции на EV45 DEC 3000 Model 900
AXP и Model 700 AXP (кодовые имена
Flamingo45 и Sandpiper45) предлага-
 ретроспектива
лись по цене в 43,4 тыс. и 27,7 тыс. $ щая логика, хотя размер I-cache был
соответственно. увеличен вдвое. В конечном итоге пло-
щадь ядра уменьшилась ещё на треть,
Alpha 21164, а максимальная тактовая частота со-
или Битва за лидерство ставила 533 МГц. Со временем на про-
Информация о процессоре архитекту- изводственных мощностях Samsung
ры Alpha следующего поколения, 21164 был начат выпуск 0,28мкм вариант это-
(EV5), была впервые озвучена на кон- го процессора (PCA57), который отли-
ференции в Пало-Альто (Калифорния, чался удвоенными размерами I-cache
США) 14 августа 1994 года, хотя офи- и D-cache, планка максимальной так-
циальный выход датировался 7 сен- товой частоты была поднята до 666
тября того же года. Процессор являл- МГц, а площадь ядра опять удалось
ся экстенсивной модификацией ядра сократить на треть. Между прочим, у
EV45, что выражалось в удвоенном ко- PCA56 и PCA57 было ещё одно, на
личестве целочисленных и веществен- Процессор Alpha – 21164A (EV56)
этот раз позитивное, отличие от EV56:
ных конвейеров, причём число стадий новый набор инструкций MVI (Motion
последних было сокращено с 10 до 9. влять операции загрузки/сохранения Video Instructions), нацеленный на ус-
Тем не менее функционально конвейе- не только квантами по 32 или 64 би- корение обработки видео- и аудио-
ры всё же были несколько неоднород- та, изначально поддерживаемые ар- данных путём векторизации вычисле-
ны, что экономило транзисторы логики хитектурой, но и по 8 или 16 бит. В ос-ний, подобно набору инструкций MMX
и в то же время обеспечивало эффек- новном это было вызвано падением для процессоров архитектуры x86.
тивную балансировку нагрузки. Впол- производительности при эмуляции Для процессоров поколения EV5
не логично, что возможности I-box бы- кода архитектуры x86. EV56 отличал- было разработано несколько стандар-
ли также расширены вдвое (выборка ся от EV5 более новым техпроцессом, тных чипсетов. Первый из них, 5-чи-
и декодирование 4 инструкций за такт), 4-слойным 0,35 мкм CMOS6, который повый DEC Alcor (21171), поддержи-
иначе бы этот блок стал «узким мес- позволил довести тактовую частоту до вал 128-битную 33МГц системную ши-
том» процессора. Что касалось кэш- 600МГц. Samsung, лицензировавший ну и 256-битную шину памяти, a так-
памяти, то размеры и организация I- EV56 июне 1996 года, производил его же 64-битную 33МГц шину PCI. Встро-
cache и D-cache остались аналогичны по аналогичному техпроцессу, но чуть енный контроллер IDE отсутствовал,
таковым у EV4, зато появился интег- более успешно – максимальная такто- равно как и мост PCI-ISA(EISA), то есть
рированный кэш 2-го уровня (S-cache, вая частота составляла 666 МГц. Кро- они по-прежнему устанавливались от-
secondary cache) размером в 96 Кб, ко- ме того, переход на новый техпроцесс дельными микросхемами. Так как для
торый в значительной мере компен- означал и уменьшение площади ядра реализации BWX требовалась под-
сировал недостатки I-cache и D-cache. (приблизительно на треть), что зна- держка со стороны чипсета, то одно-
Стоит отметить, что EV5 был первым чительно сократило стоимость про- временно с выпуском EV56 появился
в истории процессором с S-cache. изводства по сравнению с EV5. В це- DEC Alcor 2 (21172), только этим и от-
Впридачу была сохранена подде- лом EV56 всё ещё оставался лиде- личавшийся от 21171. Следующей раз-
ржка B-cache, размеры которого мог- ром по производительности, но ему работкой стал DEC Pyxis (21174), кото-
ли составлять вплоть до 64 Мб (обыч- было всё сложнее конкурировать рый уже поддерживал 66 МГц систем-
но от 1 Мб до 4 Мб), принцип мульти- с 64-битными RISC-соперниками в ли- ную шину той же разрядности и вдвое
плексирования сохранялся, равно как це Hewlett-Packard PA-8000 и PA-8200, более узкую (128-битную) шину памя-
поддержка 128-битной системной ши- Sun UltraSPARC I и UltraSPARC II, MIPS ти, хотя это компенсировалось под-
ны и многопроцессорного режима ра- R10000 и IBM POWER3. Первое поколе- держкой оперативной памяти SDRAM
боты. Хотя EV5 и производился по то- ние процессоров Alpha было легче про- вместо морально устаревшей и более
му же техпроцессу, что и EV45, коли- двигать на рынке, так как его единс- медленной FPM DRAM. Также имелся
чество транзисторов в его ядре увели- твенными 64-битными соперниками чипсет не от DEC, предназначенный
чилось более чем 3 раза, в основном были процессоры MIPS, которые ока- в поддержку PCA57 – VLSI Polaris.
за счёт S-cache. Максимальная такто- зались первыми на этом поприще.
вая частота составила только 333МГц, К тому же с выходом Intel Pentium Pro Что случилось с DEC?
что было вполне предсказуемо, так пришлось начать серьёзную борьбу за 28 января 1998 года произошло собы-
как использовался всё тот же техпро- место под солнцем и с CISC-процессо- тие, ставшее одним из ключевых в ис-
цесс (CMOS5). рами архитектуры x86, которые были тории архитектуры Alpha: DEC, буду-
В октябре 1995 года вышел в свет в лучшем положении по количествен- чи в тяжёлом финансовом положении,
несколько доработанный вариант EV5 ным и ценовым показателям. находится в процессе покупки извес-
под названием 21164A (EV56), основ- Однако, стремясь ещё более уде- тным сборщиком компьютерной тех-
ным архитектурным отличием кото- шевить EV56, DEC в сотрудничестве ники – Compaq Computer Corporation.
рого была поддержка дополнительно- с Mitsubishi выпустила 17 марта 1997 Вскоре сделка была утверждена соб-
го набора инструкций BWX (Byte-Word года 21164PC (PCA56), у которого от- раниями акционеров обеих компаний,
eXtension), позволяющего осущест- сутствовал S-cache и соответствую- и уже менее чем через полгода DEC

№11, ноябрь 2005 87

 ретроспектива
официально прекратила своё сущес- тва компании в 1970-х годах, остался рентоспособность архитектуры Alpha.
твование, когда 11 июня того же года проигнорированным. Осталось только Тем не менее, DEC разрабатывала ма-
её акции были сняты с торгов на Нью- заметить, что архитектура VAX на про- теринские платы для массового рынка
Йоркской фондовой бирже. В целом тяжении всей истории её существова- (так называемые Evaluation Board или
размер покупки составил 9,6 млрд. $. ния оставалась закрытой, другими сло- AlphaPC), которые производились как
Так сказать, факт имеет место, но как вами – жила своей жизнью внутри ком- на мощностях компании, так и други-
могло случиться, что одна из крупней- пании. Естественно, что за конкуренто- ми производителями (Aspen, Polywell,
ших компаний IT-индустрии (по состоя- способными альтернативами от других Enorex и пр.), поскольку схемотехни-
нию на 1989 год имевшая 130 тыс. че- производителей дело не стало. ка этих плат была в свободном досту-
ловек персонала и годовой объём про- Что касалось непосредственно ар- пе. Только одна компания, DeskStation,
даж в 14 млрд. $, что было вторым по- хитектуры Alpha, то несмотря на то, разработала свой дизайн, отличный
казателем по отрасли после IBM) бы- что первые процессоры показывали от стандартного. Однако серверный
ла вынуждена продать себя другой производительность, значительно опе- рынок Alpha-систем, как наиболее при-
компании? На этот вопрос есть мно- режающую любые решения из мира быльный, DEC держала под своим еди-
го ответов. персональных компьютеров, DEC-та- ноличным контролем.
Наиболее часто упоминаемой ки упустила шанс вернуть былое мо- Несмотря на то, что архитектура
ошибкой руководства DEC является гущество в массовых решениях. Пос- Alpha, в отличие от архитектуры VAX,
тот факт, что компания так и не смог- ле того, как первые образцы EV4 были была объявлена открытой, консорци-
ла адаптироваться к изменению тре- представлены на конференции в фев- ум по её развитию так и не был со-
бований рынка в 1980-х и 1990-х годах, рале 1991 года, ими очень заинтересо- здан, поэтому исследовательско-про-
вызванных так называемой революци- вались присутствовавшие там инже- ектировочные работы велись усилия-
ей персоналок. Со слов Кеннета Оль- неры Apple Computer, занимавшиеся ми DEC, иногда совместно с Mitsubishi.
сена (Kenneth Olsen), основателя, пре- поиском новой архитектуры для буду- В конечном итоге получалось, что клю-
зидента и главного исполнительного щих компьютеров компании, которые чевые разработки патентовались со-
менеджера компании почти до само- в то время базировались на процессо- ответствующим образом и подлежа-
го её конца, «хорошие с инженерной рах семейства Motorola 68K. В июне то- ли платному лицензированию, если
точки зрения продукты продают себя го же года с Ольсеном связался Джон вообще подлежали. Излишне уточнять,
сами» и «нет причины, из-за которой Скалли (John Sculley), главный испол- что такая политика мало способство-
каждый захотел бы иметь компьютер нительный менеджер Apple, с предло- вала успешному продвижению архи-
у себя дома». Как показывает практи- жением об использовании EV4 и буду- тектуры на рынке.
ка, с эволюцией рынка компьютерной щих процессоров в компьютерах Apple. Далее, архитектура Alpha офици-
техники и его проникновением во все- Однако Ольсен отклонил это предло- ально поддерживала три операци-
возможные области деятельности че- жение, мотивируя тем, что процессор онные системы: Windows NT, Digital
ловека, повышением интеграции от- ещё не готов для рынка, а архитектура UNIX (также известная как OSF/1, поз-
дельных компонентов и уменьшени- VAX ещё не исчерпала свой потенциал. же как Tru64 UNIX) и OpenVMS, при-
ем стоимости отдельно взятых компью- Несколько месяцев спустя было объяв- чём именно в таком порядке приори-
терных систем оба вышеприведённых лено, что новые компьютеры Apple бу- тетности. Разумеется, Windows NT бы-
выражения полностью утратили свой дут использовать процессоры PowerPC ла продуктом от Microsoft, в то время
смысл. А вместе с ними таяли и пози- от альянса Apple, IBM и Motorola. как две другие ОС были разработаны
ции компании на рынке. Немаловажным фактором в про- в DEC. Однако недостатков у Windows
В то же время, если какое-либо движении архитектуры Alpha на рын- NT было немало. Эта ОС не поставля-
движение нельзя подавить, то его сто- ке была ценовая политика DEC, а так- лась с набором средств для разработ-
ит возглавить. В начале 1980-х годов, же поддержка партнёров и рядовых ки программного обеспечения (компи-
когда рынок персональных компьюте- сборщиков готовых систем. DEC про- ляторами, ассемблерами, отладчика-
ров ещё только формировался, хотя изводила процессоры и чипсеты этой ми, пр.), а потому зависела от готово-
и очень быстрыми темпами, DEC рас- архитектуры на своих производствен- го ПО, преимущественно коммерчес-
полагала всей необходимой финансо- ных мощностях в Хадсоне (Массачу- кого. Фактически же количество до-
вой и технической базой, чтобы громко сетс). Она также производила мно- ступного ПО для архитектуры Alpha
заявить о своём присутствии. Вместо гочисленную периферию для Alpha- было в несколько раз меньше ана-
этого компания продолжала концент- систем (TGA-видеокарты, сетевые логичного показателя для архитекту-
рировать усилия на рынке серверов адаптеры и пр.). Основная масса ры i386. Правда, в 1996 году коман-
и рабочих станций, преимуществен- Alpha-систем производилась на сбо- дой Антона Чернова (Anton Chernoff)
но на основе архитектуры VAX, не ве- рочных мощностях компании и про- был выпущен FX!32, замечательный
ря в то, что примитивные дешёвые давалась под её именем. Несмотря эмулятор и транслятор кода архитек-
«персоналки» будут способны пошат- на то, что качество комплектующих туры i386 в «родной» для архитекту-
нуть устои рынка в целом и позиции и сборки было на высоте, цены на го- ры Alpha, однако падение производи-
DEC в частном. Очевидно, тот факт, товые решения были значительно вы- тельности по сравнению с изначально
что именно массовые решения в стиле ше сопоставимых на основе архитекту- «родным» кодом как минимум на 40%
PDP-11 создали основу для могущес- ры x86, что серьёзно ухудшало конку- было неизбежным. Ещё хуже обстоя-

88
 ретроспектива
ло с драйверной поддержкой, так как
немногие производители сочли нуж-
ным поддерживать архитектуру Alpha.
Для полноты картины осталось заме-
тить, что Windows NT (3.51 и 4.0) была
32-битной ОС, даже несмотря на то,
что работала на 64-битной архитекту-
ре. Вполне естественно, что это отнюдь
не прибавляло производительности.
Что касается Digital UNIX и OpenVMS,
то эти 64-битные ОС так и не смогли
составить достойной альтернативы
Windows NT в силу дороговизны (свы-
ше 1000 $ за одну копию), а также ещё Процессор Alpha – 21264 (EV6) Процессор Alpha – 21264B (EV68C)
более узкой аппаратной и програм-
мной поддержки. Другие же UNIX-по- от пропускной способности кэшей ся как массовому решению, несмотря
добные ОС с открытым кодом (NetBSD, и оперативной памяти. Как необхо- на приблизительно вдвое более высо-
Linux, OpenBSD и FreeBSD) не подде- димое дополнение к этой технологии, кую производительность в расчёте на
рживались DEC вообще. Мотивы не процессор поддерживал переименова- единицу тактовой частоты, чем у EV56.
совсем ясны, но определённо эти ОС ние регистров (register renaming). Ито- Да и собственно максимальная часто-
могли составить достойную конкурен- го, EV6 мог переупорядочивать в лю- та была немалой – 600 МГц.
цию Digital UNIX и OpenVMS. бой момент времени до 80 инструк- Архитектура EV6 была настоль-
В мае 1997 года DEC подала в суд ций, а также располагал дополнитель- ко удачной, что пережила несколь-
на Intel, обвиняя последнюю в нару- ными 48 целочисленными и 40 физи- ко технологических воплощений в
шении 10 патентов на архитектуру ческими регистрами (количество ло- том же конструктиве. В конце 1999
Alpha при проектировании процессо- гических, то есть программных, оста- года появился 21264A (EV67) на ос-
ров Pentium, Pentium Pro и Pentium II. лось прежним – по 32). Количество це- нове 0,25 мкм CMOS7 процесса от
В сентябре того же года Intel ответи- лочисленных конвейеров было увели- Samsung, располагавший частотным
ла встречным иском, обвиняя в нару- чено до 4, из которых 2 могли рассчи- потенциалом в 833МГц. В 2000 году
шении 14 своих патентов. Примирение тывать виртуальные адреса. Что ка- IBM воплотила EV6 в своём 0,18 мкм
произошло 27 октября 1997 года, ког- салось логики C-box, то её ожида- CMOS8 процессе с медными про-
да обе компании отозвали свои пре- ли кардинальные изменения: разме- водниками под названием 21264B
тензии. По условиям «мирного догово- ры I-cache и D-cache были увеличены (EV68C), что позволило пересечь гига-
ра» DEC предоставила Intel производс- до 64 Кб каждый, S-cache был упраз- герцевый барьер и достичь 1250 МГц.
твенные права на всю свою продукцию днён, a внешний B-cache размером Несколько запоздавшая альтернати-
(кроме непосредственно относящейся от 1 Мб до 16 Мб подключался через ва от Samsung при тех же 0,18мкм, но
к архитектуре Alpha), также согласи- независимую 128-битную шину дан- с морально устаревшими алюминие-
лась поддерживать в будущем архи- ных с 20-битной шиной адреса и ра- выми проводниками, смогла добрать-
тектуру IA-64, в то время как Intel вы- ботал на частоте от 1/8 до 2/3 часто- ся только до 940 МГц.
купила у DEC за 625 млн. долл. США ты ядра. Для формирования B-cache Для EV6 и его прямых потомков
её фабрику в Хадсоне вместе с про- обычно использовались микросхемы было спроектировано два чипсета:
ектными центрами в Остине (Техас) синхронной статической памяти с от- DEC Tsunami (21272, он же Typhoon)
и Иерусалиме (Израиль), а также обя- ложенной записью (late-write), а позд- и AMD Irongate (AMD-751), хотя пос-
залась производить процессоры Alpha нее и с применением технологии DDR. кольку AMD Athlon использовал почти
в будущем. Для полноты картины был Был полностью заменён системный аналогичную системную шинную ар-
подписан договор о кросс-лицензиро- шинный интерфейс: шина данных ста- хитектуру, не должно было быть про-
вании патентов сроком на 10 лет. ла 64-битной, но использовала техно- блемой адаптировать чипсеты других
логию DDR, а кроме того, использова- производителей, но этого не произош-
Alpha 21264, лась звездообразная топология под- ло. DEC Tsunami был высокомасшта-
или Время реванша ключения (то есть каждый процессор бируемым чипсетом, так как состоял
В феврале 1998 года был выпущен подключался к чипсету по выделенно- из нескольких микросхем и позволял
в кремнии процессор следующего по- му каналу). Технологически EV6 про- строить как однопроцессорные, так
коления архитектуры, 21264 (EV6). изводился по тому же процессу, что двух- и четырёхпроцессорные систе-
В архитектурном плане этот процес- и EV56, но с дополнительными дву- мы (от 1 до 4 C-chips). Ширина кана-
сор сильно отличался от предыдущего мя слоями металлизации, хотя пло- ла данных шины памяти могла быть от
поколения, так как поддерживал вне- щадь его ядра была на треть больше, 128 до 512 бит (от 2 до 8 D-chips), так-
очередное выполнение (out-of-order что предполагало более высокую се- же могло подключаться несколько кон-
execution), что позволило снизить за- бестоимость и автоматически не да- троллеров шин PCI (по одному P-chip
висимость функциональных устройств вало шансов процессору состоять- на шину). AMD Irongate был одночипо-

№11, ноябрь 2005 89

 ретроспектива
вым решением, хотя и предполагал
подключение южного моста. Он под-
держивал только однопроцессорный
режим и узкий 64-битный канал дан-
ных шины памяти, поэтому мог пре-
тендовать только на звание относи-
тельно недорогого решения для рабо-
чих станций.
Compaq и Hewlett-Packard,
или Cмена хозяев
Как показала история, Compaq доволь-
но своеобразно распорядилась насле-
дием в виде архитектуры Alpha. Стоит
заметить, что приобретение DEC мо-
тивировалось вовсе не достоинства-
ми и перспективами этой архитекту-
ры, а широкой сетью дистрибьюции
компьютерной техники (в 98 странах),
кросс-лицензионным соглашением
с Intel (позволяющим строить тяжёлые
сервера), а также всё ещё значитель-
ными сборочными мощностями. Поэто-
му уже в июне 1998 года был заключён
альянс с Samsung, а также была сов-
местно образована компания Alpha
Processor Inc., в ведение которой бы-
ли предоставлены маркетинговые ас-
пекты развития архитектуры.
Однако уже в начале 1999 года
Compaq охватил внутренний кризис,
результатом которого стал уход глав-
ного исполнительного менеджера Эк-
харда Пфайфера (Eckhard Pfeiffer)
и падение курса акций приблизитель-
но в 2 раза. Компания начала свора-
чивать финансирование неприори-
тетных сфер деятельности, в которых
числился и сегмент продукции Alpha.
23 августа 1999 года было объявлено
о прекращении участия в разработке
Windows 2000 для Alpha, что вскоре
подтвердила Microsoft. Это означало
уход с рынка рабочих станций, кото-
рый из-за пассивных действий Compaq
и Samsung к тому времени фактичес-
ки состоялся.
В последующие два года шла ба-
нальная распродажа имеющейся аппа-
ратной и программной базы архитек-
туры, пока 25 июня 2001 года Compaq
официально не заявила о переводе
своих серверных решений с архитек-
туры Alpha на IA-64 (то есть Itanium)
к 2004 году. В принципе, на этом мес-
те можно было бы опустить занавес,
но 3 сентября того же года Hewlett-
Packard заявила о своих намерениях
приобрести Compaq, что и было осу-
90
ществлено к началу 2002 года. К слову, лась 0,13мкм версия EV7 под названи-
Hewlett-Packard была ещё меньше, чем ем EV79, которая должна была харак-
Compaq, заинтересована в развитии теризоваться более низкой себестои-
и продвижении архитектуры на рын- мостью и более высокими тактовыми
ке, так как обладала собственной ар- частотами, но её выпуск так и не со-
хитектурой PA-RISC, а также состояла стоялся. Компания ограничилась за-
в альянсе с Intel по развитию архитек- пуском в августе 2004 года чуть бо-
туры IA-64. Если коротко, то дни архи- лее быстрой версии EV7 под названи-
тектуры Alpha были сочтены, а её офи- ем EV7z, работавшей с тактовой час-
циальная кончина стала вопросом не- тотой в 1250 МГц и производимой со-
далёкого будущего. гласно прежним технологическим нор-
мам. Как следовало из официально-
Alpha 21364, го пресс-релиза, это был последний
или Кризис жанра процессор архитектуры Alpha, под-
Однако в феврале 2002 года всё-таки тверждением чего служила буква «z»
был выпущен запоздавший процес- в названии. Также было объявлено,
сор 21364 (EV7), которому предстояло что Hewlett-Packard будет продавать
стать основателем последнего поколе- сервера и рабочие станции архитекту-
ния архитектуры. Этот процессор был ры Alpha до 2006 года, а поддерживать
основан на почти неизменённом ядре до 2011 года, но не более того. Факти-
EV6, к которому было добавлено не- чески, на этом и можно было бы пос-
сколько новых функциональных уст- тавить точку в этом повествовании,
ройств: два контроллера Direct Rambus но хотелось бы сделать завершаю-
DRAM PC800 (два Z-box), многофунк- щее лирическое отступление. Так и не
циональный маршрутизатор для свя- состоявшийся процессор 21464 (EV8),
зи с соседними процессорами и пери- разрабатываемый Compaq вплоть до
ферией (R-box) и вновь появившийся 25 июня 2001 года, должен был стать
S-cache размером в 1,75 Мб, а B-cache действительно новым поколением ар-
был упразднён. Каждый Z-box подде- хитектуры, а не довешиванием новых
рживал 5 каналов памяти (4 основ- функций к старому ядру, как это случи-
ных и 1 вспомогательный), шириной лось с EV7. По имеющейся информа-
по 18 бит каждый (16 бит для данных ции, он должен был располагать удво-
и 2 бита для кодов ECC), а суммарная енным количеством основных конвейе-
теоретическая пропускная способ- ров (8 целочисленными и 4 веществен-
ность памяти одного 1150 МГц процес- ными), а для их эффективной загруз-
сора составляла 12,3 ГБ/с (оба Z-box ки должна была присутствовать под-
и R-box работали на 2/3 частоты яд- держка технологии SMT (Simultaneous
ра). Каждый процессор в системе мог Multi-Threading), которая позволила
работать как с оперативной памятью, бы одновременное выполнение 4 про-
подключённой непосредственно к его граммных потоков. Размер S-cache
контроллерам, так и с подключённой предполагалось довести до 3 Мб. Ожи-
к контроллерам других процессоров. даемая тактовая частота должна бы-
Функцию связи между процессорами, ла составить 1,8 ГГц, что должно было
которых в одной системе могло быть вновь вывести архитектуру Alpha в ли-
до 128, выполнял R-box, поддержи- деры по производительности. Однако
вающий 4 скоростных канала с про- не сложилось.
пускной способностью в 6 ГБ/с каж- История знает немало случаев, ког-
дый, а также 1 дополнительный канал да товар с лучшими техническими ха-
для связи с периферией. Технологи- рактеристиками уступал место на рын-
чески EV7 производился по тому же ке более или менее ущербному това-
7-слойному 0,18 мкм CMOS8 процессу, ру. Причины могут быть совершенно
что и EV68C, но благодаря большому S- разными, хотя чаще всего преоблада-
cache площадь его ядра достигла ре- ет ценовой фактор. Потребителя ма-
кордных размеров, на треть превысив ло интересуют технические преиму-
площадь и без того немассового EV6. щества того или иного решения. Та-
Это предрешило судьбу EV7, исполь- кова жизнь.
зовавшегося исключительно в очень
дорогих рабочих станциях и серверах Редактор рубрики
Hewlett-Packard. Хотя в планах и значи- Кирилл Тихонов
 bugtraq

Отказ в обслуживании в диссекторе Отказ в обслуживании в Cisco

IRC-протокола в Ethereal при обработке ISAKMP IKE-сообщений
Программа: Ethereal 0.10.13. Программа: Cisco IOS versions based on 12.2SXD, 12.3T,
Опасность: Средняя. 12.4 and 12.4T, Cisco PIX Firewall версии до 6.3(5), Cisco
Описание: Уязвимость существует при обработке диссек- PIX Firewall/ASA версии до 7.0.1.4, Cisco Firewall Services
тора IRC-протокола. Удаленный пользователь может с по- Module (FWSM) версии до 2.3(3), Cisco VPN 3000 Series
мощью специально сформированного IRC-пакета вызвать Concentrators версии до 4.1(7)H и 4.7(2)B, Cisco MDS Series
зацикливание приложения и потребить все доступные ре- SanOS версии до 2.1(2).
сурсы на системе. Опасность: Средняя.
URL производителя: www.ethereal.com. Описание: Уязвимость существует при обработке Phase 1
Решение: Установите последнюю версию (0.10.13-r1) до- протокола обмена сообщениями IKEv1. Удаленный пользо-
ступную по CVS. ватель может вызвать отказ в обслуживании.
URL производителя: www.cisco.com.
Обход каталога в веб-консоли Решение: Установите исправление с сайта производите-
в продуктах F-Secure ля.
Программа: F-Secure Anti-Virus for Microsoft Exchange 6.40,
F-Secure Internet Gatekeeper 6.42, 6.41, 6.40. Повышение привилегий
Опасность: Низкая. в F-Secure Anti-Virus
Описание: Уязвимость существует из-за ошибки в веб-кон- Программа: F-Secure Internet Gatekeeper for Linux вер-
соли. Удаленный пользователь может с помощью символов сии до 2.15.484, F-Secure Anti-Virus Linux Gateway версии
обхода каталога просмотреть произвольные файлы на сис- до 2.16.
теме. В конфигурации по умолчанию веб-консоль разреша- Опасность: Низкая.
ет подключения только с localhost. Описание: Уязвимость существует из-за того, что програм-
URL производителя: www.f-secure.com. мное обеспечение устанавливает на некоторые сценарии
Решение: Установите последнюю версию с сайта произ- (/opt/f-secure/fsigk/cgi/*suid.cgi и /home/virusgw/cgi/*suid.cgi)
водителя. SUID-бит и делает их исполняемыми для всех пользовате-
лей. Локальный пользователь может с помощью этих сце-
Обход каталога и межсайтовый нариев повысить свои привилегии на системе.
скриптинг в GNUMP3d URL производителя: www.f-secure.com.
Программа: GNUMP3d версии до 2.9.6. Решение: Установите последнюю версию с сайта произ-
Опасность: Средняя. водителя.
Описание: 1. Межсайтовый скриптинг существует из-за
недостаточной обработки входных данных при отображе- Отказ в обслуживании при обработке
нии страницы с ошибкой 404 в браузере жертвы. Удален- RPC-запросов в Microsoft Windows
ный пользователь может выполнить произвольный HTML- Программа: Microsoft Windows 2000, Microsoft Windows
сценарий в браузере жертвы в контексте безопасности уяз- XP SP1.
вимого сайта. Опасность: Средняя.
2. Обход каталога возможен из-за недостаточной филь- Описание: Уязвимость существует при обработке RPC-за-
трации входных данных при обработке ссылки. Удаленный просов в Microsoft Windows. Удаленный пользователь мо-
пользователь может с помощью специально сформирован- жет с помощью специально сформированного RPC-за-
ного URL, содержащего символы обхода каталога, просмот- проса вызвать отказ в обслуживании системы или заста-
реть произвольные файлы на системе. вить процесс services.exe потребить все доступные ресур-
URL производителя: www.gnu.org/software/gnump3d. сы на системе.
Решение: Установите последнюю версию (2.9.6) с сайта URL производителя: www.microsoft.com.
производителя. Решение: В настоящее время способов устранения уязви-
мости не существует.
Переполнение буфера в Freeftpd
Программа: Freeftpd 1.0.8. Переполнение буфера в CHM Lib
Опасность: Высокая. Программа: CHM Lib 0.36 и более ранние версии.
Описание: Уязвимость существует при обработке входных Опасность: Высокая.
данных в команде USER. Удаленный пользователь может Описание: Переполнение стека обнаружено в функции
послать серверу слишком длинную строку, вызвать пере- _chm_decompress_block() при обработке входных данных.
полнение стека и выполнить произвольный код на целевой Удаленный пользователь может с помощью специально
системе. Удачная эксплуатация уязвимости возможна при сформированного .chm-файла выполнить произвольный
включенном логировании. код на целевой системе.
URL производителя: www.freeftpd.com. Решение: Установите последнюю версию (0.37) с сайта
Решение: Установите последнюю версию (1.0.9) с сайта производителя.
производителя. Составил Александр Антипов

№11, ноябрь 2005 91

 книжная полка

Linux. Сетевая архитектура. Структура

Книга по сути является очень подроб-
ным справочником для программиста
по сетевой подсистеме Linux. Матери-
ал четко и грамотно структурирован.
Всего в книге семь частей, повество-
вание идет от простого к более сложно-
му. В первой части вы познакомитесь
с общим устройством ядра, узнаете
его структуру. Среди рассмотренных
тем: монолитные архитектуры и мик-
и реализация сетевых протоколов в ядре
Клаус Вейрле, Франк Пэльке, Хартмут Риттер,
Даниэль Мюллер, Марк Бехлер
роядра, процессы ядра Linux, блоки- экранах, NAT. Также упомянуто о PIv6.
ровка – атомарные операции, модули Часть книги, посвященная транспорт-
ядра, драйверы устройств, управление ному уровню, представлена тремя гла-
памятью в ядре, синхронизация, фай- вами, в которых рассказано о TCP/UDP
ловая система proc и контроль версий. и концепции сокетов. Весь вышеизло-
После вводного экскурса начинается женный материал сопровождается до-
материал, непосредственно связан- статочно большим количеством приме-
ный с сетями. Архитектура сетевой ре- ров, как та или иная вещь реализована
ализации – система связи, управление в системе. Книга – настоящая находка
сетевыми пакетами в ядре, сетевые ус- для программистов, пишущих или же-
тройства, сетевые драйверы. Из треть- лающих начать писать сетевые прило-
ей части книги вы узнаете о канальном жения под Linux, юных «хакеров» ядра
уровне, протоколах SLIP, PPP, техно- и просто людей, которым интересно,
логии PPP поверх Ethernet, асинхрон- как устроено ядро изнутри.
ном режиме передачи ATM, Bluetooth
и прозрачных мостах. В части, посвя- Издательство: «КУДИЦ-ОБРАЗ»
щенной сетевому уровню, рассказано Год издания: 2006
о протоколах TCP/IP, IPv4, реализацию, Количество страниц: 656
опции и маршрутизацию протокола IP, ISBN: 5-9579-0094-X
arp, управлении трафиком для подде- Цена: ≈ 456 руб.
ржания качества обслуживания, от- К н и г а п р е д о с т а в л е н а и з д а т е л ь с т в о м
слеживании соединений, межсетевых «КУДИЦ-ОБРАЗ».

Волоконная оптика. Теория и практика

Уникальное в своем роде издание.
Единственная доступная на русском
языке книга, в которой так удачно
и грамотно изложены все основные
концепции работы с оптическим во-
локном. Материал излагается в хро-
нологическом порядке, начиная от про-
ектирования и заканчивая тестирова-
нием сети.
В разделе «Введение» люди, толь-
ко начинающие знакомиться с новой
для себя технологией, узнают о исто-
Девид Бейли, Эдвин Райт
рии волоконной оптики и смогут срав-
нить оптоволоконные и кабельные сис-
темы. Основные определения и фун-
даментальные принципы вы узнаете,
прочитав вторую часть книги, в кото-
рой рассказано про передатчики, при-
емники, каналы связи и их типы, ре-
жимы передачи данных, свет, элект-
ромагнитный спектр, факторы, влия-
ющие на производительность тради-
ционных кабелей (коаксиальный, ви-
тая пара), а также о источниках помех
и шума в кабелях. Достаточно подроб-
но освещена теория волоконно-опти-
ческой оптики – фундаментальные
принципы действия, природа переда-
чи света стеклом, числовая апертура,
модовое распространение в волок-
нах, полоса пропускания, спектраль-
ное уплотнение, эффекты при пере-
даче оптического сигнала, производс-
тво волокон.
Часть, посвященная конструктив-
ным элементам волоконно-оптическо-
го кабеля, представлена материалом
об оценке растяжения волокон, струк-
турных элементах кабеля, компонен-
тах усиления, волоконном футляре
и водоотталкивающем барьере. Сре-
ди прочего в книге рассказано про со-
единение волокон, оптические генера-
торы и детекторы. Практическая часть
представлена материалом о проклад-
ке волоконно-оптических кабелей. За-
вершает книгу раздел, посвященный
тестированию оптоволоконных систем.
В качестве дополнительных сведений
представлена информация о том, ка-
кие технологии используют оптические
волокна. Книгу можно рекомендовать
сетевым администраторам и монтаж-
никам локальных сетей.
Издательство: «КУДИЦ-ОБРАЗ»
Год издания: 2005
Количество страниц: 320
ISBN: 5-9579-0093-1
Цена: ≈ 212 руб.
Книга предоставлена издательством
«КУДИЦ-ОБРАЗ».

92

Несомненно, одним из важнейших
(если не самым важным) этапом в со-
здании того или иного ПО является
разработка архитектуры программы.
C этой задачи должен начинаться лю-
бой серьезный проект. К сожалению,
количество информации по этой те-
ме очень ограничено. Вашему вни-
манию предлагается издание, в кото-
ром простым и доступным языком из-
В настоящее время тема внедрения
тонких клиентов актуальна как никог-
да. Все большее число организаций
и предприятий переходят на подоб-
ную схему работы. Авторы последо-
вательно описывают процесс созда-
ния и внедрения новой инфраструк-
туры. В начале книги вы познакоми-
тесь с общими концепциями техно-
логии. Обзор серверных вычисле-
№11, ноябрь 2005
Архитектура программного
обеспечения на практике
Лен Басс, Пол Клементс, Рик Кацман
ложены основные проблемы и зада-
чи, с которыми сталкиваются разра-
ботчики на этапе проектирования ПО.
Изложенная информация представля-
ет собой описания собственного опы-
та авторов книги.
Освещены три основные ступени:
планирование, создание и анализ ар-
хитектуры. Основные темы части, пос-
вященной планированию: архитек-
турно-экономический цикл, что такое
«программная архитектура», в качест-
ве практического примера использова-
ния архитектурных структур рассмот-
рена авиационная система A-7E. Раз-
дел «Создание архитектуры» пред-
ставлен следующим материалом: ат-
рибуты и реализация качества, управ-
ление воздушным движением – при-
мер разработки, ориентированный
на высокую готовность, проектирова-
ние архитектуры, процесс документи-
рования, реконструкция программной
Citrix MetaFrame Access Suite
для Windows Server 2003
Стив Каплан, Тим Ризер, Алан Вуд
ний предприятия: серверные вычис-
ления и предприятия по требованию,
службы терминалов Windows и Citrix
MetaFrame Access Suite. Далее авто-
ры повествуют о проектировании SBC-
решений для предприятия. Среди рас-
смотренных тем: подготовка организа-
ции к внедрению «предприятия по тре-
бованию», архитектура информаци-
онного центра и проектирование сети
для серверных вычислений, клиент-
ская среда, управление сетями. Также
не оставлены без внимания вопросы,
связанные с безопасностью. Процесс
внедрения серверной вычислитель-
ной среды по требованию рассмот-
рен очень подробно: конфигурация
сервера службы терминалов Windows
и Citrix Metaframe Presentation Server,
установка и настройка приложений,
профили и политики, защита клиент-
Обзор книжных новинок подготовил Александр Байрак
книжная полка
архитектуры. Среди рассмотренных
тем глав, посвященных анализу архи-
тектуры, рассмотрены метод анализа
компромиссных архитектурных реше-
ний и анализ стоимости и эффектив-
ности. В качестве примера представ-
лена «всемирная паутина». Послед-
няя часть книги посвящена такой ак-
туальной теме, как использование од-
ной и той же архитектуры в несколько-
их проектах. Действительно, на раз-
работку архитектуры для конкретного
продукта уходит достаточно большое
количество времени, так почему бы
не адаптировать полученный резуль-
тат для другого проекта.
Издательство: «Питер»
Год издания: 2006
Количество страниц: 575
ISBN: 5-469-00494-5
Цена: ≈ 510 руб.
Книга предоставлена издательством «Питер».
ского доступа, печать, вопросы, свя-
занные с отказоустойчивостью и про-
блемами, связанными с восстановле-
нием после сбоев. Подводя итог, мож-
но сказать, что эта книга заслужива-
ет внимания по нескольким причинам:
во-первых, это перевод официального
руководства (что само по себе немало-
важно), плюс ко всему прочему изло-
женный материал действительно ох-
ватывает все (или почти все) вопросы
и проблемы, с которыми вам, возмож-
но, предстоит столкнуться в процессе
миграции на тонкие клиенты.
Издательство: «Питер»
Год издания: 2006
Количество страниц: 687
ISBN: 5-94723-961-2
Цена: ≈ 978 руб.
Книга предоставлена издательством «Питер».
93
 подписка на 2006 год
Российская Федерация
Подписной индекс: годовой – 20780, полугодовой – 81655
Каталог агентства «Роспечать»
Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
Подписка On-line
http://www.arzi.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номен-
клатуры АРЗИ:
Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г. Минск, пр-т Ф. Скорины, 10)
Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, г. Ташкент, пл. Мустакиллик,
5/3, офис 33)
Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г. Ереван, пл. Сасунци Давида,
д. 2) и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул. Са-
рьяна, 22)
Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г. Тбилиси, ул. Хошараульская, 29)
и АО «Мацне» (380060, г. Тбилиси, пр-т Гамсахурдия, 42)
Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г. Тирасполь, ул. Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г. Кишинев, бул. Штефан чел Маре, 134)
Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

20780*
81655**
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»
*
годовой
**
полугодовой

94
 подписка на 2006 год
Редакционная подписка
Открыта подписка через редакцию. Вы можете оформить №3(28) март 2005
№4
подп (29)
ww исно апре
w.s й л
am инде ь

подписку на любое количество номеров 2006 года. Редак-

ag.r 2 00
подписной индекс
81655 По u
кс
8165 5
www.samag.ru хорошо, Alt чтов 5
один монитор -N ая
Linux Xinerama: Ба MD си
aem сте
а много лучше ма зова on ма

ция не высылает журналы за пределы Российской Феде- кая редакция рш я н

Knop pix – русс Win р у т ст а
удаленных файл
ов dow изато ройк
Восстановление Ap
ach s Ser
ра а
Cis
под Linux
рации.
ows Ви eк ver co
не Microsoft Wind рту ак Up
FreeBSD в доме Ар ал
ь
про
кси
dat
eS
on: с п хиви н ая erv
Практикум Pythов по электронной почте ом руе ма
ши
-се
рве ice
s
отправка файл За ощ м на р
– щ ью да
ых в Linux Win ита Ba нны SV
Шифрование данн на аппаратные
ключи dow ко cula е IST
A
и новый взгляд Си
с s M мму №5

Для юридических лиц:

и д т o н (30
ц оку ема bile ика по
цеп
)м
я процесса
д
ww писн
о н Авто мати заци м е с ц и w.s ой ай 2
к баз 1С Оп нта озд й По amag индек 005
200
5 ие подключения под тими ции ани Ищ чем .ru с 8165
аль 5 бщ
евр 8165 я –о при помо щи QEMU Lin зац PO я ем у M 5
ф и яция u и D пр S S

Отправьте заявку по факсу (095) 928-82-53 или по e-mail:

) кс ц Эмул x яц Ст
(27 инде
№2 исной .ru т е гра н о вка р на shell ик W ро
и
ич QL
ин м
ин ание лов
подп .sam
ag
ная ста ия рве Программиров х условиях PA м
-En защ ы едл
w
я у емы чен -се в экстремальны На ен
тем
ww
ска систбеспе кси стр ter ищ но
Сис ч е й о п р о аи
pris ен ра
ати но о
info1@samag.ru.
й C Ка ва e, ную бо
ом ион ног ьны TIN уд к во ем 80 тае
Авт ерац рамм сал ьс ал сс UP 2. бес т?
оп прог вер сет Чт ен та
ны но S п 1x EA пров
и – уни ь н ую D
ов е ф вит од P-T од
BS а Lin LS ную

Укажите наименование и банковские реквизиты своей

KS л Ус жн ай ь
SOC и р туа F ree в тан оз лы ux се
в с ть:
о им е л иза кур s t
tf fiixx ы
ко ав
рп ли
на
ть по
д
р й Эф ор ва BS
Ст ие
р
одн
ы еP
o тод №7(32 ати ем об
D
дан баз ме подп ) ИЮЛЬ по фек IP-
: вв вн Sy

организации, почтовый индекс и адрес доставки журна- Соз на ые ис

ww w. ной ин 2005 ля ти ой ma тел
инг ер (31) ИЮиНЬ 2005н
ель 81655 x sama де
g.ru кс 8165 Ко ми вн
се nte еф
-р оум с ерв №6 л н тg.ru
ной индекс
inu 5
с п нтро
по о у
ль пр ти c он
и
IP й подопис
п ama L Настр ом ли зо ав A ntiv и
вы Доwww.s и под ностируем сти аива ощ ру ва ля
что м. циfix: диаг D: правно ем K Ин ью ем тел ем iru

ла, телефон и e-mail контактного лица, период подпис-

По спа Open- erbe соз терв ей s9
ем мPoизаst анreяеeBмSнеис Xchan ros пода ью OS без
SIM оп вA .0
Реж пти и устр F
на ySQLLinux: Есть ge – ветрх елLDс Л ас D
ао ик + ris без ли жиз
своб ем A P ар но
е хник ра фAs te
rl
Mk и
ле фо ния ан нь
оду
гр я з р и
сть
т IP-те тиви уппа

ки и количество номеров. Редакция выставит вам счет,

Т e ык Уо се
та ем t + Pмиссия им а Зап руса
?
м! а P лл ти
c зв
Счи_ipac ько не
уя
ая сеть
? на Frускаем erl ом
–
ng Насколбеспроводн роли eeBS spam
ваша вые па Про D d
норазоа на сервер
после оплаты которого вы начнете получать журналы зуем од од HTTPверяем
Испольаленного вх
№
-тра по 8(3
rprinting? фик ww дпи 3) а
для уд ge Н ас на
ся от fin
w сн вгу
траи лету С .samaой ин ст 2
щитить дескто
па? ваем к мож g.ru декс 0805

по почте. Необходимые бухгалтерские документы вы-

Как за честве
Уста WSU
с L онку ет
10 в ка Postf навлив S
inu ри ли
16
55
Solaris м! ix + аем св О р
Exchan яз С цен
x-д ва PC-
о
Пробуе rver Удал ge ку ис т BS
SQL Se BIOS енно уп и п чита ите т ь D

сылаются почтой.
ем MS Setup равл ро ем Wr рибу
Ускоря BIOS яем Н к т S ти
цируем Автом ва астр си-с раф py! ва
Модифи ые баз атизир ш аи ер ик ми
9.2 ительн 1С но уе П ли в ве п ?
дополн вой м под с п рово чны аем ро оч
nal я Ищем ики дохода верс клю
й с DS в то
sio ни источн
ии 8. чени ом ди вы
ro fes а тле е
0 е
A
Уп
р
ощ м
а па PAM х
5 ч и ste ощ ью уд м- –
00
ь 2 655 S EP впе ч ен а и фи

Для физических лиц:

р u е е O ris м е SNA си т
нв
а 81
аS вы есп в е penM k-се уп
ль
) я декс
(26 ин тив ер об рв рав E тем
R с тр
№1 писной ag.ru ибу :п ое ди o
стр ps мн C ны six ер ле ы
д
по w.sam
ди oo ам ко D, н йс –п ом ни
ww ер огр el
зор рв п е
Ад иров под
уп ре е

Заполните нижеприведенную квитанцию, оплатите в лю- Об и -се т пр

в Exc ер вр
с ю l 16 и м а л в к а
ок ищ
а er bit нск нию аст
ом ти
Пр ащ зP ны пью се
м
кз еи ed ие те ть
Ка ви itio ск й
ест р!

бом банке и пришлите в редакцию копию с отметками то! n аз

теш rl пр
ос ие
ки
Пу в Pe о л ен
э т ав
ти
Ни O T– у пр ой

банка. TS
P ое ем t
HO мн ист crip й
ам й с BS S па ени 6
огр во ю V NTF сту рж ll
Пр айло ощь ие до вто ewa
ф пом ен его от Fir
После поступления платежа редакция начнет отправ- с
Во
сс
та н овл
ац
общ иты oute
ия защ WinR
из ет и rio
ган рн Ke
Ор Инт е нове
лять вам номера. в ос
на

Стоимость
подписки через
редакцию:

900* руб.
за 6 номеров

1800* руб.
за 12 номеров

При оформлении
подписки
до 1 января
2006 года –
скидка 10%

* Включая НДС
и почтовую доставку

№11, ноябрь 2005 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№11(36), Ноябрь, 2005 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редакторы
Андрей Бешков
Валентин Синицын
Алексей Барабанов
Кирилл Тихонов
Кирилл Сухов
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Дарья Хохлова
reсlama@samag.ru
Верстка и оформление
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
По вопросам распространения
обращайтесь по телефону:
(095) 928-8253 (доб. 120)
107045, г. Москва,
Ананьевский переулок, дом 4/2, стр. 1
тел./факс: (095) 928-8253
Сайт журнала: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 9000 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств массо-
вых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002 г.).
За содержание статьи ответственность
несет автор. За содержание рекламно-
го объявления ответственность несет
рекламодатель. Все права на опубли-
кованные материалы защищены.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
Неисполняемый стек – ных. Ведь вы лишаетесь основного инс-
победа или поражение? трумента (вашей любимой операцион-
Технологии защиты от переполнения, ной системы), с помощью которого мож-
встроенные в XP SP2, рекламируются но было бы прояснить и исправить сло-
как абсолютно надежное средство жившуюся ситуацию. Тем не менее без-
от проникновения в систему, обеща- выходных ситуаций не бывает.
ющее покончить с червями, хакерами
и прочими вредителями раз и навсегда. Защищаем электронную
Cами хакеры, впрочем, придерживаются почту с помощью
совершенно другого мнения на этот счет MailScanner
и добровольно уходить со сцены не со- Тяжело представить сегодняшний биз-
бираются. Давайте отбросим реклам- нес без электронной почты, которая поз-
ные буклеты и посмотрим, как выглядят воляет оперативно обмениваться ин-
эти защитные механизмы изнутри. формацией с минимальными затрата-
ми. В то же время в ящик пользователя
Круговорот почты в сети, помимо полезных писем попадает спам,
или Архитектура а почта часто используется для распро-
современных почтовых странения компьютерных вирусов.
систем
Знание основ освобождает от необхо- Доставку гарантируем:
димости запоминать тысячи фактов. качество обслуживания
Попробуем подойти к построению поч- в пакетных сетях
товой системы, опираясь на этот при- Если вы частенько работаете по ssh уда-
нцип, и сделаем акцент не на настрой- ленно, слушаете интернет-радио или
ку компонентов почтового сервера просто играете в on-line-игры, то навер-
(об этом и так достаточно написано), няка замечали, что получаемое от этого
а на взаимосвязь между компонента- удовольствие прямо пропорционально
ми и на протоколы, по которым они об- нагрузке на вашу сеть. Будь то Windows
щаются между собой. Update с вашей же машины или FlashGet
с соседней, все равно приложениям на-
Загрузка и загрузчики до будет «поделиться». Вот вам и «изю-
Любая система, прежде чем начнет ра- минка» совместного использования ин-
ботать, должна загрузиться. Если на ва- тернет-канала – постоянные скачки, рыв-
шей машине установлено несколько ОС, ки и задержки. Иными словами – ваши
еще нужно как-то выбрать, что именно данные не получают соответствующе-
загружать. И проблемы с загрузкой и за- го качества обслуживания (Quality of
грузочными секторами, пожалуй, мож- Service). И к несчастью, это так же неиз-
но отнести к одним из самых неприят- бежно, как налоги.
Уважаемые читатели!
Спешите оформить подписку
на первое полугодие 2006 года!
Приобрести новые и старые номера журнала
вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
Доставка почтой в любую точку России.