№5(30) май 2005

подписной индекс 81655

www.samag.ru

Почему MS SQL медленно работает?

Ищем причины
Строим защищенную беспроводную сеть:
WPA-Enterprise, 802.1x EAP-TLS
Настраиваем UPS под Linux
Как восстановить
удаленные файлы под BSD
Что важно знать об IP-телефонии
Устанавливаем Symantec Antivirus 9.0
в корпоративной сети
Эффективно управляем
полями пользователей в AD
Контролируем безопасность сети
с помощью OSSIM
Интервью с Ларри Уоллом –
№5(30) май 2005

создателем языка Perl

 оглавление
2 РЕПОРТАЖ 48 Система вещания на основе
Windows Media Services 9. Часть 2
ИНТЕРВЬЮ Создаем маленькую радиостанцию и настраивам «жи-
вое» вещание с веб-камер.
4 Историческая неизбежность победы Михаил Платов
движения отрытого кода platov@cs.vsu.ru
Интервью с Джоном Холлом - одним из основателей
движения Open Source. 54 Автоматизация MS Windows, или AutoIt
Андрей Бешков как мечта эникейщика. Часть 2
tigrisha@sysadmins.ru Применение AutoIt для решения практических задач
администрирования.
6 Ларри Уолл: «Сегодня Perl применяется Алексей Барабанов
для решения ряда проблем, о которых alekseybb@mail.ru
я и не подозревал, создавая этот язык»
Интервью с создателем языка программирования Perl. 59 Эффективно управляем
Андрей Бешков полями пользователей в AD
tigrisha@sysadmins.ru Создаем сценарий автоматического внесения измене-
ний в свойства объектов AD.
8 ТЕНДЕНЦИИ Иван Коробко
ikorobko@prosv.ru
АДМИНИСТРИРОВАНИЕ
СЕТИ
12 FreeBSD tips: использование syslog
Понимание механизма работы syslog позволит вам эф- 64 Строим защищённую беспроводную сеть:
фективно управлять протоколированием системной ин- WPA-Enterprise, 802.1x EAP-TLS
формации. Практическое руководство.
Сергей Супрунов Андрей Платонов
amsand@rambler.ru Platonov@tayle.com

16 Крепкий орешек NUT БЕЗОПАСНОСТЬ

Настраиваем источник бесперебойного питания под Linux
с помощью Network UPS Tools. 72 Устанавливаем Symantec Antivirus 9.0
Валентин Синицын в корпоративной сети
val@linuxcenter.ru Конфигурирование одного из самых популярных анти-
вирусных продуктов корпоративного уровня – не совсем
20 Что важно знать об IP-телефонии тривиальный процесс. Поэтому будет полезно ознако-
Изучаем основные протоколы, кодеки и интерфейсы миться с его подробным описанием.
шлюзов IP-телефонии. Роман Марков
Михаил Платов stepan-razin@newmail.ru
platov@cs.vsu.ru
78 Контролируем безопасность сети
26 Alt-N MDaemon – почтовая система с помощью OSSIM
для средних и крупных компаний. Для полноценной защиты сети уже недостаточно танде-
Часть 2 ма firewall + IDS. Для всестороннего контроля необходи-
Почтовый сервер установлен и сделаны первоначаль- мо задействовать разные инструменты. Интеграция раз-
ные настройки. Переходим к дальнейшему конфигури- личных компонетов – основная задача проекта OSSIM.
рованию системы. Сергей Яремчук
Роман Марков grinder@ua.fm
stepan-razin@newmail.ru
ОБРАЗОВАНИЕ
32 Восстанавливаем удаленные файлы
под BSD 86 Свободная информационная система
Осваиваем структуру файловой системы UFS и мето- для школ Centre
дику ручного восстановления удаленных файлов. Приложение Centre позволит автоматизировать рутин-
Крис Касперски ные задачи по учету персональных данных учащихся.
kk@sendmail.ru Сергей Яремчук
grinder@ua.fm
38 Реинкарнация данных II: memo-поля
Как перенести данные из таблиц формата DBF в WEB
PostgreSQL? Несколько способов решения этой задачи
мы предложили в первой части статьи. Отдельного вни- 88 Базовая HTTP-авторизация –
мания заслуживает вопрос работы с полями типа memo. защита от честных людей
Сергей Супрунов Как работает механизм базовой авторизации и насколь-
amsand@rambler.ru ко он надёжен? Как его подключить? Можно ли усилить
защиту?
40 Почему MS SQL медленно работает? Алексей Мичурин
Ищем причины alexey@office-a.mtu-net.ru
Порой скорость работы этой базы данных падает без
видимых причин. Что же случилось? 93 КНИЖНАЯ ПОЛКА
Юлия Шабунио
yshabunio@eastwind.ru 31, 94 BUGTRAQ
№5, май 2005 1
 репортаж

ИТОГИ КОНФЕРЕНЦИИ
OPEN SOURCE FORUM RUSSIA 2005
С 27 по 29 апреля в «Рэдиссон Славянская» прошла выставка и конференция
Open Source Forum 2005. Это первое в России мероприятие такого масштаба,
посвященное движению отрытого исходного кода.

ервый день назывался Open Standarts Day и был за-
нят циклом докладов специалистов организации
OASIS (Organization for the Advancement of Structured
Information Standards). Большинство выступающих акцен-
тировало внимание слушателей на проблемах внедрения
открытых стандартов в ИТ индустрии. С вступительным
словом выступил коммерческий директор компании
UnitSpace Александр Гершойг. Он прояснил слушателям
различия между открытым кодом и открытыми стандарта-
ми. Открытость стандартов априори предполагает, что все
данные между сервисами будут передаваться в XML-фор-
мате. Все доклады тем или иным образом были связаны с
сервис-ориентированной архитектурой предприятия, под-
ходами к ее реализации и роли отрытых стандартов в обес-
печении безопасной взаимной совместимости платформ от
разных поставщиков. Отдельного упоминания стоят доволь-
но интересные презентации директора по стратегии разви-
тия и архитектуре Oracle Application Server Suite Вадима
Розенберга, рассказавшего о новом языке BPEL. Также лю-
бопытные мысли о методах безопасной интеграции SOA
прозвучали в речи директора по информационной безопас-
ности Microsoft в России и СНГ Владимира Мамыкина. Сто-
ит отметить, что практически все ораторы тем или иным
образом озвучили важность постепенного и безопасного
внедрения открытых стандартов. Но к вечеру слушатели на-
чали засыпать – осветить столь объемную тему за один день
было не под силу даже столь блестящим специалистам.
Параллельно с этим в других залах шел монтаж стен-
дов выставочного зала и Linux City.
28 апреля началась регистрация для посетителей выс-
тавки и состоялось торжественное открытие форума.
Ïåðâûå ïîñåòèòåëè âûñòàâêè
C самого утра по выставочным залам стали расхажи-
вать большие императорские пингвины, а перед началом
выступлений на сцене, отгоняя злых духов, танцевали с
бубном шаманы. Эти милые сердцу каждого админа пер-
сонажи вызывали улыбки у посетителей.
Ôèííî-óãîðñêèå øàìàíû îòãîíÿþò çëûõ äóõîâ
Первое пленарное заседание открыл президент ассо-
циации «Руссофт» Валентин Макаров. В своей речи он упо-
мянул, что в мероприятиях форума участвуют более 30 из-
вестнейших специалистов в области опенсорс, среди кото-
рых и создатель языка Perl Ларри Уолл.
Кроме этого на форуме от лица Правительства Российс-
кой Федерации выступали Владимир Матюхин – руководи-
тель Федерального агентства по информационным техно-
логиям, Церен Церенов – заместитель директора Департа-
мента корпоративного управления и новой экономики Ми-
нистерства экономического развития и торговли РФ. Пред-
ставители министерств рассказали о том, почему государ-
ственные структуры поддерживают Форум по открытому
коду, как используются программы в открытых кодах для
нужд государства и каковы перспективы их дальнейшего
внедрения в государственное управление.
Затем на сцену вышел один из выдающихся ораторов и
идеологов движения Джон Холл более известный как
maddog (интервью с ним читайте на 4 cтр.).
Доклад Джона по праву может считаться жемчужиной
форума, в нем гуру Open Source аргументированно дока-
зал, что закрытое программное обеспечение мешает рос-
ту местного рынка ПО, связывает пользователей по рукам
и ногам. Проприетарное ПО подобно черному ящику: неиз-
вестно как оно работает и ничего нельзя изменить. К тому
же, с ростом корпораций, производящих закрытое ПО, уро-

2
 репортаж
ладов аудитория то увеличивалась почти до сотни человек,
то вновь уменьшалась до десятка – другого слушателей.
Но самым красноречивым отражением экспансии откры-
того кода, конечно же, стал Linux City со стендами решений
на основе Linux. Среди этого мини-городка большего всего
бросались в глаза кассовые аппараты, кинотеатр, банк, ар-
битражный суд, рабочее место бухгалтера, созданное на
основе Wine и 1С.

Êîíôåðåíöèÿ ñîáðàëà áîëüøîå ÷èñëî ó÷àñòíèêîâ

вень обслуживания клиентов неуклонно падает. Часто при-
ходится ждать очень долго, пока производитель внесет ис-
правления ошибок в свои продукты. Нередко случается, что
даже контракты на большие суммы не могут заставить про-
изводителя дорабатывать поставляемый продукт для ло-
кализации и адаптации к местному рынку.

Linux City – ìîäåëü èíôðàñòðóêòóðû ãîðîäà, óïðàâëÿåìîãî ÏÎ

ñ îòêðûòûì êîäîì
Некоторые организационные моменты прошедшего дей-
ства оставили желать лучшего. Неудобные бейджики – на
них мы видели в первую очередь логотипы спонсоров, а в
имена участников приходилось вглядываться. К сожалению
не все слушатели смогли насладиться докладами в полной
мере – синхронный перевод оставлял желать лучшего.
Несмотря на это, три дня выставки пролетели как один
час. Было весьма интересно пообщаться с таким большим
количеством компетентных специалистов.
Äæîí Õîëë ðàññêàçûâàåò î íåèçáåæíîì âûìèðàíèè çàêðûòîãî
ïðîãðàììíîãî îáåñïå÷åíèÿ
Кроме вышеназванных, было довольно много интерес-
ных докладов на тему применения Linux в корпоративном
секторе. Одним из самых запомнившихся был рассказ Ада-
ма Джолланса (Adam Jollans) из IBM о том, почему его ком-
пания решила оказывать всестороннюю поддержку 150 про-
ектам с отрытым кодом. Среди самых известных проектов
можно назвать Linux, Postfix, Eclipse, Apache, Derby, Globus
Alliance.
Сразу же после Джолланса на сцену взошел предста-
витель Novell Ричард Зайбт. Его доклад наглядно проде-
монстрировал полезность Open Source-движения как ката-
лизатора конкуренции на рынке. Для простого потребите-
ля ИТ услуг это безусловно благо, впрочем и для самих кон-
курирующих фирм – тоже неплохо. Ïèíãâèíû – îäèí èç ñèìâîëîâ äâèæåíèÿ Open Source
Одновременно с докладами метров опенсорса в течение Общее впечатление от всего произошедшего сложилось
второго и третьего дня выставки в одном из залов проходи- очень приятное. Следующим мероприятием, сравнимым по
ло мероприятие под названием «Уголок оратора». В его рам- масштабу с Open Source Forum, станет выставка Linux World,
ках выступали с докладами о своих разработках независи- которая пройдет в Москве в сентябре этого года.
мые технические специалисты. Весьма любопытными были
выступления «Возможности использования открытого кода Андрей Бешков
в закрытых продуктах» и «Открытый код – разработчикам Фото Андрея Бешкова,
Андрея Маркелова
встроенных систем». В зависимости от тем и качества док-

№5, май 2005 3

 интервью
ИСТОРИЧЕСКАЯ НЕИЗБЕЖНОСТЬ ПОБЕДЫ
ДВИЖЕНИЯ ОТКРЫТОГО КОДА
кажите, что вы думаете о
перспективах коммерческих
компаний, опирающихся в
своем бизнесе только на Linux-ре-
шения?
Все говорят, что сейчас на рынке нет
убедительных примеров успешных
Linux-компаний, если не брать в рас-
чет Red Hat. Я думаю, вся проблема со-
стоит в том, что многие фирмы непра-
вильно рассчитывают срок выхода на
уровень не только самоокупаемости,
но и прибыльности. Из-за этого полу-
чается, что большинство молодых ком-
паний решают уйти с рынка слишком
рано. Это в корне неверно, посмотри-
те на Red Hat: для получения прилич-
ных доходов им пришлось трудиться не
покладая рук несколько лет.
Каковы ваши прогнозы тенденций
развития коммерческих UNIX-сис-
тем?
Я думаю, что коммерческие UNIX мерт-
вы. Их поддержка слишком дорого об-
ходится производителю. В свое время
я работал в DEC, и ежегодно мы трати-
ли 2 миллиона долларов на поддержку
собственного диалекта UNIX. Вдумай-
тесь в эту цифру. Как только Linux до-
растает до того, чтобы работать на спе-
цифическом оборудовании, к примеру,
от HP или IBM, менеджмент начинает
задумываться о том, что развивать свой
4
собственный способ изобретения коле-
са нет нужды. К тому же в голову сразу
же приходят мысли, как на этом можно
сэкономить.
Как вы относитесь к попыткам запус-
кать Windows-приложения под Linux
c помощью Wine? Что вы думаете о
свободной реализации Windows API,
называемой React OS?
Мне кажется, что воссоздать API от
Microsoft довольно сложно, у людей,
работающих над проектом Wine, ушли
долгие годы на реализацию основных
функций. Сейчас они добились совме-
стимости с Windows 98, но ведь на дан-
ный момент актуальна Windows XP. К
тому же стоит учесть, что при каждом
изменении, вносимом Microsoft без
предупреждения, в API и ABI вся сис-
тема перестает работать. Мне кажет-
ся более перспективным создавать
стандартный ABI для Linux-приложе-
ний, тогда их можно будет запускать
под какой угодно ОС.
Как вы думаете, слияние Novell, Suse
и Ximian – это объективная необхо-
димость или попытка в последний
момент успеть вскочить на поднож-
ку набирающего ход Linux-поезда?
Продукты, поставляемые Novell, уже
давно завоевали славу очень стабиль-
ных решений. В мире очень много сер-
Джон Холл уже много лет
считается гуру движения
открытого исходного кода.
Уже более 30 лет он работает
в компьютерной индустрии,
при этом стаж работы с UNIX-
системами – 20 лет. С 1994 года
Джон занимается продвижением
Linux-решений. На проходящей
конференции Open Source
мне удалось побеседовать
с Джоном Холлом о перспективах
развития систем на основе
открытого кода.
веров, до сих пор бесперебойно рабо-
тающих на основе разных версий Novell
Netware, но, к сожалению, эти решения
уже не дают той гибкости, в которой
нуждаются клиенты. В то же время, у
Suse и Ximian нет денег для дальней-
шего развития. Кроме этого, Novell
предлагает не только деньги, но и свою
хорошо налаженную сеть распростра-
нения. Думаю, что подобное объедине-
ние приведет к появлению более каче-
ственных продуктов. Обратите внима-
ние: то же самое сейчас происходит с
Mandrake и Connectiva, я думаю, что
это к лучшему.
В последние 10 лет только и разго-
воров, что о Linux, некоторые люди
уже начинают считать, что Linux яв-
ляется единственной ОС для привер-
женцев движения открытых исход-
ников. Не кажется ли вам, что вок-
руг этой ОС шумиха несколько пре-
увеличена?
Лет 10 назад ко мне пришли люди, за-
нимающиеся BSD, и спросили, почему
я ничего не говорю об их ОС в своих
выступлениях. Я ответил: «Покажите
мне 5 хороших форумов о BSD или
армию поклонников этой ОС». Выбор
ОС никак не связан с качеством про-
дукта, в сущности, это всего лишь воп-
рос правильного маркетинга. Иначе
Microsoft не продал бы ни единой ко-

жон мэддог Холл (John Hаll)
известен как один из пионеров
движения Open Source. Непов-
торимая харизма «Бешеного
пса» снискала ему славу среди сторон-
ников и противников открытого кода по
всему миру. Проведя более 30 лет в ра-
боте в мире ИТ, сначала с UNIX, потом
с Linux, он объездил много стран, рас-
сказывая о преимуществах и перспек-
тивах открытого кода. С 1995 года и
по сей день он является Президентом
и СЕО Linux International (www.li.org) –
некоммерческой организации постав-
щиков ИТ-услуг, выступающих в под-
держку развития и продвижения ОС
Linux. Он также входит в состав прав-
ления нескольких компаний и неком-
мерческих организаций, включая
USENIX Association. Перу Мэддога при-
надлежит книга «Linux for Dummies», и
он является автором многочисленных
статей, посвященных специфике от-
крытого кода. Благодаря чувству юмо-
ра, приветливости и оригинальности
пии своих программ. Заказчик хочет
получить решение на основе Linux, и я
считаю: неправильно пытаться застав-
лять его переходить на BSD только по-
тому, что кому-то она кажется более
качественной.
Что вы думаете об инициативе по
уменьшению количества разновид-
ностей лицензий, под которыми вы-
пускается свободное программное
обеспечение?
Слишком много людей не понимает
отличий разных видов лицензий, и для
своих сиюминутных нужд создают все
новые и новые варианты близнецов. С
другой стороны, я бы не хотел никого
ограничивать в свободе выбора подхо-
дящей модели лицензирования свое-
го кода. Рассмотрев разные варианты
существующих лицензий, считаю, что
GPL на данный момент лучше всего,
хотя и она не совершенна.
Каковы ваши прогнозы относитель-
но будущего Microsoft?
Каждую достаточно большую фирму
можно считать живым организмом.
История эволюции доказывает, что
виды, отказывающиеся приспосабли-
ваться к меняющимся внешним усло-
виям, вымирают. Если Microsoft не нач-
нет заниматься Open Source, то, воз-
№5, май 2005
интервью
изложения концепций, он стал одной
из наиболее ярких фигур мира ИТ.
Господинн Холл начинал свою карь-
еру как программист, и впоследствии
он занимал должности специалиста по
разработке систем, системного админи-
стратора, руководителя отдела реали-
зации продуктов и технического дирек-
тора в таких организациях, как Western
Electric Corporation, Bell Laboratories,
Aetna Life and Casualty, Digital Equipment
Corporation, VA Linux Systems.
Джон Холл известен своей любо-
вью к преподаванию. Он вел несколь-
ко курсов лекций в Hartford State
Technical College, Merrimack College и
Daniel Webster College. Именно студен-
ты Hartford State Technical College, где
он был деканом факультета Computer
Science, дали ему никнейм «maddog»,
которым он любит себя называть до
сих пор. Свободное время Джон Холл
посвящает своему проекту «maddog's
monastery for microcomputing and
microbrewing».
Âûñòóïëåíèå Äæîíà Õîëëà
можно, такая участь постигнет и эту продукты, а на предоставляемые сер-
компанию. С другой стороны, начать висы. Грядет время сервис-ориентиро-
работать в стиле открытых исходных ванной экономики, и тот, кто начнет
кодов им будет чрезвычайно трудно. приспосабливаться к новым условиям,
Дело не только в том, что каждая боль- первым займет очень выгодные пози-
шая структура неповоротлива и косна, ции. На данный момент, по моему мне-
но и в том, что внутри их продуктов нию, примером сервис-ориентирован-
встроено много закрытых технологий, ной компании можно считать IBM.
лицензированных у других производи-
телей. Мне кажется, что Microsoft со Андрей Бешков
временем превратится в компанию, Фото Андрея Бешкова,
Андрея Маркелова
ориентированную не на продаваемые
Äæîí Õîëë è ðåäàêòîðû æóðíàëà Âàëåíòèí Ñèíèöûí è Àíäðåé Áåøêîâ (ñïðàâà)
5
 интервью
есколько лет назад Perl пози-
ционировался как лучший
язык для разработки веб-при-
ложений. Сейчас его заметно потес-
нил PHP. Что вы думаете об этой си-
туации? Какова экологическая ниша
Perl сейчас и для чего, по вашему
мнению, его стоит теперь применять?
Perl и PHP – очень разные языки. Пер-
вый является языком общего назначе-
ния. В целом он предназначен для раз-
нообразных научных применений, обра-
ботки баз данных, всевозможных мани-
пуляций с текстом, системного админи-
стрирования, быстрой разработки про-
тотипов интернет-сервисов. Благодаря
этим качествам некоторое время по не-
доразумению он использовался как веб-
язык. Второй же предназначен только
для веб-разработки и справляется с
этой задачей очень хорошо. Неудиви-
тельно, что в этой нише он доминиру-
ет, но я не думаю, что он будет рабо-
тать хорошо за ее пределами. Сейчас
Perl применяется для решения таких
проблем, о которых я и не подозревал,
создавая этот язык. К примеру, он с ус-
пехом применяется в генетических ис-
следованиях, ведь ДНК принято обозна-
чать как набор символов, а в удобстве
работы с символами Perl нет равных.
Во время разработки новой версии
Perl каким качествам продукта при-
дается первостепенное значение?
Оптимизации, гибкости и красоте
кода или наличию наибольшего ко-
личества полезных функций?
6
ЛАРРИ УОЛЛ:
«СЕГОДНЯ PERL ПРИМЕНЯЕТСЯ ДЛЯ РЕШЕНИЯ
РЯДА ПРОБЛЕМ, О КОТОРЫХ Я И НЕ ПОДОЗРЕВАЛ,
СОЗДАВАЯ ЭТОТ ЯЗЫК»
Ларри Уолл – человек, ненамеренно сделавший очень многое
для распространения UNIX-систем. Он никогда не занимался
целенаправленной рекламой UNIX, но создание языка Perl
сделало его одним из самых популярных людей
Open Source-движения. Сейчас уже, наверное, невозможно
найти технического специалиста, работающего в UNIX
и не знакомого с верблюдом, изображенным на логотипе
Perl. Благодаря гибкости и переносимости Perl вышел
далеко за рамки UNIX, сейчас его довольно часто можно
встретить под Windows и многими другими платформами.
Я думаю, всем вышеперечисленным. За выполнялись три экземпляра одного и
последние пять лет мы увидели, что того же скрипта, компиляция выполня-
людям может пригодиться самый нео- лась трижды. В новой версии будет ре-
бычный и фантастический функционал, ализовано понятие разделяемой памя-
о котором только можно подумать. По- ти и кэша байт-кода. Это значит, что
этому мы стараемся сделать так, что- скрипт будет компилироваться только
бы язык позволял делать многие вещи первый раз и при запуске новых экзем-
прозрачнее и проще, чем раньше, но в пляров этого скрипта скомпилирован-
то же время не ограничивать пользова- ный код будет браться прямо из кэша
теля, давая возможность реализовы- Parrot.
вать сложные вещи. В новой версии
разработчик получит еще больше мо- Хотелось бы узнать приблизитель-
гущества и сможет работать гораздо ные сроки выхода Perl 6.
эффективнее. Представьте себе, что Сказать точно, когда это произойдет,
нам нужно построчно сложить значения, я не могу, делать одновременно мно-
хранящиеся в двух массивах, и помес- жество вещей, к сожалению, невоз-
тить результат в третий. Традиционно можно. Как любой Open Source-проект,
для решения этой задачи нужно было мы располагаем ограниченными сред-
бы использовать цикл с операциями ствами, соответственно не можем себе
сложения и присваивания, но в новой позволить нанимать дополнительных
версии все это можно будет сделать работников, приходится выбирать меж-
всего лишь одним оператором. ду скоростью разработки и качеством
кода. Мы думаем, что лучше выпустить
Будет ли шестая версия языка при чуть позже очень устойчивую альфа-
всех своих улучшениях работать версию, чем быстро сделать несколь-
быстрее, чем пятая? ко промежуточных неотшлифованных
Я думаю, да. В новой версии после релизов.
компиляции текста в байт-код добав-
ляется больше служебных сведений о Планируется ли в новой версии вне-
типах используемых данных, ходе вы- сти изменения в синтаксис языка,
полнения кода, это помогает оптими- чтобы сделать его более друже-
зировать выполнение программы. В то ственным к пользователю?
же время стоит отметить, что и код са- Этим вопросом будут заниматься дру-
мого компилятора Perl претерпел зна- гие разработчики, единственная зада-
чительные изменения в лучшую сторо- ча, которую я зарезервировал для
ну. Обычно для каждого запускаемого себя, – транслятор Perl 5 в Perl 6. Мне
скрипта производилась компиляция в как лингвисту было бы очень интерес-
байт-код, соответственно, если у нас но этим заняться, но, к сожалению, пе-

реработка глубинных компонентов
языка отнимает довольно много време-
ни. Perl уже давно перерос размеры
проекта, который можно обслуживать
в одиночку, поэтому многие задачи де-
легируются специалистам в этой обла-
сти, которые сделают работу лучше.
Для представления строковых дан-
ных Perl использует кодировку
Unicode, и этим выгодно отличается
от других языков. Так было задума-
но изначально или пришло само со-
бой, когда разработчики столкну-
лись с проблемами локализации?
В момент появления Perl такого поня-
тия, как Unicode, не существовало.
Мы, как и многие другие проекты, про-
шли через все стадии проблем с ло-
кализацией. Хранение строковых дан-
ных в Unicode появилось в версии 5.6
и работало не очень хорошо. К версии
5.8 к проекту присоединились люди,
которые наконец-то довели все это до
ума.
На сайте Slashdot.org несколько лет
назад появилась шутка о том, что
скоро должен появиться новый язык
Parrot, который должен будет воб-
рать в себя лучшее из Perl и Python.
Через какое-то время была разрабо-
тана виртуальная машина Parrot, ис-
пользуемая для выполнения компи-
лированного байт-кода Perl 6. Как вы
думаете, сможет ли Parrot когда-ни-
будь компилировать и выполнять
код, написанный на Python?
Perl является самым распространен-
ным из скриптовых языков, сообще-
ство людей, использующих его, огром-
но. Я считаю, что мы должны старать-
ся устанавливать добрососедские от-
ношения, всесторонне сотрудничать и
поддерживать сообщества разработ-
чиков других скриптовых языков. По-
этому я всегда стремился к разработ-
ке какой-то единой платформы, кото-
рая сможет запускать не только Perl и
Python.
В свою очередь сообщество разра-
ботчиков Perl 6 решило, что неплохо
было бы поддерживать этой платфор-
мой и другие языки, такие как Ruby,
Basic, Lisp, Lua. Когда работы над Perl 6
будут окончены, я думаю, мы сможем
работать в его рамках c любым язы-
ком, использующим динамическую ти-
пизацию данных. На самом деле Perl
№5, май 2005
старается быть как можно более дру-
жественным к другим языкам. Когда
пользователи захотели получить воз-
можность выполнять C-код из про-
грамм на Perl, пришлось много потру-
диться, чтобы реализовать такой фун-
кционал, но я думаю, что труды были
ненапрасны, потому что это позволит
значительно улучшить кодовую базу
многих проектов.
Бытует мнение, что виртуальная
машина Parrot по своему дизайну
очень похожа на среду выполнения
Microsoft .Net. Не могли бы вы про-
комментировать это утверждение?
Я думаю что .Net по особенностям реа-
лизации больше похож на Microsoft Java
Virtual Machine со свойственной ему ста-
тической типизацией данных. В дизайн
Parrot изначально заложена способ-
ность работать в двух режимах с дина-
мическими типами данных и со стати-
ческими. Соответственно, пользова-
тель сможет самостоятельно добавлять
данные о типе переменных, используе-
мых в программе, и это позволит управ-
лять тем, как будет выглядеть поведе-
ние языка.
Что вы думаете о применении
embedded Perl в качестве встроен-
ного языка для скриптования ком-
понентов приложения?
В данной области Perl 5 успешно при-
меняется уже довольно долго. В моей
практике был случай, когда один из за-
казчиков для своей бухгалтерской про-
граммы попросил меня помочь реали-
зовать сложные поля редактирования.
Программа должна была понимать и
Ëàððè Óîëë è ðåäàêòîð æóðíàëà Âàëåíòèí Ñèíèöûí
интервью
уметь вычислять выражения вроде:
((8 + 7) * 12 - (10 * 44/11) ) %10. Через
пару дней все было готово, ведущий
разработчик был просто в восторге от
того, что в выражениях можно исполь-
зовать не только стандартные арифме-
тические операции, но и расчет процен-
тов. Оказалось, что встроить виртуаль-
ную машину интерпретатора Perl в при-
ложение было легче, чем реализовать
тот же самый функционал на языке C++.
На быстродействие получившегося про-
дукта такой симбиоз практически не по-
влиял, а вот время работы над прило-
жением существенно уменьшилось. Ко-
нечно, для сообщества разработчиков
дальнейшее совершенствование Perl в
качестве встраиваемого языка не явля-
ется высшим приоритетом, но мы все
же стараемся сделать так, чтобы он мог
применяться в максимально возможном
количестве областей.
Расскажите, в какой компании вы
сейчас работаете и, если не секрет,
чем занимаетесь?
Большую часть времени в течение пос-
ледних четырех лет я официально ни у
кого не работаю. В основном средства
к существованию получаю за счет вы-
полнения грантов от Perl Foundation, раз-
рабатывая новые и улучшая существу-
ющие подсистемы Perl 6. Плюс к этому
регулярно поступают авторские отчис-
ления от публикации книг о Perl. В об-
щем, можно сказать, что я не бедствую
и довольно легко могу позволить себе
путешествовать по всему миру.
Андрей Бешков
Фото автора
7
 тенденции
Корпоративные базы
данных – 2005
20 и 21 апреля в Синем зале Президи-
ума РАН в Москве проходила юбилей-
ная, десятая по счету конференция
«Корпоративные базы данных – 2005».
Ее организатором выступила компания
Центр Информационных Технологий
(ЦИТ), известная как владелец порта-
лов CITForum и CITKit, а генеральным
спонсором – корпорация Microsoft.
Первый день конференции был по-
священ коммерческим решениям. За-
седание открыл Дмитрий Артемов
(Microsoft), представивший обзор но-
вых возможностей Microsoft SQL Server
2005. Особое внимание было уделено
поддержке стандарта XML на уровне
ядра базы данных, интеграции с .NET
Framework и новым технологиям обес-
печения целостности данных. Програм-
ма конференции была построена та-
ким образом, что доклады, посвящен-
ные системам управления базами дан-
ных, чередовались с сообщениями о
технологиях интеграции, так что слу-
шатели могли лучше представить себе
место новейших разработок в мире
СУБД в информационной инфраструк-
туре предприятия.
С презентациями, рассказывающи-
ми о развитии тех или иных решений
за истекший год выступили также ком-
пания InterSystems, производитель
СУБД Cache, SWD Software, дистрибь-
ютор системы Empress, а также отече-
ственная фирма Релэкс, известная
своей СУБД Линтер.
Второй день был практически пол-
ностью посвящен открытым разработ-
кам. Это является важным нововведе-
Ó÷àñòíèêè êîíôåðåíöèè ñëóøàþò âûñòóïëåíèå Äìèòðèÿ Àðòåìîâà
8
нием, поскольку в предыдущие годы на
конференции были представлены
лишь поставщики закрытых решений.
В этом году слово было предоставле-
но проекту Sedna, разрабатывающему
«прирожденную» СУБД для работы с
документами в формате XML посред-
ством языка запросов XQuery и
PostgreSQL, блестящее введение в
возможности которого сделал один из
разработчиков данного продукта Олег
Бартунов (ГАИШ МГУ). Не были обой-
дены вниманием и система Ingres r3
компании Computer Associates, став-
шая открытой лишь в мае прошлого
года, и Firebird SQL, базирующийся на
исходном коде Interbase. Одну из са-
мых популярных открытых СУБД,
MySQL, представлял Дмитрий Ленев
(MySQL AB), член московской коман-
ды разработчиков. Из-за новизны те-
матики или из-за специфики аудитории
(в зале то тут, то там мелькали ноут-
буки с Linux), решения Open Source
пользовались самым пристальным
вниманием и являлись предметом не-
прерывного обсуждения «в кулуарах».
Конференция закончилась выступ-
лением Сергея Кузнецова (ИСП РАН),
который представил прогноз возможно-
го развития индустрии баз данных. Со-
гласно ему нас ждет появление новых,
«нечетких» типов данных, интеграция
СУБД с технологиями Data Mining, а так-
же инновации в области долговремен-
ного хранения информации. Возможно,
уже через некоторое время эти пока
еще не решенные проблемы станут
предметом докладов на «Корпоратив-
ных базах данных – 200x»? Время по-
кажет.
Центр Высоких Технологий
HP в Москве
26 апреля в Москве состоялось торже-
ственное открытие Центра Высоких
Технологий HP (HP High Tech Center).
В настоящий момент в мире насчи-
тывается около 80 Центров HP, кото-
рые подразделяются на три уровня в
зависимости от объема оказываемых
ими услуг. Центр Высоких Технологий
в Москве принадлежит к первому, выс-
шему уровню. Это пятая организация
подобного рода в мире и вторая – за
пределами США. Аналогичный центр
существует и на территории Западной
Европы в г. Беблинген (Германия).
Основная задача Центра Высоких
Технологий в Москве – оказывать со-
действие российским клиентам и парт-
нерам Hewlett-Packard. Первым из них
будет предложен комплексный подход
к решению возникающих бизнес-задач.
Иными словами, клиенты Центра Высо-
ких Технологий смогут выбрать интег-
рированное решение, наилучшим обра-
зом отвечающее имеющимся требова-
ниям, организовывать тестирование,
производить сертификацию и т. д. При
этом будут использоваться как соб-
ственные разработки Hewlett-Packard,
так и решения компаний-партнеров.
Поскольку область компетенции Цент-
ра не ограничивается территорией Рос-
сийской Федерации (это глобальная
организация), партнеры HP будут иметь
шанс вывести свои решения на новые
международные рынки. Оуэн Кемп под-
черкнул исключительную важность дан-
ного события, охарактеризовав Центр
как «окно в мир» для отечественных
компаний. Все выступающие отмечали
высокий научный и инженерный потен-
циал российских специалистов и выра-
жали мнение, что задача HP состоит в
развитии этих возможностей.
Исполнительный вице-президент
Майкл Уинклер назвал открытие Цент-
ра новой эрой в истории этой компании.
В ближайшие пять лет в него будет
инвеcтировано около 12 млн. долларов.
По словам Марко Буркхарда, Центр бу-
дет постоянно совершенствоваться,
чтобы отвечать требованиям рынка.
В числе стратегических целей были
упомянуты банковские системы back-
office и телекоммуникации.
Валентин Синицын
Фото автора
 тенденции
Sun Microsystems: технологии доверия
конце 2002 года компания «Све-
мел» заключила договор с кор-
порацией Sun Microsystems, по
которому получила исходные тексты
программного обеспечения ОС Solaris 9,
Sun Ray 2.0 (клиентская и серверная ча-
сти) и firmware ряда технических
средств с возможностью их исследова-
ния, модификации, создания собствен-
ных версий программных продуктов,
встраивания российских средств крип-
тографии с последующей сертификаци-
ей в уполномоченных органах РФ.
Технология тонких клиентов Sun Ray
позволяет полностью избавиться от не-
обходимости хранить, поддерживать и
периодически обновлять программное
обеспечение на рабочих местах поль-
зователей. Авторизация с помощью
смарт-карт позволяет получить доступ
к поль-зовательской сессии с любого
доступного терминала Sun Ray. Джим
Бейти (Jim Baty), Вице-президент Sun
Microsystems, в своем выступлении де-
лал основной упор на возможность ра-
боты с любого терминала со своими
документами. Человек просыпается ут-
ром, у него дома стоит терминал Sun
Ray, он читает почту, делает какие-то
дела, потом едет в офис, с офисного
терминала начинает работу с того мес-
та, где ее прервал и т.д. В настоящее
время разработана концепция «flexible
office», заключающаяся в следующем.
У сотрудников нет фиксированных ра-
бочих мест. Сотрудник, приходя на ра-
боту, занимает любое свободное рабо-
чее место. Если сотрудник покидает
рабочее место больше, чем на полдня,
он освобождает его от своих личных ве-
щей с тем, чтобы оно могло быть ис-
пользовано кем-то еще. Личные вещи
сотрудник хранит в мобильной тумбе, ко-
торую он подкатывает к своему рабоче-
му месту на время работы; на ночь тум-
бы «паркуются» в специальном месте.
Использование терминалов идеаль-
но для работы с секретной информаци-
ей. Поскольку терминал не имеет дис-
ковых накопителей, скопировать ин-
формацию на внешние носители невоз-
можно. Исключение составляют только
USB-накопители, которые сложно под-
ключить непосредственно к терминалу,
но разрешение на их использование
легко настраивается в зависимости от
прав пользователя. Таким образом, схе-
10
ма сети с секретными данными выгля-
дит таким образом: 2 сервера Sun Ray,
один отвечает за работу с секретной ин-
формацией и не имеет выхода в сеть.
Второй – для работы с обычными доку-
ментами и в Интернет. У пользователя
есть 2 карты. Вставив первую карту в
терминал, он работает с секретной до-
кументацией. Вставив вторую – получа-
ет доступ в Интернет. И между этими
сессиями нет возможности передавать
данные, что исключает их утечку.
Терминалы Sun Ray работают под
ОС Solaris 9, включая офисное про-
граммное обеспечение StarOffice7,
веб-браузер firefox, почтовый клиент
thunderdird и многое другое. Естествен-
но, что в любой фирме существует не-
мало программного обеспечения, рабо-
тающего только под Windows и не име-
ющего аналогов под Solaris. В этом слу-
чае Sun рекомендует ставить отдельный
сервер Windows-приложений, доступ к
которому можно получить с помощью
программного пакета Citrix MetaFrame.
В настоящий момент технология
Sun Ray внедряется в МИД РФ. Анато-
лий Смирнов, руководитель Центра ин-
форматики МИД РФ, сделал доклад об
успехах этой работы. По его словам,
практически для всего программного
обеспечения, используемого в МИД,
были найдены аналоги, работающие
под ОС Solaris 9. Исключение состави-
ли некоторые самописные программы,
котрые в настоящий момент дорабаты-
ваются. Он также отметил, что пере-
подготовка пользователей идет не
очень гладко. Наиболее сложным ока-
зался психологический момент, при
котором пользователю удобнее рабо-
тать в MS Office, чем в StarOffice.
Ну и напоследок ложка дегтя в боч-
ке меда. Раздражает множество мел-
ких, но очень неприятных недочетов.
Мышь в терминале без скроллинга.
USB-порты на задней стенке термина-
ла расположены очень неудобно, на-
пример, подключить flash-накопитель
без удлинителя невозможно. Список
можно продолжать и далее.
Но в целом технология Sun Ray зас-
луживает пристального внимания, осо-
бенно в свете доработки ОС Solaris 9 с
учетом специфики нашего региона.
Кирилл Тихонов
 тенденции

SoftInform Search Technology – новая технология поиска документов

оссийская компания СофтИн- ная система разграничения прав озна- для конкретных заказчиков. По его
форм (http://www.softinform.com) чает, что пользователь, не имеющий словам, возможности технологии не
представила свою технологию прав на конкретный документ, не смо- исчерпываются перечисленными типа-
поиска «SoftInform Search Technology», жет получить в окне предпросмотра ми данных и при необходимости заказ-
а также ее реализацию в новом одно- найденные в нем данные. ного решения компания готова создать
именном корпоративном продукте – Пробные Trial-версии сервера и на основе технологии поиска решение
системе поиска информации в локаль- клиента можно скачать с сайта: http:// для конкретного заказчика.
ной сети. Это SearchInform Desktop www.searchinform.com. Пока что серверная и клиентская
Edition – программа полнотекстового На пресс-конференции директор часть функционируют только на плат-
поиска на персональном компьютере компании Лев Матвеев акцентировал форме Windows. Данное неудобство ча-
и SearchInform Corporate Edition – кор- внимание на том, что это прежде все- стично компенсируется возможностью
поративная система поиска в инфор- го глобальная технология, а не только индексирования сетевых ресурсов, од-
мационной базе предприятия. единичный продукт. Сегодня компания нако для моногамных UNIX-сетей такое
Корпоративная версия состоит из «СофтИнформ» делает акцент не про- решение окажется неприемлемым.
серверной и клиентских частей (серве- сто на продажу готового продукта, а на
ров может быть несколько для увели- разработку корпоративных решений Роман Марков
чения производительности). Сервер
создает индексы указанных ресурсов,
а затем, обрабатывая клиентские зап-
росы, выдает пользователям результа-
ты поиска в зависимости от персональ-
ных прав пользователя. Позже разра-
ботчики объявили о том, что в функци-
онал добавлена возможность сквозно-
го использования системных разреше-
ний безопасности для файлов и папок
(в первых версиях права на найденную
информацию необходимо было делеги-
ровать дополнительно). В данный мо-
мент система SearchInform работает со
всеми документами Microsoft Office,
PDF-файлами, HTML, базами почтовых
клиентов от MS, тестовыми файлами
формата plain-text, базами данных
Access, MS SQL, Oracle, а также любы-
ми СУБД, поддерживающими SQL.
При поиске учитывается все множе-
ство слов, встречающихся в докумен-
те, с задействованием всех словоформ
и словаря синонимов. При выводе ре-
зультатов поиска показываются макси-
мально похожие фрагменты докумен-
тов независимо от изменений, внесен-
ных в текст (удаление части текста, за-
мена), а также указывается процент
релевантности. При этом в корпоратив-
ной версии используется трехуровневое
управление правами доступа к инфор-
мации – к самому индексу (т. е. сама
возможность поиска в конкретном ин-
дексе), к источникам данных и к проин-
дексированным файлам. Такое разгра-
ничение прав является обязательным
при работе корпоративной системы, так
как, разумеется, что сам сервер индек-
сации должен иметь права доступа ко
всем индексируемым документам. Дан-

№5, май 2005 11

 администрирование

FreeBSD TIPS: ИСПОЛЬЗОВАНИЕ SYSLOG

– Позвольте, товарищи, у меня все ходы записаны!
– Контора пишет, – сказал Остап.
И.Ильф, Е.Петров «12 стульев».

Протоколирование работы любой системы, и прежде всего сервера, – одна из важнейших

составляющих администрирования. Именно в log-файлы мы заглядываем в первую очередь,
когда в системе возникают какие-то неполадки. Оттуда черпаем уверенность, что та или иная
программа работает так как ожидается. При разработке веб-приложений log-файл становится
важнейшим источником отладочной информации. Об особенностях работы демона syslog,
отвечающего за протоколирование системной информации, и пойдет речь.
СЕРГЕЙ СУПРУНОВ
Что такое syslog Òàáëèöà 1. Óðîâíè ñîîáùåíèé
Syslog является централизованным сервисом, обеспечива-
ющим сбор и запись протокольной информации, поступа-
ющей от различных компонентов операционной системы и
пользовательских процессов. Сторонние программы, как
правило, умеют работать со своими лог-файлами самосто-
ятельно, хотя многие из них можно настроить на работу и с
демоном syslogd. К преимуществам использования syslog
можно отнести возможность управлять процессом сбора не-
обходимой информации с помощью одного конфигураци-
онного файла, что обеспечивает единообразие получаемых
log-файлов и в итоге упрощает управление ими. В таблице 1 уровни сообщений перечислены в порядке
Работа службы syslog обеспечивается демоном syslogd, убывания. Этот порядок понадобится в дальнейшем при
который автоматически запускается при старте системы. обсуждении синтаксиса конфигурационного файла.
Он постоянно находится в памяти, ожидая сообщения от Обозначения уровня сообщения, записанные в одной
других процессов и обрабатывая их в соответствии со сво- строке (например, emerg и panic), – это синонимы, и может
ими настройками. быть использовано любое из них. Однако panic, error и warn
Каждое сообщение характеризуется уровнем и источни- (указанные в таблице вторыми) считаются устаревшими, и
ком (facility). Уровень задает степень важности сообщения с следует избегать этих обозначений при редактировании
точки зрения функционирования системы. Файл syslog.h оп- конфигурационного файла. Вместо них используйте emerg,
ределяет следующие уровни (приоритеты): err и warning соответственно.

12

Возможные источники сообщения перечислены в таб-
лице 2:
Òàáëèöà 2. Èñòî÷íèêè ñîîáùåíèé
При настройке какого-либо приложения для работы со
службой syslog уточните, какой источник (facility) оно исполь-
зует. Некоторые программы позволяют указать источник са-
мостоятельно. Например, демон clamd (главный процесс ан-
тивируса clamav) по умолчанию использует local6, однако
позволяет задавать другой источник (параметр LogFacility
в конфигурационном файле). В ряде случаев может быть
полезно объединить его сообщения с сообщениями почто-
вых служб, указав в качестве источника LOG_MAIL.
Параметры запуска демона
Полный список параметров запуска можно получить на
странице руководства man syslogd. Здесь рассмотрим толь-
ко некоторые из них.
Syslog способен записывать поступающие сообщения в
лог-файлы (которые обычно размещаются в каталоге /var/
log), отправлять на консоль или подключенный терминал
пользователя, пересылать на удаленный хост или отдавать
на обработку внешней утилите по конвейеру.
Для работы по сети syslog использует порты 514 (UDP и
TCP). Запущенный без дополнительных параметров, syslogd
будет прослушивать эти порты, ожидая входящих сообще-
ний. Ключ -s запрещает принимать входящие сообщения,
но сокеты на портах 514 по-прежнему создаются для исхо-
дящих соединений, чтобы syslogd мог отправлять сообще-
ния удаленным хостам. Удвоение ключа (-ss) запрещает и
исходящие соединения.
По умолчанию syslogd запускается с ключом -s (см. /etc/
defaults/rc.conf, параметр syslogd_flags), поэтому входящие
соединения запрещены. Если вы хотите использовать служ-
бу syslog вашего сервера для обслуживания нескольких ма-
шин, добавьте в /etc/rc.conf следующую строчку:
syslogd_flags=””
Она переопределит значение, установленное в /etc/
defaults/rc.conf, и syslogd сможет обслуживать входящие со-
единения. Естественно, в этом случае необходимо обеспе-
№5, май 2005
администрирование
чить требуемый уровень безопасности, исключив возмож-
ность чужим хостам писать что-нибудь в ваши журналы. Ус-
тановить ограничения на входящие соединения позволяет
ключ -a (см. man syslogd). Также не последнюю роль играет
правильно настроенный брандмауэр.
Еще один полезный ключ -l позволяет задавать дополни-
тельные файлы сокетов, которые прослушиваются демоном
syslogd в дополнение к используемому по умолчанию /var/
run/log. Например, этот ключ необходим, чтобы syslog мог
обслуживать программы, запущенные в chroot-окружении.
В частности, так работает named, начиная с версии BIND 9.
Во FreeBSD 5.3 syslogd запускается со следующими клю-
чами:
# ps -wax | grep syslog
321 ?? Ss 0:01,67 /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s
Синтаксис конфигурационного файла
Настройка протоколирования осуществляется в файле /etc/
syslog.conf. Само собой разумеется, что редактировать его
может только пользователь root. Этот файл содержит два
вида строк – условно назовем их «фильтры» и «правила».
Строка-фильтр определяет программу или хост, к сооб-
щениям от которых будут применяться следующие за ней
правила. Фильтр вида «!prog» (или «#!prog») указывает на
то, что последующие строки относятся к логам, которые ге-
нерируются указанной программой prog. Синонимом этой за-
писи является «!+prog». Строка «!-prog», наоборот, говорит
о том, что последующие правила будут применяться ко всем
сообщениям, кроме тех, которые исходят от программы prog.
Допускается перечислять через запятую несколько программ,
при этом знак «+» или «-» применяется ко всему списку.
Если строка-фильтр задана как «+hostname», то в каче-
стве источника сообщений, которые должны быть обрабо-
таны последующими правилами, будет использоваться ука-
занный хост. Так же как и в случае с программами, симво-
лом «-» отмечается, что правила будут применяться ко всем
сообщениям, кроме поступающих от указанного хоста. Че-
рез запятую можно задавать список хостов.
Символ «*», заданный в качестве программы или хос-
та, отменяет действие фильтра, установленного ранее. То
есть правила, указанные после такой строки, будут приме-
няться ко всем сообщениям. Фильтры с именем хоста или
программы независимы друг от друга и могут действовать
одновременно. Например:
# Ïðàâèëà, ðàñïîëîæåííûå çäåñü, ïðèìåíÿþòñÿ êî âñåì
# ñîîáùåíèÿì
+my.host
# Ïðàâèëà ïðèìåíÿþòñÿ êî âñåì ñîîáùåíèÿì ñ my.host
!logger
# Ïðàâèëà ïðèìåíÿþòñÿ ê ñîîáùåíèÿì îò logger ñ my.host
# (ôèëüòð õîñòà ïðîäîëæàåò äåéñòâîâàòü)
!+su
# Ïðàâèëà ïðèìåíÿþòñÿ ê ñîîáùåíèÿì îò su ñ my.host
+*
# Ïðàâèëà ïðèìåíÿþòñÿ ê ñîîáùåíèÿì îò su ñ ëþáûõ õîñòîâ
# (ôèëüòð õîñòà îòìåíåí, ôèëüòð ïðîãðàììû ïðîäîëæàåò
# äåéñòâîâàòü)
!*
# Ïðàâèëà ïðèìåíÿþòñÿ êî âñåì ñîîáùåíèÿì
# (ôèëüòð ïðîãðàììû òàê æå îòìåíåí)
Строки правил имеют следующий вид:
13
 администрирование
facility.CMPlevel destination
Здесь facility – источник сообщения («*» обозначает любые
источники), level – уровень сообщений, которые будут об-
рабатываться в соответствии с данным правилом. Служеб-
ное слово «none», указанное вместо уровня, дает указание
полностью исключить сообщения от данного источника.
CMP – операция сравнения (допускаются символы «>»,
«<», «=», «>=», «<=», а также символ отрицания «!»). Если
символ сравнения не указан, подразумевается «больше или
равно», то есть обрабатываются все сообщения уровня level
и выше.
Destination указывает, куда следует сохранять данное
сообщение. Это может быть log-файл (указывается полный
путь, начиная с «/»), адрес удаленного сервера (начинает-
ся с символа «@»), имя пользователя (сообщения будут от-
правляться на терминал, к которому данный пользователь
подключен). Также сообщение может быть передано на об-
работку внешней программе, для чего используется сим-
вол конвейера «|».
Несколько примеров правил
Все сообщения ядра будут отправляться в файл kern.log.
kern.* /var/log/kern.log
Все сообщения об ошибках, а также сообщения уровней
emerg, alert и crit будут помещены в all-err.log. Обратите вни-
мание на дефис перед именем log-файла. По умолчанию
сообщения буферизуются в памяти и записываются на диск
по мере заполнения буфера. Это снижает нагрузку на фай-
ловую систему, но может вызвать потерю некоторой инфор-
мации при аварийном отключении машины. Дефис перед
именем файла заставляет демон syslogd немедленно за-
писывать сообщения на диск.
*.err -/var/log/all-err.log
Отладочные сообщения пользовательских процессов будут
выводиться на терминал, к которому в настоящее время
подключен пользователь vasya.
user.debug vasya
Все сообщения от служб новостей и электронной почты
будут пересылаться на 514-й порт машины syslog.host.ru.
mail.*,news.* @syslog.host.ru
В указанный файл будут помещаться все сообщения служ-
бы печати, уровень которых ниже warning. Как указывалось
ранее, по умолчанию используется сравнение «больше или
равно», а символ «!» его инвертирует, заменяя на «мень-
ше». Если нужно исключить конкретный уровень, следует
использовать конструкцию «!=».
lpr.!warning /var/log/printers.log
Сообщения уровня debug (и только его), имеющие facility
14
level0 и level3, будут выводиться на все подключенные тер-
миналы.
level0,level3.=debug *
Сообщения службы точного времени, уровень которых
выше критического (то есть emerg и alert), а также меньше
или равные notice (notice, info и debug), будут отправляться
на терминалы пользователей ntpuser и root.
ntp.>crit,<=notice ntpuser,root
Все сообщения уровня warning, исключая поступающие от
почтовых служб, будут записываться в файл warn.log.
*.=warning,mail.none /var/log/warn.log
В данном случае все сообщения, уровень которых выше или
равен crit, будут отправлены по электронной почте пользо-
вателю root.
*.crit | mail –s “critical message” root
Как видите, формат конфигурационного файла допус-
кает перечисление в одной строке нескольких уровней, ис-
точников и пунктов назначения, что делает настройку бо-
лее гибкой. Чтобы изменения после редактирования всту-
пили в силу, нужно послать процессу syslogd сигнал HUP:
# kill –HUP `cat /var/run/syslog.pid`
Следует заметить, что если то или иное сообщение под-
падает под действие нескольких строк в конфигурацион-
ном файле, то оно будет обработано в соответствии с каж-
дой из них. Пример:
mail.* /var/log/maillog
*.=err /var/log/error.log
В данном случае сообщения mail.err попадут как в maillog,
так и в error.log.
Стратегия составления
конфигурационного файла
Завершая рассмотрение конфигурационного файла, ска-
жу несколько слов о стратегиях его составления. Помимо
очень популярной «лишь бы работало», можно выделить
две основные, которые условно назовем «по источнику» и
«по назначению».
! Первая стратегия, которую можно наблюдать в ряде ди-
стрибутивов GNU/Linux, заключается в том, что для каж-
дого источника сообщений записывается свое правило
(или группа правил, если сообщения разных уровней
должны обрабатываться по-разному). Ее достоинство –
простота определения, куда записываются сообщения
конкретных служб.
! Стратегия «по назначению» подразумевает создание по
возможности только одной строки для каждого «полу-
чателя» сообщения, например, файла. Такого подхода
придерживается, в частности, FreeBSD. В итоге можно

легко определить, какая информация заносится в конкрет-
ный лог-файл, но, например, пункты назначения для сооб-
щений ядра приходится собирать по всему конфигураци-
онному файлу.
Утилита logger
В составе системы есть утилита logger, которая позволяет
отправлять сообщения службе syslog непосредственно из
командной строки. Ее удобно использовать при тестирова-
нии правил конфигурации, а также в разрабатываемых сце-
нариях для протоколирования их работы. Примеры:
user$ logger –p user.err “Error in user program!”
user$ logger –h syslog.host.ru “Test it”
Первый пример отправит сообщение с facility user уров-
ня err, которое будет обработано в соответствии с файлом
конфигурации. Вторая команда отправит сообщение на уда-
ленный хост, источник и уровень по умолчанию будут уста-
новлены как user.notice.
Использование механизмов ротации
Рассмотренный выше механизм протоколирования не пре-
дусматривает какого-либо управления log-файлами. Сооб-
щения просто помещаются в них согласно правилам, опи-
санным в конфигурационном файле. Это значит, что фай-
лы журналов будут постоянно расти, и если ничего не пред-
принимать, то рано или поздно заполнят все доступное про-
странство соответствующего раздела. Чтобы этого избе-
жать, используется механизм ротации.
Например, как только размер файла debug.log превысит
100 Мб, он переименовывается в debug.log.0 и упаковывает-
ся в debug.log.0.bz2. А вместо него создается новый debug.log.
Далее, когда размер и нового файла достигает 100 Мб,
debug.log.0.bz2 переименовывается в debug.log.1.bz2, и опи-
санная выше процедура повторяется. Система хранит толь-
ко определенное количество архивных файлов, удаляя наи-
более старые из них. Это и есть ротация.
Утилита newsyslog
В системе FreeBSD за ротацию отвечает утилита newsyslog,
которая по умолчанию запускается в начале каждого часа
демоном cron. Изменить период ротации можно, отредак-
тировав файл /etc/crontab.
Указанные в приведенном выше примере параметры ро-
тации (размер файла, упаковка), а также ряд других зада-
ются в конфигурационном файле /etc/newsyslog.conf. Для
каждого файла, нуждающегося в ротации, в нем содержится
строка в общем случае из девяти полей: имя файла, владе-
лец и группа, права доступа, наибольший номер в имени
архивных файлов, максимальный размер файла, период
ротации, дополнительные флаги, а также путь к PID-файлу
приложения, которому нужно отправить сигнал после рота-
ции, и номер сигнала, который должен быть послан. (От-
правка сигнала процессу может понадобиться, например,
в том случае, если процесс держит log-файл все время от-
крытым; если этого не сделать, то используемый файло-
вый дескриптор не будет соответствовать вновь созданно-
му файлу.) Некоторые поля могут быть опущены. Приве-
дем два примера, полный и «типичный»:
№5, май 2005
администрирование
/var/log/pflog root:wheel 600 3 100 * JB ↵
/var/run/pflog.pid 1
В соответствии с этим правилом файл pflog должен пере-
записываться, как только его размер превысит 100 Мб (5-е
поле) независимо от времени (символ «*» в 6-м поле). Ар-
хивные файлы буду т иметь имена вида pflog.X.bz2
(pflog.0.bz2, pflog.1.bz2 и т. д), причем X не может быть боль-
ше трех (параметр 3 в 4-м поле). Флаг J указывает, что ар-
хивный файл должен упаковываться с помощью утилиты
bzip2. Благодаря флагу B в архивируемый и вновь созда-
ваемый файлы не будут добавляться служебные сообще-
ния о ротации, поскольку файл воспринимается как двоич-
ный. Вновь создаваемый файл будет принадлежать пользо-
вателю root и группе wheel (это поле можно было бы опус-
тить, поскольку этот владелец устанавливается по умолча-
нию). Права доступа будут установлены в rw------- (число-
вое значение 600), то есть только владелец сможет читать
этот файл и писать в него. Наконец, процессу, PID которо-
го хранится в файле /var/run/pflog.pid, будет послан сигнал
1 (HUP), чтобы он переоткрыл свой лог-файл.
/var/log/maillog 640 7 * @T00 J
Это правило указывает параметры ротации для файла
maillog: независимо от размера (звездочка в 5-м поле), файл
будет перезаписываться каждую ночь в 00:00 (в man
newsyslog.conf формат указания времени описан достаточ-
но подробно). Архив должен упаковываться, будут сохра-
няться последние 8 архивов (с номерами от 0 до 7 включи-
тельно), вновь созданный файл будет принадлежать пользо-
вателю root (значение по умолчанию, поэтому поле владель-
ца пропущено) и иметь права доступа rw-r-----.
Для просмотра упакованных log-файлов можно исполь-
зовать утилиты zcat и bzcat (для gzip и bzip2 соответствен-
но). Midnight Commander вызывает соответствующие ути-
литы автоматически.
После редактирования файла newsyslog.conf никакие
сигналы никуда посылать не требуется – конфигурация бу-
дет перечитана при следующем вызове newsyslog.
Следует заметить, что утилита newsyslog не привязана
к демону syslogd. То есть она может быть использована для
ротации любых файлов, которые в этом нуждаются. Если
ротация включается для логов, которые приложение ведет
самостоятельно (например, к логам clamd или squid), то осо-
бенно внимательно отнеситесь к указанию владельца и пра-
вам доступа. Их неправильное указание может привести к
тому, что после ротации приложение, запущенное от име-
ни непривилегированного пользователя, не сможет осуще-
ствлять запись во вновь созданный файл.
Подводя итоги
Система syslog является очень мощным и эффективным ин-
струментом протоколирования различных событий, проис-
ходящих в системе. Настройки, используемые по умолчанию,
достаточно сбалансированы и вполне работоспособны для
большинства систем. Тем не менее понимание механизма
работы syslog позволит вам существенно повысить качество
протоколирования, настроив запись журнальной информа-
ции строго в соответствии со своими потребностями.
15
 администрирование
КРЕПКИЙ ОРЕШЕК NUT
Как известно, защитой от некачественного электропитания может служить только качественный
UPS. Однако даже танковый аккумулятор не стоит ровным счетом ничего, если он не способен
вовремя остановить систему. Здесь на помощь приходит инструментарий NUT.
радиционно для управления ИБП применяются штат-
ные утилиты, разработанные производителем обору-
дования. Зачастую они доступны не только для
Windows, но и для UNIX, Linux и других систем. Хотя эти ин-
струменты можно назвать кроссплатформенными в фор-
мальном смысле этого слова, нередко они несут на себе «от-
печаток» той ОС, для которой были созданы изначально. Как
правило, это программы с графическим пользовательским
интерфейсом, что делает их малопригодными для запуска в
режиме демона, к которому привыкли администраторы UNIX.
Более того, и сама графическая среда X Window устанавли-
вается на сервер далеко не всегда. Об очевидных пробле-
мах совместимости (производитель может не предоставлять
ни пакеты для вашего любимого дистрибутива, ни исходные
тексты для самостоятельной сборки) не стоит и говорить. Вы-
ходом из сложившейся ситуации может стать использова-
ние открытых решений, об одном из которых – Network UPS
Tools (NUT) версии 2.0 – мы и поговорим подробнее.
Что подразумевает собой понятие «настройка ИБП»? В
первую очередь, это обеспечение корректного останова ОС
при истощении аккумуляторных батарей и последующий ав-
томатический запуск компьютера после восстановления
электропитания. Во-вторых, это наблюдение за такими па-
раметрами состояния ИБП, как режим работы («от сети»
или «от батарей»), степень разряда АКБ, входное и выход-
ное напряжение, температура, а также мощность нагрузки.
В последнем случае фатальными могут оказаться как слиш-
ком большие, так и слишком маленькие значения, о чем
будет сказано чуть позже.
Прежде чем переходить к использованию NUT, давайте
вкратце рассмотрим его внутреннее устройство.
Мониторинг ИБП изнутри
В терминологии NUT программный код, отвечающий за не-
посредственное взаимодействие с оборудованием, называ-
ется «драйвер ИБП» (UPS driver). Следует, однако, понимать,
что этот драйвер существенно отличается от драйверов тра-
диционных устройств: сетевых и звуковых карт, клавиатур,
«мышей» и т. п. Последние выполняются в режиме ядра и
используют его API для передачи сообщений приложениям.
В свою очередь драйвер ИБП – обычная программа, имею-
щая интерфейс командной строки и периодически запраши-
вающая характеристики ИБП через соответствующее уст-
ройство в файловой системе. Например, /dev/ttySx для UPS,
подключенного к последовательному порту в системе Linux
1
NUT поддерживает как ИБП, подключающиеся к последовательному порту, так и более новые USB HID UPS и даже SNMP UPS (RFC 1628).
В последних двух случаях соответствующие драйвера (hidups, newhidups и snmp-ups) пока что имеют статус экспериментальных.
16
ВАЛЕНТИН СИНИЦЫН
или /dev/usb/hid/hiddev/x для устройств, управляющихся че-
рез USB1. Драйвер ИБП инкапсулирует в себе протокол, ко-
торый поддерживает UPS и напрямую используется край-
не редко. Его основная задача – привести данные, полу-
ченные от ИБП в стандартный формат и передать их демо-
ну upsd через сокет UNIX, расположенный в каталоге statedir
(см. ниже) для последующей обработки. Сам upsd не пред-
принимает никаких активных действий, но выполняет роль
диспетчера сообщений, транслирующего все необходимые
сведения по запросу многочисленных клиентов, которые мо-
гут быть установлены как в локальной, так и на удаленной
системе. Именно upsd поддерживает списки контроля дос-
тупа (ACL) и определяет, кто сможет наблюдать за выде-
ленным ИБП, а кто – нет.
Клиенты – самое высокоуровневое приложение в номен-
клатуре NUT. Среди них есть непрерывно наблюдающие
за «здоровьем» ИБП (upsmon), обеспечивающие доступ к
считыванию и изменению параметров UPS через интерфейс
командной строки (upsc/upscmd) или через Web (upstats/
upset), планировщики (upssched) и даже графические ути-
литы: KNutClient (http://www.alo.cz/knutclient), WMNut (http://
wmnut.mgeups.org»).
Таким образом, для настройки ИБП необходимо выб-
рать соответствующий драйвер (NUT 2.0 поддерживает из-
делия около 25 различных производителей, в том числе
APC, Powercom, MGE, Ippon, и др.), назначить списки конт-
роля доступа для upsd и подготовить один или более кли-
ентов. Обязательным минимумом является upsmon, кото-
рый и будет останавливать систему в случае разряда бата-
рей. Рекомендуется также обеспечить средства для мони-
торинга параметров ИБП: upsc, upstat/upset и т. д.
Однако прежде чем произвести упомянутые выше дей-
ствия, NUT необходимо установить в вашу систему. Наи-
более общим способом является сборка из исходных тек-
стов, и поэтому мы поговорим о ней подробнее.
Собираем собственную версию NUT
Прежде чем браться за компиляцию NUT, проверьте, суще-
ствует ли для вашей системы готовый пакет (http://eu1.
networkupstools.org/packages.html). Если таковой имеется,
убедитесь, что в него включен драйвер для вашей модели
ИБП (учтите, что один драйвер может поддерживать не-
сколько различных устройств). Если нужный драйвер от-
сутствует, вам все же придется произвести самостоятель-
ную сборку, но вы сможете использовать spec-файлы RPM,

build-сценарии и прочие подобные вещи, чтобы не нарушить
пакетную базу данных вашего дистрибутива.
Загрузите архив nut-2.0.x.tar.gz с сайта http://www.net-
workupstools.org и распакуйте его в любой подходящий ка-
талог. NUT использует стандартную среду autoconf/automake,
и его сборка может быть выполнена привычной последова-
тельностью команд:
# ./configure <ïàðàìåòðû> && make && make install
Среди полезных параметров сценария configure назовем:
! --prefix – задает общий «корень» для всего дерева ди-
ректорий NUT. Значением по умолчанию является /usr/
local/ups, но вы можете выбрать другой путь, например,
/usr/local или /usr, чтобы установить NUT в общесистем-
ные каталоги (исполняемые файлы – в /usr/bin вместо
/usr/local/ups/bin и т. д.).
! --with-statepath – задает каталог для хранения сокетов
UNIX, создаваемых драйверами и другой информации
о состоянии. Значение по умолчанию – /var/state/ups.
Пользователь, от имени которого работает NUT (см.
ниже), должен иметь право чтения/записи на эту дирек-
торию.
! --with-port – указывает TCP-порт, используемый, в част-
ности, демоном upsd для приема входящих соединений.
По умолчанию NUT 2.0 использует порт 3493, а более
ранние (несовместимые) версии – 3305.
! --with-user – задает пользователя, от имени которого бу-
дут выполняться демоны NUT. Значение по умолчанию –
nobody. При желании вы (или разработчики дистрибу-
тива) можете создать для NUT специальную учетную за-
пись и группу, например, nut:nut.
! --with-drivers – здесь указывается список драйверов ИБП,
подлежащих сборке. В подавляющем большинстве слу-
чаев необходимо выбрать лишь один из них.
Более подробную информацию можно найти в файле
docs/configure.txt в архиве с исходными текстами NUT. Пос-
ле выполнения configure наберите «make» и «make install»
(от имени root), чтобы завершить сборку и установку. Для
создания шаблонов конфигурационных файлов используй-
те «make install-conf». Помимо этого, не забудьте создать
каталог для хранения сокетов (statepath) и назначить ему
необходимые права доступа (0700, владелец nut:nut, где
«nut» – пользователь, от имени которого будут выполнять-
ся демоны). Подробности ищите в файле INSTALL, вклю-
ченном в стандартный комплект поставки.
Запускаем NUT
В данном разделе мы рассмотрим настройку NUT в самом
простом случае, когда имеется один ИБП, подключенный к
одному компьютеру. В принципе NUT способен поддержи-
вать и более сложные системы, когда один UPS контроли-
рует несколько машин. В такой ситуации компьютер, к ко-
торому подключен ИБП, является главным (master) и отве-
чает за своевременное оповещение и выключение подчи-
ненных (slave) систем.
Конфигурационные файлы NUT хранятся в каталоге
<prefix>/etc. Если на предыдущем этапе вы выполнили ко-
№5, май 2005
администрирование
манду «make install-conf», то сейчас сможете воспользовать-
ся шаблонами, сохраненными в файлах *.sample.
Первый файл, в который вам предстоит внести измене-
ния, называется ups.conf. Он определяет все параметры под-
ключенных к вашему компьютеру ИБП, а также задает неко-
торые глобальные опции, например, учетную запись, от име-
ни которой будут выполняться драйверы (директива user) и
интервал опроса оборудования (директива pollinterval).
Ëèñòèíã 1. Ïðèìåð ôàéëà ups.conf
user = nut
[ups0]
driver = ippon
port = /dev/ttyS0
desc = "Server UPS"
Данный файл определяет один источник бесперебойно-
го питания, имеющий имя «ups0» и подключенный к перво-
му последовательному порту (/dev/ttyS0). Поле «desc» явля-
ется необязательным и задает текстовую строку-описание
для ИБП. Поле «driver» определяет название драйвера, ко-
торый будет использоваться для связи с UPS. В данном слу-
чае используется ippon, универсальный драйвер для всех
ИБП одноименного производителя. Поля «driver» и «port»
должны присутствовать в каждой секции файла ups.conf.
Руководство пользователя NUT также рекомендует удосто-
вериться, что файл устройства (в нашем примере /dev/ttyS0)
не доступен ни для кого, кроме пользователя «nut». После
того как файл ups.conf создан, вы можете проверить его кор-
ректность, загрузив драйвер ИБП. Для этого используется
утилита upsdrvctl, расположенная в каталоге <prefix>/bin.
# upsdrvctl start
Если все пойдет гладко, утилита отрапортует об успеш-
ном обнаружении ИБП и перейдет в фоновый режим. В про-
тивном случае будет выдано сообщение об ошибке. Проверь-
те, правильно ли заполнены поля driver и port, а также удос-
товерьтесь, что выбранный вами драйвер не требует указа-
ния дополнительных параметров. Если таковые имеются, до-
бавьте их в соответствующую секцию ups.conf. Другой рас-
пространенной проблемой является невозможность созда-
ния файлов в каталоге statepath при работе от имени пользо-
вателя, указанного директивой «user» в файле ups.conf (или
параметром --with-user сценария configure, если таковая от-
сутствует). Теперь, когда в вашей системе имеется новый
фоновый процесс, собирающий информацию о состоянии
ИБП, настало время подумать и о том, как эту информацию
получать. В первую очередь необходимо настроить демон
upsd, поскольку, как мы помним, именно он отвечает за пе-
редачу этих данных приложениям-клиентам.
Конфигурация upsd сводится к построению списков кон-
троля доступа (ACL), которые сохраняются в файле <prefix>/
upsd.conf.
Ëèñòèíã 2. Ïðèìåð ôàéëà upsd.conf
ACL local 127.0.0.1/32
ACL all 0.0.0.0/0
ACCEPT local
REJECT all
17
 администрирование
Данный файл определяет два ACL-списка: «local»
(127.0.0.1/32) и «all» (все узлы Сети). Директива ACCEPT
предписывает upsd принимать соединения с локального
хоста, а директива REJECT – пресекать любые попытки
связи с узлов «all». Upsd просматривает эти директивы в
порядке перечисления до тех пор, пока не будет найдено
совпадение, поэтому можно быть уверенным, что наш ИБП
будет «виден» только с компьютера, к которому он подклю-
чен. На мой взгляд, для мониторинга ИБП с других машин
удобнее использовать SSH-соединение или веб-интерфейс,
а не прямое подключение к демону upsd.
Далее, необходимо создать файл <prefix>/upsd.users, в
котором будут перечислены учетные записи пользователей,
обладающих правами администратора. Администраторы
могут изменять переменные состояния драйверов и пода-
вать команды ИБП (например, «выключить звуковое опо-
вещение»).
Ëèñòèíã 3. Ïðèìåð ôàéëà upsd.users
[admin]
password = my_passwd
allowfrom = local
actions = set
instcmds = all
upsmon master
Каждому пользователю соответствует отдельная секция
файла upsd.users. В данном случае мы определили учет-
ную запись «admin» с паролем «my_passwd» (обратите вни-
мание, что он хранится в открытом виде), разрешили дос-
туп с узлов из списка «local» и предоставили право уста-
навливать значения переменных (actions = set) и выполнять
любые команды (instcmds = all). Более полное описание фор-
мата upsd.users можно найти в соответствующем разделе
руководства man.
Поскольку файлы upsd.conf и upsd.users содержат кон-
фиденциальную информацию в незашифрованной форме,
следует ограничить доступ к ним:
# chown root:nut upsd.conf upsd.users
# chmod 0640 upsd.conf upsd.users
Теперь все готово к тому, чтобы запустить демон upsd.
# <prefix>/sbin/upsd
Если запуск прошел нормально (о чем свидетельствует
переход upsd в фоновый режим), вы можете наконец-то
выполнить программу-клиент. В качестве «пробы пера» хо-
рошо подойдет upsc, простая утилита, входящая в состав
NUT и позволяющая просматривать текущие параметры
состояния ИБП.
# upsc ups0@localhost
battery.charge: 97.1
battery.voltage: 13.5
driver.name: ippon
driver.parameter.port: /dev/ttyS0
driver.version: 2.0.0
driver.version.internal: 0.02
2
Обратите внимание, что для некоторых драйверов эта важная характеристика не предоставляется оборудованием, а вычисляется на
основании других параметров. Используйте ее только в оценочных целях.
18
input.frequency: 50.1
input.voltage: 208.3
output.voltage: 209.4
ups.load: 012
ups.mfr: Ippon
ups.model: universal driver
ups.status: OL
ups.temperature: 25.0
Здесь ups0 – название вашего ИБП, указанное в файле
ups.conf, а localhost – имя узла, на котором запущен демон
upsd. Вы можете видеть различные параметры состояния:
! заряд батарей (battery.charge2);
! температуру (battery.temperature);
! режим работы (ups.status: OL означает «on-line/от сети»,
OB – «on battery/от батарей», LB – «low battery/батареи
разряжены»);
! входное и выходное напряжение (input.voltage, output.
voltage).
Полный список характеристик зависит от драйвера ИБП.
Удостоверившись в работоспособности данной конфи-
гурации, можно приступать к настройке upsmon – централь-
ного клиентского демона, обеспечивающего реакцию сис-
темы на сигналы ИБП.
Останов системы
В режиме работы от батарей, перед самым их истощени-
ем, ИБП генерирует сообщение «battery low». Upsmon по-
лучает и обрабатывает этот сигнал, вызывая команду
«shutdown -h now» или подобную ей для корректной оста-
новки системы. Более детально данный процесс можно опи-
сать следующей схемой:
! ИБП генерирует событие «battery low».
! Upsmon получает данный сигнал и инициирует выклю-
чение:
! создается специальный файл POWERDOWNFLAG,
являющийся признаком того, что система находит-
ся в режиме отключения в связи с истощением ба-
тарей ИБП;
! выполняется команда SHUTDOWNCMD;
! rc-сценарий использует проверку флага POWER-
DOWNFLAG для предотвращения «энергетической
гонки» (power race).
Все упомянутые выше параметры задаются в файле
<prefix>/upsmon.conf, который может иметь следующий вид:
Ëèñòèíã 4. Ïðèìåð ôàéëà upsmon.conf
MONITOR ups0@localhost 1 admin my_passwd master
RUN_AS_USER nut
POWERDOWNFLAG /killpower
SHUTDOWNCMD "/sbin/shutdown -h now"
Замечание. Внимательный читатель может спросить:
хватит ли у демона upsmon, выполняющегося от имени поль-
зователя RUN_AS_USER (в нашем примере – nut) прав на
запуск команды «shutdown»? Да, поскольку во время стар-
та upsmon специально «резервирует» для этих целей про-

Аппаратные аспекты
Непосредственное подключение UPS к системному блоку,
как правило, не вызывает затруднений и подробно описы-
вается в документации к оборудованию. Проблема состоит
в другом: как настроить компьютер таким образом, чтобы
он не только корректно выключался, но и автоматически
включался?
С точки зрения компьютера (не операционной системы!),
истощение батарей ИБП есть сбой электропитания (UPS
просто перестает генерировать выходное напряжение, как
только процент разрядки превысит некоторый критический
порог). Современные версии BIOS позволяют настроить
реакцию системы на события такого рода. Соответствую-
щая опция обычно называется «After power fail» или подоб-
ным образом и может быть найдена в самых различных
подменю. Заводская установка – «Off» означает «требует-
ся ручное включение». Измените ее на «On», и тогда ком-
пьютер будет автоматически включаться при появлении на-
пряжения на входных клеммах блока питания. Поскольку
ИБП, переходя в режим работы «от сети», сразу же подает
ток на все обслуживаемые устройства, от администратора
больше не требуется никаких настроек.
Другим важным аспектом является мощность нагрузки.
Памятуя поговорку «все крайности плохи», можно сказать,
цесс, работающий с привилегиями суперпользователя. Уг-
роза для безопасности системы здесь невелика, поскольку
сетевое взаимодействие и прочая активность upsmon про-
исходит в другом процессе. При возникновении критичес-
кой ситуации непривилегированный процесс-потомок сооб-
щает об этом «дремлющему» родителю, который и выпол-
няет команду SHUTDOWNCMD.
Директива MONITOR задает ИБП, за которым будет
наблюдать upsmon (в нашем примере – ups0@localhost) и
реквизиты пользователя. Поскольку последние содержат-
ся в файле upsmon.conf в открытом виде, необходимо сно-
ва позаботиться об ограничении доступа (см. выше).
«Энергетической гонкой» называется ситуация, когда
ИБП переходит в режим работы от сети вскоре после гене-
рации сигнала «battery low», в процессе останова системы.
В этом случае компьютер, настроенный на автоматическое
включение после сбоя электропитания (см. раздел «Аппа-
ратные аспекты») окажется заложником собственной «ос-
торожности», ведь фактически никакого сбоя не произой-
дет! Мне приходилось слышать, что некоторые модели UPS
разрешают данную проблему автоматически, однако, «во
избежание» предлагаю вам использовать следующий ме-
ханизм, обеспечивающий корректную работу системы даже
в случае «глупого» ИБП (см. листинг 5):
! В начале своего выполнения rc-сценарий, отвечающий
за останов системы (/etc/rc.d/halt, rc.halt и т. п.) прове-
ряет наличие флага POWERDOWNFLAG.
! Если флаг присутствует, сценарий выполняет все дей-
ствия, необходимые для корректного завершения рабо-
ты (выгружает демоны, размонтирует файловые систе-
мы и т. п.), после чего засыпает на непродолжительное
время, например на 2-3 минуты.
! Если по истечении этого времени rc-сценарию верну-
лось управление (т.е. компьютер остался включенным,
№5, май 2005
администрирование
что здесь опасна как перегрузка, так и «недогрузка». С пер-
вой из них все понятно: подключение к ИБП лазерного прин-
тера, утюга или электрочайника приведет к срабатыванию
предохранителя и немедленному отключению потребите-
лей тока. Никакого сигнала «battery low» в данном случае
сгенерировано не будет, так что upsmon, upsd и прочие ока-
жутся бесполезными.
Как это ни удивительно, «недогрузка» зачастую грозит
теми же последствиями. В некоторые ИБП встраивается так
называемая «зеленая функция» (green function), предотвра-
щающая работу на холостом ходу при малой внешней на-
грузке. Опыт показывает, что ИБП Ippon Back Power Pro 400
не замечает «народный сервер» Celeron-600/256 RAM/HDD
без монитора. Симптомы, свидетельствующие о срабаты-
вании «зеленой функции», таковы: слишком малое время
работы от аккумулятора (5-10 минут), несмотря на то, что
подключенный к ИБП компьютер имеет небольшую мощ-
ность; некорректный останов ОС при условии наличия пра-
вильно настроенной системы слежения (NUT или подобной).
Для устранения «неполадки» можно обратиться в сервис-
ный центр или же решить проблему с другого конца – по-
высить общую мощность, например, подключив к компью-
теру дополнительные жесткие диски.
несмотря на то, что батареи ИБП истощены), мы подо-
зреваем «энергетическую гонку» и принудительно пе-
резагружаем систему.
Для проверки флага лучше использовать не стандарт-
ные средства bash (оператор -f), а специальный параметр
командной строки утилиты upsmon, -K. В данном случае код
завершения upsmon будет равен EXIT_SUCCESS (0), если
флаг присутствует и EXIT_FAILURE в противном случае. Это
обеспечивает более надежное функционирование сценария.
Ëèñòèíã 5. rc-ñöåíàðèé, îáåñïå÷èâàþùèé çàùèòó îò power race
/usr/local/ups/sbin/upsmon -K >/dev/null 2>&1
if [ $? = 0 ]; then
KILLPOWER=1
else
KILLPOWER=0
fi
# ...ðàçìîíòèðîâàíèå ÔÑ, îñòàíîâ äåìîíîâ
if [ $KILLPOWER = 1 ]; then
echo "Swithching UPS off, please wait"
/usr/local/ups/bin/upsdrvctl shutdown
sleep 120
# Power-race workaround
echo “Hmm... Still alive?!”
reboot -d -f -i
fi
В рамках одной статьи сложно осветить все возможно-
сти такого богатого инструмента, как NUT. «За бортом» ос-
тались и веб-приложения, и поддержка SSL, и многие дру-
гие вопросы. Однако, я надеюсь, изложенных здесь сведе-
ний будет достаточно, чтобы понять, нужен ли вам NUT, по-
лучить представление о его архитектуре и базовые навыки
конфигурирования. За более подробной информацией вы
всегда сможете обратиться к страницам руководства и спра-
вочной документации, распространяющимися вместе с ис-
ходными текстами NUT. Успехов!
19
администрирование

ЧТО ВАЖНО ЗНАТЬ ОБ IP-ТЕЛЕФОНИИ?

Еще не так давно сети с коммутацией каналов (телефонные сети) и сети с коммутацией
пакетов (IP-сети передачи данных) существовали практически независимо друг от друга
и использовались для различных целей. Телефонные сети использовались для передачи
голосовой информации, а IP-сети – для передачи данных. Определенной вехой в истории
телекоммуникаций и Интернета является IP-телефония, позволившая передавать «голос»
поверх получивших уже значительное распространение IP-сетей. IP-телефония дала
возможность общения не только пользователям Интернета. С помощью специальных
устройств – шлюзов (gateway) она также объединила телефонные сети и сети передачи данных.

МИХАИЛ ПЛАТОВ
20

Пять причин использовать IP-телефонию
С помощью IP-телефонии вы сможете:
1. Сократить расходы на междугородные и междуна-
родные переговоры. Один из наиболее распространен-
ных вариантов использования IP-телефонии. Связь че-
рез IP получается дешевле по ряду причин. Во-первых,
в IP-телефонии используются широко распространен-
ные (и дешевые) сети с коммутацией пакетов1 (в отли-
чие от более дорогостоящих сетей с коммутацией кана-
лов, применяемых в традиционной телефонии). Во-вто-
рых, благодаря использованию голосовых кодеков (во-
кодеров, voice coders) достигается существенное сжа-
тие речевой информации. Так, при передаче голосово-
го потока в системах цифровой телефонии2 требуется
канал 64 кБит/с (ISDN). В системах IP-телефонии, при
использовании наиболее популярных на сегодняшний
день кодеков, требуется гораздо меньшая пропускная
способность (6-13 кБит/с).
Можно выделить два наиболее популярных варианта
подключения к провайдерам междугородной и между-
народной телефонии:
! Через ТФОП (Телефонная сеть Общего Пользова-
ния) – при подключении пользователь набирает «го-
родской» номер сервера IP-телефонии провайдера,
проходит аутентификацию (по pin-коду) и набирает
нужный ему номер. Чтобы пользоваться IP-телефо-
нией по этой схеме, достаточно иметь обычный го-
родской номер.
! С помощью специальных «шлюзов» – в этом случае
пользователь приобретает специальное устройство –
шлюз IP-телефонии, с помощью которого получает
возможность совершать звонки без использования
ТФОП (через интернет-канал, предоставляемый про-
вайдером). В место шлюзов также можно применять
программные (в том числе и бесплатные) и аппарат-
ные IP-телефоны.
2. Построить корпоративную телефонную сеть. В дан-
ном случае для ведения телефонных разговоров в рам-
ках предприятия используется внутренняя IP-сеть3. Од-
нако в минимальном варианте такие системы использу-
ются достаточно редко4 и как правило, корпоративные си-
стемы IP-телефонии также решают следующие задачи:
! обеспечение «мобильности» внутренних пользова-
телей;
! организация связи между географически отдален-
ными филиалами;
! объединение телефонной емкости филиалов в еди-
ный номерной план;
! организация аудио- и видеоконференций;
! построение центров обработки вызовов (call-центров).
администрирование
Данное направление систем IP-телефонии очень хоро-
шо развито производителями оборудования. Наиболее
известными поставщиками являются такие компании
как, Cisco Systems, Avaya, Nortel Networks.
3. Получить дополнительные возможности, не свой-
ственные обычным телефонным сетям: сlick2Dial –
возможность совершить звонок (например, менеджеру
продаж или в службу тех. поддержки) прямо с веб-сайта
компании, голосовые авто-информаторы на основе IVR
(Interactive Voice Response), аудио- и видеоконференций,
голосовую почту и историю пропущенных звонков через
web, определение присутствия абонента в сети и т. д.
4. Обеспечить «дешевую связь» в пределах зон Wi-Fi.
Пользователь, находящийся в пределах беспроводной
точки доступа 802.11 может применять VOIP (вместо
сотовой связи)5.
5. Организовать сеансы аудиосвязи или связи типа точ-
ка-точка через Интернет. Используя стандартное обо-
рудование IP-телефонии, можно организовать сеанс
связи между пользователями Интернет (например, c ис-
пользованием Microsoft NetMeeting) или соединить не-
сколько географически отдаленных филиалов.
Протоколы IP-телефонии
На данный момент существует несколько стандартизован-
ных протоколов, на базе которых строятся системы IP-те-
лефонии. Рассмотрим некоторые из них более подробно.
Протокол H.323
Автором данного стандарта является организация ITU-T
(International Telecommunication Union). Существует несколь-
ко версий стандарта H323. Первая была выпущена в 1996
году. Последующие являются эволюционным развитием
(большая гибкость, масштабируемость и надежность). Пос-
ледняя на данный момент версия 4 появилась в 2000 году.
На данный момент протокол H.323 является стандартом де-
факто для междугородной и международной телефонии.
Если вы захотите воспользоваться предложением одного из
транснациональных операторов IP-телефонии, то придется
обратить внимание именно на H.323. Стандарт определяет
базовую архитектуру сети передачи мультимедиаданных:
Ðèñóíîê 1. Âîçìîæíàÿ ñòðóêòóðà H323-ñåòè

1
Необходимо отметить, что, хотя в сетях IP-телефонии для передачи голоса и используется IP-сеть, она не является IP-сетью в обычном
понимании. Так, в голосовых IP-сетях особое внимание уделяется обеспечению гарантированного качества обслуживания QoS (DiffServ,
IntServ, MPLS), хотя это вовсе не означает, что в IP-сетях без QoS IP-телефония не будет работать.
2
Которые в виду своей стоимости так и не «ушли в массы».
3
Вариант может быть особенно интересен предприятиям, еще не имеющим коммуникационной инфраструктуры, т.к. при использовании IP-
телефонии можно полностью отказаться от прокладки «двойной проводки».
4
Все-таки основным преимуществом корпоративных сетей является функциональность, а не стоимость.
5
Инсталляции, работающие по такому принципу, существуют в некоторых западных образовательных учреждениях.

№5, май 2005 21

 администрирование
К числу объектов стандарта H.323 относятся:
! Терминал (Terminal).
! Шлюз (Gataway).
! Устройство управления конференциями (Multipoint
Control Unit – MCU).
! Привратник (GateKeeper).
Терминал
Конечное H.323-устройство пользователя. Может быть как
программным (приложение на компьютере), так и аппарат-
ным (телефонный аппарат). Терминалам могут назначать-
ся один или несколько псевдонимов (номера телефонов,
названия).
Шлюз
Устройство, предназначенное для сопряжения разнородных
сетей. Так, рекомендации ITU-T содержат информацию по
сопряжению H.323-устройств с устройствами сетей ISDN,
ATM и ТФОП.
Привратник
Основной управляющий6 элемент сети H.323, координиру-
ющий и контролирующий работу всех ее устройств. К его
задачам относятся:
! аутентификация;
! авторизация;
! разрешение имен;
! управление пропускной способностью, используемой
H.323-устройствами.
Как правило, сеть H.323 разбивается на «зоны», в каж-
дой из которых присутствует привратник, управляющий вве-
ренными ему устройствами. Для обеспечения большей на-
дежности одну «зону» могут обслуживать несколько при-
вратников, тогда один из них называется «главным», а ос-
тальные – «альтернативными». Помимо управления и цен-
трализованного разрешения имен абонентов, привратники
также могут предоставлять дополнительные возможности,
например, выполнять функции прокси-сервера для сигналь-
ных и медиаданных.
MCU7
Предназначено для организации конференций с числом
участников более 3. Оно координирует передачу управля-
ющей (и опционально мультимедийной) информации меж-
ду участниками конференций. Работу с устройствами H323
мы рассмотрим на примере привратника GNU GateKeeper
и открытых программных телефонов.
Протокол SIP
SIP – Session Initiation Protocol (протокол управления сесси-
ями) – используется для создания, изменения и разрыва
6
Для сетей сетей H323 наличие «привратника» не является обязательным. В этом случае H323-устройства работают в режиме Peer to Peer
и самостоятельно разрешают имена в IP-адреса.
7
Устройство управления конференциями.
8
Real-Time Protocol – для передачи «голоса».
9
Session Description Protocol – для описания параметров сессии.
10
Multiparty Multimedia Session Control.
22
«сессий» между одним или несколькими участниками. По-
нятие «сессии» в протоколе SIP достаточно широкое. Под
«сессией» могут подразумеваться не только телефонные
звонки, но и передача данных, конференции, децентрали-
зованные игры и т. д.
SIP регламентирует только процедуру установки соеди-
нения между устройствами, поэтому обычно наряду с SIP
используется протокол передачи информации. В случае IP-
телефонии в качестве таких протоколов выступают RTP8 и
SDP9.
Разработкой протокола SIP занимался комитет MMUSIC10
организации IETF, поэтому в отличие от протокола H.323
(разработанного телефонистами из ITU-T) протокол SIP яв-
ляется более интернет-ориентированным и предназначен
для предоставления несколько других (по сравнению с
H.323) услуг.
Ключевые возможности протокола SIP:
! Мультимедийность.
! Персональная мобильность пользователей. Пользова-
тели могут перемещаться без ограничений в пределах
сети, поэтому услуги связи должны предоставляться им
в любом месте этой сети. Пользователю присваивается
уникальный идентификатор, а сеть предоставляет ему ус-
луги связи вне зависимости от того, где он находится.
! Масштабируемость сети. Она характеризуется в первую
очередь возможностью увеличения количества элемен-
тов сети при её расширении. Серверная структура сети,
построенной на базе протокола SIP, в полной мере от-
вечает этому требованию.
! Открытость и простота. По убеждению авторов и спе-
циалистов, SIP позволит наполнить решения и продук-
ты новыми сервисами и возможностями. Что касается
простоты, то достаточно сказать, что все используемые
в SIP сообщения имеют текстовый формат и поддержи-
вают вложение любых типов данных. Поэтому голосовое
соединение может сопровождаться обменом данными
между приложениями. Так, разговор по протоколу SIP
свободно дополняется передачей данных от одного або-
нента другому, например, электронной визитки, цифро-
вых фотографий или даже файла MP3.
! Клиент-серверная архитектура.
! Возможность реакции на события. Так, клиент может
«подписаться» на определенное событие (например, об-
новление статуса пользователя), и как только оно на-
ступит, сервер вышлет соответствующее обновление.
Протокол SIP во многом схож с широко используемым
протоколом HTTP, который также можно считать сигналь-
ным (клиенты запрашивают у сервера нужные им докумен-
ты). При установке соединения параметры сессии описы-
ваются в соответствии с SDP и вместе с заголовками про-
токола SIP передаются клиенту. Коды ответов протокола

SIP также очень похожи на стандартные коды протокола
HTTP. В случае удачного ответа клиенту посылается код
200, адрес не найден (404), ошибка авторизации (403) и др.
Клиенты SIP-сети идентифицируются по универсальным
идентификаторам SIP-URI, внешне похожим на адреса элек-
тронной почты: sip:platov@cs.vsu.ru. Таким образом, имя
клиента SIP состоит из персональной части (до знака @),
идентифицирующей пользователя, и доменной части (пос-
ле @), определяющей, например, организацию. В качестве
доменной части возможно использование DNS-имени.
Протокол SIP выделяет следующие типы объектов сети:
! Агенты.
! Серверы регистрации.
! Серверы перенаправления.
! Прокси-серверы.
Агенты
Под агентами подразумеваются конечные устройства поль-
зователя (телефоны, программные телефоны, мобильные
телефоны, наладонные компьютеры, шлюзы в ТФОП, сис-
темы голосовых меню и т. д.)
В составе агентов выделяются две логические состав-
ляющие:
! агент-клиент (UAC – user agent client) – посылает запро-
сы и получает ответы;
! агент-сервер (UAS – user agent server) – принимает зап-
росы и посылает ответы.
Ðèñóíîê 2. Âçàèìîäåéñòâèå UAC è UAS
Ввиду того, что большинству устройств необходимо как
передавать, так и принимать данные, в реальных устрой-
ствах присутствует как UAC, так и UAS11.
Прокси-серверы
Являются неотъемлемой частью SIP-сети, отвечают за мар-
шрутизацию сообщений, а также аутентификацию и авто-
ризацию пользователей. В стандарте определяется два типа
SIP-прокси-серверов:
! Без учета состояния (stateless). Такие серверы не от-
слеживают состояния SIP-сессий и передают сообще-
ния, используя внутренние правила маршрутизации. Их
основное применение – распределение нагрузки и мар-
шрутизация. Open Source-примером stateless SIP-про-
кси-сервера является SER12 (SIP Express Router).
! С учетом состояния (stateful). Отслеживают состояние
каждой SIP-сессии от момента ее создания до завер-
11
Более детально к вопросу о UAC и UAS мы вернемся при рассмотрении тестовых утилит для SIP.
12
http://www.iptel.org.
13
http://www.asterisk.org.
№5, май 2005
администрирование
шения. Могут использоваться для более интеллектуаль-
ной маршрутизации (перенаправление вызовов, голо-
совая почта, дополнительная обработка вызовов и т. д.),
могут самостоятельно повторно пересылать пакеты (в
случае если они были потеряны при передаче). Платой
за дополнительные возможности является более слож-
ная реализация и большие требования в вычислитель-
ной мощности сервера (из-за необходимости хранить
информацию о каждой SIP-сессии). Наиболее популяр-
ным Open Source stateful прокси-сервером, работающим
по протоколу SIP, является Asterisk – The Open Source
Linux PBX13.
Ðèñóíîê 3. Òèïè÷íàÿ ñõåìà èñïîëüçîâàíèÿ SIP-ïðîêñè-ñåðâåðà
Если пользователь A1@a.com захочет позвонить пользо-
вателю B1@b.com, то он передаст запрос INVITE B1 свое-
му прокси-серверу, который перенаправит вызов прокси-
серверу b.com абонента B1.
Сервер регистрации (REGISTRAR)
Перед работой в сети каждое устройство должно зарегист-
рироваться с помощью специального сообщения REGISTER.
При этом клиент сообщает серверу свое имя в формате:
IP-адрес, номер порта, SIP-URI и пароль доступа. В случае
успешной регистрации информация о клиенте заносится в
специальную базу данных (используется в дальнейшем для
нахождения клиента) и клиенту высылается сообщение:
«200 OK». С определенной периодичностью этот процесс
повторяется, таким образом обеспечивается «актуальность»
данных о клиентах. Как правило, серверы REGISTRAR со-
вмещаются с прокси-серверами. PBX Asterisk, рассмотре-
нию которого будет посвящена отдельная статья, в этом от-
ношении не является исключением и может выполнять как
функции прокси-сервера, так и сервера регистрации.
SCCP (Skinny Client Control Protocol)
Данный протокол является корпоративным. Он разработан
компанией Cisco Systems для организации работы IP-теле-
фонов Cisco под управлением ПО Cisco Call Manager, явля-
ющегося в том числе и шлюзом в сети H.323. Идея подхо-
да, лежащего в основе разработки протокола SCCP, зак-
лючалась в переносе логики обработки H.323 соединений
из конечных устройств в ПО Cisco Call Manager. Таким об-
разом, существенно упрощалась (и удешевлялась) реали-
зация конечного устройства клиента.
Как оценить качество систем
IP-телефонии
Существуют различные методики оценки качества систем
IP-телефонии. Наиболее известные из них MOS (Mean
23
 администрирование
Opinion Score или «усредненная субъективная оценка экс-
пертов»), представляющая собой численную оценку, харак-
теризующую «качество» сети телефонии. Идея MOS очень
проста: специально сформированной группе людей предо-
ставляют возможность воспользоваться системой связи и
просят поставить оценку от 1 (ужасно) до 5 (отлично)14. Ус-
редненные данные такого исследования и называются MOS.
Кроме того, для оценки качества речи также существуют и
объективные методы, например, рекомендация ITU-T G.113
(измерение качества речи системы телефонии на основе
искажений, вносимых каждым ее элементом), PSQM (оцен-
ка качества работы вокодеров), PESQ (развитие PSQM для
оценки сетей телефонии). Не вдаваясь в детали методов
оценки качества, давайте лучше рассмотрим основные па-
раметры, оказывающие на него непосредственное влияние:
! используемый кодек;
! наличие/отсутствие «эха»;
! параметры каналов связи.
Все используемые на данный момент в IP-телефонии
кодеки обеспечивают «сжатие с потерями». В зависимости
от используемых алгоритмов эти «потери» могут быть по-
разному различимы «на слух» именно в этом аспекте рас-
сматривается влияние кодеков на качество речи.
При ведении разговоров на больших расстояниях начи-
нает проявляться эффект «эха». Существуют различные
алгоритмы, призванные с этим бороться (G.165, G.168,
G.168 2000, и др.), и в подавляющем большинстве устройств
какой-нибудь из них обязательно должен присутствовать.
Приведу три основных параметра канала связи, оказы-
вающих воздействие на качество систем телефонии:
! Задержка (latency). При передаче голоса или видео су-
ществуют определенные требования к максимально до-
пустимой задержке. Различные исследования показы-
вают, что для ведения нормального диалога необходи-
мо, чтобы «двойная задержка» при передаче голоса не
превышала 250-300 мс (бюджет задержки). При превы-
шении этого порога участники начинают испытывать
дискомфорт и стремятся закончить разговор. Таким
образом, для ведения комфортного разговора односто-
ронняя задержка не должна превышать 150 мс (задер-
жка канала + алгоритмическая задержка кодека), что
совпадает с рекомендацией ITU-T G.114. Для уменьше-
ния задержки, вносимой сетью, необходимо использо-
вать QoS (Quality of Service)
! Джиттер (jitter). Ethernet является сетью с коммутаци-
ей пакетов. В общем случае это означает, что пакеты
могут быть получены клиентом не в том порядке, в ка-
ком они были ему отправлены (для доставки пакетов
могли использоваться различные маршруты). Что в та-
ком случае делать декодеру? Для решения таких про-
блем используются специальные «jitter buffers» (сглажи-
вающий буфер). Задачей этих буферов является пред-
14
На практике MOS редко превышает 4.5.
15
Чем больше размер пакета, тем сильнее скажется его пропажа на восстановленном голосе.
16
Различные алгоритмы обладают разной степенью устойчивости к пропаже пакетов (при восстановлении используется информация «со-
седних» кадров).
17
Эти данные также подтверждаются оценкой MOS.
24
варительное накопление пакетов перед их дальнейшей
передачей декодеру. Очевидно, что буфер дрожания
также вносит некоторую задержку в процесс передачи
голоса, поэтому желательным является использование
такого размера буфера дрожания, которое, с одной сто-
роны, обеспечивает приемлемое качество речи, а с дру-
гой – минимизирует общее значение бюджета двусто-
ронней задержки до значения 300 мс.
! Потеря пакетов. Как известно, в сетях Ethernet допус-
кается потеря пакетов. Влияние потери пакетов на ка-
чество речи определяется размером пакета15, а также
используемым алгоритмом сжатия речи16. Речевая ин-
формация в большей степени устойчива к пропаже оди-
ночных пакетов, нежели целых серий. В любом случае,
согласно рекомендации ITU-T, для нормальной работы
систем IP-телефонии допускается потеря не более 1%
пакетов, в противном случае ухудшение качества речи
будет заметно. Для улучшения качества в условиях заг-
руженных сетей можно использовать QoS либо, если па-
кеты теряются из-за природы самой сети (например,
беспроводная сеть), то для улучшения качества можно
использовать более помехоустойчивый кодек или умень-
шать размер кодируемого кадра.
Кодеки IP-телефонии
За все время существования данного направления было
разработано большое количество кодеков, используемых
для передачи аудио- и видеоинформации в системах IP-те-
лефонии. Наиболее популярными (по количеству пользо-
вателей и поддержки в конечных устройствах) в настоящее
время являются:
! G711 – стандартизованный ITU-T кодек, используемый в
устройствах ISDN. Требуемая пропускная способность –
64 кбит/сек. Существуют две разновидности кодека a-
law и u-law, отличающиеся алгоритмами кодирования.
Кодек поддерживается практически всеми устройства-
ми IP-телефонии.
! G729 – стандартизованный ITU-T кодек, предназначенный
для передачи речи с «хорошим качеством» при использо-
вании небольшой пропускной способности (8 кбит/сек).
Существуют две популярные (и несовместимые между
собой) версии данного стандарта: Annex A (более «про-
стая» схема кодирования) и Annex B (с использованием
алгоритмов сжатия пауз). По субъективным оценкам,
данный кодек обладает качеством лучшим, чем у G.723,
но худшим, чем G71117. Поддерживается практически
всеми производителями оборудования. При коммерчес-
ком использовании требуется лицензия.
! G723.1 – кодек, стандартизованный ITU-T. Отличитель-
ной особенностью является возможность работы при
очень низком потоке (5.3, 6.3 кбит/сек). По субъектив-
ными оценкам, обладает самым плохим качеством (сре-
ди рассматриваемых кодеков) речи. Поддерживается

значительной частью устройств IP-телефонии. При ком-
мерческом использовании требуется лицензия.
! GSM (RPE-LTP) – голосовой кодек, разработанный для
использования в системах сотовой связи стандарта
GSM. При кодировании кадра используется информа-
ция предыдущего кадра, кодирование осуществляется
блоками по 20 мс со скоростью 13 кбит/с. Поддержива-
ется производителями оборудования, в основном в шлю-
зах между сотовыми и VoIP-сетями.
! iLBC (Internet low bitrate codec) – открытый (не требу-
ются лицензионные отчисления) голосовой кодек. Пред-
назначен для кодирования с потоком 13.33 кбит/сек (при
размере кадра 30 мс) и 15.20 кбит/сек (при размере кад-
ра 20 мс). По субъективным оценкам экспертов, каче-
ство речи данного кодека превышает G.729A. Кроме
того, кодек более устойчив (по сравнению с g729) к по-
тере кадров, что позволяет эффективно использовать
его при организации сеансов связи через сеть Интер-
нет. Примером этому является популярная сеть IP-те-
лефонии – Skype18. Поддерживается ограниченным чис-
лом производителей оборудования.
Сравнительные характеристики кодеков приводятся в
таблице:
Òàáëèöà. Îñíîâíûå ïàðàìåòðû êîäåêîâ IP-òåëåôîíèè
Таким образом, по показателю качества кодеки можно
расположить следующим образом (в порядке ухудшения ка-
чества): G711, iLBC, G729, gsm, G723. По используемой про-
пускной способности (в порядке увеличения:) G723, iLBC,
G729, GSM, G711.
Интерфейсы телефонии
Наиболее часто используемым оборудованием в IP-теле-
фонии являются шлюзы. Как было сказано выше, задачей
шлюза является сопряжение «обычных» телефонных сетей
с IP. И если с одной стороны этого шлюза всегда будет IP,
то количество интерфейсов с другой стороны запросто мо-
жет поставить в тупик неподготовленного человека. Попро-
буем развеять эту неопределенность и рассмотрим наибо-
лее известные «телефонные» интерфейсы:
! FXS (Foreign eXchange Subscriber) – аналоговый ин-
терфейс телефонных станций. К голосовым шлюзам с
18
Бесплатная для звонков компьютер-компьютер.
19
Некоторые кодеки поддерживают несколько размеров пакетов.
20
При передаче через Ethernet к пакет «обрастает» различными заголовками (MAC, IP, RTP). В даной колонке приводится суммарная про-
пускная способность (без сжатия заголовков RTP, удаления пауз и потерь при передаче). В таблице приводятся данные для одного госо-
лового канала, в то время как при сеансе их обычно 2 (прямой и обратный).
21
Кроме Е1 (2 Мбит) также существуют Е2 (4 канала E1 или 8 Мбит), Е3 (4 Е2 или 34М бит), Е4 (4 Е1 или 139 Мбит), Е5 (4 Е4 или 565 Мбит).
В Северной Америке используется очень схожая иерархия каналов T1, Т2 и т. д., отличающаяся количеством каналов (Т1 – 24 канала по 64
кБит) и, соответственно, пропускной способностью (Т1 – 1,5 Мбит).
№5, май 2005
администрирование
таким интерфейсом могут подключаться обычные те-
лефонные аппараты, факсы и другие абонентские уст-
ройства. Фактически, интерфейс FXS это то, что прихо-
дит к нам по телефонному кабелю от городской или
мини-АТС. В задачу устройств, реализующих этот ин-
терфейс, входят: генерация сигнала готовности АТС (гу-
док в линии), сигналов вызова абонента и т. д.
! FXO (Foreign eXchange Office) – аналоговый интерфейс
абонентских устройств телефонных станций. Устройства
с таким интерфейсом подключаются к интерфейсу FXS.
Так те же самые факсовые аппараты, телефоны, моде-
мы реализуют интерфейс FXO. Существует такое про-
стое правило – если есть провод, соединяющий два ана-
логовых устройства телефонии, то с одной стороны это-
го провода должен быть FXS (АТС), а с другой – FXO
(телефон). Таким образом, шлюзы с интерфейсом FXO
подключаются вместо телефона. С их помощью можно
организовать связь с ТФОП или предоставить доступ к
IP-телефонии, используя «внутренние» (более дешевые)
линии мини-АТС. Так как шлюзы FXO фактически «эму-
лирует телефон», зачастую для них бывает необходи-
ма настройка «отбоя». Для того чтобы шлюз «клал труб-
ку», нужно научить его понимать сигнал «занято» той
мини-АТС, к которой он подключен.
Ðèñóíîê 4. Cîïðÿæåíèå ïîðòîâ FXO è FXS
! E1 – цифровой интерфейс, используемый для создания
высокоскоростных магистралей. В цифровом потоке E1
имеется 32 канала (2 из них служебные) по 64 кБит21.
Таким образом, используя 1 поток E1, возможно орга-
низовать до 30 одновременных телефонных разговоров.
В IP-телефонии такие интерфейсы часто используются
для организации связи с ТФОП или для организации
связи между АТС. В каналах E1 может использоваться
различная сигнализация (CAS, SS7, R2, R1.5, Q.931), и
при подключении устройств по E1 это необходимо учи-
тывать.
Заключение
Итак, после того как мы получили представление об основ-
ных протоколах и кодеках, используемых в IP-телефонии,
можно приступить к практической части – рассмотрению
конкретных программ и устройств, реализующих эти про-
токолы. Об этом читайте во второй статье цикла.
25
 администрирование

ALT-N MDAEMON – ПОЧТОВАЯ СИСТЕМА

ДЛЯ СРЕДНИХ И КРУПНЫХ КОМПАНИЙ
ЧАСТЬ 2

В первой части статьи (см. №4, 2005 г.)

была описана установка и первичная
настройка почтового сервера Mdaemon.
Сегодня более подробно рассмотрим
способы доставки почты до самого
почтового сервера, а также основные
настройки безопасности. Правильное
понимание этих принципов – основа
успешного внедрения собственного
почтового сервера.

Выбираем способ доставки
исходящей почты
В меню «Setup → Primary Domain», закладка «Delivery», ука-
зывается способ отправки писем нашим почтовым серве-
ром во внешний мир.
«Always send every outbound email to the server specified
below» – всегда отправлять исходящие сообщения на сер-
вер, указанный в поле «Mail server». Данную опцию предпоч-
тительно использовать при большом количестве адресатов
в исходящих сообщениях и слабых ресурсах почтового сер-
вера, а также для экономии исходящего трафика, если это
РОМАН МАРКОВ
актуально (низкая исходящая скорость канала, высокая сто-
имость исходящего трафика). Дело в том, что MDaemon, яв-
ляясь полноценным почтовым сервером, имеет возможность
прямой отправки писем адресатам по протоколу SMTP. Этот
процесс абсолютно стандартен, однако иногда становится
непонятным для начинающих администраторов, которые кон-
фигурируют почтовый сервер впервые. При использовании
SMTP-сервера провайдера происходит отсылка одной копии
письма, независимо от количества указанных в нем получа-
телей, а доставкой конечным адресатам занимается уже
именно сервер провайдера, поэтому этот процесс обычно

26

скрыт от конечных пользователей. В случае прямой отправ-
ки писем сервером MDaemon, каждая копия письма для ука-
занных получателей отправляется отдельно, так как достав-
ляется прямо на почтовый сервер адресата (согласно полу-
ченной от DNS-сервера MX-записи для домена получателя).
Поэтому исходящий трафик от одного письма для 50 адре-
сатов, отправленного через сервер провайдера, будет ра-
вен размеру этого письма, а при прямой доставке на серве-
ра получателей – 50-кратному размеру этого письма. Поэто-
му если вы осуществляете рассылки больших объемов ин-
формации для своих подписчиков (например, ежедневные
прайс-листы), а исходящая скорость канала мала, или вы
оплачиваете исходящий трафик, опция «Always send every
outbound email to the server specified below» будет для вас
оптимальным решением. Минусом этого метода является
отсутствие возможности проанализировать протокол достав-
ки сообщения с конечным сервером получателя, так как наш
почтовый сервер будет записывать только протокол обмена
с SMTP-сервером провайдера.
В поле «Mail server» указывается SMTP-сервер вашего
провайдера (или любой другой сервер, позволяющий осу-
ществлять ретрансляцию почты). Если данный сервер тре-
бует аутентификации пользователя при отправке, укажите
учетные данные для аутентификации в поле «Access to the
above mail server requires a log in». Если SMTP-сервер про-
вайдера предъявляет требование проверить существующий
POP3-ящик для доступа к отправке почты, укажите пара-
метры этого ящика, кликнув по опции «Access to the above
mail server requires a POP mailbox check».
«Try direct delivery but send problem emails to the server
specified below» – наиболее предпочтительный способ дос-
тавки ваших писем, если предыдущие замечания не повли-
яют на экономические и качественные показатели почто-
вой системы. То есть если исходящая скорость канала ве-
лика, а исходящий трафик бесплатен (дешев). При выборе
данного способа доставки почтовый сервер будет пытать-
ся отправить почту напрямую каждому адресату, исполь-
зуя данные его MX-записи, а в случае неудачи (например,
отсекание почты от отправителя, IP-адрес которого не имеет
обратной DNS-записи, соответствующей его почтовому
домену) – на указанный в поле «Mail-Server» хост. Преиму-
щества способа заключаются в возможности анализа фай-
лов протоколов обмена при прямой доставке писем для
локализации проблемы на основе этих данных.
«Always send all outbound email directly to the recipient’s
mail server» – данная опция указывает, что MDaemon дол-
жен всегда доставлять письма только напрямую, не исполь-
зуя сервер провайдера. В случае невозможности доставить
почту указанному адресату при существующей MX-записи
для него, MDaemon поставит такие письма в очередь систе-
мы повтора (Retry Queue System) и будет предпринимать
повторные попытки доставки в соответствии с настройками
удержания таких писем в этой очереди (по умолчанию – по-
стоянно в течение 60 минут, а затем раз в 240 минут в тече-
ние 5 дней). В случае невозможности доставки письма в те-
чение первого периода пользователь получит об этом опо-
вещение. После окончания 5-дневного срока пользователь
также получит уведомление о том, что его письмо по-пре-
жнему не доставлено. Для изменения настроек по умолча-
№5, май 2005
администрирование
нию выберите опцию «Click here to configure how undeliverable
mail is handled».
Настраиваем интегрированный
антивирус
Устанавливаем интегрируемый в MDaemon антивирус. Ска-
чиваем дистрибутив оттуда же, откуда загружали сам
MDaemon (http://www.altn.com/download) и запускаем файл.
В окне мастера выбираем язык, а также путь установки.
Можно, например, создать папку антивируса внутри самой
папки MDaemon. Инсталлятор автоматически останавлива-
ет почтовый сервер, копирует нужные файлы и предлагает
перезапустить MDaemon уже с интегрированным антиви-
русом. Соглашаемся с предложением мастера и после за-
пуска сервера регистрируем наш антивирусный продукт.
Его регистрация не требует дополнительной активации и
осуществляется вводом серийного номера. Меню «Help →
About MDaemon → Antivirus». Вводим в данной закладке вы-
данный нам при покупке серийный номер и перезагружаем
почтовый сервер («Пуск → MDaemon → Stop MDaemon →
Start MDaemon»). После установки антивирус может запус-
тить процедуру автоматического обновления. Если в этот
момент ваш компьютер имеет подключение к Интернету,
то новые базы будут автоматически установлены.
Сразу же настроим параметры антивируса: период про-
верки обновлений, режим сканирования, действия при об-
наружении вируса или запрещенного вложения. Меню
«Security → Antivirus». На основной закладке («Antivirus»)
выбираем «Enable Antivirus scanner». Если необходимо,
здесь же можно задать отправителей/получателей, письма
которых сканироваться не будут. В секции «Scanner
Configuration» настраиваются действия, которые будут пред-
приниматься к инфицированным письмам.
Наиболее универсальное решение – попытаться выле-
чить зараженное вложение, а при неудаче – удалить его
(«Clean the infected attachment»). Можно помещать заражен-
ные вложения в карантин, сразу удалять их, а также полнос-
тью удалять содержащие их письма. Опция «Quarantine
messages that cannot be scanned» перемещает в карантин те
сообщения, которые не получилось проверить. В противном
случае такие вложения отрезаются. Здесь же можно отре-
дактировать сообщение, которое будет посылаться в каче-
стве оповещения об обнаружении вируса. Рекомендуем до-
бавить в сообщение по умолчанию (на английском языке)
несколько русских фраз в стиле: «В данном сообщении со-
держался вирус, который был удален. Нет причины для бес-
покойства – ваш компьютер защищен». В противном случае
администратор вынужден будет получать множество жалоб
от пользователей, у которых «обнаружен вирус!». При необ-
ходимости данное оповещение можно вообще отключить.
В закладке «Antivirus Updater» настроим ежечасную про-
верку обновлений антивирусных баз через Интернет (об-
новляя базы реже, вы рискуете пропустить в свою сеть све-
жий вирус, описание которого уже добавлено в антивирус-
ные базы). В этой закладке также можно просмотреть те-
кущее состояние версии антивирусного ПО и вирусных сиг-
натур. Опция «Activate Urgent Updates» позволяет вам под-
писаться на срочные критические обновления, которые бу-
дут высылаться на системную учетную запись домена. Для
27
 администрирование
изменения расписания проверки обновлений нажимаем
кнопку «Scheduler», отмечаем все дни недели, устанавли-
ваем время «Every hour» и нажимаем «Add». К нашему рас-
писанию добавится ежечасная проверка обновлений. Здесь
же можно установить расписание обновлений баз Antispam-
engine, позволяющих проводить анализ и помечать письма
от отправителей, входящих в эти базы как спам. Данное
обновление можно производить не чаще одного раза в сут-
ки (что в принципе является достаточным интервалом).
На закладке «Admins → Attachments» задаются образ-
цы вложений, которые запрещены к пересылке. Имеется
два варианта – разрешить только определенные файлы (лю-
бые вложения, не удовлетворяющие этому условию, будут
отрезаны) или запретить конкретные, разрешив остальные.
Второй способ предпочтительней. По современным кано-
нам безопасности рекомендуется запрещать пересылку
любых исполняемых файлов в оригинальном виде (при пе-
ресылке их необходимо архивировать в неисполняемый вид,
либо переименовывать). Поэтому запрет исполняемых фай-
лов по маске устанавливается по умолчанию. Туда же для
примера добавлены некоторые файловые маски (например,
THE_FLY.*). Вы можете самостоятельно редактировать спи-
сок разрешенных/запрещенных вложений, а также список
адресов-исключений, почта с/для которых не будет прове-
ряться на наличие запрещенных вложений. Также можно
задать адреса администраторов Content Filter, которые бу-
дут получать уведомления об отсеченных вложениях.
В закладке «Notifications» имеется возможность указать
других получателей уведомлений о действиях антивирус-
ного сканера и фильтра контента (отправителя, получате-
ля, администратора), а также отредактировать текст этих
сообщений. Рекомендуем не отсылать оповещения о най-
денных вирусах и отсеченных вложениях отправителям пи-
сем, так как чаще всего при рассылке вирусов адрес от-
правителя фальсифицируется и ничего не подозревающие
пользователи получат ложное обвинение в том, что с их
адреса рассылается вирус. Данное оповещение лучше от-
сылать получателю письма. В случае явно бесполезного
спама его можно будет просто проигнорировать, однако
если отрезанным окажется необходимое ему вложение,
пользователь сам оповестит отправителя о необходимости
выслать файлы в другом формате. Включать ли в список по-
лучателей таких уведомлений Администратора системы –
ваше личное дело. Чаще всего многочисленные оповеще-
ния не несут никакой полезной информации.
Защищаем SMTP-сервер
от несанкционированного использования
Для того чтобы предотвратить использование спамерами
нашего Relay-сервера (SMTP) необходимо настроить поли-
тику безопасности. Причем это рекомендуется сделать не-
зависимо от того, какой способ получения почты для наше-
го домена мы выбрали – прямую доставку по протоколу
SMTP или закачку от провайдера по POP3 (см. далее). Даже
если подключение извне по порту TCP/25 запрещено бран-
дмауэром, лучше настроить дополнительные параметры
безопасности. Итак, меню «Security → Relay → Trust → Tarpit
→ Reverse Lookup…»
Закладка «Relay Settings». Самый первый флажок «This
28
server does not relay mail for foreign domains» – главный пе-
реключатель, запрещающий доставлять почту для чужих
доменов. Обязательно установите его! Если флажок уста-
новлен, то любые сообщения, которые не имеют в поле
FROM: или TO: локального доменного адреса, будут отвер-
гаться. Однако этого недостаточно для спокойствия адми-
нистратора. «Refuse to accept mail for unknown local users»,
отвергает почту для несуществующих локальных адресов.
«Sender’s address must be valid if it claims to be from a local
domain» проверяет реальное существование ящика отпра-
вителя. Все три флажка необходимо установить. Оставши-
еся три флажка можно устанавливать при необходимости:
«Mail addressed to known aliases can always be relayed» по-
зволяет отправлять почту на локальные алиасы к нело-
кальным почтовым ящикам, «Mail addressed to known aliases
can always be relayed» всегда разрешает перенаправлять
почту, если она отправлена через аутентифицированную
SMTP-сессию.
В закладке «Trusted Hosts» можно добавить IP-адреса
(диапазоны) и домены, на которые не будут действовать
правила запрета при отправке почты, однако делать это не
рекомендуется из соображений безопасности.
Закладка «Tarpit Settings» позволяет анализировать и
блокировать попытки массовых рассылок. Параметр «SMTP
RCPT tarpit threshold» задает количество адресов, на кото-
рые возможна отправка писем за одну сессию. Если это
количество будет превышено, то каждый последующий
адрес будет обрабатываться с задержкой, указанной в па-
раметре «SMTP RCPT tarpit delay». В секции «Automatic IP
Screening» задаются дополнительные параметры блокиро-
вания отправителей. Например, параметр «‘Recipient
unknown’ error threshold» задает количество ошибок «Полу-
чатель неизвестен» на каждую сессию, после превышения
которого отправитель будет блокирован. Здесь же задает-
ся предельное количество неудачных попыток аутентифи-
кации, после которых отправитель будет блокирован на
время, заданное в опции «Ban sites for this many minutes».
При установленной опции «Authenticated sessions are exempt
from tarpit and IP screening» эти проверки не будут произво-
диться над сессиями, прошедшими аутентификацию.
Закладка «Reverse Lookup» позволяет отклонять пись-
ма от отправителей, чьи IP-адреса не соответствуют их DNS-
записи, произведенной методом обратного поиска DNS.
Производить такую проверку для записи журнала можно,
но отказывать в приеме таким отправителям не рекомен-
дуется, так как далеко не всегда IP-адрес, с которого про-
изводилась отправка, имеет соответствующую запись в
DNS. Установив флажки «Send 501…», вы можете получить
большое количество жалоб, связанных с невозможностью
отправить почту на ваш домен. MDaemon поддерживает
популярные антиспам-технологии, например такие, как SPF,
Bayesian, SURBL. Разумеется, что стандартный опрос баз
RBL (список редактируется) также присутствует.
Далее в меню «Security → IP-Shielding → AUTH → POP
before SMTP» для полной защиты от несанкционированной
рассылки на закладке SMTP Authentication рекомендуется
включить следующие режимы (см. рис. 1).
! «Authenticated senders are valid regardless of the IP they
are using» – при успешной авторизации пользователю

Ðèñóíîê 1. Íàñòðîéêà çàùèòû îò íåñàíêöèîíèðîâàííîé ðàññûëêè
будет разрешено отправить письмо, даже если его IP-
адрес находится в черном списке.
! «Authenticated users are exempt from the POP before SMTP
requirement» – в случае прохождения авторизации от
пользователя не потребуют проверить POP3-ящик перед
отправкой письма (при включенной опции «POP before
SMTP»).
! «Authentication is always required when mail is from local
accounts» – требовать аутентификацию даже от локаль-
ных отправителей.
! Флаг «Mail from ‘Postmaster’ alias requires an authenticated
session» обязует пользователя Postmaster проходить ав-
торизацию (по умолчанию такой алиас всегда существу-
ет, и если галка снята – данная учетная запись может
использоваться для несанкционированной рассылки).
Обязательно установите этот флаг, так как при его от-
сутствии ваш сервер смогут использовать спаммеры (это
известная ошибка начинающих администраторов, настра-
ивающих MDaemon). По умолчанию в MDaemon письма
от пользователя postmaster принимаются и пересылают-
ся в любом случае – об этом знают спаммеры и ищут, где
неопытные настройщики упустили это. Если этот флаг
установить, то письмо от пользователя postmaster дан-
ного домена будет требовать SMTP-Auth, и если она бу-
дет некорректной, в приеме будет отказано.
! «Authentication credentials must match those of the email
sender» – данная опция принуждает пользователей ав-
торизоваться только собственным именем, что предотв-
ращает пересылку писем от других ящиков, авторизуясь
при помощи локальных учетных данных. Это означает, что
допускается отправка писем только со значением FROM,
совпадающим с использованным в аутентификации.
После включения SMTP-авторизации необходимо так-
же установить соответствующий переключатель в настрой-
ках сервера исходящей почты на клиентах («сервер исхо-
дящей почты требует авторизации») и задать авторизацию
«как на сервере входящей почты – POP3».
№5, май 2005
администрирование
Проверим наш сервер вручную на элементарные уязви-
мости, попробовав отправить письмо от пользователя
postmaster:
telnet mailserver 25
Как видно, без авторизации отправить письмо не удас-
тся, а теперь «угадаем», что в системе есть пользователь
roman, и снова попробуем отправить:
telnet mailserver 25
Аналогично – ретрансляция почты запрещена без авто-
ризации пользователя. На ресурсах, подобных abuse.com,
есть тесты на open relay. Использовать их более правиль-
но, однако перед запуском такого теста необходимо убе-
диться в элементарной защите.
Веб-интерфейс
MDaemon имеет очень полезный встроенный функционал
для предоставления доступа к почтовым ящикам и адми-
нистративным функциям через веб-интерфейс – WorldClient
и WebAdmin (WebAdmin скачивается с сайта Alt-N и уста-
навливается отдельно). Минимальную настройку осуществ-
ляем в меню «Setup → WorldClient». По умолчанию веб-сер-
вер MDaemon использует порт 3000. Таким образом, для
получения доступа к почте через Web клиентам необходи-
мо набрать в строке адреса своего браузера ссылку вида:
http://mail.domain.com:3000. Вместо имени может выступать
IP-адрес, а если вы организуете на брандмауэре прохожде-
ние пакетов на этот порт извне, ваши сотрудники смогут
получать свою почту из любой точки земного шара, не нуж-
даясь в настройке почтового клиента – его заменит любой
браузер для просмотра веб-страниц. Для стандартизации
запросов можно поменять порт на стандартный HTTP:80.
Тогда клиентам не придется указывать в строке адреса еще
и номер порта. После смены номера порта необходимо пе-
резапустить сервис WorldClient – для этого служит кнопка
внизу закладки «Web Server». Здесь же настраивается ис-
пользование календаря, однако его конфигурирование вы-
ходит за рамки данной статьи. В закладке Options можно
выбрать язык веб-интерфейса, тему оформления и формат
даты для каждого из созданных доменов, а также настро-
ить дополнительные параметры. Будьте внимательны с оп-
цией «Allow users to create new accounts…». Если устано-
вить это переключатель, то на веб-странице приглашения
MDaemon появится опция создания новой учетной записи
любым из пользователей, что может привести в лучшем
случае к бесконтрольному заведению пользователями, а в
худшем – к использованию вас спамерами в качестве ано-
нимного Relay-сервера.
Примечание: некоторые стили оформления (например,
LookOut) корректно работают только с IE 6.0 и выше. В слу-
29
 администрирование
чае необходимости получить доступ к почте при помощи
других веб-браузеров выберите в настройках личных пред-
почтений другой стиль – например, Standart.
Антиспам
Помимо этого можно настроить встроенную антиспам-сис-
тему. Для этого в меню Security служат две опции: «Spam
Blocker» и «Spam Filter». Следует быть также предельно ос-
торожными с настройкой данных опций, так как чрезмер-
ное усердие или недопонимание некоторых функций могут
отнести к спаму и заказанную пользователями корреспон-
денцию. В любом случае имеется возможность просто по-
мечать письма как спам, продолжая их доставку пользова-
телям. И только собрав отзывы и убедившись в приемле-
мом функционировании данной системы, можно отсекать
такие письма.
Создаем правила сортировки
В MDaemon имеются гибкие механизмы для сортировки
почты. Наиболее употребимым является Content Filter (меню
«Security → Content Filter»). По умолчанию уже имеется не-
сколько правил – для отсечения фрагментированных сооб-
щений и пр.
Ðèñóíîê 2. Íàñòðîéêà ïðàâèë ñîðòèðîâêè
Здесь можно создать практически любое правило для
сортировки и произведения необходимых действий. Рас-
сматривать все правила мы не будем – они интуитивно по-
нятны. Для примера создадим гибкое правило для писем.
«New Rule» – задаем интуитивно понятное имя для даль-
нейшего анализа правил.
Поле «Select Conditions For This Rule» – устанавливаем
флаги «If the FROM HEADER contains», «If the TO HEADER
contains» – «If the SUBJECT HEADER contains».
Затем в поле «Select Actions For This Rule» отмечаем
флаги «Send a note 1 to:», «Run a program…» и «Delete the
message».
Перейдем в третье поле – «Rule Description», в котором
зададим условия в созданном нами правиле. Укажем, что
правило распространяется только на письма, содержащие
в полях FROM, TO и SUBJECT строго определенные значе-
ния, укажем, что при получении таких писем необходимо
отсылать сообщение на определенный ящик, после этого
30
запустить указанный bat-файл и затем удалить сообщение.
Таким образом, отправив со строго определенного ящика
письмо на специальный ящик и указав в поле «Тема» спе-
циальное выражение, мы можем выполнить практически
любое действие (например, запустить программу, которая
сделает архив базы данных и отправит его по электронной
почте). Большое количество вариантов условий делает дан-
ный сервис удобным и полезным. Такое большое количе-
ство условий необходимо, чтобы при получении любого
другого письма на данный ящик указанное действие не вы-
зывалось. Даже если кому-то удастся подобрать пароль к
данному ящику, это ничего не даст: правила Content Filter
может создавать только администратор почтовой системы.
Осуществляем обновление, перенос
на другой сервер, создаем резервные
копии
Существует два пути. В любом случае не забывайте де-
лать резервную копию каталога MDaemon – его архивиро-
вание и есть простейший путь к созданию полной резерв-
ной копии MDaemon (как уже говорилось выше – все на-
стройки хранятся в текстовых файлах).
Первый способ: установка MDaemon поверх старой вер-
сии. Установщик сам произведет конвертацию старых ус-
тановок для новой версии (рекомендуется следующая пос-
ледовательность обновления очень старых версий: 3.х.х
обновляются до 4.х.х, затем до 5.х.х и, наконец, до 7.х.х).
Второй способ: установка MDaemon в новый каталог и пе-
ренос туда конфигурационных файлов старой версии, ко-
торые находятся в каталоге MDaemon\App и имеют расши-
рение *.dat, а также каталога Users. Перенос MDaemon на
другой сервер также прост: переносим всю папку MDaemon
и устанавливаем поверх новую (или такую же) версию для
создания системных привязок.
Подводя итоги
MDaemon – мощный корпоративный почтовый сервер с
большим набором разносторонних режимов и возможнос-
тей. К минусам можно отнести отсутствие штатной возмож-
ности интегрировать с ним антивирусные продукты других
производителей, кроме Kaspersky Labs. Помимо этого было
бы полезным сделать более жесткими настройки безопас-
ности по умолчанию (например, принудительная аутенти-
фикация независимо от IP-адреса и пр.) К сожалению, даже
в двух статьях невозможно описать настройку всех возмож-
ностей продукта. Например, мы не смогли более подробно
рассказать про более тонкое конфигурирование веб-интер-
фейса, общую адресную книгу, использование календаря
и планировщика GroupWare, антиспам-систему, настройку
Content-Filter, создание автоматической подписки на кли-
ентскую рассылку, используя веб-сайт компании и многие
другие возможности. Расположение всех файлов конфигу-
рации в текстовых файлах формата Plain-text открывает
широкие возможности для конфигурирования сервера, не
используя GUI-интерфейс, а также для написания скрип-
тов автоматического конфигурирования. Если отзывы чи-
тателей покажут, что развитие темы будет интересным для
них, мы постараемся найти возможность продолжить цикл
статей про MDaemon.

Отказ в обслуживании в qmail
Программа: qmail на 64-битных платформах.
Опасность: Средняя.
Описание: Уязвимость позволяет удаленному пользовате-
лю вызвать отказ в обслуживании приложения.
1. Целочисленное переполнение существует в функции
stralloc_readyplus(). Удаленный пользователь может под-
ключиться к SMTP-службе и послать большое количе-
ство данных, что приведет к аварийному завершению
работы службы.
2. Переполнение буфера в SMTP-службе обнаружено при
обработке параметров команды HELO. Удаленный
пользователь может вызвать отказ в обслуживании сер-
виса. Уязвимость существует в файле commands.c.
3. Удаленный пользователь может с помощью специаль-
но сформированной команды RCPT TO вызвать отказ в
обслуживании приложения. Переполнение буфера су-
ществует в файле qmail_put/substdio_put.
URL производителей: www.qmail.org.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Межсайтовый скриптинг и выполнение
произвольного кода в Mozilla Firefox
Программа: Mozilla Firefox 1.0.3.
Опасность: Критическая.
Описание: Уязвимости позволяют удаленному пользовате-
лю выполнить произвольный код на целевой системе.
1. Уязвимость существует при обработке IFRAME. Удален-
ный пользователь может создать специально сформи-
рованную HTML-страницу и выполнить HTML-сценарий
в браузере жертвы в контексте безопасности произволь-
ного сайта.
2. Уязвимость существует при обработке входных данных
в параметре IconURL функции InstallTrigger.install(). Уда-
ленный пользователь может с помощью специально
сформированной страницы установить и выполнить про-
извольное программное обеспечение.
Пример/Эксплоит: www.securitylab.ru/54526.html.
URL производителей: www.mozilla.org.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Повышение привилегии в ядре Linux
Программа: Linux kernel 2.2 – 2.2.27-rc2, 2.4 – 2.4.31-pre1,
2.6 – 2.6.12-rc4.
Опасность: Низкая.
Описание: Уязвимость существует в функции сброса дам-
па elf_core_dump() в файле fs/binfmt_elf.c. Локальный поль-
зователь может создать специально сформированный ELF-
бинарник и вызвать отказ в обслуживании системы или
выполнить произвольный код с root-привилегиями.
URL производителей: www.kernel.org.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
№5, май 2005
bugtraq
Раскрытие данных в реализациях IPSec
Опасность: Средняя.
Описание: Уязвимость позволяет удаленному пользовате-
лю изменить IP-адрес источника пакета, расшифровать и
перехватить потенциально важные данные. IPSec состоит
из нескольких отдельных протоколов, которые включают:
2. Authentication Header (AH) – обеспечивает аутентичность
пакета, добавляя к нему стойкую криптографическую
контрольную сумму.
3. Encapsulating Security Payload (ESP) – обеспечивает кон-
фиденциальность пакета, шифруя пакет с помощью ал-
горитмов шифрования. ESP также обеспечивает необя-
зательную службу аутентификации для пакетов.
4. Internet Key Exchange (IKE) – обеспечивает безопасный
обмен внешними ключами.
ESP и AH могут использовать два режима: туннельный
(tunnel mode) и транспортный (transport mode). При исполь-
зовании туннельного режима в ESP, IP-пакет (внутренний
пакет) полностью шифруется и используется для форми-
рования payload нового пакета (внешний пакет). Обычно
ESP использует CBC-режим шифрования для обеспечения
конфиденциальности. Без защиты целостности, зашифро-
ванные данные в режиме CBC могут быть модифицирова-
ны атакующим.
Атакующий может определенным образом внести изме-
нения во внешний пакет, которые затронут данные внут-
реннего пакета. Поскольку расшифровкой данных занима-
ется программное обеспечение уровня IP, все содержимое
внутреннего пакета в открытом виде, или ICMP-сообщение
об ошибке могут быть отправлены атакующему.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время. В качестве временного решения ре-
комендуется:
1. Сконфигурировать ESP для использования защиты кон-
фиденциальности и целостности данных.
2. Использовать AH-протокол совместно с ESP для защи-
ты целостности данных.
3. Запретить ICMP-сообщения об ошибке с помощью меж-
сетевого экрана.
SQL-инъекция в Invision Power Board
Программа: Invision Power Board 1.3.1 и ранние версии.
Опасность: Средняя.
Описание: Уязвимость существует из-за некорректной
фильтрации входных данных в переменной $this->first (па-
раметр st) функции Members сценария memberlist.php. Уда-
ленный пользователь может с помощью специально сфор-
мированного URL выполнить произвольные SQL-команды
в базе данных приложения. Пример:
http://[target]/forums/index.php?act=Members
&max_results=30&filter=1&sort_order=asc&
sort_key=name&st=SQL_INJECTION
URL производителя: www.invisionboard.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Составил Александр Антипов
31
 администрирование

ВОССТАНАВЛИВАЕМ УДАЛЕННЫЕ ФАЙЛЫ

ПОД BSD
Командной строке посвящается…

UFS – это основная файловая система для BSD-систем, устанавливаемая по умолчанию.

Многие коммерческие UNIX также используют либо саму UFS, либо нечто очень на нее похожее.
В противоположность ext2fs, исхоженной вдоль и поперек, UFS крайне поверхностно описана
в доступной литературе и единственным источником информации становятся исходные тексты,
в которых не так-то просто разобраться! Существует множество утилит, восстанавливающих
уничтоженные данные (или во всяком случае пытающихся это делать), но на поверку все они
оказываются неработоспособными. Эта статья описывает основные структуры файловой
системы и рассказывает как восстанавливать данные вручную.

Немного истории
UFS ведет свою историю от S5 FS – самой первой файло-
вой системы, написанной для UNIX в далеком 1974 году.
S5 FS была крайне простой и неповоротливой (по некото-
рым данным, средняя производительность FS составляла
всего лишь 2%-5% от «сырой» производительности жест-
кого диска), но понятия суперблока (super-block), файло-
вых записей (inodes) и блоков данных (blocks) в ней уже
существовали.
В процессе работы над дистрибутивом 4.2 BSD, вышед-
шим в 1983 году, S5 FS претерпела некоторые улучшения.
Были добавлены длинные имена, символические ссылки
и т. д. Так родилась UFS.
В 4.3 BSD, увидевшей свет уже в 1984 году, улучшения
носили намного более радикальный, если не сказать рево-
люционный, характер. Появились концепции фрагментов
(fragments) и групп цилиндров (cylinder groups). Быстродей-
ствие файловой системы существенно возросло, что и оп-
ределило ее название FFS – Fast File System (быстрая фай-
ловая система).
КРИС КАСПЕРСКИ
Все последующие версии линейки 4.x BSD прошли под
знаменем FFS, но в 5.x BSD файловая система вновь из-
менилась. Для поддержки дисков большого объема шири-
ну всех адресных полей пришлось удвоить: 32-битная ну-
мерация фрагментов уступила место 64-битной. Были вне-
сены и другие менее существенные усовершенствования.
Фактически мы имеем дело с тремя различными фай-
ловыми системами, не совместимыми друг с другом на уров-
не базовых структур данных, однако, некоторые источники
склонны рассматривать FFS как надстройку над UFS. «UFS
(and UFS2) define on-disk data layout. FFS sits on top of UFS
(1 or 2) and provides directory structure information, and a variety
of disk access optimizations» говорит «Little UFS2 FAQ» (UFS/
UFS2 определяет раскладку данных на диске. FFS реализо-
вана поверх UFS 1 или 2 и отвечает за структуру директо-
рий и некоторые оптимизации доступа к диску). Если загля-
нуть в исходные тексты файловой системы, действительно,
можно обнаружить два подкаталога – /ufs и /ffs. В /ffs нахо-
дится определение суперблока (базовой структуры, отвеча-
ющей за раскладку данных), а в /ufs – определение inode и

32

структуры директорий, что опровергает данный тезис, с по-
зиций которого все должно быть с точностью до наоборот.
Чтобы не увязнуть в болоте терминологических тонко-
стей, под UFS мы будем понимать основную файловую си-
стему 4.5 BSD, а под UFS2 – основную файловую систему
5.х BSD.
Структура UFS
Внешне UFS очень похожа на ext2fs – те же inode, блоки
данных, файлы, директории… Но есть и отличия. В ext2fs
имеется только одна группа inode и только одна группа бло-
ков данных для всего раздела. UFS же делит раздел на не-
сколько зон одинакового размера, называемых группами
цилиндров. Каждая зона имеет свою группу inode и свою
группу блоков данных, независимую от всех остальных зон.
Другим словами, inodе описывают блоки данных той и толь-
ко той зоны, к которой они принадлежат. Это увеличивает
быстродействие файловой системы (головка жесткого дис-
ка совершает более короткие перемещения) и упрощает
процедуру восстановления при значительном разрушении
данных, поскольку, как показывает практика, обычно гиб-
нет только первая группа inode. Чтобы погибли все груп-
пы… я даже не знаю, что же такое с жестким диском нужно
сделать. А! Знаю! Под пресс положить!
В UFS каждый блок разбит на несколько фрагментов
фиксированного размера, предотвращающих потерю сво-
бодного пространства в хвостах файлов. Благодаря этому,
использование блоков большого размера уже не кажется
расточительной идеей, напротив, это увеличивает произ-
водительность и уменьшает фрагментацию. Если файл ис-
пользует более одного фрагмента в двух несмежных бло-
ках, он автоматически перемещается на новое место, в
наименее фрагментированный регион свободного про-
странства. Поэтому фрагментация в UFS очень мала или
же совсем отсутствует, что существенно облегчает восста-
новление удаленных файлов и разрушенных данных.
Ðèñóíîê 1. Ñòðóêòóðà ôàéëîâîé ñèñòåìû s5/ext2fs (à) è ufs (b)
Адресация ведется либо по физическим смещениям, из-
меряемых в байтах и отсчитываемых от начала группы ци-
линдров (реже – UFS-раздела), либо в номерах фрагментов,
отсчитываемых от тех же самых точек. Допустим, размер бло-
ка составляет 16 Кб, разбитых на 8 фрагментов. Тогда 69-й
сектор будет иметь смещение 512 х 69 == 35328 байт или
1024 x (16/8)/512 x 69 = 276 фрагментов.
№5, май 2005
администрирование
В начале раздела расположен загрузочный сектор, за-
тем следует суперблок, за которым находится одна или не-
сколько групп цилиндров. Для перестраховки копия супер-
блока дублируется в каждой группе. Загрузочный сектор
не дублируется, но по соображениям унификации и едино-
образия под него просто выделяется место. Таким обра-
зом, относительная адресация блоков в каждой группе ос-
тается неизменной.
Ðèñóíîê 2. Ïîñëåäîâàòåëüíî ðàñïîëîæåííûå ãðóïïû öèëèíäðîâ
В UFS cуперблок располагается по смещению 8192 байт
от начала раздела, что соответствует 16-му сектору. В UFS2
он «переехал» на 65536 байт (128 секторов) от начала, ос-
вобождая место для дисковой метки и первичного загруз-
чика операционной системы, а для действительно больших
(в исходных текстах – piggy) систем предусмотрена возмож-
ность перемещения суперблока по адресу 262144 байт (це-
лых 512 секторов)!
Среди прочей информации суперблок содержит:
! fs_cblkno – смещение первой группы блока цилиндров,
измеряемый в фрагментах, отсчитываемых от начала
раздела;
! fs_iblkno – смещение первой inode в первой группе ци-
линдров (фрагменты от начала раздела);
! fs_dblkno – смещение первого блока данных в первой
группе цилиндров (фрагменты от начала раздела);
! fs_ncg – количество групп цилиндров (штуки);
! fs_bsize – размер одного блока в байтах;
! fs_fsize – размер одного фрагмента в байтах;
! fs_frag – количество фрагментов в блоке;
! fs_fpg – размер каждой группы цилиндров, выраженный
в блоках (также может быть найден через fs_cgsize).
Для перевода смещений, выраженных в фрагментах, в
номера секторов используется следующая формула:
sec_n(fragment_offset) = fragment_offset*(fs_bsize/fs_frag/512)
или ее более короткая разновидность:
sec_n(fragment_offset) = fragment_offset*fs_fsize/512
Структура суперблока определена в файле /src/ufs/ffs/fs.h
и в упрощенном виде выглядит так:
Ëèñòèíã 1. Ôîðìàò ñóïåðáëîêà (âòîðîñòåïåííûå ïîëÿ îïóùåíû)
struct fs {
/* historic file system linked list, */
33
 администрирование
/* 0x00 */ int32_t fs_firstfield; ! cg_ndblk – количество блоков данных в данной группе;
/* used for incore super blocks */ ! csum – количество свободных inode и блоков данных в
/* 0x04 */ int32_t fs_unused_1;
/* addr of super-block in filesys */ данной группе;
/* 0x08 */ ufs_daddr_t fs_sblkno; ! cg_iusedoff – смещение карты занятых inode, отсчитыва-
/* offset of cyl-block in filesys */
/* 0x0C */ ufs_daddr_t fs_cblkno; емое от начала данной группы и измеряемое в байтах;
/* offset of inode-blocks in filesys */ ! cg_freeoff – смещение карты свободного пространства
/* 0x10 */ ufs_daddr_t fs_iblkno;
/* offset of first data after cg */ (байты от начала группы).
/* 0x14 */ ufs_daddr_t fs_dblkno;
/* cylinder group offset in cylinder */
/* 0x18 */ int32_t fs_cgoffset; Структура cg определена в файле /src/ufs/ffs/fs.h и выг-
/* used to calc mod fs_ntrak */ лядит следующим образом:
/* 0x1C */ int32_t fs_cgmask;
/* last time written */
/* 0x20 */ time_t fs_time; Ëèñòèíã 2. Ñòðóêòóðà îïèñàòåëÿ ãðóïïû öèëèíäðîâ
/* number of blocks in fs */
/* 0x24 */ int32_t fs_size; #define CG_MAGIC 0x090255
/* number of data blocks in fs */ #define MAXFRAG 8
/* 0x28 */ int32_t fs_dsize; struct cg {
/* number of cylinder groups */ /* historic cyl groups linked list */
/* 0x2C */ int32_t fs_ncg; /* 0x00 */ int32_t cg_firstfield;
/* size of basic blocks in fs */ /* magic number */
/* 0x30 */ int32_t fs_bsize; /* 0x04 */ int32_t cg_magic;
/* size of frag blocks in fs */ /* time last written */
/* 0x34 */ int32_t fs_fsize; /* 0x08 */ int32_t cg_old_time;
/* number of frags in a block in fs */ /* we are the cgx'th cylinder group */
/* 0x38 */ int32_t fs_frag; /* 0x0Ñ */ int32_t cg_cgx;
/* number of cyl's this cg */
/* these are configuration parameters */ /* 0x10 */ int16_t cg_old_ncyl;
/* minimum percentage of free blocks */ /* number of inode blocks this cg */
/* 0x3Ñ */ int32_t fs_minfree; /* 0x12 */ int16_t cg_old_niblk;
/* num of ms for optimal next block */ /* number of data blocks this cg */
/* 0x40 */ int32_t fs_rotdelay; /* 0x14 */ int32_t cg_ndblk;
/* disk revolutions per second */ /* cylinder summary information */
/* 0x44 */ int32_t fs_rps; /* 0x18 */ struct csum cg_cs;
/* position of last used block */
/* sizes determined by number of cylinder groups */ /* 0x28 */ int32_t cg_rotor;
/* and their sizes */ /* position of last used frag */
/* blk addr of cyl grp summary area */ /* 0x2Ñ */ int32_t cg_frotor;
/* 0x98 */ ufs_daddr_t fs_csaddr; /* position of last used inode */
/* size of cyl grp summary area */ /* 0x30 */ int32_t cg_irotor;
/* 0x9C */ int32_t fs_cssize; /* counts of available frags */
/* cylinder group size */ /* 0x34 */ int32_t cg_frsum[MAXFRAG];
/* 0xA0 */ int32_t fs_cgsize; /* (int32) block totals per cylinder */
/* 0x54 */ int32_t cg_old_btotoff;
/* these fields can be computed from the others */ /* (u_int16) free block positions */
/* cylinders per group */ /* 0x58 */ int32_t cg_old_boff;
/* 0xB4 */ int32_t fs_cpg; /* (u_int8) used inode map */
/* inodes per group */ /* 0x5Ñ */ int32_t cg_iusedoff;
/* 0xB8 */ int32_t fs_ipg; /* (u_int8) free block map */
/* blocks per group * fs_frag */ /* 0x60 */ int32_t cg_freeoff;
/* 0xBC */ int32_t fs_fpg; /* (u_int8) next available space */
/* 0x64 */ int32_t cg_nextfreeoff;
/* these fields are cleared at mount time */ /* (u_int32) counts of avail clusters */
/* super block modified flag */ /* 0x68 */ int32_t cg_clustersumoff;
/* 0xD0 */ int8_t fs_fmod; /* (u_int8) free cluster map */
/* file system is clean flag */ /* 0x6Ñ */ int32_t cg_clusteroff;
/* 0xD1 */ int8_t fs_clean; /* number of clusters this cg */
/* mounted read-only flag */ /* 0x70 */ int32_t cg_nclusterblks;
/* 0xD2 */ int8_t fs_ronly; /* number of inode blocks this cg */
/* see FS_ flags below */ /* 0x74 */ int32_t cg_niblk;
/* 0xD3 */ int8_t fs_flags; /* last initialized inode */
/* name mounted on */ /* 0x78 */ int32_t cg_initediblk;
/* 0xD4 */ u_char fs_fsmnt[MAXMNTLEN]; /* reserved for future use */
}; /* 0x7Ñ */ int32_t cg_sparecon32[3];
/* time last written */
/* 0x00 */ ufs_time_t cg_time;
За суперблоком находится первая группа цилиндров. В /* reserved for future use */
начале каждой группы расположена служебная структура /* 0x00 */ int64_t cg_sparecon64[3];
/* space for cylinder group maps */
cg (далее по тексту – описатель группы цилиндров, термин /* 0x00 */ u_int8_t cg_space[1];
автора), содержащая магическую последовательность /* actually longer */
55h 02h 09h, позволяющая находить уцелевшие группы ци-
линдров даже при полном разрушении суперблока (если Между описателем группы цилиндров и группой inode
же суперблок цел, стартовые адреса всех последующих расположена карта занятых inode и карта свободного дис-
групп вычисляются путем умножения номера группы на ее кового пространства, представляющие собой обыкновен-
размер, содержащийся в поле fs_cgsize). ные битовые поля, точно такие же, как в NTFS или ext2fs/
Другие важные параметры описателя группы цилиндров: ext3fs. При восстановлении удаленных файлов без этих карт
! cg_cgx – порядковой номер группы, отсчитываемый от никуда! Отделяя зерна от плевел, они существенно сужают
нуля; круг поиска, что особенно хорошо заметно на дисках, за-
! cg_old_niblk – количество inode в данной группе; полненных более чем наполовину.

34
 администрирование
За картами следует массив inode, смещение которого
содержится в поле cg_iusedoff (адрес первой группы inode
продублирован в суперблоке). По сути, в UFS структура
inode ничем не отличается от ext2fs, только расположение
полей другое.
Давайте лучше рассмотрим назначение основных полей
inode, к числу которых принадлежат:
! di_nlink – количество ссылок на файл (0 означает «уда-
лен»);
! di_size – размер файла в байтах;
! di_atime/di_atimensec – время последнего доступа к фай-
лу;
! di_mtime/di_mtimensec – время последней модификации;
! di_ctime/di_ctimensec – время последнего изменения
inode;
! di_db – адреса первых 12-блоков данных файла, отсчи-
тываемые в фрагментах от начала группы цилиндров;
! di_ib – адрес блоков косвенной адресации (фрагменты
от начала группы).

Сама структура inode определена в файле /src/ufs/ufs/

dinode.h и для UFS1 выглядит так (см. листинг 3 и рис. 3):

Ëèñòèíã 3. Ñòðóêòóðà inode â USF1

struct dinode {
/* 0: IFMT, permissions; see below. */
/* 0x00 */ u_int16_t di_mode;
/* 2: File link count. */
/* 0x02 */ int16_t di_nlink;
/* 0x04 */ union {
/* 4: Ffs: old user and group ids. */
u_int16_t oldids[2];
/* 4: Lfs: inode number. */
int32_t inumber;
} di_u;
/* 8: File byte count. */
/* 0x08 */ u_int64_t di_size;
/* 16: Last access time. */
/* 0x10 */ int32_t di_atime; Ðèñóíîê 3. Ñõåìàòè÷íîå èçîáðàæåíèå inode. Ê ïîëþ Extensions
/* 20: Last access time. */ îòíîñèòñÿ âñå, ÷òî íàõîäèòñÿ íèæå di_ib
/* 0x14 */ int32_t di_atimensec;
/* 24: Last modified time. */ Ëèñòèíã 4. Ñòðóêòóðà inode â USF2
/* 0x18 */ int32_t di_mtime;
/* 28: Last modified time. */ struct ufs2_dinode {
/* 0x1C */ int32_t di_mtimensec; /* 0: IFMT, permissions; see below. */
/* 32: Last inode change time. */ /* 0x00 */ u_int16_t di_mode;
/* 0x20 */ int32_t di_ctime; /* 2: File link count. */
/* 36: Last inode change time. */ /* 0x02 */ int16_t di_nlink;
/* 0x24 */ int32_t di_ctimensec; /* 4: File owner. */
/* 40: Direct disk blocks. */ /* 0x04 */ u_int32_t di_uid;
/* 0x28 */ ufs_daddr_t di_db[NDADDR]; /* 8: File group. */
/* 88: Indirect disk blocks. */ /* 0x08 */ u_int32_t di_gid;
/* 0x58 */ ufs_daddr_t di_ib[NIADDR]; /* 12: Inode blocksize. */
/* 100: Status flags (chflags). */ /* 0x0C */ u_int32_t di_blksize;
/* 0x64 */ u_int32_t di_flags; /* 16: File byte count. */
/* 104: Blocks actually held. */ /* 0x10 */ u_int64_t di_size;
/* 0x68 */ int32_t di_blocks; /* 24: Bytes actually held. */
/* 108: Generation number. */ /* 0x18 */ u_int64_t di_blocks;
/* 0x6C */ int32_t di_gen; /* 32: Last access time. */
/* 112: File owner. */ /* 0x20 */ ufs_time_t di_atime;
/* 0x70 */ u_int32_t di_uid; /* 40: Last modified time. */
/* 116: File group. */ /* 0x28 */ ufs_time_t di_mtime;
/* 0x74 */ u_int32_t di_gid; /* 48: Last inode change time. */
/* 120: Reserved; currently unused */ /* 0x30 */ ufs_time_t di_ctime;
/* 0x78 */ int32_t di_spare[2]; /* 56: Inode creation time. */
}; /* 0x38 */ ufs_time_t di_birthtime;
/* 64: Last modified time. */
/* 0x40 */ int32_t di_mtimensec;
В UFS2 формат inode был существенно изменен – по- /* 68: Last access time. */
явилось множество новых полей, удвоилась ширина адрес- /* 0x44 */ int32_t di_atimensec;
/* 72: Last inode change time. */
ных полей и т. д. Что это обозначает для нас в практичес- /* 0x48 */ int32_t di_ctimensec;
ком плане? Смещения всех полей изменились только и все- /* 76: Inode creation time. */
/* 0x4C */ int32_t di_birthnsec;
го, а общий принцип работы с inode остался прежним (см. /* 80: Generation number. */
листинг 4). /* 0x50 */ int32_t di_gen;

№5, май 2005 35

 администрирование
/* 84: Kernel flags. */ На этом описание файловой системы UFS можно счи-
/* 0x54 */ u_int32_t di_kernflags; тать законченным. Для ручного восстановления данных
/* 88: Status flags (chflags). */
/* 0x58 */ u_int32_t di_flags; приведенной информации вполне достаточно.
/* 92: External attributes block. */
/* 0x5C */ int32_t di_extsize;
/* 96: External attributes block. */ На обломках империи
/* 0x60 */ ufs2_daddr_tdi_extb[NXADDR]; При удалении файла на UFS-разделе происходит следую-
/* 112: Direct disk blocks. */
/* 0x70 */ ufs2_daddr_tdi_db[NDADDR]; щее (события перечислены в порядке расположения соот-
/* 208: Indirect disk blocks. */ ветствующих структур в разделе и могут не совпадать с
/* 0xD0 */ ufs2_daddr_tdi_ib[NIADDR];
/* 232: Reserved; currently unused */ порядком их возникновения):
/* 0xE8 */ int64_t di_spare[3]; ! в суперблоке обновляется поле fs_time (время после-
};
днего доступа к разделу);
Имена файлов хранятся в директориях. В inode их нет. ! в суперблоке обновляется структура fs_cstotal (количе-
С точки зрения UFS, директории являются обыкновенными ство свободных inode и блоков данных в разделе);
файлами и могут храниться в любом месте, принадлежа- ! в группе цилиндров обновляются карты занятых inode и
щем группе цилиндров. блоков данных – inodе, и все блоки данных удаляемого
Файловая система UFS поддерживает несколько типов файла помечаются как освобожденные;
хеширования директорий, однако на структуре хранения ! в inode материнского каталога обновляются поля вре-
имен это никак не отражается. Имена хранятся в блоках, мени последнего доступа и модификации;
называемых DIRECT BLOCK в структурах типа direct, вы- ! в inode материнского каталога обновляется поле вре-
ровненных по 4-байтовой границе. мени последнего изменения inode;
! в inode удаляемого файла поля di_mode (IFMT – Input
Format – формат файла, permissions – права доступа),
di_nlink (количество ссылок на файл) и di_size (размер
Ðèñóíîê 4. Õðàíåíèå èìåí ôàéëîâ è äèðåêòîðèé файла) варварски обнуляются (замечание: если счет-
Структура direct определена в файле /src/ufs/ufs/dir.h и чик ссылок был больше единицы, то при удалении од-
содержит: номер inode, описывающий данный файл, тип ной из таких ссылок поле di_nlink уменьшается на еди-
файла, его имя, а также длину самой структуры direct, ис- ницу, но удаления самого файла не происходит);
пользуемую для нахождения следующего direct в блоке. ! в inode удаляемого файла поля di_db (массив указате-
лей на 12 первых блоков файла), и di_ib (указатель на
Ëèñòèíã 5. Ñòðóêòóðà direct, îòâå÷àþùàÿ çà õðàíåíèå èìåí блок косвенной адресации) безжалостно обнуляется;
ôàéëîâ è äèðåêòîðèé
! в inode удаляемого файла обновляются поля времени
struct direct { последней модификации и изменения inodе, время пос-
/* inode number of entry */
/* 0x00 */ u_int32_t d_ino; леднего доступа при этом остается неизменным;
/* length of this record */
/* 0x04 */ u_int16_t d_reclen;
! в inode удаляемого файла обновляется поле di_spare. В
/* file type, see below */ исходных текстах оно помечено как «Reserved; currently
/* 0x06 */ u_int8_t d_type; unused», но просмотр дампа показывает, что это не так.
/* length of string in d_name */
/* 0x07 */ u_int8_t d_namlen; Здесь хранится нечто вроде последовательности обнов-
/* name with length <= MAXNAMLEN */ ления (update sequence), используемой для контроля
/* 0x08 */ char d_name[MAXNAMLEN + 1];
}; целостности indoe, однако это только предположение;

Чем восстанавливать? 2. The Sleuth Kit представляет собой бесплатно распрост-

1. Компания Stellarinfo (www.stellarinfo.com) выпустила ути-
литу «Phoenix», предназначенную для восстановления
данных и поддерживающую практически все популярные
файловые системы, которые только известны на сегод-
няшний день (и UFS в том числе). Демонстрационную
копию можно скачать по адресу: http://www.stellarinfo.com/
spb.exe. Обратите внимание на расширение файла. Это
«.exe». Судя по графе «Platform Supported», он рассчи-
тан на BSD. Но в BSD он не запустится! Потребуется ус-
танавливать в систему дополнительный винчестер с ра-
бочей Windows и инсталлировать Phoenix поверх нее. Под
Windows PE он работать отказывается… На Windows 2000
запускается, но при попытке анализа заведомо исправ-
ного раздела он аварийно завершается с сообщением о
критической ошибке. На других системах я его не прове-
рял. Тем не менее ссылку на файл все-таки даю. Во-пер-
вых, вы будете знать, что это за продукт, а во-вторых, не
исключено, что у кого-то он все-таки сработает.
раняемый комплект утилит для ручного восстановления
файловой системы, который можно найти по адресу
(http://www.sleuthkit.org), там же (http://www.sleuthkit.org/
sleuthkit/docs/ref_fs.html) находится краткий how-to. Увы,
чудес не бывает, и вся методика восстановления сво-
дится к сканированию свободного пространства на пред-
мет поиска фрагментов с известным содержимым.
3. Foremost – еще одна бесплатная утилита для восста-
новления удаленных файлов, основанная формате их
заголовков на особенностях структуры. Естественно,
она работает только с теми файлами, чье строение ей
известно. Тем не менее, по сравнению с ее предшествен-
ницами это большой шаг вперед! Кстати говоря, утили-
та взаимодействует с файловой системой не напрямую,
а обрабатывает файлы, полученные командой dd или
набором Sleuth Kit, благодаря чему она «поддержива-
ет» все файловые системы. Последняя версия лежит на
сервере http://foremost.sourceforge.net.

36

! в директории удаленного файла размер предшествую-
щей структуры direct увеличивается на d_reclen, в ре-
зультате чего она как бы «поглощает» имя удаляемого
файла, однако его перезаписывания не происходит, во
всяком случае оно уничтожается не сразу, а только тог-
да, когда в этом возникнет реальная необходимость.
Как мы будем действовать
После непреднамеренного удаления одного или нескольких
файлов немедленно демонтируйте раздел и запустите дис-
ковый редактор, работающий на уровне секторов. Например,
можно воспользоваться BSD-портом уже известной нам
утилитой lde. К сожалению, на моей системе (4.5 BSD) она
работает крайне нестабильно и не отображает основных
структур данных в удобочитаемом виде, хотя поддержка
UFS в ней заявлена. При наличии достаточного количества
свободного места можно скопировать раздел в файл и от-
крыть его с помощью любого hex-редактора (например,
biew) или обратиться непосредственно к самому устройству
раздела (например, /dev/ad0s1a).
А еще можно вставить в привод загрузочный CD-ROM с
Windows PE и воспользоваться любым Windows-редактором
от Microsoft Disk Probe до Runtime Disk Explorer. То же са-
мое справедливо и для Norton Disk Editor, запущенного c
дискеты из-под MS-DOS (правда, ни диски большого объе-
ма, ни SCSI-устройства он не поддерживает). Еще можно
запустить KNOPPIX или любой Live LINUX, ориентирован-
ный на восстановление (правда, в большинстве «реанима-
ционных» дистрибутивов, и в частности, Frenzy 0.3, ника-
кого дискового редактора вообще нет!).
В общем, как говорится, на вкус и цвет товарищей нет…
Техника восстановления файлов
Начнем с грустного. Поскольку при удалении файла ссыл-
ки на 12 первых блоков и 3 блока косвенной адресации
необратимо затираются, автоматическое восстановление
данных невозможно в принципе. Найти удаленный файл
можно только по его содержимому. Искать, естественно,
необходимо в свободном пространстве. Вот тут-то нам и
пригодятся карты, расположенные за концом описателя
группы цилиндров.
Если нам повезет и файл окажется нефрагментирован-
ным (а на UFS, как уже отмечалось, фрагментация обычно
отсутствует или крайне невелика), остальное будет делом
техники. Просто выделяем группу секторов и записываем
ее на диск, но только ни в коем случае не на сам восста-
навливаемый раздел! (Например, файл можно передать на
соседнюю машину по сети).
К сожалению, поле длины файла безжалостно затира-
ется при его удалении и актуальный размер приходится
определять «на глазок». Звучит намного страшнее, чем
выглядит. Неиспользуемый хвост последнего фрагмента
всегда забивается нулями, что дает хороший ориентир.
Проблема в том, что некоторые типы файлов содержат в
своем конце некоторое количество нулей, при отсечении
которых их работоспособность нарушается, поэтому тут
приходится экспериментировать.
А если файл фрагментирован? Первые 13 блоков (имен-
но блоков, а не фрагментов!) придется собирать руками. В
№5, май 2005
администрирование
идеале это будет один непрерывный регион. Хуже, если
первый фрагмент расположен в «чужом» блоке (т.е. блоке,
частично занятом другим файлом), а оставшиеся 12 бло-
ков находятся в одном или нескольких регионах. Вообще-
то достаточно трудно представить себе ситуацию, в кото-
рой первые 13 блоков были бы сильно фрагментированы
(а поддержка фоновой дефрагментации в UFS на что?). Та-
кое может произойти только при интересной «перегруппи-
ровке» большого количеств файлов, что в реальной жизни
практически никогда не встречается (ну разве только что
вы задумали навести порядок на своем жестком диске).
Итак, будем считать, что 13-й блок файла найден. В мас-
сив непосредственной адресации он уже не помещается
(там содержатся только 12 блоков), и ссылка на него, как и
на все последующие блоки файла, должна содержаться в
блоках косвенной адресации, которые при удалении фай-
ла помечаются как свободные, но не перезаписывается, точ-
нее, перезаписывается, но не сразу. Большинство файлов
обходятся только одним косвенным блоком, что существен-
но упрощает нашу задачу.
Как найти этот блок на диске? Вычисляем смещение
13-го блока файла от начала группы цилиндров, перево-
дим его в фрагменты, записываем получившееся число
задом наперед (так, чтобы младшие байты располагались
по меньшим адресами) и осуществляем контекстный по-
иск в свободном пространстве.
Отличить блок косвенной адресации от всех остальных
типов данных очень легко – он представляет собой массив
указателей на блоки, а в конце идут нули. Остается только
извлечь эти блоки с диска и записать их в файл, обрезая
его по нужной длине.
Внимание! Если вы нашли несколько «кандидатов» в
блоки косвенной адресации, это означает, что 13-й блок
удаленного файла в разное время принадлежал различным
файлам (а так, скорее всего, и будет). Не все косвенные
блоки были затерты, вот ссылки и остались. Как отличить
«наш» блок от «чужих»? Если хотя бы одна из ссылок ука-
зывает на уже занятый блок данных (что легко определить
по карте), такой блок можно сразу откинуть. Оставшиеся
блоки перебираются вручную до получения работоспособ-
ной копии файла. Имя файла (если оно еще не затерто)
можно извлечь из директории. Естественно, при восстанов-
лении нескольких файлов мы не можем однозначно ска-
зать, какое из имен какому файлу принадлежит, тем не
менее это все же лучше, чем совсем ничего. Директории
восстанавливаются точно так же, как и обыкновенные фай-
лы, хотя, по правде говоря, в них, кроме имен файлов, не-
чего и восстанавливать…
Заключение
Описанный метод восстановления данных страдает мно-
жеством ограничений. В частности, при удалении большо-
го количества сильно фрагментированных двоичных фай-
лов он ничем не поможет. Вы только убьете свое время, но
навряд ли найдете среди обломков файловой системы что-
то полезное. Но как бы там ни было, другого выхода про-
сто нет (если, конечно, не считать резервной копию, кото-
рой тоже, скорее всего, нет), поэтому я все-таки считаю,
что данная статья будет совсем небесполезной.
37
 администрирование
РЕИНКАРНАЦИЯ ДАННЫХ II: memo-ПОЛЯ
В прошлом номере журнала мы рассмотрели
несколько способов переноса данных
из таблиц формата DBF в PostgreSQL.
Однако чтобы не перегружать статью, вопрос
работы с полями типа memo, достаточно
широко используемыми в FoxPro,
был оставлен без внимания. Теперь пришло
время восполнить данный пробел.
Формат memo-полей
Если нужно сохранить в одном поле данные большого или
неопределенного объема, в FoxPro (как и в некоторых дру-
гих СУБД) используются поля специального типа – так на-
зываемые memo-поля. Данные такого поля физически со-
храняются в отдельном файле (в случае с FoxPro он имеет
то же имя, что и dbf-файл, но с расширением fpt). Логичес-
ки мемо-поля связываются с таблицей таким образом, что
доступны, как и любое другое поле текущей записи.
Файл fpt для упрощения работы с данными хранит их
поблочно. Размер блока по умолчанию в FPD 2.6 составля-
ет 64 байта. Заголовок fpt-файла имеет размер 512 байт,
структура его следующая:
Òàáëèöà. Ñòðóêòóðà çàãîëîâêà fpt-ôàéëà
Начиная с 513-го байта от начала файла, располагают-
ся блоки данных. Значение поля может занимать один или
несколько блоков. Каждый блок, являющийся первым для
записи, содержит 8-байтный заголовок (4 байта сигнатура
0х00000001 и 4 байта – длина поля), после которого следу-
ют собственно данные.
Для обеспечения связи таблицы с данными в fpt-файле
в каждой записи dbf-файла memo-полю отводится 10 байт,
в которые заносится номер первого блока данных. Причем
номер хранится в символьном виде с ведущими пробела-
ми. Например, для указания на блок 8 данное поле будет
содержать значение « 8» (в шестнадцатеричном виде
«20 20 20 20 20 20 20 20 20 38», где 38 – ASCII-код символа
«8»). Нумерация блоков идет от начала файла, то есть вклю-
чает и заголовок.
Например, при стандартной длине блока 64 байта за-
38
СЕРГЕЙ СУПРУНОВ
писи данных будут начинаться с блока 8 (длина заголовка
512, деленная на размер блока 64).
С чем предстоит бороться
Теоретически формат DBF позволяет хранить в поле типа
memo до 4 Гб данных. Однако на практике из-за внутренних
ограничений FoxPro на длину строки оперировать с полями
свыше 65504 символов становится проблематично. На прак-
тике длина этого поля редко превышает несколько тысяч
символов. Поэтому вполне допустимо полагать, что данные
из поля типа memo могут быть размещены в поле типа text
таблицы PostgreSQL (максимальное значение поля – 1 Гб).
Так что размеры полей проблемой считать не будем.
Сложнее то, что memo-поля могут содержать разнооб-
разные символы, включая символ перевода строки. По-
скольку при обработке текстового файла PostgreSQL вос-
принимает этот символ как разделитель записей, то необ-
ходимо позаботиться об его экранировании. Причем в слу-
чае формата конца строки в стиле DOS (CR+LF) экраниро-
вать нужно как символ перевода строки (0x0D), так и сим-
вол возврата каретки (0x0A).
Можно использовать формат CSV для загрузки в
PostgreSQL – в этом случае значением поля будут считать-
ся все символы, заключенные в «кавычки». «Кавычками»
в данном случае может выступать любой символ, он зада-
ется как параметр команды COPY. Теперь внутри поля нуж-
но экранировать «кавычки» (путем удвоения), однако в дан-
ном случае больше шансов найти подходящий символ, мало
используемый внутри поля данных. К тому же исключают-
ся проблемы с различными стилями перевода строки.
Реализация на FoxPro
FoxPro работает с memo-полями прозрачно, так что никаких
усилий со стороны программиста не требуется. Не забудь-
те поставить символ «\» перед символами-разделителями:

Ëèñòèíã 1. Ôàéë memo2pg.prg (FoxPro)
close databases
* Ýòî – êîììåíòàðèé ñ íà÷àëà ñòðîêè
&& À òàê âûäåëÿþòñÿ êîììåíòàðèè â ïðîèçâîëüíîì ìåñòå ñòðîêè
use wmem && Îòêðûâàåì òàáëèöó ñ memo-ïîëÿìè
m.delimiter = chr(9) && ñèìâîë Tab
m.txf = fcreate('memo2pg.txt')
scan
* Òåêñòîâîå ïîëå – ýêðàíèðóåì ðàçäåëèòåëè è ñèìâîë «\»
m.descr = strtran(Descr, '\', '\\')
m.descr = strtran(m.descr, m.delimiter, ;
'\' + m.delimiter)
* Â memo-ïîëå äîïîëíèòåëüíî ýêðàíèðóåì ñèìâîëû
* êîíöà ñòðîêè (ASCII-êîäû 10 è 13)
m.memfld = strtran(Memfld, '\', '\\')
m.memfld = strtran(m.memfld, m.delimiter, ;
'\' + m.delimiter)
m.memfld = strtran(m.memfld, chr(13), ;
'\' + chr(13))
m.memfld = strtran(m.memfld, chr(10), ;
'\' + chr(10))
* Çàïèñûâàåì ðåçóëüòàò â ôàéë, ðàçäåëÿÿ ïîëÿ
* ñèìâîëîì, õðàíÿùèìñÿ â ïåðåìåííîé m.delimiter
=fputs(m.txf, m.descr + ;
m.delimiter + ;
m.memfld)
endscan
=fclose(m.txf)
wait window 'Finished.'
Ðèñóíîê. Ðàáî÷åå îêíî FoxPro
Если вы решите работать с CSV-форматом, то вместо
табуляции в качестве разделителя будет использоваться за-
пятая, а каждое поле данных, независимо от типа, нужно
будет окружить символом-«кавычкой», например «”», ко-
торый используется по умолчанию. Ну и внутри полей все
«кавычки» должны быть удвоены, чтобы исключить их спе-
циальную интерпретацию.
Реализация на Python
А вот здесь нам придется применить все накопленные выше
знания по формату файлов DBF и FPT. Поскольку полнос-
тью сценарий разбора DBF-файла приводился в прошлой
статье, здесь ограничимся только той частью, которая от-
вечает за получение данных из мемо-поля. За основу взят
сценарий dbf2pg.py, рассмотренный в предыдущей статье
(см. листинг 2). В него добавлена обработка полей типа «M»
в цикл, обрабатывающий каждую запись (соответствующие
строки выделены красным шрифтом):
Ëèñòèíã 2. Ôðàãìåíò ñöåíàðèÿ dbf2pg.py, äîáàâëåííûå ñòðîêè
.. .. ..
for i in range(num):
fld = dbf.read(fields[i].len)
# Äîáàâëåíî: vvvvvvv
№5, май 2005
администрирование
if fields[i].type == 'M':
fld = memo2pg(fld)
# ----------^^^^^^^
if fields[i].type == 'D':
fld = fld[:4] + '-' + ↵
fld[4:6] + '-' + ↵
fld[6:]
.. .. ..
Здесь при обнаружении поля типа memo считанное зна-
чение трактуется как содержащее номер первого блока дан-
ных, и вызывается функция разбора fpt-файла:
Ëèñòèíã 3. Ôðàãìåíò ñöåíàðèÿ dbf2pg.py, ôóíêöèÿ memo2pg
def memo2pg(startblock):
# Íîìåð áëîêà ïðåîáðàçóåì â ÷èñëî
startblock = int(startblock)
fpt = open(basetabname + '.fpt', 'rb')
fpt.read(6)
# Ñ÷èòûâàåì ðàçìåð áëîêà
blocksize = int(ord(fpt.read(1)) * 256 + ord(fpt.read(1)))
# Ñìåùàåìñÿ ê íà÷àëó áëîêà äàííûõ
fpt.seek(blocksize * startblock)
fpt.read(4)
# Ñ÷èòûâàåì ðàçìåð ïîëÿ äàííûõ
fieldsize = ord(fpt.read(1)) * 16777216 + ↵
ord(fpt.read(1)) * 65536 + ↵
ord(fpt.read(1)) * 256 + ↵
ord(fpt.read(1))
# ×èòàåì äàííûå
data = fpt.read(fieldsize)
fpt.close()
# Ïåðåêîäèðîâêà, ýêðàíèðîâàíèå è ïðî÷.
data = unicode(data, 'cp866').encode('koi8-r')
data = data.replace('\\', '\\\\')
data = data.replace('\x0A', '\\' + '\x0A')
data = data.replace('\x0D', '\\' + '\x0D')
data = data.replace(delimiter, '\\' + delimiter)
return data
Наконец, нужно позаботиться, чтобы Python не обраба-
тывал символы перевода строки самостоятельно, для чего
вместо вывода каждой сформированной строки с помощью
оператора print мы будем осуществлять запись в файл, от-
крытый в двоичном режиме, и формировать конец строки
вручную так, как нам нужно:
Ëèñòèíã 4. Ôðàãìåíò ñöåíàðèÿ dbf2pg.py, çàïèñü ñòðîêè â ôàéë
.. .. ..
# print line[:-1]
outfile.write(line[:-1] + '\r\n')
.. .. ..
В результате dbf2pg.py теперь может обрабатывать и
memo-поля.
Заключение
Язык FoxPro предоставляет развитые средства для работы
со своими файлами (выглядело бы странно, если бы это
было не так), и осуществить конвертирование файла DBF
в другой формат c его помощью – дело нескольких строк
кода. Однако не беда, если вы не очень дружны с ним или
не можете им воспользоваться по каким-то причинам. Дво-
ичный формат DBF, как вы могли убедиться, достаточно
прост и удобен. Так что при необходимости реализовать
его обработку имеющимися подручными средствами тру-
да не составит.
39
 администрирование
ПОЧЕМУ MS SQL МЕДЛЕННО РАБОТАЕТ?
ИЩЕМ ПРИЧИНЫ
«Сервер тормозит! Ничего не выполняется!
Весь отдел не может работать!» – не таков
ли ночной кошмар многих администраторов
Microsoft SQL Server? Увы, порой скорость
работы этой базы данных падает без
видимых причин. Что же случилось?
абота администратора базы
данных Microsoft SQL Server по-
рой бывает легка и необремени-
тельна. В самом деле, если настроена
регулярная архивация, вдумчиво про-
писаны права пользователей, везде
стоит последняя версия клиентского
приложения, то заняться бывает не-
чем. Но увы, рано или поздно звонит
(а то и прибегает) какой-нибудь «Глав-
ный Пользователь» и громко жалует-
ся на то, что «всё тормозит и ничего
не работает». При этом беглый анализ
ситуации показывает, что вроде бы всё
в порядке, сервисы запущены, в логах
ошибок нет. То есть всё работает. Но
очень медленно. И приходится адми-
нистратору базы данных, а то и про-
граммисту из службы техподдержки
брать универсальные инструменты
Microsoft – EM (SQL Server Enterprise
Manager) и QA (SQL Query Analyzer) и
браться за решение проблемы произ-
водительности Microsoft SQL Server.
Мой опыт показывает, что причин
внезапных «торможений» не так уж и
много.
Все примеры в данной статье рас-
смотрены на базе Microsoft SQL Server
40
2000. Основные причины замедления
работы будут актуальны и для 2005-й
версии, но способы решения для них
могут заметно отличаться (впрочем, в
2005-й наверняка появятся свои соб-
ственные, уникальные способы работать
медленно). Результаты DBCC-запросов
и структура системных таблиц могут
для них заметно отличаться, но общая
логика работы остаётся прежней.
Причина первая.
Ошибки в индексах
Они встречаются чаще всего. Когда
программист создаёт индекс на табли-
це базы данных, таблица чаще всего
или совсем пуста, или заполнена не-
сколькими тестовыми строчками. Про-
верить эффективность выбранных ин-
дексов в данной ситуации практически
невозможно. Поэтому индексируемые
поля выбираются или наугад, или в со-
ответствии со стандартными подсказ-
ками Microsoft SQL Server. Например,
EM автоматически создаёт кластерный
индекс по суррогатному первичному
ключу, что довольно редко является
идеальным решением. Из проблем про-
изводительности эта наиболее прият-
ная, так как простое изменение схемы
базы данных позволяет совершить ма-
ленькое чудо.
Причина вторая.
Неправильные планы запросов
Microsoft SQL Server обладает очень
неплохим оптимизатором запросов. Но
и он иногда ошибается. Типичная при-
чина ошибок – запрос с параметрами.
ЮЛИЯ ШАБУНИО
Представьте себе, что у вас есть таб-
лица заказов с полями Data и Status. И
вас интересуют невыполненные заказы
за последние полгода. Если вы попы-
таетесь получить информацию через
запрос с параметрами, то сервер, ско-
рее всего, выберет индекс по дате. Про-
сто потому, что Status, как правило, оди-
наков для всех («Выполнен»), а вот дата
принимает огромное число разных зна-
чений, и условие по ней может вернуть
как большой, так и очень маленький ре-
зультирующий набор. Мы-то знаем, что
нас интересуют только невыполненные
заказы, которых совсем мало, и при их
поиске индекс по статусу сработал бы
великолепно. Но серверу на момент
компиляции запроса не известно, какое
значение мы подставим в параметр
@Status – «Выполнен» или «Не выпол-
нен». Поэтому он не может использо-
вать индекс по статусу, так как в том
случае, когда параметр равен «Выпол-
нен», этот индекс бесполезен. Вместо
этого сервер предпочтёт индекс по дате,
который даст более-менее приемлемую
скорость в любом случае.
Таким образом, упускается возмож-
ность использовать индекс по статусу,
позволяющий мгновенно выбрать невы-
полненные заказы. И неэффективный
план выполнения заставляет систему
задуматься в самом неожиданном мес-
те, где в нормальных условиях сервер
зависать не должен.
Отмечу, что не только запрос с па-
раметрами может порождать неудачные
планы запросов. Не менее часто встре-
чаются сбои из-за нехватки памяти и

некорректной статистики содержимого
таблицы.
Причина третья.
Распределённые блокировки
Microsoft SQL Server обеспечивает изо-
ляцию транзакций с помощью блокиро-
вок строк, страниц и таблиц базы дан-
ных. При этом если два потока пытают-
ся установить несовместимые типы
блокировок на один и тот же объект, то
одному из них придётся ждать, пока вто-
рой не закончит работу с этим объек-
том. Таким образом замедляется рабо-
та как отдельных процессов, так и всей
системы. Иногда возникает такая ситу-
ация, что первый процесс надолго зах-
ватил объект А, второй захватил B и
ждёт, пока освободится А, третий зах-
ватил важный для всех объект C и пы-
тается обработать B, а еще огромное
множество процессов ждёт С, порой
захватив еще что-нибудь (рис. 1).
Ðèñóíîê 1. Ðàñïðåäåë¸ííàÿ áëîêèðîâêà
При этом создаётся впечатление,
что не работает вообще ничего. Порой
не получается даже запустить EM, так
как блокировки есть на используемых
им системных таблицах. Такую ситуа-
цию я называю распределённой блоки-
ровкой, и это одна из очень неприятных
проблем. В огромной куче заблокиро-
вавших друг друга процессов бывает
довольно сложно найти тот, который во
всём виноват. А им не всегда является
самый первый процесс. В рассмотрен-
ной ситуации виноват скорее тот, кто
захватил С.
Причина четвертая.
Дедлоки (Deadlocks)
Особый случай блокировок. Знакомая
всем ситуация – процесс 1 захватил
объект А и ждёт доступа к Б, а процесс 2
захватил Б и ждёт доступа к А (рис. 2).
Если бы не система обнаружения дед-
локов, они бы прождали вечно. К сча-
стью, MS SQL Server хорошо умеет об-
№5, май 2005
рабатывать эту ситуацию, и поэтому
они обычно проявляют себя не в виде
замедления работы, а в виде частых
ошибок заданий (jobs) и откатов кли-
ентских транзакций. Появление сооб-
щений о дедлоках означает, что со стра-
тегией блокировок не всё в порядке и
распределённая блокировка уже где-
то рядом.
Ðèñóíîê 2. Deadlock
Когда дедлок происходит на двух от-
дельных объектах базы данных из-за
доступа к ним в разном порядке (как
изображено на рис. 2), тогда он весьма
просто находится и проблема снимает-
ся. Хуже бывает, когда дедлок проис-
ходит внутри одной таблицы – если про-
цессы сначала работали в разных её ча-
стях, а потом каждый захотел заглянуть
на территорию другого. В этом случае
дедлок может возникнуть даже без яв-
ной транзакции, во время самого обыч-
ного обновления большой таблицы.
Причина пятая.
Проблемы с памятью, диском
и процессором
Бывает и так, что в базе идеально на-
строены все индексы, запросы выпол-
няются по оптимальным планам, вза-
имных блокировок процессов нет во-
обще – а работа всё равно происходит
медленно. Увы, любая система в конце
концов упирается в «железные» огра-
ничения, в размер оперативной памя-
ти, в пропускную способность и объём
жестких дисков, в максимальную про-
изводительность процессора. Исчерпа-
ние любого из этих ресурсов может вы-
зывать замедление работы. Проще
всего обнаруживается (да, пожалуй, и
лечится) нехватка места на жёстком
диске. Причём последствия этой не-
хватки могут быть просто катастрофи-
ческими. Например, прекращение рабо-
ты резервного копирования, остановка
сервисов, работающих с диском, паде-
ние сервиса SQL и наконец аварийная
остановка операционной системы без
возможности нормальной загрузки. В
результате можно потерять базу данных
и все последние данные резервного
копирования, так что за этим нужно сле-
администрирование
дить постоянно, и лучше в автоматичес-
ком режиме. Исчерпание пропускной
способности дисков вызывает только
замедление работы, но зато справить-
ся с нею гораздо сложнее, приходится
задуматься о серьёзной реорганизации
дискового массива. Проблема с недо-
статком оперативной памяти внешне
выглядит очень похоже, с единственной
разницей, что проблема касается не
только SQL-сервера, но и всей опера-
ционной системы (так как современные
компьютеры всегда стараются скомпен-
сировать недостаток памяти за счёт
дискового пространства, серьёзно на-
гружая при этом подсистему ввода-вы-
вода). Процессор, как ни странно, очень
редко бывает камнем преткновения в
работе MS SQL и никогда не приводит
к резкому замедлению. Если загрузка
процессора подскочила до 100% вне-
запно, то это не исчерпание ресурса
процессора, а появление какого-то не-
корректно работающего приложения.
Перед тем как принимать решение
о необходимости масштабного обнов-
ления, обязательно надо проверить, всё
ли в порядке с тем оборудованием, что
уже есть. Мне известны случаи, когда
случайно отключенный кэш записи на
контроллере дискового массива приво-
дил к падению скорости работы всей
системы в четыре раза. И нельзя забы-
вать, что проблемы на железном уров-
не могут быть следствием одной из пре-
дыдущих причин. Например, непра-
вильный план запроса может создать
большую нагрузку на жесткий диск, что
не справится никакой RAID. Поэтому
аппаратной частью имеет смысл зани-
маться только в том случае, если исклю-
чены все остальные причины.
Поиск причин проблемы
Итак, давайте вернёмся к исходной си-
туации. Мы имеем недовольных пользо-
вателей и сервер, который работает
очень медленно. С какой стороны на-
чинать? Первое, что надо сделать – это
определить масштабы происшествия
(рис. 3). Если пользователи жалуются,
что не работает вообще ничего, всё сто-
ит, приложение не запускается, то, ско-
рее всего, мы имеем дело с распреде-
лённой блокировкой или же с аппарат-
ными проблемами (во втором случае
жалобы будут менее интенсивными,
зато гораздо более продолжительными,
так как распределённая блокировка
41
 администрирование
кая информация бесполезна. Распределённая блокировка
часто возникает при обычном числе строк в sp_lock. К сча-
стью, у нас есть возможность обработать результаты этого
запроса и получить полную картину блокировок в системе.
Для этого достаточно сохранить результаты запроса во вре-
менной таблице и собрать данные из системных таблиц:

Ñêðèïò 1
if ( select object_id( 'tempdb..#LOCK' ) ) ↵
is not null drop table #LOCK
go
-- Â âàøåé âåðñèè SQL Server ôîðìàò âðåìåííîé òàáëèöû
-- ìîæåò áûòü äðóãèì, ïðîâåðüòå âûâîä sp_lock.
create table #LOCK
( spid int
, dbid int
, ObjId int
, IndId int
, Type varchar(4)
, Resource varchar(16)
, Mode varchar(8)
, Status varchar(6)
)
insert into #LOCK
exec sp_lock
-- Êàêèå ïðîöåññû îæèäàþò çàõâàòà êàêèõ ðåñóðñîâ.
select count(*) as LockCnt, left(o.name, 32 ) as ObjectName
, l.Status, l.Type, l.Mode, l.spid
, max(Resource) as SampleResource
, left(max(ss.loginame), 16 ) as loginname
, max(ss.cmd) as cmd
Ðèñóíîê 3. Ïåðâîíà÷àëüíàÿ îöåíêà ñèòóàöèè , max(ss.lastwaittype) as lastwaittype
, left(max(ss.program_name), 32 ) as program_name
обычно когда-нибудь да заканчивается, а вот железные про- , left(max(ss.hostname), 32) as hostname
блемы сами по себе наверняка не пройдут). Значит, в пер- , max(ss.program_name) as full_program_name
from #LOCK l , sysobjects o with (nolock)
вую очередь надо проверить это направление. Совсем дру- , master..sysprocesses ss with (nolock)
гая ситуация возникает, когда жалуются на какой-то конк- where o.id = l.ObjId and l.spid = ss.spid
and l.Status not in ( 'GRANT', 'CNVT')
ретный процесс или запрос. Например, слишком медленно and l.dbid = db_id()
работает тарификация, слишком долго выставляются сче- group by o.name, l.Status, l.Type, l.Mode, l.spid
та, тогда как как всё остальное практически в порядке. В -- Êòî ìåøàåò âûïîëíÿòüñÿ ïðîöåññàì èç ïðåäûäóùåãî
этой ситуации стоит поискать проблемный запрос, работаю- -- çàïðîñà, êòî äåðæèò èõ ðåñóðñû.
select count(*) as LockCnt, left(o.name, 32 ) as ObjectName
щий не с тем индексом или по неудачному плану. , l.Status, l.Type, l.Mode, l.spid
, max(Resource) as SampleResource
, left(max(ss.loginame), 16 ) as loginname
Глобальное замедление работы , max(ss.cmd) as cmd
Давайте рассмотрим различные методы анализа ситуации, , max(ss.lastwaittype) as lastwaittype
, left(max(ss.program_name), 32 ) as program_name
когда замедляется работа всей системы. , left(max(ss.hostname), 32) as hostname
, max(ss.program_name) as full_program_name
from #LOCK l , sysobjects o with (nolock)
Общий анализ блокировок в системе , master..sysprocesses ss with (nolock)
Каждый администратор знает, что блокировки на сервере where o.id = l.ObjId and l.spid = ss.spid
and l.dbid = db_id()
определяются процедурой sp_lock. Но вот скажите честно, and l.Status in ( 'GRANT', 'CNVT')
что можно понять, глядя на выводимый ею результат... and exists ( select *
from #LOCK l2
where l2.Status not in ( 'GRANT', ↵
spid dbid ObjId IndId Type Resource Mode Status 'CNVT')
------ ------ ----------- ------ ---- ---------------- -------- ------ and l2.dbid = db_id()
51 5 0 0 DB S GRANT and l.ObjId = l2.ObjId
53 5 0 0 DB S GRANT and l.Resource = l2.Resource
54 5 0 0 DB S GRANT )
55 5 0 0 DB S GRANT group by o.name, l.Status, l.Type, l.Mode, l.spid
57 5 308912172 0 TAB IS GRANT
.... 375 строк
200 5 64719283 2 PAG 5:1730834 IX GRANT ! Функции left используются для того, чтобы сократить ши-
200 5 0 0 PAG 4:133248 IX GRANT рину вывода (он и так получается очень широкий). При
200 5 475148738 1 PAG 6:122208 SIX GRANT
200 5 571149080 0 TAB IX GRANT
необходимости можно увеличить отображаемую часть
полей.
На её основе можно разве что сформулировать утвержде- ! Функция max() используется для того, чтобы отобразить
ние «блокировки на сервере есть». Если вы регулярно за- поле, не участвующее в group by, но при этом точно
пускаете sp_lock, то вы можете оценить лишь среднее чис- имеющее однозначное значение. Это работает, так как
ло блокировок и убедиться, что сейчас их «больше», «мень- max из списка одинаковых значений равен тому же са-
ше» или «как обычно». Для более серьёзного анализа та- мому значению.

42
 администрирование
Как правило, бывает достаточно несколько раз выполнить но, возможно, даже потребуется вынести в отдельное зада-
скрипт 1, чтобы полностью оценить картину – какие про- ние выполнение запросов и сохранение результатов в спе-
цессы блокируют какие ресурсы и кому при этом мешают. циальной таблице, чтобы потом проанализировать статис-
Я не стану приводить полное описание полей запроса, тику и понять, какие процессы чаще всего «цепляются».
так как это простое соединение (join) результата sp_lock с
системными таблицами sysobjects (анализируются только Анализ блокировок отдельного процесса
блокировки на текущей БД) и master..sysprocesses, их поля Тот же метод сохранения блокировок во временной табли-
описаны в BOL (Books Online), да и сами по себе они доволь- це может быть использован и для анализа текущего состо-
но очевидны. Хочу сразу предупредить о возможной пробле- яния отдельного процесса. Конечно, надёжнее всего отсле-
ме. Sp_lock даёт мгновенный снимок ситуации. К тому вре- дить его работу с помощью профайлера. Но бывает так,
мени, когда выполнение добирается до sysobjects и что профайлер не может помочь, ведь он показывает текст
master..sysprocesses, уже может не оказаться тех процессов, запроса только в момент начала или окончания его обра-
что создавали блокировки, зато могут появиться новые про- ботки. А что делать, если начало мы уже пропустили, а ко-
цессы (причём с тем же spid), и запрос даст неправильный нец будет неизвестно когда, так как процесс подвис? Кро-
результат. Особенно это актуально, когда система «живёт», ме того, далеко не всегда есть время (или возможность)
и в ней в каждый момент времени появляется и исчезает запустить и настроить профайлер.
большое число процессов и выполняется много запросов. В этой ситуации может помочь разобраться вот такой
Но в случае распределённой блокировки или же просто слож- скрипт (выполняемый после сохранения блокировок в
ной ситуации нужные вам процессы останутся на месте. Хуже #LOCK):
того, я советую не принимать решений по первому же ре-
зультату. Выполните этот запрос несколько раз, чтобы по- Ñêðèïò 2
нять, какие процессы были заблокированы случайно и нена- select count(*) as LockCnt, left(o.name, 32 ) as ObjectName
долго, а какие стабильно присутствуют и являются основой , l.Status, l.Type, l.Mode, l.spid
, max(Resource) as SampleResource
распределённой блокировки. Тот же самый скрипт 1 помо- , left(max(ss.loginame), 16 ) as loginname
жет разобраться в насыщенной блокировками базе данных , max(ss.cmd) as cmd
, max(ss.lastwaittype) as lastwaittype
даже в отсутствие распределённой блокировки. , left(max(ss.program_name), 32 ) as program_name
Бывает так, что работать с базой можно, но процессы , left(max(ss.hostname), 32) as hostname
, max(ss.program_name) as full_program_name
часто ждут завершения работы друг-друга, и общая ско- from #LOCK l , sysobjects o with (nolock)
рость работы заметно понижается. Этим данная ситуация , master..sysprocesses ss with (nolock)
where o.id = l.ObjId and l.spid = ss.spid
отличается от распределенной блокировки, когда «созда- and l.dbid = db_id()
ётся впечатление, что ничего вообще не работает. Тогда and l.spid = @spid
--and program_name like '%0x08989EF05DAC704E94F6D25A2EB2FB75%'
запрос о картине блокировок приходится делать многократ- group by o.name, l.Status, l.Type, l.Mode, l.spid

Пример анализа блокировок очередь захватить его. Судя по ограниченным масшта-

Проанализируем результат работы скрипта 1 (вывод см. бам блокировки и названию таблицы, тут мы имеем дело
ниже). Думаю, читатель оценит уровень его информатив- со штатной ситуацией синхронизации потоков с помо-
ности (особенно в сравнении с результатом sp_lock). щью блокировок и наше вмешательство не требуется.
1. Задание 0x08989EF05DAC704E94F6D25A2EB2FB75 дер- 3. В эксклюзивное пользование захвачен объект sp_Run-
жит X (эксклюзивную) блокировку на таблицу Calls. Само Commands. Обратите внимание, что это не таблица, а
по себе это нормально, но мешает работать четырём процедура. На неё устанавливается X-блокировка толь-
другим задачам, которые, кстати, не планируют захва- ко на время перекомпиляции. Однако возможности пе-
тывать таблицу целиком. Вместо этого они ждут воз- рекомпилировать эту процедуру ждут ещё два процесса.
можности установить IX (эксклюзивная блокировка на- Значит, она из числа тех, чей план запроса не сохраняет-
мерения) на неё, чтобы потом использовать эксклюзив- ся в кэше, а каждый раз генерируется заново (например,
ные блокировки на уровне страниц или ключей. Это в ней может использоваться созданная «снаружи» вре-
проблема, и её размеры зависят от значимости табли- менная таблица). Как видите, такие процедуры не толь-
цы Calls в системе и от целей всех этих пяти заданий. ко съедают ресурсы сервера при каждом выполнении, но
2. В таблице DCLocks захвачен один диапазон. Этот же и служат причиной блокировок и ожиданий, если исполь-
диапазон ждут три других процесса, планируя в свою зуются несколькими потоками одновременно.
Cnt ObjectName Status Type Mode spid SampleResource loginname lastwaittype hostname full_program_name
--- -------------- ------ ---- ---- ----- ---------------- ---------------- ------------ -------- -------------------------------------------------------------------------
1 Calls WAIT TAB IX 96 ES\RootUserLogin LCK_M_IX BUSINESS SQLAgent - TSQL JobStep (Job 0xA52C73583FBDDA43B93ABD532E9C88DD : Step 1)
1 Calls WAIT TAB IX 103 ES\RootUserLogin LCK_M_IX BUSINESS SQLAgent - TSQL JobStep (Job 0x4534BA77AA627843AE48F80997D8E4C8 : Step 1)
1 Calls WAIT TAB IX 168 ES\RootUserLogin LCK_M_IX BUSINESS SQLAgent - TSQL JobStep (Job 0x8F60801B8AC0B44B809F7AE0AEC4FCF7 : Step 1)
1 Calls WAIT TAB IX 175 ES\RootUserLogin LCK_M_IX BUSINESS SQLAgent - TSQL JobStep (Job 0x86BB523C4DEE964EA16A4AD23348997B : Step 1)
1 DCLocks WAIT KEY X 55 (010041dc3da7) ES\Admin LCK_M_X SM2 DeviceManager
1 DCLocks WAIT KEY X 79 (010041dc3da7) ES\Admin LCK_M_X SM2 DeviceManager
1 DCLocks WAIT KEY X 111 (010041dc3da7) ES\Admin LCK_M_X SM2 DeviceManager
1 sp_RunCommands WAIT TAB X 81 [COMPILE] ES\Admin PAGELATCH_SH SM2 DeviceManager
1 sp_RunCommands WAIT TAB X 114 [COMPILE] ES\Admin LCK_M_X SM2 DeviceManager

Cnt ObjectName Status Type Mode spid SampleResource loginname lastwaittype hostname full_program_name
--- -------------- ------ ---- ---- ----- ---------------- ---------------- ------------ -------- -------------------------------------------------------------------------
1 Calls GRANT TAB X 127 ES\RootUserLogin WRITELOG BUSINESS SQLAgent - TSQL JobStep (Job 0x08989EF05DAC704E94F6D25A2EB2FB75 : Step 1)
1 DCLocks GRANT KEY X 53 (010041dc3da7) ES\Admin PAGELATCH_UP SM2 DeviceManager
1 sp_RunCommands GRANT TAB X 59 [COMPILE] ES\Admin WRITELOG SM2 DeviceManager

№5, май 2005 43

 администрирование
Как видите, он просто возвращает список всех блоки-
ровок, которые осуществляет данный процесс. Если вам
известен spid процесса, то можно в условии использовать
прямо его. При желании вам доступен весь спектр полей
master..sysmessges, позволяющий отобрать процесс по
имени приложения, логину пользователя, названию клиен-
тского компьютера или любым другим сочетанием условий.
Результат этого запроса позволяет понять, к каким табли-
цам ваш процесс сейчас осуществляет доступ. Часто этого
бывает достаточно, чтобы оценить точку выполнения с точ-
ностью до строки кода.
Распределённая блокировка и sp_who2
Прежде чем переходить к следующей части, нельзя не
вспомнить более известный способ поиска головного про-
цесса в распределённой блокировке.
Это – системная процедура sp_who2. Она показывает в
поле BlkBy важнейшую информацию – ожидает ли конкрет-
ный процесс завершения работы другого, и какого именно.
По результатам выполнения sp_who2 довольно легко най-
ти тот spid, который никем не заблокирован, но при этом
блокирует всех остальных.
Я предпочитаю обработанный вывод sp_lock, так как он
показывает, не только какой процесс является причиной бло-
кировок, но и какие объекты являются причиной столкнове-
ния интересов. Ведь порой бывает, что вносить исправле-
ния надо вовсе не в головной процесс, а в один из заблоки-
рованных им (например, добавить в их код подсказку nolock,
чтобы они больше не зависели от головного процесса).
Но если вам сложно оказалось разобраться в огромном
списке ожидающих и ожидаемых процессов, возвращаемых
скриптом 1, то sp_who2 может вам помочь.
Учитывайте только, что при совместном использовании
скрипта 1 и sp_who2 их стоит запускать в одном и том же
пакете (batch), чтобы минимизировать время между снимка-
ми состояния блокировок и состояния процессов, иначе они
могут отображать существенно разные картины.
Как определить содержание процесса
по его номеру?
Итак, тем или иным способом вы нашли spid процесса, ко-
торый виноват в замедлении работы. Но обычно по spid
сложно понять, что же этот процесс делает и как изменить
его, чтобы устранить проблему. Единственный случай, ког-
Безобидная разделяемая блокировка
Мне часто встречалась одна характерная ошибка, и я хочу
предостеречь от нее вас. А именно – при анализе блокиро-
вок полностью не принимаются во внимание блокировки
типа S (Share, разделяемая) и IS (Intent Share, разделяе-
мая блокировка намерения). Считается, что эти блокиров-
ки «безобидные». Такой вывод делается потому, что бло-
кировки S от разных процессов совместимы между собой,
и много приложений могут рассматривать объект одновре-
менно, в противоположность X-блокировкам, которые зах-
ватывают объект в личное пользование и несовместимы
ни с чем. Но нельзя забывать о том, что S-блокировки не
совместимы с X.
Например, если какую-то таблицу постоянно дописыва-
44
да spid вам реально пригодится, если процесс запущен с
вашей же машины под вашим логином и из приложения
Query Analyzer. Тогда вам останется просто перебрать все
открытые окна QA в поисках нужного. (В окне QA иденти-
фикатор процесса написан в статусной строке, это число в
скобках после имени пользователя.) В любых других слу-
чаях надо искать более конкретную информацию о том, кто
же является хозяином процесса.
В первую очередь посмотрите на master..sysprocesses (са-
мые полезные поля из нее сразу выводятся скриптом 1).
Как правило, вы увидите имя пользователя, компьютера и
приложения, запустившего нужный вам процесс. Очень ча-
сто этого бывает достаточно. Если приложение называет-
ся как-то вроде «Job 0x08989EF05DAC704E94F6D25
A2EB2FB75 Step 2» – значит, за этот процесс отвечает за-
дание сервера. Его «настоящее имя» (то есть то, которое
можно увидеть в папке <ИмяСервера>/Management/SQL
Server Agent/Jobs приложения EM) узнать очень просто:
выполните в QA запрос:
select convert( varbinary(30), job_id), ↵
name from msdb..sysjobs order by name
и найдите в списке код нужного вам задания.
Если на вашем сервере задания играют существенную
роль, вам скоро надоест делать поиск по этому списку, и вы,
вероятно, захотите сразу видеть имя нужной вам задачи в
выводе скрипта.
Но тут имеется небольшая проблема – когда вы делаете
запрос в QA, он автоматически преобразует для вас varbinary
в нужную форму. А чтобы сделать то же самое программно,
понадобится небольшая процедура:
Ñêðèïò 3
create function dbo.uniqueidentifier_to_varchar ↵
( @u uniqueidentifier )
returns varchar(34)
as
begin
declare @binary varbinary(16), @i int
, @res varchar(34), @byte smallint
, @hex char(2)
select @binary = convert( varbinary(16), @u )
, @i = 1, @res = '0x'
while ( @i <= 16 )
begin
select @byte = substring(@binary, @i, 1)
select @hex = case when @byte/16 < 10
then char( ascii('0') + @byte/16 )
ют или обновляют множество процессов, то один пользо-
ватель, решивший выполнить сканирование таблицы и за-
получивший на нее табличную S-блокировку, способен пол-
ностью застопорить работу всей системы с помощью «бе-
зобидной» блокировки на чтение.
Поэтому, например, правилом хорошего тона является
всегда писать nolock при сканировании большой и часто
обновляемой таблицы в рабочей базе данных.
Единственной по-настоящему безобидной блокировкой
является Sch-S, означающая запрет на изменение структу-
ры таблицы и ничего больше. Если процесс наложил такую
блокировку, значит, он читает её в nolock-режиме или его
уровень изоляции транзакции допускает «грязное чтение»,
что по сути означает то же самое.

else char( ascii('A') + @byte/16 - 10 )
end +
case when @byte%16 < 10
then char( ascii('0') + @byte%16 )
else char( ascii('A') + @byte%16 - 10 )
end
select @res = @res + @hex, @i = @i + 1
end
return @res
end
Теперь можно найти нужную задачу напрямую, например, так:
select name from msdb..sysjobs where ↵
dbo.uniqueidentifier_to_varchar( job_id ) = ↵
'0x07E7726D989CCA4E9103F874F473C2AF'
или так:
select *
from master..sysprocesses with (nolock)
, msdb..sysjobs with (nolock)
where program_name like '%' + ↵
dbo.uniqueidentifier_to_varchar(job_id) + '%'
-- Ýòîò çàïðîñ âîçâðàùàåò âñþ èíôîðìàöèþ î çàïóùåííûõ
-- â äàííûé ìîìåíò çàäàíèÿõ, âêëþ÷àÿ èõ íàçâàíèÿ, sp_id,
-- âðåìÿ çàïóñêà è îñòàëüíóþ èíôîðìàöèþ
-- èç master..sysprocesses è msdb..sysjobs
Но всё же я не рекомендую использовать функцию
dbo.uniqueidentifier_to_varchar(job_id) в повседневной рабо-
те, т.к. она довольно медленная.
Как вариант для быстрого анализа связи задания и его
имени разумнее будет заполнить специальную табличку с
двумя полями (uniqueidentifier и varchar(34)) и использовать
её в запросах, обновляя по мере необходимости. Это чре-
вато рассинхронизацией данных, однако задания доволь-
но редко создаются, так что вполне можно работать, об-
новляя табличку по мере необходимости.
Если всего вышерепечисленного оказалось недостаточ-
но, попробуйте выполнить:
dbcc inputbuffer( <Íîìåð ïðîöåññà> )
Этот dbcc-запрос покажет, какой именно код выполня-
ет процесс, указанный в качестве его параметра. Помните,
что размер буфера ограничен и что-нибудь «многоэтажное»
может оказаться почти полностью за его рамками. Но того,
что есть, обычно оказывается достаточно, чтобы понять,
«откуда ветер дует».
Читатель может заметить, что предлагаемые мною скрип-
ты не добавляют никакой новой информации. Практически
всё это можно получить с помощью EM (<ServerName>/
Management/current Activity). На это я могу сказать только
одно – если вам так удобнее, используйте EM!
Образы мышления людей, предпочитающих табличное
и древовидное представления, очень отличаются друг от
друга. Но и тем, кто предпочитает дерево, мой запрос мо-
жет пригодиться.
Ведь EM не отличается высокой скоростью работы на
медленных соединениях, и вам придётся очень долго ждать
реакции (и не получится обновлять представление доста-
точно часто, чтобы увидеть динамику происходящего). Кро-
ме того, запрашивая информацию об объектах, EM созда-
ёт блокировки на таблицах. А это значит, что в случае гло-
бальной распределённой блокировки, затрагивающей сис-
№5, май 2005
администрирование
темные таблицы, он сам попадает в число заблокирован-
ных процессов и не способен сообщить вообще ничего
(cкрипты же специально на этот случай обращаются к сис-
темным таблицам с nolock).
Еще одна особенность EM по сравнению с приведён-
ными скриптами – он не ограничен текущей базой данных
и показывает картину процессов всего сервера (сами ре-
шайте, плюс это минус).
Чтобы получить доступ к блокировкам на нескольких
конкретных базах данных сразу, в скрипт достаточно бу-
дет добавить несколько разных таблиц sysobjects, но сде-
лать его полностью универсальным можно только с помо-
щью представления (view) или динамического запроса (см.
таблицу).
Òàáëèöà. Ñðàâíåíèå äâóõ ìåòîäîâ àíàëèçà áëîêèðîâîê
â ñèñòåìå
Давайте вернёмся к ситуации с глобальным замедле-
нием работы сервера.
Диагностика проблем на аппаратном уровне
Представьте, вы выполняете запрос, показывающий состо-
яние блокировок, а он говорит, что блокировок на базе дан-
ных нет! Несколько последующих запросов выдают ту же
самую картину, а сообщения о проблемах продолжаются.
Увы, в этом случае нет однозначного рецепта. Начать сто-
ит с проверки разнообразных логов – начиная с журналов
заданий и SQL Server и заканчивая журналами Windows.
Возможно, причиной замедления работы явился какой-то
ресурсоёмкий процесс, вроде резервного копирования, пе-
рестройки индексов или проверки физической целостнос-
ти базы данных. Если сервер работает на пределе мощно-
сти, то такие процессы способны в разы замедлить его ре-
акцию.
Для выявления самых ресурсоёмких процессов можно
использовать запрос, подобный следующему:
Ñêðèïò 4
select top 10
physical_io/(datediff( second,
login_time,
dateadd( second, 2, getdate())
)
)
, physical_io, spid
, datediff( second
, login_time
, dateadd( second, 2, getdate())
)
, program_name, *
from master..sysprocesses
order by physical_io/(datediff( second
, login_time
, dateadd( second, 2, ↵
getdate())
)
) desc
Его действие основано на том, что для каждого процес-
45
 администрирование
са сервер ведёт счётчик использования основных ресур-
сов – памяти, диска, процессора. Сами по себе показания
счётчика дают немного, и при упорядочении по ним вперёд
вырываются системные процессы – те, что работают с мо-
мента включения системы и до момента её выключения.
Но если поделить значение счётчика на время жизни про-
цесса, мы получим интенсивность использования ресурсов,
что даёт неплохую возможность найти самый нагружающий
сервер процесс.
Только не стоит обращать внимание на короткоживущие
процессы, на секунду выпрыгивающие наверх и исчезаю-
щие при повторном запросе. Они попадают в лидеры толь-
ко из-за маленького времени жизни и впоследствии не ока-
зывают большого влияния на сервер. Кроме physical_io,
можно точно так же строить запросы на основе полей cpu и
memusage.
Если и здесь не получилось найти виновного, то при-
дётся спускаться на аппаратный уровень (а даже если и
получилось, то надо учитывать, что когда ресурсов доста-
точно, никакой dbcc checkdb не должен замедлять работу
сервера).
Этот вопрос, вообще говоря, выходит за рамки данной
статьи, и администратору базы данных порой стоит деле-
гировать его специалистам по серверному оборудованию.
Скажу лишь только, что состояние дисков и памяти сказы-
вается на работе сервера баз данных чаще, чем хотелось
бы, причём довольно часто это выглядит именно как паде-
ние производительности.
Простое уменьшение места на дисках очень сильно за-
медляет работу (а потом делает её невозможной). Если
RAID выполняет интеграцию нового диска в массив, то он
не только работает в несколько раз медленнее, но и нахо-
дится в очень нестабильном состоянии (если сбой питания
для обычного жесткого диска слегка неприятен, то для RAID-
массива в состоянии перестройки практически смертелен).
Сбои в памяти чреваты целым спектром проблем от про-
стого замедления до появления ошибочных данных и пол-
ного разрушения базы.
Процессор тоже может влиять на поведение сервера не-
предсказуемым образом. Однажды мне пришлось решать
следующую проблему. Все процессы начинали работу в хо-
рошем темпе. Однако спустя некоторое время скорость ра-
боты падала в несколько раз. Ситуацию спасло отключе-
ние Hyper Threading. Возможно, оптимизатор параллель-
ных процессов Microsoft SQL Server принимал «сдвоенный»
процессор за два отдельных и соответственно планировал
запросы.
В решении аппаратных проблем порой помогают счёт-
чики производительности (performance counters). Они при-
гождаются и для решения специфических для SQL задач,
так как сервер позволяет наблюдать огромное число своих
параметров. Мне часто приходилось работать в ситуации,
когда я не имела доступа к удалённой консоли, да и просто
не могла выполнить Windows-логин на сервер (или это было
долго и неудобно), но имела права на выполнение xp_
cmdshell. В этой ситуации можно более-менее комфорта-
бельно смотреть на счётчики производительности с помо-
щью утилиты typeperf. Она входит в Microsoft Windows NT
Workstation 4.0 Resource Kit, Windows 2000 Resource Kit или
в Windows XP. Пример выполнения этой процедуры из QA
приведён в скрипте 5. Результат её работы можно посмот-
реть в разделе «Пример работы утилиты typeprf».
Ñêðèïò 5
-- Äëÿ òîãî ÷òîáû ïîñ÷èòàòü ïðîöåññîðû è ëîãè÷åñêèå äèñêè
-- è ïîëó÷èòü ñïèñîê äîñòóïíûõ ñ÷¸ò÷èêîâ, ðàñêîììåíòèðóéòå
-- ñëåäóþùèå çàïðîñû.
-- exec master..xp_cmdshell 'typeperf -qx \Processor '
-- exec master..xp_cmdshell 'typeperf -qx \PhysicalDisk'
exec master..xp_cmdshell 'typeperf -sc 10 ↵
"\Processor(_Total)\% Processor Time" ↵
"\PhysicalDisk(1 D:)\% Disk Time" ↵
"\PhysicalDisk(1 D:)\Avg. Disk Queue Length" ↵
"\PhysicalDisk(1 D:)\% Idle Time" ↵
"\SQLServer:Buffer manager\Checkpoint pages/sec" '
Даже если у вас есть все права доступа и соответствую-
щие утилиты, я всё-таки рекомендую поставить typeperf на
сервер. Может статься так, что у вас будет очень ограничен-
ное время на анализ ситуации, и тогда доступ к Windows-
счётчикам без стандартной утилиты администрирования
Perfomance monitor вам очень пригодится. Очевидно, что
подобным же образом можно смотреть журналы любых
приложений (очень рекомендую стандартные GNU-утлиты
tail, head и grep), в том числе Windows логи и даже логи Sql
Server (из EM до них порой не добраться).
Итак, в первой части статьи мы рассмотрели методы
локализации проблем производительности Microsoft SQL
Server в случае глобальнного замедления работы. Нам ос-
талось рассмотреть, как найти проблемную точку в зара-
нее известном процессе, локализовать дедлоки, и обсудить
методы решения обнаруженных проблем. Этим вопросам
будет посвящена вторая часть статьи.

Пример работы утилиты typeperf

Cистема прилично загружена, средняя длина
очереди составляет 1-2 пакета, тогда как в нор-
мальном состоянии она близка к нулю. Пора по-
думать о модернизации, так как время простоя
дисков уже маленькое (диски простаивают от 50
до 5% времени, т.е. иногда они загружены на
95%). Но прямо сейчас они не должны замед-
лять работу, небольшие резервы еще есть. Кон-
трольная точка (Checkpoint) проходит стабильно
за 1-2 секунды, значит, производительность за-
писи на диск достаточная. Стоит проверить счёт-
чики, ориентированные именно на чтение.
output
-----------------------------------------------------------------------------
NULL
"(PDH-CSV 4.0)","\\BIS\Processor(_Total)\% Processor Time","\\BIS\PhysicalDisk(1 D:)\% Disk Time",
"\\BIS\PhysicalDisk(1 D:)\Avg. Disk Queue Length","\\BIS\PhysicalDisk(1 D:)\% Idle Time",
"\\BIS\SQLServer:Buffer manager\Checkpoint pages/sec"
"04/13/2005 19:13:57.846","50,378475","40,182411","0,395736","60,613311","0,000000"
"04/13/2005 19:13:58.846","55,077832","411,062631","4,110626","38,580247","2799,985212"
"04/13/2005 19:13:59.846","45,898094","605,983878","6,059839","12,160078","3215,004814"
"04/13/2005 19:13:01.846","29,687050","91,170583","0,911706","19,050122","0,000000"
"04/13/2005 19:13:02.846","46,288716","195,101249","1,951012","0,770005","0,000000"
"04/13/2005 19:13:03.846","52,148134","284,811823","2,848118","6,270040","0,000000"
"04/13/2005 19:13:04.846","48,046537","89,120570","0,891206","18,530119","0,000000"
"04/13/2005 19:14:05.846","33,202692","47,700305","0,477003","53,540343","0,000000"
"04/13/2005 19:14:06.846","24,804209","281,211800","2,812118","21,670139","2225,878616"
"04/13/2005 19:14:07.846","22,460444","153,620983","1,536210","10,510067","0,000000"
Exiting please wait...
The command completed successfully.

46
 администрирование

СИСТЕМА ВЕЩАНИЯ НА ОСНОВЕ

WINDOWS MEDIA SERVICES 9
ЧАСТЬ 2

В прошлый раз мы установили медиасервер,

настроили многоадресное вещание с TV-тюнера
и обеспечили on-demand доступ к небольшой
видеотеке. Сегодня мы продолжим наше
знакомство с Windows Media Services 9,
в процессе которого создадим маленькую
радиостанцию, а также рассмотрим варианты
настройки «живого» вещания с веб-камер.

Делаем радиостанцию
Для нашей радиостанции мы будем использовать набор
файлов, расположенных в определенной папке жесткого
диска. Несмотря на то что сервер Windows Media позволя-
ет организовывать вещание музыкальных файлов, храня-
щихся как в формате .mp3, так и формате wma, предпочти-
тельным является использование «родного» формата –
wma. Дело в том, что при использовании файлов mp3 ве-
щание все равно будет вестись в формате wma, при этом
сервер «на лету» будет перекодировать поток в wma. Кро-
ме того, при предоставлении доступа к сервису из Интер-
нета настоятельнол рекомендуется использовать файлы, за-
кодированные с одинаковым битрейтом, иначе при пере-
ключении между композициями битрейт будет «скакать»,
что вряд ли обрадует пользователей, подключенных через
низкоскоростное соединение.
Любителям командной строки посвящается
Надеюсь, я смог убедить вас в том, что для организации ве-
щания необходимо заранее перекодировать все имеющие-
МИХАИЛ ПЛАТОВ
ся файлы в формат .wma с жестко заданным битрейтом (на-
пример, 32 Кбит). Для решения этой задачи теоретически
можно воспользоваться уже знакомым нам интерфейсом
кодировщика Windows Media Encoder, однако на практике
так лучше не делать. Интерфейс не позволяет выбрать для
кодирования сразу несколько файлов (или папок), поэтому
такой процесс перекодирования может несколько утомить.
Но тот факт, что «интерфейс не позволяет», еще не означа-
ет, что «кодировщик не умеет». В нашем случае необходи-
мой функциональностью обладает скрипт WMCmd.vbs, вхо-
дящий в стандартную поставку кодировщика Windows Media
Encoder. Данный скрипт написан на Visual Basic и является
не чем иным как «оберткой», использующей те же самые
COM-объекты графического приложения Windows Media
Encoder. Файл скрипта располагается в папке установки ко-
дировщика (по умолчанию это C:\Program Files\Windows Media
Components\Encoder), а для его запуска используется «кон-
сольный» сервер сценариев WSH (Windows Scripting Host.) –
cscript. При запуске без параметров (cscript WMCmd.vbs) ко-
дировщик сообщит о возможных ключах вызова.

48

Полный список ключей очень велик, поэтому позволю
себе привести пример вызова данного скрипта, при котором
кодировщик в два прохода перекодирует содержимое папки
c:\music_mp3 к формату .wma с постоянным битрейтом 32К1:
cscript WMCmd.vbs -input "e:\music_mp3" ↵
-output "e:\music_wma" -a_mode 1 -profile a32
Пишем ноты для оркестра
Таким образом, подготовительная часть закончена, и теперь
можно приступить непосредственно к настройке сервера.
В принципе, для решения поставленной задачи вполне мож-
но обойтись способом вещания всех файлов из папки, рас-
смотренным в предыдущей статье [1]. Но для разнообра-
зия мы рассмотрим другой способ – с использованием сер-
верных списков воспроизведения (server-side playlist). В этом
случае из произвольного набора файлов, папок, потоков с
кодировщиков и с других точек распространения можно
собрать общий список воспроизведения, содержимое ко-
торого будет «вещаться» в указанном нами режиме (unicast
или multicast) и порядке. Кроме того, вышеперечисленный
контент можно дополнительно «разбавить» с помощью так
называемых «рекламных заставок», (например, медиафай-
лы, описывающие нашу радиостанцию, рекламу спонсора
или хостинг-провайдера)2.
Итак, откроем уже знакомую нам оснастку сервера
Windows Media и создадим broadcast-точку вещания radio,
работающую по списку воспроизведения (см. рис. 1).
Ðèñóíîê 1. Ñîçäàíèå òî÷êè ðàñïðîñòðàíåíèÿ äëÿ ðàäèîñòàíöèè
Выберем только что созданную точку вещания, перей-
дем на закладку «Source», нажмем на кнопку «View playlist
1
Для потока, доступного через dial-up рекомендуется кодировать с битрейтом 64 Кбит (ключ -a64).
2
Хотя для вставки «настоящей» рекламы все же лучше использовать вещание на основе скриптов.
3
При желании можно использовать и более сложную структуру списка воспроизведения. Например, с помощью объектов sequence можно
разбить день на несколько отрезков, в рамках которых будет вестись вещание музыки определенного жанра.
№5, май 2005
администрирование
editor», в появившемся окне выберем «Create a new playlist»
и нажмем «OK». Перед нами предстанет окно редактора
списков воспроизведения – Windows Media Playlist Editor. Ин-
терфейс добавления объектов в список воспроизведения
интуитивно понятен, а вот на типах добавляемых объектов
остановимся более подробно. В редакторе play-листов мож-
но определить элементы следующих типов:
! Media – основной элемент любого списка воспроизве-
дения. Используется для указания медиа-ресурса (фай-
лы, потоки с кодировщика или медиа-сервера и т. д.),
вещаемого в сеть.
! Advertisement – позволяет вставить в список реклам-
ный ролик. Данный пункт особенно интересен, когда в
качестве источника рекламных вставок используется
ASP- и CGI-скрипт.
! Sequence – объект-последовательность. Определяет
последовательность воспроизведения. Все медиа-источ-
ники, перечисленные в рамках элемента sequence, бу-
дут воспроизводиться в строго указанном порядке.
! Switch – объект-переключатель. Позволяет определить
«альтернативные» медиа-источники, которые будут ис-
пользованы в случае, если основной источник будет не-
доступен. Данный объект очень полезен при организа-
ции вещания «живых» источников, например, его мож-
но использовать для обработки ситуаций, в которых ис-
точник временно не доступен.
! Exclusive – позволяет определить набор медиа-источ-
ников, порядок воспроизведения которых может менять-
ся (например, один медиа-файл может «прерывать» вос-
произведение другого).
! priorityClass – данный параметр определяет, как один
объект прерывает воспроизведение другого. Обычно он
используется совместно с параметром Exclusive.
! clientData – позволит отображать дополнительную ин-
формацию (исполнитель, название альбома и т. д.) о
медиа-источнике во время ее воспроизведения.
Итак, перейдем к созданию простого списка воспроиз-
ведения для нашей радиостанции3. Первым элементом бу-
дет вступительная заставка (advertisement), объясняющая
пользователю, к чему он подключился. Порядок воспроиз-
ведения файлов нам не важен, поэтому в качестве второго
элемента выберем Directory и укажем папку, содержащую
музыкальные файлы для нашей радиостанции.
Ðèñóíîê 2. Ðåäàêòîð ñïèñêîâ âîñïðîèçâåäåíèÿ
49
 администрирование
Сохраним список воспроизведения и перейдем к на-
стройке параметров точки вещания.
Учим сервер «петь»
В предыдущий раз [1] мы определяли параметры вещания
в разделе «Properties» соответствующей точки распрост-
ранения. Это место не является единственным. В Windows
Media Services параметры точки распространения опреде-
ляются на двух уровнях: для всего сервера4 и для каждой
конкретной точки распространения. Параметры точки рас-
пространения (если, конечно, они заданы) имеют более вы-
сокий приоритет и переопределяют соответствующие на-
стройки уровня сервера. В то же время некоторые из них
(например, для плагинов протоколов HTTP, RTSP и MMS
встроенные парсеры медиа-форматов mp3, jpeg и др.) мож-
но задать только для сервера. К серверным настройкам мы
еще вернемся, а пока займемся точками распространения.
Первым делом включим режимы «Loop» и «Shuffle» (что-
бы медиа-файлы бесконечно долго воспроизводились в слу-
чайном порядке). Для этого соответствующим образом из-
меним параметры плагина: «Playlist Transform → WMS Playlist
Transform → Properties».
В разделе «General» отключим опцию «Start publishing
point when first client connects» (для работы в режиме multicast)
и включим опции «Enable Broadcast Auto-Start» и «Enable
Advanced Fast Start»5.
Перейдем к настройкам аутентификации. В Windows
Media поддерживается три варианта аутентификации:
! Anonymous. При использовании данного варианта до-
ступ к медиа-файлам осуществляется с правами задан-
ного для точки вещания (или для всего сервера) пользо-
вателя. Схема удобна при организации доступа к ре-
сурсу со стороны большого количества пользователей,
в особенности из Интернета.
! NTLM/Kerberos. Способ удобен при разграничении прав
доступа к контенту для клиентов, находящихся в одном
домене (или в доменах, с которыми установлены отно-
шения доверия). Как следует из названия, при аутенти-
фикации используются протоколы NTLM или Kerberos.
! Digest. Этот метод аутентификации применяется в тех
случаях, когда использовать NTLM/Kerberos оказывается
затруднительно. Например, при необходимости разгра-
ничить доступ к точкам вещания для клиентов, подклю-
чающихся через Интернет.
Мы планируем предоставлять открытый доступ к точке
вещания для пользователей Интернета, поэтому включим
плагин «WMS Anonymous User Authentication». При необхо-
димости зададим имя и пароль для пользователя аноним-
ного доступа. Также не лишней будет установка ограниче-
ний для точки вещания (раздел «Limits»). Разрешим два од-
новременных подключения с суммарной пропускной способ-
ностью не более 70 Кбит. Для вещания в режиме multicast
включим плагин «WMS Multicast Data Writer» (категория
«Multicast Streaming»).
С помощью «Multicast Announcement Wizard» создадим
файлы анонса, необходимые для доступа к точке вещания
со стороны клиентов6.
Ðèñóíîê 3. Âàðèàíò èíòåðôåéñà ìóçûêàëüíîãî ñåðâåðà
После размещения этих файлов на веб-сервере мы по-
лучим собственную радиостанцию с доступом из Интерне-
та7, подключиться к которой смогут все пользователи, име-
ющие проигрыватель Windows Media Player 9 или выше.
Выбор веб-камеры
Согласно разработанному в прошлый раз «генеральному
плану» [1], мы хотим организовать вещание с веб-камер,
установленных в интересующих нас местах. Какую камеру
выбрать, как правильно ее подключить? Постараемся ра-
зобраться в этом вопросе и посмотрим, какие типы реше-
ний присутствуют на рынке. Мне известно о существова-
нии 3 типов веб-камер:
! Веб-камеры с интерфейсом USB. Самые дешевые
представители камер данного типа не умеют ничего, кро-
ме как показывать то, на что их настроили. «Продвину-
тые» модели данного вида могут комплектоваться бо-
лее функциональным ПО, обладать более высокой раз-
решающей способностью, способны передавать звук и
изменять угол обзора. Как самые дешевые, так и более
дорогие USB-веб-камеры с легкостью используются в
системах вещания на базе Windows Media, т.к. главным
условием работы является наличие Capture-драйвера,
осуществляющего захват картинки. Самый большой
плюс камер данного типа – цена (от 30$), минус – рас-
стояние, на которое такую камеру можно «отнести» от
компьютера (по спецификации USB не более 5 метров8).
! Веб-камеры c интерфейсом Ethernet. Данные каме-
ры подключаются напрямую к сети Ethernet. Управле-

4
Доступны в разделе «Properties», когда в дереве навигации (слева) выбран сам сервер.
5
Последние две опции появляются после установки Service Pack 1 для Windows Server 2003.
6
Описание процедуры анонсирования multicast-точки распространения можно найти в [1] или в документации для Winows Media Services 9.
7
Для того чтобы наша радиостанция была реально доступна из Интернета (поток unicast), возможно, потребуется дополнительная настрой-
ка маршрутизаторов и межсетевых экранов (открыть TCP-порты 554 и 1755).
8
Как можно увеличить это число, будет показано позже.

50

ние ими может осуществляться либо через встроенный
веб-сервер, либо при помощи специализированного ПО,
устанавливаемого на компьютер администратора. Не-
которые модели имеют возможность записи по сигналу
от встроенного детектора движения, что является не-
маловажным в системах наблюдения. Отличительным
плюсом камер данного типа является то, что благодаря
использованию интерфейса Ethernet, камеру можно «от-
нести» от компьютера-кодировщика практически на
любое расстояние9. Платой за такую «переносимость»
является цена, которая в среднем превышает значения
для аналогичных USB-собратьев.
! Беспроводные веб-камеры. Во многом похожи на ка-
меры второго типа, за исключением того, что вместо
проводного Ethernet 802.3 беспроводные камеры ис-
пользуют 802.11a/b/g. Соответственно, для них обяза-
тельным условием является наличие отдельного пита-
ния.
Теоретически в системах вещания на основе Windows
Media можно использовать любые типы веб-камер, главное,
чтобы на компьютере-кодировщике был установлен соот-
ветствующий драйвер захвата изображения (если для дан-
ного типа камеры он вообще существует). Если такой драй-
вер для камеры есть, то для просмотра «картинки» можно
использовать не только прилагаемое в комплекте ПО (или
встроенный веб-сервер), но и обычный проводник Windows
и кодировщик Windows Media. Описываемая далее систе-
ма вещания будет создаваться с использованием самых
обычных (и, вероятно, наиболее распространенных) веб-ка-
мер Logitech QuickCam Express с интерфейсом USB.
администрирование
банально не хватить, а внешнего интерфейса питания
на USB-веб-камерах обычно не бывает.
! Способ 3. Использование «специализированных» USB-
удлинителей. С их помощью можно работать с USB-ус-
тройствами, отдаленными на достаточно большое рас-
стояние (до 500 м) [2]. В состав таких удлинителей вхо-
дят два модуля – локальный (устанавливается в компь-
ютер) и удаленный (устанавливается поблизости от USB-
устройства). Для соединения модулей используется либо
обычная витая пара 5-й категории (до 100 м) либо опто-
волокно (до 500 м). Использование такого рода удлини-
телей для веб-камер мне кажется несколько сомнитель-
ным хотя бы потому, что стоимость одного удлинителя
скорее всего будет в несколько раз превышать сто-
имость веб-камеры.
Будем считать, что, используя вышеприведенную инфор-
мацию, мы смогли выбрать и разместить камеры, и теперь
самое время перейти к их настройке, но сначала:
«Обучаем» сервер
При работе с веб-камерами мы будем использовать режим
«push», инициатором передачи в котором выступает сама
машина с веб-камерой. Первое, что нам необходимо сде-
лать, – создать «шаблон точки распространения», который
будут использовать все кодировщики при создании соб-
ственных «точек» на медиасервере. Для этого откроем уже
знакомую нам оснастку «Windows Media Services» и созда-
дим точку распространения wc_template:

Основная проблема при работе с USB-камерами – не-

достаточная длина USB-кабеля (все-таки на 1,8 метра осо-
бо не разгуляешься). Для ее устранения можно воспользо-
ваться как минимум тремя способами:
! Способ 1. Кабель USB удлиняется с помощью обычных
пассивных удлинителей, продающихся во всех компью-
терных магазинах. Таким способом вы сможете увели-
чить длину кабеля еще метра на три10. Еще немного (до
+1 метра) вы выиграете, если самостоятельно изгото-
вите USB-удлинитель, использовав при этом экраниро-
ванную витую пару (STP). Хотя лучше, конечно, обра-
тить внимание на следующий способ.
! Способ 2. Для увеличения длины USB можно использо-
вать активные USB-удлинители. С их помощью удава-
лось «относить» камеру метров на 15 от компьютера. И
хотя на некоторых форумах имеется информация о воз-
можности достижения гораздо большей длины, все-таки
использовать более 2 активных удлинителей лучше не
стоит. Все-таки веб-камеры, как и активные USB-удли-
нители, для питания используют USB. Соответственно,
при злоупотреблении вторыми питания камере может Ðèñóíîê 4. Ñîçäàíèå øàáëîíà push-âåùàíèÿ äëÿ âåá-êàìåð

9
Особенно если попутно использовать модели, поддерживающие Power over Ethernet (PoE).
10
Максимальное «увеличение» длины определяется конкретной связкой chipset, кабель, камера. Надежность работы веб-камеры на задан-
ном расстоянии лучше всего определять «по факту»: если камера с данным набором удлинителей, 30fps и максимальным разрешением
нормально работает в течение нескольких часов, значит, скорее всего, все нормально. Если возникают проблемы, то, вероятно, длину
кабеля следует уменьшить.

№5, май 2005 51

 администрирование
Перейдем на закладку «Properties» и отредактируем па-
раметры вещания. Для режима multicast необходимо опре-
делить следующее:
! Multicast Streaming → WMS Multicast Data Writer → Enable
(в свойствах этого плагина включим «Enable unicast
rollover11» на ту же самую точку вещания).
! General → Start publishing point when first client connects →
Disabled.
! Limits → Limit player connections → 2.

Для того чтобы картинка достигала клиента с минималь-

ной задержкой, определим следующие параметры:
! Networking → Enable buffering → Disable buffering
! General → Enable Fast Cache → Disable
! General → Enable Advanced Auto-Start
! Cache/Proxy → Stream splitting expiration → Immediately
Для предоставления доступа к веб-камерам из Интерне-
та определим следующее: «Authentication → WMS Anonymous
User Authentication → Enable».
На всякий случай настроим централизованную запись
со всех веб-камер: «Archiving → WMS Archive Data Writer →
Enable» (в свойствах плагина отметим «Start archiving when
publishing point starts», а также при необходимости изме-
ним путь расположения файлов архива).
Как нам уже известно, при использовании режима push,
кодировщик сам «помещает» поток на сервер, при этом
пользователь, с правами которого работает кодировщик,
проходит аутентификацию и авторизацию (в режиме pull
этого естетственно нет). Из соображений безопастности,
при настроках по умолчанию только администраторы имеют
право помещать медиа-потоки на сервер. А так как лишняя
программа, работающая с правами доменного администра-
тора нам не нужна, создадим обычного доменного пользо-
вателя webcams и добавим ему необходимые права12.
На сервере Windows Media включим плагин: «Control
protocol → WMS HTTP Server Control Protocol → Enable», с
привязкой к порту с номером 7979.
Кроме того, определим следующие параметры для точ-
ки вещания:
! Authentication → WMS Negotiate Authentication → Enable.
! Authorization → WMS Publishing Points ACL Authorization →
Enabled.
В параметрах плагина авторизации добавим пользо-
вателя webcams c правами allow: read, write, create. От-
кроем оснастку Component Services и в свойствах объек-
та: «Components Services → Computers → My Computer →
DCOM Config → Windows Media Services», разрешим пользо-
вателю webcam удаленный доступ, запуск и активацию
объекта.
Ðèñóíîê 5. Íàñòðîéêà áåçîïàñíîñòè DCOM-êîìïîíåíòîâ WMS
На этом процесс создания «шаблон вещания» будем счи-
тать законченным, самое время перейти к кодировщикам.
Настройка кодировщика
Отличия от уже рассмотренного нами в прошлый раз спо-
соба минимальны. Во-первых, при вещании можно не ко-
дировать звук, т.к. используемая мною Logitech QuickCam
Express (впрочем, как и подавляющее большинство недо-
рогих USB-веб-камер) попросту не позволяет его записы-
вать. Второе отличие заключается в использовании друго-
го режима. При использовании режима push нам необхо-
димо определить значения 3 параметров. В качестве «име-
ни сервера» укажем полное DNS-имя сервера с WMS HTTP-
портом:
wms.local.ru:7979
В поле «Publishing point» укажем имя точки вещания для
данного кодировщика – wc1. В третьем поле укажем имя
созданного нами шаблона – wc_template, параметры кото-
рого будут использоваться при создании точки вещания13.
Значение «Remove publishing point automatically» оставим
без изменений и нажмем «Next». В следующих диалоговых
окнах определим параметры сжатия14 и дополнительные
атрибуты потока. При нажатии кнопки «Finish» кодировщик
попытается соединиться с сервером и создать на нем соб-
ственную точку вещания. Если в процессе этой операции
возникнут ошибки, то перед нами предстанет соответству-
ющее сообщение. Например, вот такое:
Ðèñóíîê 6. Îøèáêà êîäèðîâùèêà

11
В этом случае клиенты, которые не смогли подключиться с использованием multicast, будут автоматически подключаться с использовани-
ем unicast.
12
В случае если домена нет, можно попробовать создать на сервере Windows Media и всех машинах-кодировщиках локального пользовате-
ля с одним и тем же именем и паролем.
13
Так как в режиме push кодировщик «помещает» медиапоток на сервер, пользователь, с правами которого запущен кодировщик, должен
иметь соответствующие права на медиасервере. В нашем случае эти права есть у пользователя webcam и всех администраторов домена.
14
По субъективным наблюдениям, «сносное» качество при разрешении 320х240 и кодеке wmv9 начинается с потока 100 Кбит.

52

Если же все пройдет успешно, то мы увидим уже знако-
мый нам диалог анонсирования multicast-точек распрост-
ранения15. Создадим файлы анонса и поместим их на веб-
сервер. При правильных настройках после нажатия кнопки
«Start Encoding» кодировщик примется за работу, на сер-
вере Windows Media автоматически активизируется точка
вещания, и поток с камеры «польется» ко всем клиентам
(не забываем, что мы используем multicast).
Когда возможностей кодировщка
не хватает
Иногда при использовании служб Windows Media возмож-
ностей стандартного кодировщика оказывается недоста-
точно. Например, при организации вещания с большого
количества веб-камер настраивать и запускать кодиров-
щик вручную на каждой машине надоедает достаточно
быстро. Кроме того, если для кодирования используются
современные офисные машины (производительности ко-
торых с лихвой хватает для работы офисных приложений),
то работающим за этими машинами людям может не по-
нравиться постоянное присутствие «постороннего прило-
жения».
Еще больше данная ситуация не будет нравиться адми-
нистратору, которому для обеспечения нормальной рабо-
ты камер придется «бороться» с пользователями, закры-
вающими «лишние окна». И хотя попытаться «скрыть» ра-
боту кодировщика можно и с помощью стандартных средств
(например, при помощи описанной выше «VBS-обертки»,
работающей в командной строке), получить стабильно ра-
ботающее решение таким способом вряд ли получится.
В этом случае на помощь приходит пакет Windows Media
Encoder SDK. Как и другие пакеты для разработчиков, дан-
ный SDK содержит все необходимое для создания собствен-
ных приложений с использованием функциональности ко-
дировщика Windows Media Encoder. Помимо исчерпываю-
щей документации, описывающей интерфейсы объектов ко-
дировщика, в состав SDK также входят законченные при-
ложения и примеры вызовов методов объектов для трех
языков программирования: C++, C# и Visual Basic.
С использованием этого богатого инструментария было
разработано специальное приложение-кодировщик, обла-
дающее следующими возможностями:
! Работа в качестве системной службы.
! Автоматическое возобновление сессии кодирования
после сбоев (при временном извлечении камеры или
потере связи с сервером).
! Работа со стандартными файлами кодировщика (.wme).
! Автоматическое создание файлов анонсов.
! Возможности журналирования и оперативного оповеще-
ния (системный журнал, e-mail).
! Автоматическая активация драйвера веб-камеры16.
На данный момент приложение распространяется толь-
ко в исходных кодах, для компиляции которых использует-
ся среда MS Visual Studio.NET 2003.
15
При использовании режима push анонс делается только на кодировщике.
16
В случае если драйвер отключен и у службы есть соответствующие права.
17
http://www.mtv.com/overdrive.
№5, май 2005
администрирование
Использовать службу достаточно просто. Первое, что
вам потребуется сделать, – настроить кодирование с тре-
буемыми параметрами с помощью стандартного кодиров-
щика Windows Media. Затем необходимо убедиться, что
все работает как нужно, и сохранить настройки в файле с
расширением .wme. После чего необходимо скомпилиро-
вать исполняемый файл службы и зарегистрировать его
в системе с помощью прилагаемой утилиты (попутно ука-
зав имя учетной записи, с правами которой служба будет
работать). Сразу же после этого, если все настройки за-
даны правильно, служба запустится, создаст все необхо-
димые файлы анонсов и начнет кодирование. На сервере
в это время будет активирована соответствующая точка
вещания, и передаваемый поток станет доступен вам для
просмотра:
Ðèñóíîê 7. Ñèñòåìà âåùàíèÿ ñ âåá-êàìåð
Само приложение, а также инструкцию по его сборке и
установке можно найти на сайте проекта [3].
Подводим итоги
Итак, теперь наш медиасервер способен передавать видео-
данные с TV-тюнера (часть 1) и веб-камер, предоставлять
совместный доступ к музыкальным файлам, а также к ма-
териалам маленькой видеотеки. Но не следует думать, что
на этом возможности Windows Media заканчиваются. Вме-
сте с технологией DRM (Digital Rights Managment) возмож-
но создание коммерческих систем17, совместно с Microsoft
Producer for PowerPoint можно с легкостью организовывать
вещание презентаций, а благодаря наличию хорошего SDK
ко всем компонентам применение Windows Media ограни-
чивается только одним – полетом ваших мыслей!
Литература, ссылки:
1. Платов М. Система вещания на основе Windows Media
Services 9. – Журнал «Системный администратор», №4,
апрель 2005 г. – 28-33 с.
2. http://www.ihse.de/russian/417-xx.htm.
3. http://sourceforge.net/projects/wcstreaming.
53
 администрирование

АВТОМАТИЗАЦИЯ MS WINDOWS,
ИЛИ AUTOIT КАК МЕЧТА ЭНИКЕЙЩИКА
ЧАСТЬ 2
С базовым функционалом AutoIt вы уже познакомились
в первой части статьи и представляете, как использовать
его для автоматизации простейших операций в MS Windows.
Расcмотрим применение AutoIt при решении практических
задач администрирования.

Локализации
Отправляйте срочную почту ЗАГЛАВHЫМИ БУКВАМИ.
Hаш почтовый сервер ее распознает и отправит быстрее всего!
Отдельно рассмотрим вопрос о приложениях с кирилличес-
кими текстами внутри окон. Проиллюстрируем решение
этой проблемы на примере установки русифицированной
программы. Выберем почтовый клиент Mozilla Thunderbird.
Как и в первом случае (см. начало статьи [1]), процедура
разработки заключается в том, что запускается специаль-
АЛЕКСЕЙ БАРАБАНОВ
ный перехватчик данных. В версии 3 он называется «AutoIt
v3 Active Window Info». За основу разработки берем любой
из аналогичных текстов, рассмотренных в [1], из которого в
процессе редактирования выкидываем всё лишнее (не за-
бывайте, добродетель сисадмина – лень). Затем устанав-
ливаем наше приложение. Дождавшись первого вопроса к
оператору, анализируем, как можно «поймать» это окно в
AutoIt. В отношении кириллических текстов есть такая под-
сказка, что надо пользоваться процедурой «cut-and-paste»
для получения правильной кодировки. Но, к сожалению, это

54

не срабатывает. Как видно на рис. 1, попытка перенести
текст из «перехватчика» окон в редактор с программой при-
водит к появлению нечитаемого набора символов. Предпо-
ложение, что так и должно быть, не выдерживает элемен-
тарной проверки.
Ðèñóíîê 1
Может быть, стоит сменить редактор? Ведь секрет в том,
что надо записать в текст скрипта требуемую фразу в ори-
гинальной кодировке. То есть редактор должен позволять
точно указывать кодировку документа при сохранении. Из
находящихся под рукой подходит MS Word. При этом, как и
ожидалось, «cut-and-paste» тоже не приводит к появлению
текста в правильной кодировке. Но текст, введенный «вруч-
ную», можно сохранить в нужной кодировке. В данном слу-
чае предполагаем, что заголовок окна установщика Mozilla
Thunderbird написан в cp1251, и поэтому сохраняем текст в
кириллице (Windows). Все описанное продемонстрировано
на рис. 2.
Ðèñóíîê 2
В конце первого этапа разработки получаем следующий
текст:
AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
WinMinimizeAll ( )
Sleep ( 1000 )
Run ( 'Thunderbird_Setup_1.0.exe' )
WinWait ( 'Mozilla Thunderbird Óñòàíîâêà' )
№5, май 2005
администрирование
Send ( '{ENTER}' )
MsgBox ( 0, 'AutoIt', 'Done' )
Exit
После запуска эта программа приводит нас к следую-
щему этапу разработки, смотрите рис. 3. Далее все дела-
ется аналогично тому, как создавалась программа для ус-
тановки AutoIt v3 [1].
Ðèñóíîê 3
Вот что должно получиться в конце концов:
AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
; open free desktop
WinMinimizeAll ( )
Sleep ( 1000 )
Run ( 'Thunderbird_Setup_1.0.exe' )
;Run ( $CmdLine[1] )
WinWait ( 'Mozilla Thunderbird Óñòàíîâêà' )
Send ( '{ENTER}' )
WinWait ( 'Óñòàíîâêà Thunderbird - Ëèöåíçèîííîå ñîãëàøåíèå' )
Send ( '{TAB}{SPACE}{ENTER}' )
WinWait ( 'Óñòàíîâêà Thunderbird - Òèï óñòàíîâêè' )
Send ( '{ENTER}' )
WinWait ( 'Âûáîð êîìïîíåíòîâ' )
Send ( '{ENTER}' )
; 'Óñòàíîâêà Mozilla Thunderbird- Íà÷àëî óñòàíîâêè'
WinWait ( 'Óñòàíîâêà Mozilla Thunderbird- Çàâåðøåíèå' )
Send ( '{SPACE}{ENTER}' )
;MsgBox ( 0, 'AutoIt', 'Done' )
Exit
Обратите внимание, в итоговом тексте заменяем пря-
мой вызов установщика Mozilla Thunderbird из текста про-
граммы на запуск программы, имя и путь до которой пере-
даны, как параметр в командной строке. Так как последнее
упростит использование полученного автоматического ус-
тановщика в рабочих процедурах, где его можно вызывать
из командной строки. И блокируем завершающее окно. Еще
одно замечание касательно пропущенного окна «Установ-
ка Mozilla Thunderbird → Начало установки». Окно сопро-
вождает процесс непосредственного разворачивания при-
ложения. И можно, конечно, в программе дождаться его за-
вершения, но разумнее просто «поймать» появление сле-
дующего окна. Что и было сделано.
Если кодировка кириллицы на экране совпадает с ос-
новной кодировкой по умолчанию в MS Windows, то есть
cp1251, то можно снова вернуться к использованию Notepad
как редактора программ на AutoIt. Кстати сказать, исполь-
зование точно такого же приема для детектирования окон
55
 администрирование
с текстами в кодировке koi8-r, например, от браузера Ин-
тернета, не приводит к успеху. То есть такие окна надо оп-
ределять по косвенным признакам.
AutoIt – это бот сисадмина
Если сисадмин ест на своем рабочем месте,
выложите ему все свои проблемы и ждите
немедленного ответа. Мы существуем,
чтобы служить другим, и всегда готовы подумать
о починке компьютеров.
Сфера применимости AutoIt не ограничена только автома-
тизацией установки прикладных программ. Очень эффек-
тивно с помощью него программировать наборы стандарт-
ных действий в графической среде MS Windows. Многие
такие действия инициируются с использованием внутрен-
ней команды MS Windows – rundll32. В Сети есть ряд ресур-
сов, посвященных разгадыванию и коллекционированию ин-
формации об этой слабо документированной команде. На-
чиная с официального описания http://support. microsoft.com/
default.aspx?scid=KB;EN-US;q164787& и продолжая суще-
ственно более информативным http://www.dx21.com/
SCRIPTING. Для примера решим задачу автоматической
настройки подключения к VPN. Эта задача интересна тем,
что ее приходится выполнять не на внутренней рабочей
станции, которая так или иначе доступна для сисадмина, а
на приватном компьютере пользователя, который желает
получить доступ к офисным ресурсам.
В ручном режиме эти настройки осуществляются с по-
мощью «Мастера сетевых подключений». Последователь-
ность разработки программы, автоматизирующей эту опе-
рацию, начинается с поиска на указанных ресурсах спосо-
ба запустить нужный мастер. Потом, как и ранее, с помо-
щью «перехватчика» окон определяется достаточная для
детектирования строка и создается управляющий диалог.
Здесь продемонстрируем, как можно воспользоваться пара-
метром, задающим таймаут в секундах. Если WinWaitActive
успевает обнаружить нужное окно до истечения таймаута,
то возвращает «1», в противном случае – «0». Это позво-
лит в случае ошибочной ситуации просто завершить скрипт.
На рис. 4 изображена начальная стадия разработки.
Ðèñóíîê 4
Вот таким образом, шаг за шагом, напишем маленькую
программку, которая создаст нужное соединение и помес-
56
тит его иконку на рабочий стол. Далее приведен ее текст,
где «Office VPN» – это название соединения, а «office.enter-
prise.domain» – доменное имя сервера PPtP, доступное из
Интернета. Если сервер VPN не зарегистрирован в DNS, то
нужно указать его IP-адрес.
AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
AutoItSetOption ( "SendAttachMode", 1 )
; open free desktop
WinMinimizeAll ( )
Sleep ( '1000' )
; network connection wizard
Run ( @ComSpec & " /c rundll32.exe netshell.dll,StartNCW" )
; 1
If WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé','','10' ) == 0 ↵
Then
Exit
EndIf
Send ( '{ENTER}' )
; 2
WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé', ↵
'Ïîäêëþ÷èòü ê Èíòåðíåòó','5' )
Send ( '{DOWN}{ENTER}' )
; 3
WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé', ↵
'Ñîçäàòü ïîäêëþ÷åíèå:','5' )
Send ( '{DOWN}{ENTER}' )
; 4
WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé', ↵
'Ââåäèòå â ñëåäóþùåì ïîëå èìÿ äëÿ ýòîãî ïîäêëþ÷åíèÿ','5' )
$pptpname = 'Office VPN'
Send ( $pptpname & '{ENTER}' )
; 5
WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé', ↵
'Ââåäèòå èìÿ óçëà èëè','5' )
$pptphost = 'office.enterprise.domain'
Send ( $pptphost & '{ENTER}' )
; 6
If WinWaitActive ( 'Ìàñòåð íîâûõ ïîäêëþ÷åíèé', ↵
'Óñïåøíî çàâåðøåíî ñîçäàíèå ñëåäóþùåãî ïîäêëþ÷åíèÿ:', ↵
'5' ) == 1 Then
Send ( '{SPACE}{ENTER}' )
EndIf
Exit
Программка записывается в файл setup_pptp.au3 и затем
из нее создается исполняемый файл setup_pptp.exe. Теперь
надо позаботиться о передаче этой программы конечному
пользователю. Далее будем исходить из условия, что сер-
вер VPN и почтовый сервер созданы на платформе GNU/
Linux, а не MS Windows. Это очевидно, учитывая необходи-
мость его работы на открытом для доступа из Интернета
сетевом соединении. Предположим, все административные
скрипты и данные записываются в /root/bin. Сперва получен-
ная программа упаковывается в архив и копируется в ту же
папку:
# zip -9 setup_pptp.exe.zip setup_pptp.exe
adding: setup_pptp.exe (deflated 4%)
# cp setup_pptp.exe.zip ~/bin
Затем создается простенький скрипт. При настройке ло-
гина VPN он будет отсылать осчастливленному пользова-
телю локальное электронное сообщение об этом вместе с
присоединенным архивом программы автонастройки. Та-
кой способ передачи позволяет доставить аутентификаци-
онные данные безопасным образом. Заодно и архив с про-
граммой помещается в почтовый ящик пользователя в об-
ход антивирусных средств, фильтрующих smtp-почту. Поль-
зователь должен сохранить письмо и архив на дискете или
USB Flash-диске и принести его таким образом на компью-

тер, где нужно настроить подключение к офисному VPN.
Далее останется лишь запустить разархивированную про-
грамму, которая настроит соединение, и при подключении
указать логин и пароль из текста письма. После выполне-
ния всех манипуляций дискету или USB Flash диск придет-
ся уничтожить... Шутка, конечно, но позаботиться об унич-
тожении информации надо обязательно!
Поскольку сервер VPN сделан на GNU/Linux, то скрипт,
который настраивает пользовательский логин на сервере,
можно написать на языке интерпретатора bash. Например,
так:
#!/bin/sh
FCHAP=/etc/ppp/chap-secrets
UNAME=$1
UIP=$2
( [ "$UNAME" != "" ] && [ "$UIP" != "" ] ) || {
echo "Use as : $SELF <user-name> <ip>"; exit -1 ; }
D=`cat $FCHAP | grep -e "^$UNAME[[:space:]]"`
[ "$D" == "" ] || {
echo "User \"$UNAME\" already in database"; exit -1 ; }
T=`getent passwd | grep ^$UNAME:`
[ "$T" != "" ] || {
echo "Chosed <user-name>=$UNAME not found in passwd"; ↵
exit -1 ; }
PSW=`pwgen -c -n 9 1`
H="officepptp"
echo -e "$UNAME\t\"$H\"\t$PSW\t\"$UIP\"" >> $FCHAP
SRV=office.enterprice.domain
cat <<EOT | ↵
biabam /root/bin/setup_pptp.exe.zip ↵
-s "Extern login for pptp vpn access." $UNAME@localhost
Dear user.
IT staff has prepared extern login to enterprise network using
PPtP VPN for you personally. Tweak PPtP client on workstation
to connect on extern IP-address or FQDN $SRV.
You must login as "$UNAME" with passphrase "$PSW".
Dont forget or loss passphrase ! If this case you must inform
IT staff urgently ! After correction we will send new passphrase
to you by local e-mail.
IT staff.
EOT
exit
Перед вами очень простой скрипт. Он запускается с двумя
параметрами – пользовательский логин и адрес, который
выделяется для удаленного компьютера при создании крип-
тованного туннеля. Если этот скрипт запускается на компь-
ютере, где создаются VPN-бюджеты для нелокальных
пользователей, то проверку «getent passwd» надо исклю-
чить. Применение описанной технологии позволяет избе-
жать проблем в тех случаях, когда в ответ на радостное
сообщение сисадмина о выделении пользователю логина
VPN следует вопрос, «как это настроить», а визит к пользо-
вателю домой не входит в планы сисадмина.
Автоматизируем службу поддержки
Если вы столкнулись с сисадмином в выходной день в гастрономе,
задайте ему компьютерный вопрос. Мы работаем 24 часа в сутки
7 дней в неделю, даже в гастрономе в выходной день.
Вплотную к вопросам настройки удаленных подключений
примыкают вопросы, точнее, подозрения пользователей о
исправности их рабочих станций. Зачастую, когда эти воп-
росы на самом деле вызваны какими-то проблемами и у
сисадмина совершенно нет возможности провести диагно-
стику удаленно, приходится долго втолковывать пользова-
№5, май 2005
администрирование
телям по телефону, что и как надо открыть, запустить и
посмотреть. Но ведь можно заранее подготовить програм-
му, которая проделает все манипуляции, проверит ответы
и напишет резюме. Что нам потребуется, если придется про-
вести удаленную диагностику? Правильно – исправность
сети! Именно это и надо проверить автономно и без учас-
тия сисадмина. Далее приведен вариант такой программы:
AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
AutoItSetOption ( "SendAttachMode", 1 )
; open free desktop
WinMinimizeAll ( )
Sleep ( '1000' )
; îáíîâèì dhcp-àäðåñà
RunWait ( @ComSpec & " /c ipconfig /renew" )
If StringLeft( @IPAddress1, 3 ) == '127' Then
MsgBox ( 0, 'Network Status', ↵
'Íåèñïðàâåí ñåòåâîé àäàïòåð èëè êàáåëü ↵
íå ïîäêëþ÷åí', 100 )
Else
If StringLeft( @IPAddress1, 3 ) == '169' Then
MsgBox ( 0, 'Network Status', ↵
'Íåäîñòóïåí ñåðâåð èëè íå ïîäêëþ÷åí ↵
ñåòåâîé êàáåëü', 100 )
Else
If StringLeft( @IPAddress1, 10 ) == '192.168.0.' Then
;------ address OK
$i = URLDownloadToFile ( 'http://www.localservernet/' , ↵
@MyDocumentsDir & '\tmp.html' )
FileDelete ( @MyDocumentsDir & '\tmp.html' )
If $i == 1 Then
$j = URLDownloadToFile ( 'http://www.google.com/' , ↵
@MyDocumentsDir & '\tmp.html' )
FileDelete ( @MyDocumentsDir & '\tmp.html' )
If $i == 1 Then
MsgBox ( 0, 'Network Status', 'Ñåðâåð èñïðàâåí. ↵
Äîñòóï â Èíòåðíåò ðàçðåøåí', 100 )
Else
MsgBox ( 0, 'Network Status', 'Ñåðâåð èñïðàâåí. ↵
Èíòåðíåò íåäîñòóïåí', 100 )
EndIf
Else
MsgBox ( 0, 'Network Status', 'Ñåðâåð íå îòâå÷àåò', 100 )
EndIf
;------
Else
MsgBox ( 0, 'Network Status', ↵
'Íåèçâåñòíûé àäðåñíûé äèàïàçîí', 100 )
EndIf
EndIf
EndIf
Exit
Программа заставляет компьютер заново запросить ди-
намический адрес и по установившемуся значению диагно-
стирует состояние сети. Здесь предполагается, что правиль-
ный адрес выдается DHCP из диапазона 192.168.0.0/24. Да-
лее, если локальная сеть работает, делается попытка под-
ключиться к тестовому внутреннему http-ресурсу и затем
еще к аналогичному внешнему. Так определяется, «жив»
ли внутренний сервер и есть ли доступ к исходящему кана-
лу в Интернет. Число тестов можно расширить. Например,
если запрос http://domain.name не проходит, но удовлетво-
ряется запрос по IP-адресу, то можно сделать вывод о про-
блемах с DNS. Для того чтобы воспользоваться приведен-
ной программой, надо скомпилировать ee в исполняемый
файл. Затем поместить результат, например, в директорию,
содержащую общий рабочий стол. Таким образом, она бу-
дет доступна всем пользователям компьютера. Либо мож-
но поместить ее в персональный рабочий стол в профилях
прямо на сервере, что приведет к размножению ее копий
по локальным копиям профилей после следующей же пе-
57
 администрирование
резагрузки. Теперь остается приучить всех пользователей
перед истеричным звонком сисадмину запускать эту про-
грамму. В первую очередь они должны будут руководство-
ваться результатами теста, а уже потом эмоциями и пред-
положениями.
Практический пример
Если сисадмин сказал, что придет прямо сейчас,
выйдите из сети и отправляйтесь пить кофе.
Для нас не проблема запомнить 2700 сетевых паролей.
Ну что ж, установка программ и выполнение стандартных
действий автоматизирована. Как это поможет вам в прак-
тической работе? Рассмотрим случай из практики IT-аут-
сорсинга.
Итак, самое главное в работе сисадмина-аутсорсера –
не переработать. Для практикующих этот тяжкий труд по-
казатель успеха прямо пропорционален числу одновремен-
но обслуживаемых рабочих мест. Основным регулирующим
фактором становится скорость восстановления рабочих
станций. Именно восстановления, а не первоначальной ус-
тановки. Поэтому будем рассматривать деятельность сис-
темного администратора в непрерывном цикле. И в пер-
вом приближении надо выполнить два условия.
Во-первых, следует максимально снизить необходи-
мость, как в локальном присутствии сисадмина, так и по-
требность в удаленном управлении. Для этого дадим пол-
ную свободу пользователям в пределах собственного ра-
бочего места – сделаем их локальными администратора-
ми. Скорее всего услышим возражения: это не верно, пра-
вильно ограничить права локальных пользователей, научи-
тесь пользоваться политиками и т. д. Безусловно, такая
точка зрения имеет право быть. Безусловно, есть предпри-
ятия с развитой корпоративной культурой. Но в массе, если
речь идет об отечественной индустрии, то сисадмину пре-
доставляется на выбор: открыть курсы компьютерной гра-
мотности за свой счет или предоставить локальным пользо-
вателям максимальную свободу. Выберем последнее. По-
скольку это делает:
! локальных пользователей ответственными за состояние
собственного рабочего места;
! избавляет сисадмина от частых визитов по пустякам;
! создает впечатление независимости деятельности со-
трудников обслуживаемого предприятия и избавляет от
конфликтов, так как не позволяет им переложить ответ-
ственность на сисадмина.
Во-вторых, необходимо обеспечить максимально быст-
рый способ восстановления рабочих станций и создать ус-
ловия для удаленного управления локальными рабочими
местами. Здесь должно быть все понятно: предоставив
пользователям видимость свободы, надо создать средство
для ликвидации последствий такой демократизации. Очень
часто единственный рациональный путь «лечения» рабо-
чих станций на платформе MS Windows заключается в пол-
ной повторной переустановке. Конечно, надо обеспечить
сохранение пользовательского окружения, т.е. профиля.
Настройка внутренней сети для работы в составе домена
Microsoft с перемещаемыми профилями полностью реша-
58
ет задачу сохранения пользовательского окружения и даже
позволяет в случае возникновения проблем с некоторыми
рабочими местами воспользоваться другими компьютера-
ми взамен поврежденных, как временной мерой.
Получается, что ключевой вопрос – это автоматизиро-
ванная установка рабочей станции, включая операционную
систему и все необходимое для работы прикладное про-
граммное обеспечение. Итак, в результате задача свелась
к выбору способа автоустановки MS Windows и программ в
этой ОС. Почему к «выбору», а не «поиску» или «созда-
нию». Да потому, что автоустановка является штатным
свойством этой операционной системы. И ничего тут не надо
сочинять и изобретать, ну разве что надо угадывать, так
как документация путаная, а многочисленные описания
процесса противоречат друг другу. «Выбор» заключается
в определении места размещения дистрибутива. Рассмот-
рим подробнее.
Способы размещения определяются используемым ди-
стрибутивным носителем. Носителей информации ровно
столько, сколько предоставляет современная технология.
Автору представляется очень изящным решением установ-
ка с сетевого носителя, например с tftp, вместе с сетевой
загрузкой. Многие системные администраторы практику-
ют этот способ. На этом экономится как минимум 15-20 у.е.
стоимости каждого рабочего места – столько же стоит CD-
ROM. Но мы рассматриваем не просто абстрактное адми-
нистрирование, а аутсорсинг. Здесь нельзя полагаться на
какие-то внешние средства, кроме тех, что включены в со-
став рабочей станции. А вдруг непредвиденное поврежде-
ние рабочего места и было связано с проблемами локаль-
ной сети. Кроме того, существует совершенно рядовая для
современного офиса ситуация, когда надо обеспечить уда-
ленный доступ к внутренним ресурсам не только для си-
садмина, но и для других сотрудников. А это значит, что
надо, точно так же, как и в офисе, произвести установку
типового программного обеспечения и на их персональные
компьютеры. Безусловно, приватные визиты могут внести
разнообразие в монотонную жизнь системного админист-
ратора, но скорее всего включение приватных компьюте-
ров в число оплачиваемых будет отрицательно воспринято
заказчиком. Поэтому, выбор в качестве дистрибутивного
носителя CD-ROM представляется разумным деловым ком-
промиссом. Тем более что в перспективе можно без излиш-
них проблем перейти на DVD-ROM, значительно увеличив
тем самым число устанавливаемых программ. Теперь рас-
смотрим подробнее процесс установки MS Windows XP
Professional SP2 Rus, которую выберем в качестве ОС для
создания рабочих станций. Ведь именно этот процесс да-
лее предстоит автоматизировать.
Итак, в следующей части рассмотрим подробнее про-
цесс установки MS Windows XP Professional SP2 Rus, кото-
рую выберем в качестве ОС для создания рабочих стан-
ций. Ведь именно этот процесс далее предстоит автомати-
зировать.
Литература:
1. Барабанов А. Автоматизация MS Windows, или AutoIt как
мечта эникейщика. Часть 1. – Журнал «Системный ад-
министратор», №4, апрель 2005 г. – 11-15 с.

ЭФФЕКТИВНО УПРАВЛЯЕМ
ПОЛЯМИ ПОЛЬЗОВАТЕЛЕЙ В AD
Предположим, вам необходимо внести ряд однотипных изменений в свойствах всех пользователей
или пользователей в пределах группы в Active Directory. Сделать их в одном поле у 10-20
пользователей не составит труда. А как быть, если количество полей 2-3, а объектов 200-300?
ля этих целей рекомендуется использовать сцена-
рий, с помощью которого можно автоматически вне-
сти необходимые изменения в свойства объектов
AD, практически исключив влияние человеческого
фактора. О создании такого скрипта и пойдет речь в этой
статье.
Функционал сценария
Предлагаемый сценарий обеспечивает следующий функ-
ционал: корректировку профиля, сценария загрузки, кор-
ректировку домашнего каталога (в случае необходимости
создание домашнего каталога по указанному шаблону и
его предоставление в общий доступ). Все эти свойства дол-
жны быть применены только для всех пользователей, вхо-
дящих в указанную группу, либо для всех пользователей,
не входящих в указанную группу. Выполнение одного или
второго условия зависит исключительно от трудозатрат на
включения пользователей в группу.
Язык создания сценария
В качестве языка программирования рекомендуется исполь-
зовать VBScript, т.к. он имеет ряд преимуществ перед дру-
гими языками программирования:
! VBScript – встроенный в операционную систему Windows
стандартный скриптовой язык.
! Поддерживает OLE-объекты, что позволяет получить
доступ к AD.
! В нем реализована поддержка файловых систем FAT и
NTFS – можно производить операции с файлами и папка-
ми, управлять уровнями доступа к файлам (только NTFS).
№5, май 2005
администрирование
ИВАН КОРОБКО
Параметры командной строки
Для успешной работы сценария необходимы следующие
параметры командной строки:
! Домен. Может быть определен в автоматическом режи-
ме. Задавать его в явном виде нет необходимости.
! Название группы, к членам которой применяется скрипт,
либо наоборот: скрипт будет применен ко всем пользо-
вателям домена, кроме тех, которые входят в эту груп-
пу.
! Название сценария регистрации пользователей в сети.
! UNC-путь к профилю.
! UNC и локальный путь к домашнему каталогу.
Замечание: сценарий должен запускаться только с сер-
вера, на котором необходимо корректировать домашние
каталоги.
Определение имени домена
Имя домена может быть определено с помощью одного из
провайдеров доступа к AD: WinNT или LDAP. При выборе
провайдера необходимо учесть, что WinNT в качестве ре-
зультата выдает массив, содержащий не только текущий
домен, но и доступные рабочие группы, если таковые име-
ются. Рабочие группы могут временно появиться при под-
ключении одной из рабочих станций к домену или в случае
подключения стороннего портативного компьютера к ресур-
сам сети. Поэтому, несмотря на громоздкий синтаксис, ре-
комендуется использовать провайдер LDAP, с помощью ко-
торого можно определить как длинное имя домена, так и
короткое:
59
 администрирование
set rootDSE_ = GetObject("LDAP://RootDSE") temp=temp+Member.Name
d_def=rootDSE_.Get("defaultNamingContext") Next
long_Ldap_name = "LDAP://" + d_def MsgBox temp
short_winnt_name= mid(d_def, instr(d_def,"=")+1, ↵
instr(d_def,",")-instr(d_def,"=")-1) где short_winnt_name – короткое имя домена, GroupName –
wscript.echo long_Ldap_name
wscript.echo short_winnt_name имя группы безопасности, членов которой необходимо оп-
ределить.

Определение параметров Управление свойствами пользователя

командной строки
Для определения параметров, переданных скрипту из коман-
дной строки, необходимо использовать свойство Arguments
объекта WScript. Параметры командной строки считывают-
ся сценарием как элементы массива:
Set objArgs=Wscript.Arguments
For Each arg in objArgs
t = t & arg & chr(13)
Next
MsgBox t
Количество параметров, заданных в командной строке,
определяется с помощью функции Wscript.Arguments.Count
Поскольку все параметры в данной ситуации обязатель-
ны, то рекомендуется вставить обработчик ошибок:
Set objArgs=Wscript.Arguments
If len(cstr(objArgs(3)))=0 then
strShare="c:\root\home\"
strShare=InputBox("Share","ShareFolder","c:\root\home\")
else
strShare= cstr(objArgs(3))
с помощью провайдера WINNT
Учетные записи пользователей домена содержатся в под-
классе User. Подкласс включает в себя более 20 парамет-
ров (их описание см. в таблице 1), некоторые из которых
не поддерживаются Windows 2k.
Пример чтения полей пользователя USER (переменная
UserName):
Set UserName="USER"
Set user=GetObject("WinNT://" & short_winnt_name ↵
& "/"& UserName)
u1="FullName: "+ cstr(user.FullName)+chr(13)
u2="UserFlags: "+ cstr(user.UserFlags)+chr(13)
u3="LoginScript: "+ cstr(user.LoginScript)+chr(13)
u4="MaxBadPasswordsAllowed: "+ ↵
cstr(user.MaxBadPasswordsAllowed)+chr(13)
u5="PasswordHistoryLength: "+ ↵
cstr(user.PasswordHistoryLength)+chr(13)
u6="AutoUnlockInterval: "+ ↵
cstr(user.AutoUnlockInterval)+chr(13)
u7="PasswordAge: "+ cstr(user.PasswordAge)+chr(13)
u8="PasswordExpired: "+ cstr(user.PasswordExpired)+chr(13)
temp=""
temp=u1+u2+u3+u4+u5+u6+u7+u8
MsgBox temp

If len(cstr(objArgs(2)))=0 then Изменение свойств полей осуществляется с помощью

strFolder="\\moscow\root\home\" метода SetInfo после банального присвоения нового значе-
strFolder = InputBox("Folder:", "Home dir \%username%", ↵
"\\moscow\root\home\") ния какого-либо параметра:
else
strFolder= cstr(objArgs(2)) User.HomeDirDrive="Y:"
………………………………… User.HomeDirectory="\\" & strDomain & "\" ↵
End if
End if & user.name & "$"
User.LoginScript=strScript
User.Profile=strProfile & user.name
где: User.setinfo
! strShare – локальный путь к папке, в которой будет со-
здан домашний каталог. Его физическое имя совпада- Таким образом, переданные сценарию параметры из
ет с именем пользователя в сети (login), а название пап- командной строки, определение членов группы и механизм
ки в сети (share name) совпадает с именем пользовате- изменения свойств можно объединить в единое целое:
ля в сети со знаком доллара (hidden share).
! strFolder – сетевой путь к этой же папке. set rootDSE_ = GetObject("LDAP://RootDSE")
d_def=rootDSE_.Get("defaultNamingContext")
! strProfile – сетевой путь к профилям пользователей. Если short_winnt_name = "LDAP://" + d_def
этот параметр не задан, то профили пользователей бу-
For each user in users_domain
дут локальными. i=0
! strGroup – имя группы безопасности в AD. a=user.name
! strScript – содержит имя сценария загрузки пользовате- Set user_group = GetObject("WinNT://" ↵
ля в сети. & short_winnt_name & "/" & strGroup)
For each user_group in user_group.Members
b=user_group.name
Определение членов группы if b=a then
Провайдер WINNT был разработан для операционной сис- i=1
темы Win 4.0, когда еще не было AD. Структура объектов end if
next
WINNT одноуровневая, неиерархическая, поэтому чтение
необходимых объектов осуществляется с помощью фильт- if i=0 then
User.HomeDirDrive="Y:"
ров, в данном случае «group»: User.HomeDirectory="\\" & short_winnt_name ↵
& "\" & user.name & "$"
Set GroupName="Value_Group" User.LoginScript=strScript
Set user_group=GetObject("WinNT://" & ↵ if not User.Profile="" then
User.Profile=strProfile & user.name
short_winnt_name & "/"& GroupName & ", group") end if
For each obj inGroup.Members
User.setinfo

60

end if
next
В приведенном примере обрабатываются учетные за-
писи пользователей, не входящих в группу strGroup. Для
того чтобы изменить условие, т.е. производить действия над
пользователями, принадлежащими группе, необходимо из-
менить условие цикла if с «if i=0 then» на «if i=1 then» или «if
i<>0 then».
Управление домашним каталогом
Сценарий должен последовательно выполнять следующие
действия:
! определить, существует ли у домашнего пользователя
каталог;
! предоставить папку в доступ с правильным именем (сме-
на sharename);
! изменить права на файловую структуру NTFS в соот-
ветствии с установленными правилами;
Òàáëèöà 1. Îïèñàíèå ïàðàìåòðîâ ïîäêëàññà User
№5, май 2005
администрирование
! сделать необходимые изменения в свойствах учетной
записи пользователя в AD.
Создание и удаление папок
Создание и удаление каталогов осуществляется с помощью
методов CreateFolder(path) и DeleteFolder(path) объекта USER.
Параметром каждого из этих методов является путь к ка-
талогу – path. Применяя эти методы, необходимо проверять
наличие или отсутствие папки перед выполнением опера-
ции. Приведем два примера: первым из них проиллюстри-
руем процесс создания новой папки C:\TempFolder, исполь-
зуя обработчик ошибок; во втором – удаления папки.
Создание папки:
path="C:\TempFolder"
Temp=""
Set user=WScript.CreateObject("Scripting.FileSystemObject")
If user.FolderExists(path)=0 then
user.CreateFolder(path)
Temp= "Folder " + path + " Created "
61
 администрирование
Else
Temp= "Folder " + path + " Already Exists"
End If
MsgBox Temp
Удаление папки:
path="C:\TempFolder"
Temp=""
Set user=WScript.CreateObject("Scripting.FileSystemObject")
If user.FolderExists(path)<>0 then
user.DeleteFolder(path)
Temp= "Folder " + path + " Deleted"
Else
Temp= "Folder " + path + " is Absent "
End If
MsgBox Temp
Программное создание и удаление
совместно используемого ресурса
Для управления совместно используемыми ресурсами ис-
пользуется контейнер LanmanServer (см. таблицу 2).
Создание совместно используемого ресурса осуществ-
ляется с помощью метода Create. В свойствах метода ука-
зывается тип создаваемого ресурса, в данном случае
fileshare, и название ресурса (ShareName). Метод Create обя-
зательно сопровождается методом Path, с помощью кото-
рого задается путь к ресурсу, и методом SetInfo, который
сохраняет сделанные изменения. Пример, в котором пре-
доставим в общее пользование папку, локальный путь к
которой «c:\folder001». Сетевой путь папки должен быть
«\\1000pc\Share1». Описание папки – «Shared Folder #1»:
Set PC_Name="1000pc"
Set Share_Name="Share1"
Set Folder_Path="c:\Folder1"
Set Description_Name="Shared Folder #1"
Set object=GetObject("WinNT://" & short_winnt_name ↵
&"/" & PC_Name &"/LanmanServer")
Set element=object.Create("fileshare", Share_Name)
element.Path= Folder_Path
element.Description= Description_Name
element.MaxUserCount =10
element.SetInfo
Для удаления используемого ресурса вместо метода Create
используют Delete. Изменения вступают в силу немедленно:
Set PC_Name="1000pc"
Set Share_Name="Share1"
Set Folder_Path="c:\Folder1"
Set Description_Name="Shared Folder #1"
Set object=GetObject("WinNT://" & short_winnt_name &"/" ↵
& PC_Name &"/LanmanServer")
Call object.Delete("fileshare", Share_Name)
Управление правами доступа
на файлы и папки
Создав домашний каталог для пользователя, рекоменду-
ется изменить созданные по умолчанию права. Оставив
права Full Control членам группы Domain Administrators и
самому пользователю – права Modify.
Библиотека ADsSequrity.dll
Программное управление правами доступа к файлам и пап-
кам можно реализовать с помощью библиотеки ADs-
62
Sequrity.dll, входящей в комплект поставки ADSI Resource
Kit (http://www.microsoft.com/ntserver/nts/downloads/other/
ADSI25/default.asp).
Перед использованием библиотеки ее необходимо за-
регистрировать на компьютере, на котором будет запускать-
ся сценарий. Команда регистрации библиотеки выглядит
следующим образом:
regsvr32.exe /s ADsSequrity.dll
Доступ к вышеуказанной библиотеке осуществляется с
помощью функции CreateObject(«ADsSecurity») по следую-
щему сценарию:
Set sec = CreateObject("ADsSecurity")
Set sd = sec.GetSecurityDescriptor("FILE://c:\folder")
Set dacl = sd.DiscretionaryAcl
For Each ace In dacl
Wscript.Echo cstr(ace.Trustee)+" " + ↵
cstr(ace.AccessMask) + " " + cstr(ace.AceType) + ↵
chr(13)+chr(10)
Next
Wscript.Echo dacl.AceCount
Как видно из примера, для управления правами необ-
ходимо создать новый экземпляр объекта ADsSecurity и
указать к нему путь, который является параметром функ-
ции GetSecurityDescriptor(). Таким образом, можно получить
доступ к коллекции DiscretionaryAcl, членами которой явля-
ются Trustee, AccessMask, AceType, AceCount и не фигури-
рующий в данном шаблоне RemoveAcl (см. таблицы 3-5).
Добавление новых объектов
В качестве новых объектов могут выступать пользователи
или группы. Приведем пример добавления нового пользо-
вателя:
Set sec = CreateObject("ADsSecurity")
Set sd = sec.GetSecurityDescriptor("FILE://c:\Folder")
Set dacl = sd.DiscretionaryAcl
Set ace = CreateObject("AccessControlEntry")
ace.Trustee = "Domain\Administrator"
ace.AccessMask = &h20000000
ace.AceType = &h0
ace.AceFlags = &h3
dacl.AddAce ace1
sd.DiscretionaryAcl = dacl
sec.SetSecurityDescriptor sd
set dacl=nothing
set sec=nothing
Если требуется добавить сразу несколько новых объек-
тов, то необходимо учесть некоторые нюансы, о которых
подробнее читайте после примера:
Set sec = CreateObject("ADsSecurity")
Set sd = sec.GetSecurityDescriptor("FILE://c:\Folder")
Set dacl = sd.DiscretionaryAcl
Set ace1 = CreateObject("AccessControlEntry")
ace1.Trustee = "domain\user1"
ace1.AccessMask = &h20000000
ace1.AceType = &h0
ace1.AceFlags = &h3
dacl.AddAce ace1
for i=0 to 10000000
next
Set ace2 = CreateObject("AccessControlEntry")
ace2.Trustee = "domain\user2"
 администрирование
ace2.AccessMask = &h20000000 Òàáëèöà 2. Îïèñàíèå ïàðàìåòðîâ êîíòåéíåðà LanmanServer
ace2.AceType = &h0
ace2.AceFlags = &h3
dacl.AddAce ace2
sd.DiscretionaryAcl = dacl
sec.SetSecurityDescriptor sd
set dacl=nothing
set sec=nothing

Внимательно изучив пример, можно обнаружить две осо-

бенности:
! Для каждого нового добавляемого объекта необходи-
мо создать свой собственный объект AccessControlEntry,
при этом описание объекта GetSecurityDescriptor и Òàáëèöà 3. Îáúåêòû êîëëåêöèè DiscretionaryAcl
ADsSecurity у них может быть общим.
! После добавления нового объекта должно пройти неко-
торое время (особенно, если сценарий находится на од-
ном сервере, a объект, права доступа на который необ-
ходимо изменить, на другом), прежде чем он станет до-
ступен для последующих действий. Для этого необхо-
димо сделать в сценарии паузу. Поскольку в VBScript
не существует такой функции, то предлагается исполь-
зовать следующую: Òàáëèöà 4. Âîçìîæíûå çíà÷åíèÿ ïàðàìåòðà AceType

Q = Timer + x ‘ x – êîëè÷åñòâî ñåêóíä çàäåðæêè

Do
Loop Until Timer >= Q

Òàáëèöà 5. Íàáîð âîçìîæíûõ àòðèáóòîâ

Удаление существующих объектов
Удаление существующих групп или пользователей осуще-
ствляется с помощью свойства RemoveAcl коллекции объек-
тов DiscretionaryAcl.

Set sec = CreateObject("ADsSecurity")

Set sd = sec.GetSecurityDescriptor("FILE://c:\2")
Set dacl = sd.DiscretionaryAcl
For Each ace In dacl
If (ace.Trustee="EveryOne")
dacl.RemoveAce ace
end if
Next
sd.DiscretionaryAcl = dacl
set dacl=nothing
set sec=nothing

Таким образом, часть сценария, отвечающая за домаш-

ний каталог пользователя, выглядит следующим образом:

If Not FS.FolderExists(strFolder&user.name) Then

FS.CreateFolder(strFolder&user.name)
End If Set ace2 = CreateObject("AccessControlEntry")
On Error Resume Next ace2.Trustee = short_winnt_name +" \ "+ user.name
ace2.AccessMask = &h20+&h1000+&h40000000+&80000000
ShareServiceObj.Delete "Fileshare", user.name&"$" ace2.AceType = &h0
set NewShare = ShareServiceObj.Create("Fileshare",user.name&"$") ace2.AceFlags = &h3
dacl.AddAce ace2
Set sec = CreateObject("ADsSecurity")
Set sd = sec.GetSecurityDescriptor("FILE://"& strShare) sd.DiscretionaryAcl = dacl
Set dacl = sd.DiscretionaryAcl sec.SetSecurityDescriptor sd
For Each ace In dacl set dacl=nothing
If (ace.Trustee="EveryOne") set sec=nothing
dacl.RemoveAce ace
end if NewShare.Path = strShare&user.name
Next NewShare.MaxUserCount = 10
Set ace1 = CreateObject("AccessControlEntry") NewShare.setinfo
Ace1.Trustee = short_winnt_name +" \ "+ user.name
ace1.AccessMask = &h10000000 С помощью созданного сценария можно легко корректиро-
ace1.AceType = &h0
ace1.AceFlags = &h3 вать свойства доменных пользователей, входящих или ис-
dacl.AddAce ace1 ключенных из группы. Данный скрипт принесет огромную
for i=0 to 10000000 пользу при переносе домашних каталогов с одного сервера
next на другой, при миграции из одного домена в другой.

№5, май 2005 63

 сети

СТРОИМ ЗАЩИЩЁННУЮ БЕСПРОВОДНУЮ СЕТЬ:

WPA-ENTERPRISE, 802.1X EAP-TLS

Существует добрая сотня статей о небезопасности беспроводных сетей. Причём многие

совершенно идентичны и бесполезны: в них говорится о том, что WEP-это плохо, что MAC-
адреса подменяются легко, и в заключение пишется: «Есть единственный выход и спасение.
Нужно использовать WPA.» И точка. Данный материал содержит именно то, что вы хотели
услышать после «точки» – практическое руководство по организации хорошо защищённой
беспроводной сети.
АНДРЕЙ ПЛАТОНОВ
Безопасный небезопасный Wi-Fi ства для аутентификации пользователей, шифрование при
На сегодняшний день становится очевидным, что, несмотря помощи динамических WEP-ключей (TKIP/MIC). Затем
на все проблемы, связанные c безопасностью, надёжностью 802.11i наконец-то закончили, и на свет появился WPA2.
и сложностью эксплуатации, беспроводные решения семей- Ко всему вышеперечисленному добавилась поддержка бо-
ства 802.11a/b/g всё же стали неотъемлемой частью инфра- лее стойкого шифрования AES (Advanced Encryption
структуры многих корпоративных, домашних и даже опера- Standard), которое работает совместно с протоколом безо-
торских сетей. Отчасти это произошло, потому что большин- пасности CCMP (Counter with Cipher Block Chaining Message
ство этих проблем на современном этапе развития Wi-Fi ушли Authentication Code Protocol – это более совершенный ана-
в прошлое. Беспроводные сети во всех отношениях стали лог TKIP в WPA). WPA2 постепенно стал появляться в но-
намного умнее и быстрее: появился QoS, интеллектуальные вых моделях точек доступа (например, D-Link DWL-3200AP),
антенны (технология MIMO), реальные скорости достигли 40 но пока это скорее экзотика. Все продукты, поддерживаю-
Мбит/c (например, технологии SuperG, SuperAG от Atheros). щие WPA2, обратно совместимы с оборудованием, поддер-
Кроме этого, большие изменения произошли и в наборе тех- живающим WPA.
нологий, обеспечивающих безопасность беспроводных се- И WPA, и WPA2 включают в себя развитые средства кон-
тей. Об этом поговорим более подробно. троля доступа к беспроводной сети на основе стандарта
Во времена, когда Wi-Fi был только для избранных, для IEEE 802.1x. В архитектуре 802.1x используется несколько
защиты беспроводных сетей использовалось WEP-шифро- обязательных логических элементов:
вание и MAC-фильтры. Всего этого быстро стало не хва- ! Клиент. В роли клиента выступает Supplicant– програм-
тать, WEP признали небезопасным из-за статичности клю- ма на клиентском компьютере управляющая процессом
чей шифрования и отсутствия механизмов аутентификации, аутентификации.
MAC-фильтры особой безопасности тоже не придавали. На- ! Аутентификатор. Это точка доступа, которая выполня-
чалась разработка нового стандарта IEEE 802.11i, который ет функции посредника между клиентом и сервером
был призван решить все назревшие проблемы безопасно- аутентификации. Аутентификатором в том числе может
сти. На полпути к 802.11i появился набор технологий под быть и проводной коммутатор, т.к. 802.1x используется
общим названием WPA (Wi-Fi Protected Access) – часть ещё в различных сетях.
не готового стандарта 802.11i. WPA включает в себя сред- ! Сервер аутентификации – RADIUS-сервер.

64

В IEEE 802.1x допускается использование различных ме-
тодов и алгоритмов аутентификации. Это возможно благо-
даря протоколу EAP (Extensible Authentication Protocol), в ко-
торый «вкладываются» атрибуты, соответствующие тому или
иному методу аутентификации. Поэтому существует много
разновидностей 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-
LEAP, EAP-SIM и т. д. В данной статье будет описана реали-
зация аутентификации в беспроводной сети на основе циф-
ровых сертификатов – 802.1x EAP-TLS. Этот метод наибо-
лее часто используется в корпоративных беспроводных се-
тях и отличается достаточно высокой степенью защищённо-
сти. Кроме того, EAP-TLS иногда является одним из основ-
ных методов защиты в сетях беспроводных провайдеров.
Аутентификация 802.1x EAP-TLS
В основе EAP-TLS лежит протокол SSL v3.0, однако в отли-
чие от традиционной аутентификации по протоколу SSL (на-
пример, при организации защищенного http-соединения –
HTTPS) в EAP-TLS происходит взаимная аутентификация
клиента и сервера. Клиент (супликант) и сервер RADIUS
должны поддерживать метод аутентификации EAP-TLS;
точка доступа должна поддерживать аутентификацию
802.1x/EAP и не обязательно должна знать, какой метод
аутентификации используется в конкретном случае. На
рисунке ниже изображён процесс аутентификации в бес-
проводной сети с использованием EAP-TLS.
Ðèñóíîê 1. Ïðîöåññ àóòåíòèôèêàöèè 802.1x EAP-TLS
Здесь уместно закончить небольшое лирически-теоре-
тическое отступление, которое необходимо, для того чтобы
получить примерное представление о том, что кроется в не-
драх безопасной беспроводной сети. Далее будет предло-
жена практическая реализация описанных выше концепций.
В качестве сервера RADIUS будет использоваться компью-
тер под управлением FreeBSD 5.3 c пакетом FreeRADIUS. Для
организации инфраструктуры PKI (Public Key Infrastructure)
будет применен пакет OpenSSL. Вся беспроводная сеть бу-
дет строиться на базе недорогого и надёжного беспровод-
ного оборудования D-Link. Предполагается, что на клиент-
ских машинах установлена Windows XP SP2, т.к. в этой опе-
1
На самом деле половина из этих файлов не используется, но в radiusd.conf содержатся ссылки на них. Поэтому, чтобы не тратить время на
очистку radiusd.conf и удаление ненужных файлов, можно немного «схитрить».
№5, май 2005
на правах рекламы
рационной системе есть встроенный супликант, а недавно
выпущенный корпорацией Microsoft update добавляет и под-
держку WPA2.
Устанавливаем и настраиваем
OpenSSL и FreeRADIUS
Предполагается, что в системе FreeBSD 5.3 установлена
одна сетевая карта, обновлена коллекция портов, присут-
ствует Midnight Commander, а сам компьютер подключён к
Интернету. В дальнейшем будем предполагать, что беспро-
водная сеть развёртывается в корпоративной сети c мас-
кой 192.168.0.0/24.
Загружаем с ftp://ftp.openssl.org/snapshot последний ста-
бильный «снимок» (snapshot) OpenSSL (я, например, ис-
пользовал openssl-0.9.7-stable-SNAP-20050524.tar.gz ). Рас-
паковываем, конфигурируем, компилируем и инсталлиру-
ем его стандартным образом:
# ./config shared --prefix=/usr/local/openssl
# make
# make install
В принципе на этом работу с OpenSSL можно и завер-
шить. В дальнейшем он потребуется нам для генерации сер-
тификатов.
FreeRADIUS – довольно объёмный пакет, поэтому его, в
отличие от OpenSSL, мы будем устанавливать из портов,
что обеспечит автоматическое разрешение зависимостей
и установку всех необходимых библиотек и приложений.
Перемещаемся в директорию /usr/ports/net/freeradius/,
затем даём команду make – ничего не выбираем из пред-
ложенных установочным сценарием опций, нажимаем «Ok».
Начинается процесс автоматической инсталляции (загруз-
ка и компиляция необходимых приложений); по ее завер-
шению следует набрать make install.
На этом с установкой FreeRADIUS покончено, можно пе-
реходить к его настройке.
Выбираем директорию FreeRADIUS: /usr/local/etc/raddb/
(все основные действия будут производиться в этом ката-
логе):
! Удаляем всё содержимое папки ./certs.
! Находясь в той же папке (./certs), даём команду:
# openssl gendh > dh
создаётся файл dh.
! Там же даём команду:
# dd if=/dev/random of =random count=2
создаётся файл random.
! Создаём папку raddb/sample и переносим в неё из raddb
все файлы с расширением .sample. Из sample обратно
в raddb копируем с изменением имени (без расширения
.sample) файлы: acct_users, clients.conf, dictionary,
eap.conf, hints, huntgroups, preproxy_users, proxy.conf,
radiusd.conf, snmp.conf, sql.conf, users1.
65
 сети
! Правим следующие конфигурационные файлы: можно настроить на любой из 13 каналов, кроме того, мож-
но включить функцию автоматической настройки на сво-
clients.conf бодный канал. Так мы и сделаем.
client 192.168.0.220 { # IP-àäðåñ òî÷êè äîñòóïà Если в сети есть мобильные абоненты, которые пере-
# Ñåêðåòíîå ñëîâî, êîòîðîå çàäà¸òñÿ íà òî÷êå äîñòóïà мещаются по всей зоне покрытия, можно задать всем точ-
secret = 12345
shortname = D-Link_DWL-2100AP кам одинаковое имя беспроводной сети – SSID, тогда або-
nastype = other } нент будет автоматически подключаться к новой точке, при
client 192.168.0.219 { # IP-àäðåñ òî÷êè потере соединения с предыдущей. При этом он будет про-
secret = 54321 # Ñåêðåòíîå ñëîâî ходить повторную аутентификацию, которая в зависимос-
shortname = D-Link_DWL-2700AP
nastype = other ти от супликанта будет занимать от нескольких секунд и
} # è ò.ä. более. Так реализуется самый простой неинтеллектуаль-
eap.conf ный роуминг внутри сети. Ещё один вариант: если у каж-
дой точки свой SSID, то можно настроить несколько про-
#  ñàìîì íà÷àëå, ïîñëå « eap {»
default_eap_type = tls филей беспроводной сети в свойствах беспроводного под-
tls { ключения и там же отметить опцию «подключаться к лю-
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem бой доступной сети». Таким образом при потере соедине-
certificate_file = ${raddbdir}/certs/cert-srv.pem ния, клиент будет подключаться к новой точке.
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dh Настраиваем DWL-2100AP на взаимодействие с RADIUS.
random_file = ${raddbdir}/certs/random
fragment_size = 1750
! Заходим на веб-интерфейс точки доступа (как это сде-
} лать, написано в инструкции к точке), сразу меняем па-
роль по умолчанию на вкладке TOOLS/ADMIN/.
radiusd.conf
bind_address = 192.168.0.222 ! На вкладке HOME/LAN назначаем точке доступа IP-ад-
port = 1812 рес, который задали в clients.conf: 192.168.0.220.
log_auth = yes # äëÿ îòëàäêè
log_auth_badpass = yes
log_auth_goodpass = yes

На этом настройка RADIUS завершена.

Настраиваем точки доступа

Для построения беспроводной сети мы будем использовать
несколько точек доступа D-Link DWL-2100AP и одну более
мощную точку D-Link DWL-2700AP. Это сертифицирован-
ные точки доступа стандарта 802.11b/g (до 54 Мбит/c), в
них реализована полная поддержка WPA (впрочем, как и Ðèñóíîê 2. Ïðèñâàèâàåì D-Link DWL-2100AP IP-àäðåñ,
во всех остальных точках доступа D-Link). Во всех точках îòëè÷íûé îò àäðåñà ïî óìîë÷àíèþ
используются последние прошивки, которые можно загру- ! На вкладке HOME/WIRELESS делаем всё, как показано
зить отсюда: ftp://ftp.dlink.ru/pub/Wireless. на рис. 3; в поле «Radius Secret» указываем пароль, ко-
Для начала несколько слов о настройке беспроводной торый соответствует данной точке в clients.conf (мы ука-
сети, а затем приведем пример конфигурирования D-Link зали «12345»).
DWL-2100AP для обеспечения взаимодействия с сервером
RADIUS.
Внутриофисная беспроводная сеть обычно состоит из
нескольких точек доступа (всё покрытие разбивается на не-
большие ячейки), которые подключены к проводному ком-
мутатору. Часто для построения WLAN используются ком-
мутаторы со встроенной поддержкой Power over Ethernet
(802.3af) на портах (например, D-Link DES-1316K). При их
помощи удобно подавать питание на точки доступа, раз-
бросанные по офису2. Находящиеся рядом точки настраи-
ваются на непересекающиеся каналы диапазона, для того
чтобы они не создавали друг для друга помех. В диапазоне
2.4 ГГц, в котором работает оборудование 802.11b/g, дос-
тупно 3 непересекающихся канала для оборудования, в ко-
тором 11 каналов, и 4 непересекающихся канала для обо-
рудования, в котором можно выбрать 13 каналов (широко- Ðèñóíîê 3. Íàñòðàèâàåì D-Link DWL-2100AP íà âçàèìîäåéñòâèå
полосный сигнал точки доступа занимает 3 канала диапа- ñ RADIUS
зона). Точки доступа D-Link DWL-2100AP и DWL-2700AP Остальные точки доступа настраиваются аналогичным

2
Да и не только на точки доступа, а также на цифровые камеры, коммутаторы и т. д.

66

образом, только у них будут другие IP-адреса, каналы (если
они задаются вручную), а также значение поля «Radius
Secret».
Создаём сертификаты
Для начала несколько общих слов о том, что такое PKI. Это
некая инфраструктура, каждый субъект которой обладает
уникальным цифровым сертификатом, удостоверяющим
его личность; помимо прочего, цифровой сертификат со-
держит секретный ключ. Закодированные с его помощью
сообщения можно расшифровать, зная соответствующий
открытый ключ. И наоборот – сообщения, зашифрованные
открытым ключом, можно расшифровать только при помо-
щи секретного ключа. Каждый субъект PKI обладает откры-
тым и секретным ключом.
Субъектом PKI может быть как пользовательский ком-
пьютер или КПК, так и любой другой элемент сетевой инф-
раструктуры – маршрутизатор, веб-сервер и даже сервер
RADIUS, что и имеет место в нашем случае. Во главе всей
этой системы стоит главный орган CA (Certificate Autority),
предполагается, что ему все доверяют и его все знают – он
занимается подписью сертификатов (удостоверяет, что
предъявитель сертификата действительно тот, за кого себя
выдаёт). Ему помогают специальные службы по приёму зап-
росов на сертификаты и их выдаче; номера всех выданных
и отозванных сертификатов хранятся в специальном реес-
тре. В реальности всё это вроде бы большое хозяйство уме-
щается на одном компьютере, и с ним легко управляется
один человек3.
Для создания сертификатов мы будем использовать
скрипты, которые идут в комплекте с FreeRADIUS.
! Для начала создадим свой CA – для этого надо будет
сгенерировать цифровую подпись, которой будут под-
писываться все выданные им сертификаты, а также от-
крытый ключ.
! Затем создадим серверный сертификат, установим его
на RADIUS.
! И в заключение сгенерируем сертификаты для установ-
ки на клиентские компьютеры.
Создаём директорию /usr/local/etc/raddb/CA, копируем
туда из папки /usr/ports/net/freeradius/work/freeradius-1.0.2/
scripts/ файл CA.all и файл xpextensions. CA.all – интерак-
тивный скрипт, создающий CA, клиентский и серверный сер-
тификаты. Xpextensions – файл, содержащий специальные
ключи Microsoft «Extended Key Usage», – они необходимы
для того, чтобы EAP-TLS работал с Windows-системами.
Открываем файл CA.all:
! в строке 1 исправим путь – она должна выглядеть так:
SSL=/usr/local/openssl
! в строке 32 исправим путь – она должна выглядеть вот
так:
echo “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca
3
Описанная структура является простейшим вариантом PKI; возможны также более сложные структуры, в которых участвует более одного
CA, между которыми устанавливаются сложные иерархические доверительные отношения.
№5, май 2005
на правах рекламы
Копируем CA.all в файл СA_users.all. Затем открываем
последний и оставляем текст с 48 строки по 64-ю, осталь-
ные строки удаляем – оставшееся – это секция CA.all, в
которой генерируются клиентские сертификаты. Она будет
многократно использоваться, поэтому её удобно выделить
в отдельный скрипт. Открываем CA.all , удаляем из него
строки с 48 по 64-ю – всё то, что выделили в отдельный
скрипт и сохраняем его.
Примечание: файлы CA.all и CA_users.all – содержат сек-
ретную фразу-пароль «whatever», которая используется как
дополнительное средство обеспечения безопасности, при
эмиссии сертификатов и их отзыве. Человек, не знающий
эту фразу не сможет ни подписать, ни отозвать сертификат.
В принципе, кроме оператора CA, она больше никому не по-
надобится. Для повышения безопасности нужно заменить все
встречающиеся в скрипте CA.all и CA_users.all слова
«whatever» на придуманный вами пароль. Его также нужно
будет вписать в eap.conf в строку «private_key_password =
whatever». Далее я предполагаю, что мы оставили везде
пароль «whatever» без изменений. Его и будем вводить, со-
здавая клиентские, серверные сертификаты, а также от-
зывая их.
Создаём CA и серверный сертификат
Запускаем CA.all. Первое, что он генерирует в интерактив-
ном режиме – корневой сертификат CA (cacert.pem), пару
открытый закрытый ключ (cakey.pem), открытый ключ кор-
невого сертификата в формате PKCS#12 (root.der), затем
серверный сертификат (cert_srv.pem), который мы устано-
вим на RADIUS. Все перечисленные файлы (и даже некото-
рые не перечисленные) появятся в папке CA.
Создаём CA (он будет называться «Administrator»):
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MegaCompany Co. Ltd.
Organizational Unit Name (eg, section) []:megacompany.central.office
Common Name (eg, YOUR name) []:Administrator
Email Address []:admin@megacompany.ru
Создаём сертификат для RADIUS:
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moskow
Locality Name (eg, city) []:Moskow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MegaCompany Co. Ltd.
Organizational Unit Name (eg, section) []:RADIUS
Common Name (eg, YOUR name) []:RADIUS
Email Address []:admin@megacompany.ru
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:whatever
An optional company name []: (press enter)
Копируем файлы /raddb/CA/cert_srv.pem и /raddb/CA/
demoCA/cacert.pem в папку /raddb/certs – установили сер-
тификаты на сервер RADIUS.
Создаём клиентские сертификаты
Для генерации клиентских сертификатов используем наш
сценарий CA_users.all. Для примера создадим сертификат
для пользователя user1:
67
 сети
! Открываем CA_users.all , заменяем в нём все слова cert- Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
clt.* на user1.* (это нужно для того чтобы по имени фай- Locality Name (eg, city) []:Moscow
ла различать какой сертификат для какого пользовате- Organization Name (eg, company) [Internet Widgits Pty Ltd]:MegaCompany Co. Ltd.
Organizational Unit Name (eg, section) []:IT Department
ля предназначен, в противном случае будет создавать- Common Name (eg, YOUR name) []:Mikhail Ivanov
Email Address []:mikhail@megacompany.ru
ся сертификат с одним и тем же именем файла (cert-
clt.*). Мы же создадим сразу несколько сертификатов Please enter the following 'extra' attributes
to be sent with your certificate request
для user1, user2,3,4,5). Как вариант можно использовать A challenge password []:whatever
говорящие названия файлов содержащих сертификат, An optional company name []:

например, SergeyPetrov, IvanIvanov и т. д. И так далее… (я сразу создал целых 5 сертификатов).

! Пароль – «whatever» в строках 3, 4 заменяем на реаль- Каждый сертификат сохраняем на отдельную дискету,
ный, как это показано в листинге: пишем на ней пароль для установки («userX_password»),
на ту же дискету пишем открытый ключ root.der (он у всех
Ôàéë CA_users.all одинаковый) и выдаём пользователю. Пользователь уста-
1| openssl req -new -keyout newreq.pem ↵ навливает сертификат на свой компьютер (об этом будет
-out newreq.pem -days 730 -passin pass:whatever ↵ рассказано чуть позже) и кладёт дискету в сейф.
-passout pass:whatever
2| openssl ca -policy policy_anything ↵ Устанавливаем сертификаты
-out newcert.pem -passin pass:whatever ↵
-key whatever -extensions xpclient_ext ↵ на клиентский компьютер
-extfile xpextensions -infiles newreq.pem Итак, пользователь (предположим тот, которого мы назва-
3| openssl pkcs12 -export -in newcert.pem ↵ ли user1) получил дискетку, содержимым которой являют-
-inkey newreq.pem -out user1.p12 -clcerts ↵ ся два файла root.der и user1.p12. Также на дискете напи-
-passin pass:whatever -passout pass:user1_password
сан пароль «user1_password».
4| openssl pkcs12 -in user1.p12 -out user1.pem ↵ Начнём с установки root.der
-passin pass:user1_password ↵
-passout pass:user1_password ! два раза щелкнем мышью по файлу root.der;
5| openssl x509 -inform PEM -outform DER ↵
! нажимаем «Установить сертификат»;
-in user1.pem -out user1.der ! жмём «Далее»;
! выбираем опцию «Поместить все сертификаты в сле-
Для примера вводим «user1_password» – этот пароль дующее хранилище», жмём «Обзор» (рис. 4);
будет спрашиваться при установке сертификата на поль-
зовательский компьютер, его необходимо запомнить.
Это, как я уже сказал, дополнительное средство аутен-
тификации при действиях, связанных с эмиссией сер-
тификата.
! Сохраняем и запускаем скрипт, получаем три файла
user1.der, user1.pem, user1.p12 – последний есть серти-
фикат в формате PKСS#12 для установки на Windows
клиента.

Запускаем изменённый CA_users.all. Создаём сертифи-

кат для user1:

Country Name (2 letter code) [AU]:RU Ðèñóíîê 4

State or Province Name (full name) [Some-State]:Moskow
Locality Name (eg, city) []:Moskow ! выбираем «Доверенные корневые центры сертифика-
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MegaCompany Co. Ltd.
Organizational Unit Name (eg, section) []:IT Department ции», жмём «ОК» (рис. 5);
Common Name (eg, YOUR name) []:Andrey Ivanov
Email Address []:andrey@megacompany.ru

Please enter the following 'extra' attributes

to be sent with your certificate request
A challenge password []:whatever
An optional company name []: (press enter)

Теперь генерируем пароль для пользователя user2:

! Открываем CA_users.all, заменяем в нём user1.* на
user2.*
! Заменяем пароль «user1_password» на «user2_password»
(не забываем его запомнить, чтобы потом установить
сертификат).
! Сохраняем и запускаем скрипт – получаем файл Ðèñóíîê 5
user2.p12. ! жмём «Далее», затем «Готово»;
! выдаётся предупреждение системы безопасности: «Не-
Создаём сертификат для user2: возможно проверить, что сертификат принадлежит

68
 на правах рекламы
«Administrator …. Установить данный сертификат?»
жмём «Да»;
! выдаётся сообщение «Импорт успешно выполнен.», жмём
«ОК» два раза.
Устанавливаем пользовательский сертификат user1.p12.
! Два раза щелкаем мышью по файлу user1.p12, жмём
«Далее» два раза.

Ðèñóíîê 7

Ðèñóíîê 6
! Здесь надо ввести пароль, который мы установили для
сертификата user1. В нашем примере это «user1_pass-
word» (ну или то, что вы придумали), он условно напи-
сан на дискетке с сертификатом. Вводим его и нажима-
ем «Далее».
! Жмём «Далее», затем «Готово» – выдаётся сообщение
«Импорт успешно выполнен», жмём «ОК».

Примечание: все сертификаты, которые мы установи-

ли, можно просмотреть через MMC при помощи оснастки
«Certificates → Current User (Personal → Certificates)».

Настраиваем беспроводные адаптеры

D-Link DWL-G650 (DWL-G520/DWL-G120)
и супликант Ðèñóíîê 8
D-Link DWL-G650 – это CardBus-адаптер, DWL-G520 – это
PCI-адаптер, a DWL-G120 – это USB-адаптер. Настраива-
ются они совершенно идентично. Рассмотрим процедуру на
примере DWL-G650.
! Достаём адаптер из коробки, откладываем его в сторо-
ну; ставим драйверы с диска, который идёт в комплек-
те. После установки драйвера убираем родную утилиту
для настройки адаптера из автозагрузки, потому что мы
будем использовать для этих целей службу настройки
беспроводного оборудования, встроенную в Windows XP.
Вставляем адаптер в компьютер.
! Щелкаем один раз левой кнопкой мыши по перечёркну-
тому значку беспроводного подключения (в системном
лотке), далее выбираем пункт «Изменить дополнитель-
ные параметры» (рис. 7).
! Выбираем вкладку «Беспроводные сети», выделяем там
нашу беспроводную сеть (megacompany_DWL-2100AP),
заходим в «Свойства» (рис. 8).
! На вкладке «Связи» в выпадающем меню «Шифрова-
ние данных» выбираем протокол TKIP. Перемещаемся
на вкладку «Проверка подлинности» (рис. 9). Ðèñóíîê 9

№5, май 2005 69

сети
! Здесь всё оставляем без изменений, заходим в «Свой-
ства» EAP (рис. 10).
Ðèñóíîê 10
! Ставим переключатели, как показано на рис. 11, в окне
«Доверенные корневые центры сертификации», выби-
раем наш CA – он будет называться Administrator (если
всё сделано точно так, как описывается в разделе «Со-
здание сертификатов»).
Ðèñóíîê 11
! На всякий случай нажимаем «Просмотр сертификата»,
и изучаем, кто поставщик сертификата. Удостоверяем-
ся, что это наш корпоративный CA «Administrator», ко-
торый мы создали (рис. 12).
70
Ðèñóíîê 12
! Нажимаем «Ok», на этом настройка сетевой карты и суп-
ликанта завершена.
Проверяем работу WPA-Enterprise
в нашей сети
Теперь пришло долгожданное время проверить все настрой-
ки в работе. Запускаем FreeRADIUS в отладочном режиме
командой «radiusd -X» и видим на экране:
radius# radiusd -X
Starting - reading configuration files ...
reread_config: reading radiusd.conf
В конце значатся строки:
Listening on authentication 192.168.0.222:1812
Listening on authentication 192.168.0.222:1813
Listening on authentication 192.168.0.222:1814
Ready to process requests.
Ну или в худшем случае написано, почему FreeRADIUS
не запустился, – не стоит отчаиваться, если это произой-
дёт. Нужно внимательно изучить сообщение об ошибке и
проверить все настройки.
Щелкаем по значку беспроводного сетевого подключе-
ния, затем по беспроводной сети с именем «mega-
company_DWL-2100AP». Затем переводим свой взор на мо-
нитор, на котором запущен radiusd и отображается процесс
успешной аутентификации (весь серверный вывод показы-
вать не будем, потому что он довольно большой, приведём
лишь начальные и завершающие строки).
Начало вывода:
rad_recv: Access-Request packet from host 192.168.0.220:1044, id=0, length=224
Message-Authenticator = 0x19ca5978137669db3043b8f9e8fc0803
Service-Type = Framed-User
User-Name = "Andrey Ivanov"
Framed-MTU = 1488
Called-Station-Id = "00-11-95-8E-BD-30:megacompany_DWL-2100AP"
Calling-Station-Id = "00-0D-88-88-D5-46"
NAS-Identifier = "D-Link Access Point"
Далее идёт всё, что изображено на рис. 1, в том числе
обмен сертификатами.
Окончание вывода:

User-Name = "Andrey Ivanov"
Finished request 4
Going to the next request
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 0 with timestamp 4294d303
Cleaning up request 1 ID 1 with timestamp 4294d303
Cleaning up request 2 ID 2 with timestamp 4294d303
Cleaning up request 3 ID 3 with timestamp 4294d303
Cleaning up request 4 ID 4 with timestamp 4294d303
Nothing to do. Sleeping until we see a request.
Аутентификация прошла успешно, компьютер получает
IP-адрес от DHCP-сервера и теперь может работать в бес-
проводной сети. К слову сказать, если на компьютере ус-
тановлено несколько клиентских сертификатов (такое тоже
бывает), то супликант предложит выбрать, какой из них
использовать для конкретной аутентификации.
Отзыв сертификатов
Казалось бы, уже всё ясно – защищённая беспроводная сеть
уже построена, но на самом деле остался ещё один важный
аспект, который мы сейчас рассмотрим. Предположим, что
надо запретить доступ в беспроводную сеть одному из ком-
пьютеров (например, личному ноутбуку одного из сотрудни-
ков), на который ранее мы установили сертификат. Причи-
ны могут быть самыми банальными – увольнение сотрудни-
ка, сокращение и т. д. Для решения этой задачи необходимо
пометить в реестре (/usr/local/etc/raddb/CA/demoCA/index.txt),
в котором хранится список всех подписанных сертификатов,
сертификат пользователя, которому мы хотим запретить
доступ в сеть, как отозванный. После этого необходимо со-
здать (или обновить, если он уже есть) список отзыва серти-
фикатов (CRL – Certificate Revocation List). А затем настро-
ить RADIUS таким образом, чтобы при аутентификации
пользователей он обращался к этому списку и проверял, не
состоит ли в нём предъявляемый клиентский сертификат.
В ходе наших предыдущих экспериментов мы создали
два сертификата для user1 (Andrey Ivanov) и user2 (Mikhail
Ivanov). Для примера запретим доступ в беспроводную сеть
последнему. Проделаем следующие три шага.
Шаг 1
Помечаем в реестре сертификат user2 как отозванный:
находясь в /usr/local/etc/raddb/CA даём команду:
radius# openssl ca -revoke user2.pem
Using configuration from /etc/ssl/openssl.cnf
943:error:0E06D06C:configuration file routines:NCONF_get_string:no value:
/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c:
329:group=CA_default name=unique_subject
Enter pass phrase for ./demoCA/private/cakey.pem:
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate D734AD0E8047BD8F.
OpenSSL ругается, но делает то, что нам нужно. В ходе вы-
полнения команды необходимо ввести секретную фразу-па-
роль («whatever»). При этом в /raddb/CA/demoCA/index.txt
сертификат будет помечен как отозванный, в чём мы можем
убедиться, просмотрев данный файл. Напротив записи, со-
ответствующей отозванному сертификату, стоит буква «R».
Шаг 2
Создаём список отзыва (CRL). Если он уже есть, то он об-
новится. Находясь в /usr/local/etc/raddb/CA, даём команду:
№5, май 2005
на правах рекламы
radius# openssl ca -gencrl -out ca.crl
Using configuration from /etc/ssl/openssl.cnf
963:error:0E06D06C:configuration file routines:NCONF_get_string:no value:
/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c:
329:group=CA_default name=unique_subject
Enter pass phrase for ./demoCA/private/cakey.pem:
DEBUG[load_index]: unique_subject = "yes"
Снова по ходу выполнения команды требуется ввести
секретный пароль «whatever». В результате в директории
/raddb/CA/ появляется файл ca.crl – это и есть список отзы-
ва. Внутри он похож на шифровку, просмотреть его можно
так:
radius# openssl crl -in ca.crl -text -noout
Certificate Revocation List (CRL):
Version 1 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: /C=RU/ST=Moskow/L=Moskow/O=MegaCompany Co. Ltd./
OU=megacompany.central.office/CN=Administrator/
emailAddress=admin@megacompany.ru
Last Update: May 27 23:33:19 2005 GMT
Next Update: Jun 26 23:33:19 2005 GMT
Revoked Certificates:
Serial Number: D734AD0E8047BD8D
Revocation Date: May 27 23:13:16 2005 GMT
Signature Algorithm: md5WithRSAEncryption
d4:22:d6:a3:b7:70:0e:77:cd:d0:e3:73:c6:56:a7:9d:b2:d5:
0a:e1:23:ac:29:5f:52:b0:69:c8:88:2f:98:1c:d6:be:23:b1:
b9:ea:5a:a7:9b:fe:d3:f7:2e:a9:a8:bc:32:d5:e9:64:06:c4:
91:53:37:97:fa:32:3e:df:1a:5b:e9:fd:95:e0:0d:35:a7:ac:
11:c2:fe:32:4e:1b:29:c2:1b:21:f8:99:cd:4b:9f:f5:8a:71:
b8:c9:02:df:50:e6:c1:ef:6b:e4:dc:f7:68:da:ce:8e:1d:60:
69:48:ad:
Видим в нём один отозванный сертификат с серийным
номером D734AD0E8047BD8D (он же user2, он же Mikhail
Ivanov).
Обратите внимание, важным свойством CRL является
срок его действия. Он должен быть обновлён не позднее
его истечения (Update: Jun 26 23:33:19 2005 GMT). Срок дей-
ствия CRL можно задать в файле openssl.cnf (у нас был
default_crl_days = 30).
Шаг 3
Подключаем список отзыва к FreeRADIUS:
! копируем файл /raddb/CA/ca.crl в /raddb/certs/ (поверх
старого ca.crl, если он там есть);
! заходим в /raddb/certs/ и приклеиваем ca.crl к файлу
cacert.pem:
cat cacert.pem ca.crl > ca.pem
! вносим небольшие изменения в секцию TLS-файла
/raddb/eap.conf
# çäåñü ìû èçìåíèëè cacert.pem íà ca.pem
CA_file = ${raddbdir}/certs/ca.pem
CA_path = ${raddbdir}/certs #äîáàâëÿåì ýòó ñòðîêó
check_crl = yes # è ýòó ñòðîêó
Попробуем аутентифицировать в сети компьютер с сер-
тификатом user2. Аутентификация не проходит, а user1 –
беспрепятственно входит в беспроводную сеть, что и тре-
бовалось доказать.
Вот теперь защищённую беспроводную сеть можно счи-
тать построенной.
71
 безопасность
УСТАНАВЛИВАЕМ
SYMANTEC ANTIVIRUS 9.0
В КОРПОРАТИВНОЙ СЕТИ
Symantec Antivirus CE 9.0 – продукт
корпоративного уровня, который позволяет
развернуть и сконфигурировать весь
комплекс удаленно и автоматически
в Windows-сетях любого масштаба.
Его несомненными преимуществами являются
полная автоматизация процесса установки
и настройки, возможность мгновенного
отражения изменений конфигурации
на всех необходимых клиентах, а также
грамотная защита от несанкционированного
вмешательства в работу антивирусного
монитора.
сли вы используете в сети компьютеры с NT-система-
ми, то для установки и конфигурирования антивирус-
ной защиты на всех компьютерах вам не придется от-
ходить от своего компьютера – гибкие возможности удален-
ной установки и настройки помогают сделать это быстро и
непринужденно. При корректном выполнении всех инструк-
ций процесс займет не более часа, даже если количество
компьютеров измеряется сотнями. Среди возможностей кли-
ентской части имеются стандартные для антивирусов функ-
ции сканера, мониторинга в режиме реального времени, а
также дополнительные возможности: онлайн-сканирование
POP3/IMAP/SMTP трафика, работа с Exchange- и Lotus
Domino-клиентами. Консоль администрирования выполнена
в виде стандартной mmc. Недостатком продукта является
отсутствие механизмов защиты от Ad-software, проявляюще-
го в последнее время все большую активность. Продукт об-
ладает множеством настроек, а его установка и первоначаль-
ное конфигурирование не совсем тривиальный процесс, по-
этому читателю будет полезно ознакомиться с подробным
описанием процесса настройки.
Установка
Сначала устанавливаем сервер антивируса (их может быть
несколько – для получения отказоустойчивости). Далее опи-
сывается установка с фирменного дистрибутивного диска,
включающего помощник установки компонентов. Если не
сработал автозапуск, открываем файл Setup.exe, находящий-
ся в корне дистрибутивного диска. В открывшемся меню вы-
бираем «Install Symantec Antivirus → Deploy Antivirus Server».
Указываем вариант установки – новая или обновление пре-
дыдущей версии, а также устанавливаемые компоненты:
72
РОМАН МАРКОВ
! Server Program;
! Alert Management System.
Разумеется, что Server Program выбираем при первона-
чальной установке в любом случае, а вот Alert Management
Console – только по желанию. Данный компонент позволя-
ет рассылать уведомления об обнаружении вируса – по
почте, в виде PopUp-сообщений и пр. При установке ком-
поненты «Alert Management Console» в меню пуск появится
одноименный ярлык. Настройка рассылки таких оповеще-
ний интуитивно понятна и не нуждается в дополнительном
описании. Общее количество случаев нейтрализации опас-
ных и подозрительных файлов даже в средних сетях очень
велико, так как очень многие веб-ресурсы содержат такие
объекты. Поэтому я удалил функцию Pop-Up оповещения
уже через неделю после начала использования продукта.
Мое сугубо субъективное мнение – данный компонент аб-
солютно не нужен.
В следующем окне выбираем, на какой компьютер в сети
необходимо установить сервер антивируса. Если вы обла-
даете правами администратора на требуемый компьютер,
то установку можно произвести по сети. То есть необяза-
тельно осуществлять локальный вход на целевой компью-
тер – установку можно произвести удаленно с любой NT-
системы (используется RPC). Нажимаем «Next», при необ-
ходимости меняем путь установки (по умолчанию – Program
Files\SAV).
Задаем имя группы антивируса. Если в сети использу-
ется несколько разных серверов SAV, с различными на-
стройками, то имена их групп также должны отличаться.
Если несколько серверов антивируса используется для по-

лучения отказоустойчивости, то имя их группы должно быть
одним и тем же. При обнаружении в сети уже существую-
щих серверов SAV, имена их групп появятся в списке, и для
присоединения нового сервера к ним достаточно кликнуть
по имени группы. При запросе пароля придумываем новый
пароль администратора группы серверов антивируса, либо
вводим пароль существующей группы, если мы присоеди-
няем дополнительный сервер к уже существующей группе.
Далее выбираем тип запуска. Лучше, конечно, устано-
вить «Automatic Startup». Пропускаем информационные со-
общения в следующих окнах и начинаем установку. В про-
цессе инсталляции будут выведены сообщения об ошиб-
ках (если они будут), и при нормальном завершении статус
изменится на Finished, а в поле «Action» появится сообще-
ние о необходимости перезагрузить целевой компьютер.
Как правило, на корректно настроенной системе ошибок
не бывает (во всяком случае, я ни разу не сталкивался с
этим). Если же ошибка все-таки появилась, то ее подроб-
ное описание можно найти здесь же, в дополнительном окне
описания ошибки.
После перезагрузки устанавливаем консоль админист-
рирования (Symantec System Center – далее SSC). Ее так-
же можно инсталлировать на любой компьютер сети. Ис-
ключение составляют сервера в режиме сервера приложе-
ний (терминалов) – на них установить консоль админист-
рирования не удастся – сначала необходимо удалить служ-
бу сервера терминалов, затем добавить консоль, и только
после этого восстановить службы терминалов. На сайте
технической поддержки Symantec данная несовместимость
объясняется (по мнению специалистов компании) тем, что
установка консоли администрирования на сервер приложе-
ний представляет потенциальную опасность из-за возмож-
ности получения удаленным пользователем контроля над
приложением. Помимо этого возможны конфликты и отсут-
ствие полноценного управления даже администратором
системы из-за ограниченности работы в режиме удаленно-
го рабочего стола с ID0. Я не могу претендовать на получе-
ние статуса эксперта в области взаимодействия SSC и ОС,
поэтому позволю себе воздержаться от комментариев. Про-
ще всего добавить консоль администрирования на компь-
ютер администратора, так как это всего лишь средство для
конфигурирования удаленного сервера. Для установки за-
ново запускаем Setup.exe в корне дистрибутивного диска,
выбираем «Install Administrator Tools → Install Symantec
System Center» (для работы SSC требуется Internet Explorer
5.5 и выше). Отмечаем необходимые компоненты. Если на
предыдущем шаге мы отказались от Alert Management
System, то и Alert Management System Console устанавли-
вать не нужно. Оставляем все остальные компоненты – их
назначение опишем позже. После завершения инсталля-
ции необходимо снова перезагрузить компьютер.
На этом установка сервера завершена. Приступаем к
конфигурированию сервера и созданию конфигурационных
шаблонов для клиентов.
Настраиваем сервер
Запускаем SSC. Раскрываем в левой части консоли
«Symantec System Center → System Hierarchy». Должны по-
явиться имена обнаруженных групп. Если их несколько –
№5, май 2005
безопасность
то в консоли отобразятся все найденные. Иначе кликаем
правой клавишей мыши по значку «System Hierarchy», из
контекстного меню выбираем «New → Server Group» и вво-
дим имя созданной нами группы, а также ее пароль.
Будьте внимательны при конфигурировании целевой
группы. Кликаем по требуемой группе правой клавишей и
выбираем «Unlock Server Group». Потребуется ввести па-
роль. Если не хочется вводить его в будущем – установите
флажок «Save this Password». В открывшемся иерархичес-
ком списке прежде всего кликаем по значку нашего сервера
и в появившемся контекстном меню выбираем «Make Server
a Primary Server» и подтверждаем смену роли. Если серве-
ров антивируса несколько, то один из них будет Primary, а
остальные – резервными для отказоустойчивости.
Изменения конфигурации как самого сервера, так и кли-
ентов производятся путем вызова соответствующих консо-
лей настройки. Все они сгруппированы в контекстное меню,
вызываемое правой клавишей мыши – «All Tasks». В даль-
нейшем описании словосочетание «кликните правой кла-
вишей по объекту и выберите «All Tasks → Symantec
Antivirus» по умолчанию опускается – будут указываться
только пункты в этом меню. Все настройки в открываемых
консолях относятся к тому объекту, по которому вы кликну-
ли при выборе требуемой опции, поэтому клик правой кла-
вишей мыши для вызова меню необходимо производить
именно на указанном объекте.
Настраиваем наш основной сервер антивируса.
Управляем обновлениями:
Virus Definition Manager
Настраиваем порядок и расписание получения обновлений
нашим сервером. Выбираем «Update the Primary Server of
this Server Group only» и нажимаем «Configure». При такой
настройке только Primary Server будет получать обновле-
ния из Интернета, а все остальные сервера получат их от
него. Таким образом мы экономим внешний трафик. Для
получения обновлений сервер антивируса должен иметь
доступ к веб-ресурсам Symantec Corporation по портам HTTP
(80) и FTP (20,21), либо необходимо настроить подключение
через прокси-сервер, нажав кнопку «Source». Для автома-
тического обновления устанавливаем флажок «Schedule for
automatic updates» и, нажав справа кнопку «Schedule», за-
даем расписание проверки обновлений. Устанавливаем
«Daily → At <требуемое время>» и в «Advanced» указыва-
ем время, через которое необходимо повторять неудачные
попытки обновления (Handle missed events within), а также
период случайного смещения расписания обновления
(«Randomization Options → Perform Update within plus or
minus»). Выходим в меню «Virus Definition Manager».
Задаем способ получения обновлений клиентами. Вы-
бираем «Update virus definitions from parent server» и, нажав
«Settings», задаем период проверки клиентами обновлений
на сервере. Значение 60 минут является гарантией того,
что клиенты будут проверять наличие обновлений ежечас-
но. Поскольку при такой настройке клиенты проверяют об-
новления только на указанном внутреннем сервере, ника-
кого трафика на внешнем канале они не создадут. Если в
сети все компьютеры локальные, то устанавливаем фла-
жок «Do not allow client to manually launch LiveUpdate», что-
73
 безопасность
бы принудительно запретить клиентам запускать проверку
обновлений через Интернет.
После того, как порядок обновлений сервера и клиен-
тов настроен, подтверждаем изменения. Однако если име-
ются пользователи с мобильными компьютерами, то луч-
ше выделить их в отдельную группу и создать персональ-
ные настройки для этой группы (в частности, разрешаю-
щие ручное обновление, чтобы сотрудник, уехавший в ко-
мандировку смог при необходимости вручную обновить свой
антивирус). Даже если вы запретили клиенту запуск обнов-
ления через LiveUpdate, все равно имеется возможность
добавить новые сигнатуры. Для этого необходимо скачать с
сайта производителя универсальное обновление «Intelligent
Updater» в виде exe-файла. После запуска программа сама
найдет установленные компоненты и обновит их.
Обновим антивирусные базы прямо сейчас:
Update Virus Defs now
Выбираем данный пункт для немедленной проверки и за-
качки главным сервером обновлений антивирусных баз че-
рез Интернет. Будет выведен запрос подтверждения, и пос-
ле этого базы начнут обновляться. Это может занять некото-
рое время в зависимости от скорости вашего канала. Выде-
лив нужный сервер, через некоторое время (первоначаль-
ное обновление имеет размер от 5 до 8 Мб) нажмите <F5>.
Статус должен смениться на нормальный (синяя галочка).
Если этого не произошло – проверьте в чем дело – вызовите
свойства сервера и в закладке Symantec Antivirus проверьте
дату обновления. Она должна быть близка к текущей дате
(разница в несколько дней допускается, так как SAV указы-
вает только дату глобального обновления, не принимая в
расчет добавления одиночных записей). Если обновление
очень уж старое (больше 10 дней) – значит ваш сервер по
каким-либо причинам не смог обновить базы. Проверьте на-
стройки доступа вашего сервера в Интернете, а также логи
шлюза – была ли предпринята сервером попытка обновить
базы. Для более подробного анализа можно просмотреть
даты изменения файлов с базой вирусов – она должна пока-
зывать время последнего изменения, что позволит точнее
проверить, когда произошло обновление.
Настраиваем параметры
антивирусного монитора сервера:
Server Auto-Protect options
Настроим работу сервера антивируса в режиме online-мо-
ниторинга. Устанавливаем флаг «Enable Auto-Protect», вы-
бираем типы файлов. Если выбрать «All types», то снижа-
ется быстродействие, но повышается защищенность. Что-
бы увеличить быстродействие, опытные администраторы,
способные совершенно точно предсказать, в каких файлах
могут содержаться вирусы, могут установить флаг «Selected»
и, нажав кнопку «Extensions», добавить необходимые типы
файлов.
Мастер позволяет автоматически добавить известные
SAV типы «Programs» и «Documents», однако этого не все-
гда оказывается достаточно. Например, рекомендуется до-
бавить вручную к приведенному списку файлы с расшире-
нием TMP, так как многие программы перед тем, как со-
здать окончательный файл или добавить в базу информа-
74
цию, сначала создают временный файл. Таким образом,
имеется возможность сразу отловить вирусный файл. Очень
полезна данная опция, например, для почтового клиента
The Bat!, который при получении письма сначала помеща-
ет его содержимое во временный файл. Если антивирус
почтового сервера не смог обезвредить вирус (например,
его описание еще не появилось в сигнатурах), то локаль-
ный монитор сможет предотвратить заражение – такое пись-
мо просто не будет получено с POP3-сервера. Имеется в
виду, что на почтовом сервере и на локальных компьюте-
рах установлены антивирусы разных производителей – и
если описание вируса не успело появиться в сигнатурах на
почтовом сервере, то есть надежда, что на локальных ком-
пьютерах оно уже есть.
Правее настраиваются действия, которые необходимо
производить при обнаружении зараженного файла. Как
правило, оптимальным является попытка вылечить объект,
а если это не удалось – просто удалить файл. Если у вас
большая сеть, то помещать в карантин тысячи, скорее все-
го, бесполезных файлов как минимум нерационально.
В меню «Advanced» задаются дополнительные парамет-
ры сервера. «StartUp options» устанавливает порядок за-
пуска (мы выбрали «System Start», однако при необходи-
мости можно изменить этот параметр). «Changes requiring
Auto-Protect reload» – действие, которое необходимо совер-
шать при изменении параметров, требующих перезагруз-
ки сервера антивируса. Можно выбрать «Wait until system
restart», однако лучше применять изменения сразу: «Stop
and reload Auto-Protect», так как сервера могут не перезаг-
ружаться годами. В поле «Scan files when» указывается,
когда именно необходимо сканировать требуемые файлы.
Вариант «Accessed or modified» является наиболее опти-
мальным, так как подразумевает максимальную защиту –
проверка будет осуществляться при любом обращении к
файлу, а значит ни скопировать, ни запустить зараженный
файл будет невозможно (при соответствующих настройках
действий с зараженными объектами – см.выше).
В секции «Automatic enabler» задается время, через ко-
торое мониторинг будет автоматически включен, даже если
его принудительно отключил администратор. Секция
«Threat tracer» позволяет настраивать поиск и блокирова-
ние сетевой активности вирусов в случае обнаружения та-
ковой (используется встроенный Client-Firewall). В секции
«Additional advanced options» задается уровень эвристики
(средний – оптимален), а также контроль за флоппи-диско-
водами. Так, при попытке завершения работы антивирус-
ный монитор проверяет наличие дискеты в дисководе, и
если она там есть – выдает соответствующее предупреж-
дение, которое очень часто вводит в ступор пользователей
(особенно бухгалтеров, которые часто оставляют ключевые
дискеты клиент-банка). Эту проверку можно отключить, ус-
тановив флаг «Do not check floppies upon system shutdown»
под кнопкой «Floppies».
Вернемся в основное окно «Server Auto-Protect options».
В секции «Options» можно разрешить или запретить выда-
чу сообщения при обнаружении вируса, а также отредак-
тировать текст этого сообщения. Как правило, в больших
сетях проще это сообщение вообще отключить, иначе очень
быстро надоест отвечать на тревожные звонки пользова-

телей, которые будут со страхом сообщать, что у них «об-
наружен вирус!». Здесь же задаются типы и расположение
файлов, которые проверять не нужно. При возможном силь-
ном торможении исключите из проверки файлы, которые
скорее всего не будут содержать вирусов, но постоянно ис-
пользуются. Например, файлы БД. В противном случае вы
получите резкое замедление работы в этих базах. Поэтому
например при использовании систем «1С:Предприятие»
файловых версий не забудьте исключить из проверки фай-
лы следующих типов: dbf, cdx, md, dd, ert, log, mlg. То же
касается работы дизайнеров (файлы tiff, cdr, psd и другие),
архитекторов, инженеров видеомонтажа и пр. В противном
случае вам гарантированы жалобы на «торможение систе-
мы», так как постоянный мониторинг, например, несколь-
ких гигабайтных AVI-файлов почти завесит систему.
Однако в последнее время обнаруживаются совершен-
но непредсказуемые уязвимости при обработке вроде бы
«безвредных» файлов (например последние уязвимости,
связанные с переполнением буфера в GDI с помощью бе-
зобидного JPG-файла). Поэтому говорить о том, что в ка-
ком-то конкретном формате файла вирусы жить не могут,
мы не имеем права. Можно лишь надеяться, что не будет
найдено новых ошибок в обработке этих «безопасных»
форматов. Здесь необходимо руководствоваться отноше-
нием показателя надежности к получаемому быстродей-
ствию.
В опции «Drive types» снимите все галки, так как ни про-
верка сетевых дисков, ни сканирование CD не даст вам ни-
чего, кроме значительного замедления работы системы. Ак-
центирую внимание, что отключение такой проверки абсо-
лютно безопасно, если вы проверяете файлы при любом
обращении к ним – при попытке скопировать или запустить
такой файл он будет заблокирован. Таким образом опти-
мальное быстродействие достигается за счет фоновой про-
верки только тех файлов, к которым осуществляется обра-
щение.
На этом конфигурирование антивирусного монитора
сервера завершено и можно переходить к настройке кли-
ентов. Конфигурация защиты клиентов аналогична сервер-
ной, за некоторыми исключениями и дополнительными воз-
можностями, о которых будет особо сказано далее.
Настраиваем параметры
антивирусного монитора клиентов:
Client Auto-Protect Options
В этом окне настраивается антивирусный online-мониторинг
на клиентах. Суть настроек аналогична вышеописанным для
сервера, однако присутствуют и новые опции (см. рис. 1).
Например, для клиентов помимо стандартной можно на-
страивать различные виды защиты для систем документо-
оборота и почты: Internet E-mail (перехват и сканирование
трафика POP3/SMTP), Lotus Notes и Microsoft Exchange. При
перехвате POP3-сессии клиент просто не получит письмо с
зараженным файлом. Насколько это будет незаметно для
пользователя – решать вам, включая или отключая опове-
щение о вирусе, удаляя письмо вообще или вырезая из него
только инфицированные вложения.
Практически у каждой опции присутствует пиктограмма
«замочка», который имеет два положения – «открыто» и «зак-
№5, май 2005
безопасность
Ðèñóíîê 1. Ïàðàìåòðû online-ìîíèòîðèíãà êëèåíòîâ
рыто». Закрывая замочек около конкретной настройки, вы
тем самым запрещаете пользователям изменять их. По
умолчанию все замочки открыты, однако рекомендуется зак-
рыть хотя бы критически важные – отключение защиты, из-
менение типов файлов, действие, производимое над обна-
руженными вирусами и пр.
В идеале лучше всего запретить пользователю любые
изменения. Таким образом управлять настройками будет
только Администратор, что является обязательным для кор-
поративной системы защиты.
Итак, настраиваем защиту файловой системы аналогич-
но серверной, запрещаем изменения настроек, при жела-
нии отключаем оповещение пользователя о найденном ви-
русе и переходим на следующую закладку – Internet E-mail.
Разрешаем защиту и в отличие от файловой системы вы-
бираем файлы всех типов – мало ли что пользователю
пришлют по почте. Добавляем действия, производимые при
обнаружении файла (лучше удалять), а также настраиваем
оповещение пользователя об обнаруженном вирусе (здесь
его можно и включить, чтобы не было вопросов в стиле «Где
мой файл?»). Также имеется возможность изменять тему
сообщения, в котором был обнаружен запрещенный объект,
вставлять в текст письма предупреждение, отправлять пре-
дупредительные письма отправителю и получателю. Помни-
те, что посылать предупреждение отправителю не привет-
ствуется, так как очень часто при рассылке вирусов исполь-
зуется подстановка чужих адресов.
Помимо этого, нажав на кнопку «Advanced», настраи-
ваем дополнительные параметры (см. рис. 2).
! «Scan files inside compressed files» – проверять файлы
внутри архивов, а также архивы внутри на указанную
глубину (по умолчанию – 3) . К сожалению, о том, какие
типы архивов поддерживаются, ни в документации, ни
на сайте производителя ничего не сказано.
! «Server port numbers» – порты, по которым происходит
обмен почтой. Обычно они стандартны – 25 и 110, но
при необходимости можно изменить.
75
 безопасность
! «Heuristic Detection» – включает эвристический анали-
затор активности вирусов типа «червь». Отслеживает
слишком большую активность и самостоятельные дей-
ствия приложений.
! «Progress notifications» – в процессе обмена почтой SAV
перехватывает трафик по указанным портам и выступа-
ет посредником между почтовым сервером и клиентской
почтовой программой. Флажки в этой области включают
или выключают значок SAV-E-mail в трее, а также инди-
катор выполнения проверки при отправке писем. Если
не хочется показывать пользователям лишнюю инфор-
мацию о сканировании почты – отключите эти флажки.
Аналогично настраивается мониторинг клиентов Lotus
Notes и Microsoft Exchange.
Ðèñóíîê 2. Ïàðàìåòðû ñêàíèðîâàíèÿ ïî÷òîâîãî òðàôèêà
На этом настройка защиты клиентов закончена. Не за-
бывайте после каждого этапа переконфигурирования па-
раметров защиты в окне «Client Auto-Protect Options» на-
жимать кнопку «Reset All…» – она принудительно применя-
ет настройки для подключенных клиентов. Несмотря на то,
что дословный перевод «Reset…» – сброс, нажатие данной
клавиши инициирует именно принудительное применение
настроек. То есть сброс в текущее состояние.
Устанавливаем защиту
от несанкционированного изменения
настроек клиентской части:
Client Administrator only options
В данном окне настраиваются параметры отображения
значка SAV в системном трее клиентских компьютеров, а
также административный запрет на деинсталляцию анти-
вируса. Таким образом при грамотной настройке даже ло-
кальный администратор рабочей станции не сможет ни ос-
тановить службу защиты, ни удалить продукт.
В закладке «General» также можно указать срок устаре-
вания антивирусных сигнатур, по истечении которого будет
выдаваться сообщение об их устаревании (полезно устано-
76
вить срок в 10 дней для того, чтобы контролировать посто-
янное обновление баз данных и в случае сбоя получить пре-
дупреждение). Можно также просмотреть статус клиентов в
SSC – они отображаются в правой части консоли. В поле
Status отображается текущее состояние клиента. При неудач-
ном обновлении, обнаружении вирусов и пр. статус изме-
нится. Именно поэтому служба AMS не является необходи-
мой – все события можно просмотреть, используя SSC и кон-
текстное меню, вызываемое кликом на интересующем кли-
енте. На закладке Security реализуется упомянутая возмож-
ность запрета пользователям остановки службы и деинстал-
ляции продукта. При попытке удалить программу она запро-
сит пароль. Пароль по умолчанию, устанавливаемый произ-
водителем – «symantec». Рекомендую сразу его сменить.
Переходим к установке клиентской части на компьюте-
ры сети. На клиенты с NT-системами ее можно произвести
при помощи встроенной функции удаленного развертыва-
ния (используется RPC). В случае невозможности удален-
ной инсталляции (например, на клиентах Windows 9X/ME)
придется произвести ее дистрибутива, который помещает-
ся в сетевую папку VPHome (она автоматически становится
доступна на сервере антивируса по сети). Путь к файлу ус-
тановки в этом случае: \VPHOME\CLT-INST\WIN32\setup.exe.
Для удаленного развертывания в SSC заходим в меню
Tools и выбираем NT Client install. Запустится мастер. Вы-
бираем «Default location», в случае, если производим стан-
дартную инсталляцию из серверного дистрибутива. В пра-
вой части окна Select Computers выделяем целевой сервер,
которому будет принадлежать этот клиент. В левой части
выбираем необходимые компьютеры, выделяя их и нажи-
мая «Add>» (хоть все сразу). После нажатия кнопки «Finish»
запустится процесс подготовки необходимых файлов. Ак-
центируем внимание на том, что показываемая вам полос-
ка выполнения означает только копирование файлов на ис-
ходный компьютер. Процесс установки может занять еще
несколько минут. После этого рекомендуется перезагрузить
все клиентские компьютеры.
Если где-то не применились настройки, необходимо сно-
ва открыть в SSC «Client Auto-Protect Options» и нажать
«Reset All…»
Мы рассмотрели простейшую инфраструктуру, в кото-
рой все компьютеры принадлежат одной группе – главно-
му серверу антивируса. В SAV CE 9.0 имеется возможность
создавать различные настройки для разных групп компью-
теров. Для этого в папке Groups создаются различные под-
папки, в которые перемещаются требуемые клиенты. Пос-
ле этого можно производить описанные настройки незави-
симо над участниками каждой группы. Они применятся на
всех ее участников.
Подводя итоги
Symantec Antivirus 9.0 Corporate Edition – один из самых
популярных на сегодняшний день антивирусных продуктов
корпоративного уровня. Несмотря на упомянутый в начале
статьи недостаток, связанный с не самым лучшим уровнем
обнаружения и удаления Ad-software, остальные его пре-
имущества делают SAV 9.0 CE наиболее конкурентоспособ-
ным решением для централизованной защиты рабочих
станций и серверов.
 безопасность

КОНТРОЛИРУЕМ БЕЗОПАСНОСТЬ СЕТИ

С ПОМОЩЬЮ OSSIM

Сегодня для полноценной защиты сети уже недостаточно тандема «межсетевой экран +
система обнаружения атак». Для всестороннего контроля и анализа ситуации необходимо
задействовать разные инструменты. Но только в том случае, когда возможно собрать все
данные в одном месте, можно получить действительно полную информацию о событиях,
происходящих в сети. Разработчики системы OSSIM (Open Source Security Information
Management) предоставили системным администраторам такую возможность.
СЕРГЕЙ ЯРЕМЧУК
тандартом де-факто для обеспечения безопаснос- tcptrack, способен рассказать о проблемах сети гораздо
ти сети считается использование систем обнаруже- больше. Кроме того, внушительный объем выдаваемой СОА
ния атак. В мире открытого кода несомненным ли- информации и ошибки в определении событий приводят к
дером среди такого рода продуктов является Snort. Это тому, что администратор получает большое количество
весьма функциональный и понятный инструмент, который ложных тревог. Поэтому приходится использовать и дру-
может очень многое рассказать о происходящем в подкон- гие утилиты, помогающие получить более ясное представ-
трольной сети. Но все же несмотря на достоинства систем ление о событии.
обнаружения атак, они не всегда могут дать полную карти- С другой стороны, практически все основные утилиты и
ну происходящего. Довольно часто такой инструмент, как Snort в том числе предназначены для сбора данных. Их ана-

78

лиз лежит полностью на плечах исследователя. Поэтому
вполне естественно появились разработки, которые при-
водят полученные данные в удобный для анализа вид.
Другая категория проектов своей основной задачей ста-
вит интеграцию как можно большего числа приложений и
предоставляет инструменты для анализа собранных дан-
ных. К примеру, sguil (http://sguil.sourceforge.net). Его глав-
ной особенностью (помимо интеграции различных инстру-
ментов), является вывод информации пользователю в ре-
альном времени.
Разработчики решения OSSIM основной упор делают не
на развитие новых возможностей имеющихся утилит, а
именно на максимальную интеграцию имеющихся прило-
жений, создаваемых программистами всего мира. Для это-
го их объединяют в пределах единой открытой архитекту-
ры, способной сохранить возможности и путем слияния и
поиска взаимосвязей в собранной информации получить
более точный результат. Кроме обнаружения, OSSIM осу-
ществляет сопоставление сетевых событий, отсеивая часть
ложных оповещений, и предлагает высокоуровневые инди-
каторы, позволяющие производить инспекцию и оценивать
ситуацию в сети.
В качестве детекторов может выступать любая програм-
ма, которая способна производить обработку информации
(сетевой или системной) в реальном времени, все равно
каким способом: сравнением с образцом или определени-
ем аномалий и выдачей предупреждения, когда такое со-
бытие происходит.
В процессе обнаружения используются все три возмож-
ные фазы:
! предварительная обработка;
! коллекционирование данных;
! последующая централизованная обработка информации.
Если первые две фазы можно считать традиционными,
то последующая обработка собранной информации явля-
ется центральным звеном всей системы OSSIM. Ведь имен-
но на этой стадии возможно применение механизмов, по-
зволяющих улучшить чувствительность к обнаружению раз-
личных событий, в том числе и достаточно сложных, на-
пример распределенных или растянутых по времени атак.
Для этого на последней стадии события располагаются по
приоритетам, производится оценка риска и сопоставление
с целью выявления взаимосвязи. Для оценки приоритета
события используется несколько составляющих. Так, если
происходит нападение на сервер из внешней сети и к тому
же сканер nessus показывает наличие уязвимости на сер-
висе, используемом нападающим, то такому событию при-
сваивается более высокий приоритет, чем событию, в ко-
тором пользователь внутренний сети не может подключить-
ся к принтеру. Если нападение направлено на сервис, не
используемый в данной сети, то такое событие вообще
может быть отброшено для уменьшения объема выводи-
мой информации.
Оценка риска происходит по трем факторам:
! данные, на основании которых выработано предупреж-
дение;
! угрозы, которые представляет событие;
! вероятности успешного осуществления атаки.
№5, май 2005
безопасность
настоящее время в OSSIM интегрировано большое
количество разнообразных свободных инструментов:
Snort, Nessus, Acid, Ntop, Nmap, P0f, Arpwatch,
oinkmaster, pads, tcptrack, tcpdump и некоторые другие. До-
полнительно возможен анализ данных, поставляемых дру-
гими приложениями (например, preludeIDS, Osiris, NTsyslog,
Snare, Cisco Secure IDS), которые могут быть доставлены
при помощи разных способов: syslog, snmp, сокетов и пр.
Открытая архитектура позволяет добавить новый датчик в
течение нескольких часов.
На более высоком уровне система имеет монитор, на-
званный riskmeter, оценивающий риск, накопленный в те-
чение определенного промежутка времени для сети или
группы машин. Модель корреляции позволяет создавать как
образцы, позволяющие определять известные и обнаружи-
ваемые атаки, так и образцы, определяющие неизвестные
и не обнаруживаемые ранее угрозы, строить более слож-
ные модели, а также связать детекторы (обеспечивающие
индикаторы) и мониторы (обеспечивающие предупрежде-
ния) рекурсивно. Для этого применяется два принципа:
! Корреляция, основанная на последовательности собы-
тий, построенных на известных уязвимостях, связыва-
ющая известные образцы и поведение, определяющее
нападение, с помощью правил, осуществляемых стати-
ческим аппаратом. Например, если происходит собы-
тие А, затем Б, необходимо выполнить действие В.
Сложность состоит в составлении правил, способных
анализировать события абстрактно.
! Корреляция, использующая эвристические алгоритмы,
накопление по событиям и времени, что делает возмож-
ным обнаружение неизвестных вариантов атак и обес-
печивает более глобальный обзор ситуации. Для этих
целей используется накопление событий (как для всей
сети, так и отдельных машин) с целью получения ново-
го индикатора или моментальный снимок безопасного
состояния сети. В результате создается так называемый
накопленный риск, который может быть использован для
оценки критических ситуаций посредством алгоритма
CALM (Compromise and Attack Level Monitor). На его вхо-
де размещается множество событий, а на выходе – ин-
дикатор безопасного состояния сети.
После такой обработки предупреждения (alerts), собран-
ные детекторами и достойные внимания, будут выданы уже
как тревоги (alarms).
Кроме того, в OSSIM уделено внимание детальному кон-
тролю за каждой машиной, для чего используются три типа
мониторинга. Каждый из этих типов существенен для сис-
темы безопасности, и без них администратор фактически
слеп и не может отличить нормальную деятельность от ано-
мальной:
! мониторинг использования, который обеспечивает об-
щую информацию о машине, например среднее число
данных, передаваемых за день;
! мониторинг профиля обеспечивает информацию об ак-
тивности пользователя, позволяя вывести характер де-
ятельности, например, «POP3-почта, http и ftp» – нор-
мальный режим работы пользователя;
79
 безопасность
! мониторинг сессии обеспечивает в реальном времени
показ сессий с возможностью отображения характера
активности машины в сети.
Но это еще не все уровни мониторинга. На основании
данных монитора сессии и монитора риска рath-монитор
следит за маршрутами, используемыми различными ком-
пьютерами для связей, и вычисляет составной риск. При
этом строятся графики постоянных ТСР-сессий, позволяю-
щие идентифицировать сетевые нападения, совершаемые
одновременно на несколько компьютеров, и отдельно гра-
фики хаотически изменяющихся UDP, TCP и ICMP связей.
Кроме этого, OSSIM производит инвентаризацию сети, ис-
пользуя как активные, так и пассивные методы, запоминая
тип операционной системы, МАС-адрес сетевого устрой-
ства, netbios и DNS-имя, предоставляемые сервисы и вер-
сии используемого в них программного обеспечения и пр.
При выявленном отклонении сразу же генерируется пре-
дупреждение.
Затем эту информацию можно получить при помощи
Forensic console и Control panel. Forensic console обеспечи-
вает доступ ко всем данным и представляет собой поиско-
вик, который в отличие от монитора риска позволяет ис-
следовать каждое событие, происходящее в системе, с мак-
симальной детализацией. Сontrol panel позволяет просмат-
ривать сетевую ситуацию на более высоком уровне. С его
помощью можно получить доступ ко всем инструментам мо-
ниторинга, оценить уровень риска для сетей, отслеживать
машины и подсети, уровень риска которых превысил порог
безопасности, оценивать производительность основных
сервисов, потоки в сетях, количественные характеристики
полученной пользователями почты, доступа извне, обнару-
женных вирусов. Для удобства работы некоторым событи-
ям задается порог, превышение которого свидетельствует
об аномальной активности в сети.
Структурно оssim может быть разделен на 4 компонента:
! агенты – призваны объединить и обеспечить занесение
в базу данных информации, снятой с различных датчи-
ков: snort, pads, ntop, tcptrack, p0f, arpwatch, nessus и пр.;
! база данных – открытый интерфейс, обеспечивающий
занесение информации в реляционную базу данных (ос-
новные составляющие – MySQL, ossim, snort/acid и
phpgacl);
! сервер – производит управление корреляционным движ-
ком, нормализацию данных, оценку риска и приоритета
событий;
! консоль – позволяет управлять работой всей системы,
анализировать данные, производить оценку риска и со-
держит структуры, обеспечивающие веб-интерфейс, при
помощи которого производится управление (основные
составляющие: Apache, PHP c ADOdb, phpgacl, rrdtool,
mrtg, acid, Nessus, Nmap, Ntop, FPDF и пр.).
Каждый из представленных компонентов может быть ус-
тановлен на отдельном узле, при этом информация между
ними передается исключительно в зашифрованном виде
при помощи SSL. Естественно, возможно разместить все
компоненты и на одном узле. Структурно база данных
OSSIM разбита на три части (см. схему).
80
Ñõåìà. Ñòðóêòóðà ÁÄ OSSIM
OSSIM может быть установлен на любую POSIX-совме-
стимую систему – Linux, *BSD, есть сведения об успешном
использовании в Mac OS X.
Что необходимо для установки OSSIM
Учитывая большое количество разнородных приложений,
предназначенных для сбора и вывода информации, плюс
необходимость реализации всех зависимостей, установка
OSSIM дело если нетрудное, но требующее внимательного
и тщательного подхода. Кроме того, на момент написания
статьи последней версией была 0.9.8rc2, имеющая неболь-
шие отличия в установке от стабильной версии 0.9.7. В ос-
новном они касаются настройки агентов. Возможно, к вы-
ходу стабильного 1.0 релиза, а, судя по активности разра-
ботчиков, он уже не за горами, ситуация изменится. Кста-
ти, в версии 0.9.8 сделан первый шаг к интернационализа-
ции интерфейса, пока доступны только английский, фран-
цузский, немецкий, португальский, испанский, чешский и
японский языки. В статье будет рассмотрен процесс уста-
новки 0.9.8rc2, так как с выходом полноценного релиза чи-
тателю будет легко ориентироваться в тех местах, где бу-
дут отличия для 0.9.7, о них будет сказано дополнительно.
Исходные коды OSSIM и документацию можно получить:
! http://www.ossim.net – официальный сайт проекта;
! http://sourceforge.net/projects/os-sim;
! http://freshmeat.net/projects/os-sim;
! http://www.mybizguard.com/linux/ossim – здесь кроме
OSSIM можно найти дополнительную документацию и
скрипты, помогающие в установке, удалении ossim и оп-
ределяющие наличие необходимых компонентов в сис-
теме;
! http://www.boseco.com – есть готовый ISO-образ систе-
мы с настроенной и готовой к работе OSSIM.
На сайтах, кроме исходных текстов, доступны и преком-
пилированые rpm-пакеты, в том числе необходимые для
удовлетворения всех зависимостей и построения датчиков,
например для Fedora Core: http://www.ossim.net/download/
fedora/RPMS.ossim.
Мы рассмотрим общий случай: установку из исходных
текстов на один компьютер с минимально необходимой ин-
формацией по конфигурированию сопутствующих компо-
нентов, т.к. более подробное изложение займет слишком
много места. Наибольшую помощь в установке может ока-
зать документ INSTALL.Debian, который вы найдете в архи-
ве с исходными кодами. Это наиболее полный документ с
информацией об установке, поэтому он актуален и для
пользователей других дистрибутивов.
Кроме того, в этом же архиве лежит несколько README
файлов с более подробным описанием особенностей уста-
новки того или иного приложения.

Для установки из исходных текстов вам понадобятся:
и другие приложения, необходимые для построения датчи-
ков и удовлетворения зависимостей.
При установке использовался дистрибутив ALTLinux 2.4
Master, на дисках которого можно найти подавляющее чис-
ло необходимых компонентов. В крайнем случае их можно
доустановить при помощи apt-get.
Создаем базы данных и таблицы
Итак, начинаем с создания баз данных, необходимых для
хранения информации. Распакуем архив, далее для крат-
кости этот каталог будем обозначать как $OSSIM_PATH.
Запускаем MySQL:
# /etc/init.d/mysqld start
Starting safe_mysqld service: [ DONE ]
Устанавливаем пароль, если до этого MySQL не исполь-
зовался.
# mysqladmin -u root password root_password
Создаем две базы данных ossim и snort (эта база дан-
ных используется при построении датчика Snort).
# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1 to server version: 4.0.20-log
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> create database ossim;
Query OK, 1 row affected (0.09 sec)
mysql> create database snort;
№5, май 2005
безопасность
Query OK, 1 row affected (0.00 sec)
mysql> exit
Bye
Далее создаем таблицы при помощи готовых шаблонов,
лежащих в подкаталоге db архива.
# cd $OSSIM_PATH/db
# cat create_mysql.sql | mysql -u root ossim -p
# cat ossim_data.sql snort_nessus.sql realsecure.sql | ↵
mysql -u root ossim -p
После чего в базе данных ossim должна появиться струк-
тура таблиц, описанная в файле $OSSIM_PATH/doc/ossim_
db_structure.txt. Для доступа к базам данных ossim исполь-
зует файл /etc/ ossim/framework/ossim.conf. Чтобы не созда-
вать его вручную, используем готовый шаблон.
# mkdir /etc/ossim/
# cp $OSSIM_PATH/contrib/debian/framework/ossim.conf ↵
/etc/ossim/
Теперь редактируем этот файл. В данный момент нас
интересует секция для доступа к базе ossim.
#################################################
# OSSIM db configuration
#################################################
ossim_type=mysql
ossim_base=ossim
ossim_user=root
ossim_pass=root_passwd
ossim_host=localhost
ossim_port=3306
Как видите, для доступа к базе данных используется
пользователь root, имеющий максимальные права. С точки
зрения безопасности, такой подход не совсем правилен. Это
упрощение сделано, чтобы минимизировать объем инфор-
мации. К тому же из-за большого количества элементов на
этапе настройки, скорее всего, возникнут проблемы (осо-
бенно при первой попытке). Благодаря пользователю root
можно быть спокойным хотя бы за этот участок работы.
После отладки, уже в рабочей системе, лучше избегать та-
кого подхода и создать для каждого случая своего пользо-
вателя с минимально необходимыми правами, частично
пример такого подхода вы найдете в конце статьи.
Далее для создания таблиц нам потребуются исходные
тексты в Snort и Acid. Если же их планируется использо-
вать как датчики на этом же компьютере, то устанавлива-
ем и настраиваем, как описано в документации.
Создаем базы данных для snort.
# tar –xzvf snort-2.3.2.tar.gz
# cd snort 2.3.2
# cat ./schemas/create_mysql | mysql -u root -p snort
В более ранних версиях скрипты находились вместо
schemas в contrib.
После этого переходим к таблицам Acid. На сценарии
необходимо предварительно наложить патчи.
# cd /var/www
# tar -xzvf /tmp/acid-0.9.6b23.tar.gz
# cd acid
# patch -p1 < $OSSIM_PATH /contrib/acid.patch
81
 безопасность
patching file acid_cache.inc # ./configure --with-mysql
patching file acid_common.php # make
patching file acid_conf.php
# make install
patching file acid_hdr2.html
patching file acid_main.php После чего создаем каталог /etc/snort:
patching file acid_output_query.inc
patching file acid_qry_common.php # mkdir /etc/snort
patching file acid_qry_form.php
patching file acid_qry_sqlcalls.php
patching file acid_state_citems.inc
patching file acid_state_criteria.inc
И копируем в образовавшийся каталог необходимые
patching file acid_update_db.php файлы:
patching file create_acid_tbls_mysql.sql
patching file create_acid_tbls_pgsql.sql # cp snort-2.3.2/etc/snort.conf /etc/snort/
# cp snort-2.3.2/etc/unicode.map /etc/snort/
Далее настройка ACID происходит обычным образом, # cp $OSSIM_PATH/contrib/spade/spade.conf.sample ↵
не забудьте только изменить параметры доступа к базе /etc/snort/spade.conf
данных в acid_conf.php.
Далее редактируем эти файлы, при этом в snort.conf
$alert_dbname = "snort"; должны быть строки, настраивающие уровень критичнос-
$alert_host = "localhost";
$alert_port = "3306"; ти заносимых сообщений для syslog и параметры базы дан-
$alert_user = "root"; ных:
$alert_password = "root_passwd ";

Создаем необходимые таблицы. ###################################

# cat ./create_acid_tbls_mysql.sql | mysql -u root snort -p
# Step #3: Configure output plugins
###################################
output alert_syslog: LOG_AUTH LOG_ALERT
output database: alert, mysql, user=root dbname=snort ↵
host=localhost logfile=fast.log

Устанавливаем и настраиваем И подключаем файл spade.conf директивой:

датчики Snort и Spade
Так как мы устанавливаем все компоненты OSSIM на один Includespade.conf
компьютер, то теперь инсталлируем Snort как датчик. Для
этого первым делом ставим Spade (Statistical Packet Anomaly После чего заполняем секцию в файле ossim.conf, кото-
Detection Engine). Ранее он поставлялся вместе с Snort, сей- рая отвечает за доступ к БД для сенсора Snort:
час для удобства он поставляется вместе с ossim, его можно
взять и с официального сайта (http://www.silicon defense.com). # ########################
# # SNORT db configuration
# # (look at snort.conf)
# cd $OSSIM_PATH/contrib/spade/Spade-040223.1.tgz # ########################
# tar -xzvf Spade-040223.1.tgz snort_type=mysql
# cd Spade-040223.1 snort_base=snort
# vi Makefile snort_user=root
snort_pass=root_passwd
snort_host=localhost
Редактируем переменную SNORTBASE, указывающую snort_port=3306
на месторасположение исходных текстов Snort:
Настройку доступа к базе данных на этом этапе можно
# make считать законченной.
...............
Spade installed!
Настраиваем сервер OSSIM
Накладываем патчи на Snort, номера версий в моем Приступаем к установке сервера:
случае не совпадают, но проблем замечено не было:
# cd $OSSIM_PATH/
# cd snort-2.3.2 # ./autogen.sh
# patch -p0 < $OSSIM_PATH/contrib/snort-2.1-ossim.patch
По умолчанию утилита конфигурируется с опциями
patching file src/output-plugins/spo_database.c ./configure --sysconfdir=/etc --localstatedir=/var, если удоб-
Hunk #2 succeeded at 69 with fuzz 1.
Hunk #3 succeeded at 184 (offset 1 line). нее разместить всю структуру, например в /opt/ossim их
Hunk #5 succeeded at 327 (offset 1 line). можно переопределить.
Hunk #6 succeeded at 684 (offset 9 lines).
Hunk #7 succeeded at 860 (offset 1 line).
Hunk #8 succeeded at 928 (offset 9 lines).
# cd src/
# make
Hunk #9 succeeded at 1735 (offset 1 line).
Hunk #10 succeeded at 2844 (offset 9 lines).
Hunk #11 succeeded at 2855 (offset 1 line). После чего в /etc/ossim должен появиться ряд подкатало-
гов, сейчас нас интересует только один – /etc/ossim/server,
И далее устанавливаем Snort обычным образом, не за- содержащий несколько XML-файлов (config.xml, directives.xml,
бывая добавить опцию --with-mysql, для того чтобы он мог generic.xml, trojans.xml, directives.xml). Кроме того, при уста-
заносить данные в MySQL: новке должен быть создан каталог /var/log/ossim, предназ-

82

наченный для журнала, а исполняемый файл ossim-server
нужно переместить в /usr/local/bin/. Проверьте их наличие,
если чего-то нет – скопируйте или создайте вручную.
На следующем шаге необходимо отредактировать файл
/etc/ossim/server/config.xml. Структура его проста и понят-
на, в нем содержатся данные для доступа к базам ossim и
snort, IP-адрес (не используйте 127.0.0.1, иначе не сможете
подключиться к серверу) и интерфейс, на котором сервер
будет слушать подключение агентов и консоли, e-mail, на
который будут отсылаться предупреждения. Дополнитель-
но могут указываться IP-адреса дублирующих (replication)
серверов в случае совместной работы нескольких серве-
ров OSSIM.
Здесь становится очевидно одно из неудобств настрой-
ки OSSIM: для всех компонентов используются свои кон-
фигурационные файлы, информация в некоторых из них
(например, параметры доступа к БД) дублируются, что при-
водит к увеличению объема работ, а также путанице и
ошибкам.
Когда все готово, сервер можно запускать.
# ossim-server -d -c /etc/ossim/server/config.xml
При этом не должно быть выдано никаких ошибок, а в
журнале должна появиться запись:
# cat /var/log/ossim/server.log
OSSIM-Message: sim_thread_scheduler
OSSIM-Message: sim_thread_organizer
OSSIM-Message: sim_thread_server
OSSIM-Message: Waiting for connections...
Сервер готов принимать подключения.
Приступаем к настройке консоли
Все настройки производятся в конфигурационном файле
/etc/ossim/framework/ossim.conf, который мы использовали
ранее. Кроме параметров доступа к базам ossim и snort,
требуется указать пути к некоторым приложениям.
###################
# Base dir
###################
data_dir=/opt/ossim
base_dir=/var/www/ossim
# ÿ ïåðåìåñòèë ïîäêàòàëîã www ïîáëèæå ê îñòàëüíûì ôàéëàì
# âåá-ñåðâåðà
ossim_interface=eth0
ossim_link=/ossim/
adodb_path=/usr/share/adodb/
phpgacl_path=/var/www/phpgacl/
И в самом конце файла:
jpgraph_path=/usr/share/jpgraph/
Заходим в /var/www/phpgacl/, редактируем два файла
gacl.class.php и admin/gacl_admin.inc.php, где в переменных
«db_type», «db_host», «db_user», «db_password» и «db_name»
указываем параметры доступа к базе данных ossim (пара-
метр «db_table_prefix» оставляем пустым). Здесь же созда-
ем подкаталог admin/templates_c с возможностью записи в
него с правами пользователя, от имени которого работает
веб-сервер.
№5, май 2005
безопасность
Копируем шаблон конфигурации веб-сервера.
# cp $OSSIM_PATH/etc/httpd/ossim.conf /etc/httpd/conf/
И проверяем правильность путей внутри него:
<IfModule mod_alias.c>
Alias /ossim "/var/www/ossim"
</IfModule>
<Directory /var/www/ossim>
<IfModule mod_php4.c>
php_value include_path .:/usr/share/ossim/php/
</IfModule>
</Directory>
<Directory /var/www/phpgacl>
AuthType Basic
AuthName OSSIM
AuthUserFile /var/www/ossim-users
Require valid-user
AllowOverride None
</Directory>
Как видите, для доступа необходимо завести пользова-
теля ossim и задать пароль:
# htpasswd -c /var/www/ossim-users ossim
New password:
Re-type new password:
Adding password for user ossim
Теперь рассмотрим конфигурационный файл Apache
httpd.conf и проверим загрузку модулей mod_php4 и mod_ssl,
а также подключим при помощи параметра Include файл
/etc/httpd/conf/ossim.conf. Перезапускаем веб-сервер и вво-
дим в браузере http://localhost/phpgacl/setup.php, для на-
стройки phpgacl. Теперь, когда phpgacl установлен, необ-
ходимо перейти к странице http://localhost/ossim/setup/
ossim_acl.php, что приведет к автоматическому заполнению
базы данных с заданными по умолчанию параметрами дос-
тупа (пользователь admin пароль admin, который необходи-
мо затем обязательно изменить, используя «Сonfiguration →
Main»).
Установка RRDTool проста, скачиваем последнюю вер-
сию с http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
download.html и устанавливаем обычным образом. После
чего указываем в файле /etc/ossim/framework/ossim.conf ме-
стонахождение исполняемых файлов и библиотек.
rrdtool_path=/usr/bin/
rrdtool_lib_path=/usr/lib/perl5/
Следующим шагом идет настройка mrtg, здесь работы
немного больше. Скачиваем с http://people.ee.ethz.ch/
~oetiker/webtools/mrtg/pub, накладываем патчи:
# tar –xvzf mrtg-2.10.5.tar.gz
# cd mrtg-2.10.5/bin
# patch -p0 < $OSSIM_PATH/contrib/mrtg/mrtg.diff
Затем компилируем и устанавливаем, как описано в doc/
unix-guide.txt. После чего создаем необходимые каталоги и
прописываем путь к ним в конфигурационных файлах.
# mkdir /var/www/mrtg
# cd /var/www/mrtg
# mkdir host_qualification net_qualification ↵
global_qualification level_qualification
83
 безопасность
Теперь редактируем /etc/ossim/framework/mrtg-rrd.cfg:
WorkDir: /var/www/mrtg
Include: /var/www/mrtg/hosts/host_qualification.cfg
Include: /var/www/mrtg/nets/net_qualification.cfg
Include: /var/www/mrtg/global/global_qualification.cfg
И в файле /etc/httpd/conf/ossim.conf редактируем пере-
менные:
mrtg_rrd_files_path=/var/www/mrtg
rrdpath_host=/var/www/mrtg/host_qualification/
rrdpath_net=/var/www/mrtg/net_qualification/
rrdpath_global=/var/www/mrtg/global_qualification/
font_path=/opt/ossim/contrib/fonts
Далее необходимо, чтобы интерпретатор Perl видел мо-
дуль ossim_conf.pm. Для достижения этого можно создать
символическую ссылку:
# ln -s $OSSIM_PATH/include/ossim_conf.pm /usr/lib/perl5/
Можно также указать другой каталог, перечисленный в
массиве @INC (вывести весь список можно, perl -e ’print
«@INC\n»’), либо сделать видимым путь к $OSSIM_PATH/
include/ в массиве @INC, указав эти данные в скрипте
draw_graph.pl, добавив вначале строку:
use lib "/opt/ossim/include";
либо поместив модуль и скрипт в один каталог (перемен-
ная @INC обычно включает текущий каталог). Другие ва-
рианты решения смотрите perldoc -q @INC.
Сам скрипт draw_graph.pl копируем каталог cgi-bin веб-
сервера:
# cp $OSSIM_PATH/scripts/draw_graph.pl /var/www/cgi-bin/
Запускаем скрипт launch-mrtg, который создаст необ-
ходимые файлы:
# cd $OSSIM_PATH/mrtg
# ./launch-mrtg
И обеспечиваем ему периодический запуск:
# crontab -e
0-59/5 * * * * $OSSIM_PATH/mrtg/launch-mrtg
либо используя готовый шаблон:
# cp $OSSIM_PATH/etc/cron.d/ossim /etc/cron.d/
Для обновления данных, используемых утилитами mrtg
и rrdtool, применяется скрипт control_panel.py, который не-
обходимо поместить в каталог, где он будет виден пере-
менной PATH:
# cp $OSSIM_PATH/scripts/control_panel.py /usr/local/bin/
# chmod +x /usr/local/bin/control_panel.py
Ставим ntop. При построении OSSIM он может быть раз-
мещен в принципе на любом компьютере, хотя в докумен-
тации описана установка на компьютер, выполняющий роль
84
консоли. Перед установкой на него необходимо наложить
патчи.
# tar –xzvf ntop-3.1.tar.gz
# cd ntop-3.1/
# patch -p0 < $OSSIM_PATH/contrib/ntop/ntop-3.1-ossim.diff
В указанном каталоге находятся патчи для нескольких
версий ntop. Далее все проходит,как описано в документа-
ции. Если все прошло нормально, на результат можно по-
смотреть, набрав http://localhost:3000, активируем rrdPlugin
зайдя в «Admin → plugins».
Редактируем файл ossim.conf:
ntop_link=http://your_ntop_host:3000/
rrdpath_ntop=/var/lib/ntop/rrd
Начиная с версии 0.9.7, консоль OSSIM может созда-
вать отчеты в формате pdf, что очень удобно при выводе
на печать. Для реализации такой возможности использует-
ся FPDF – специализированный класс PHP, представляю-
щий собой свободную (не требующую отчислений при ком-
мерческом использовании) замену Pdflib. Установка проста.
Скачиваем архив и копируем файл fpdf.php в каталог, ука-
занный в параметре include_path т.е. /usr/share/ossim/php/
(или в php.ini) файла настройки ossim.conf веб-сервера.
# tar -xzvf fpdf153.tgz
# cd fpdf153
# cp fpdf.php /usr/share/ossim/php/
Интеграция OSSIM и nessus описана в README.nessus,
поэтому за более подробной инструкцией обращайтесь к
нему. Ничего необычного в установке нет. Заносим в /etc/
ossim/framework/ossim.conf данные для доступа к серверу
nessus:
nessus_user=ossim
nessus_pass=your_password
nessus_host=localhost
nessus_port=1241
nessus_path=/usr/bin/nessus
nessus_rpt_path=/var/www/ossim/vulnmeter/
Пароль задается так.
# /usr/sbin/nessus-adduser
Using /var/tmp as a temporary file holder
Add a new nessusd user
----------------------
Login : ossim
Authentication (pass/cert) [pass] :
Login password : your_password
Для обновления подключаемых модулей вводим:
# nessus-update-plugins
# perl $OSSIM_PATH/scripts/update_nessus_ids.pl
Кроме того, для запуска сканирования используется
Perl-скрипт $OSSIM_PATH/scripts/do_nessus.pl, который за-
носит результат работы в базу данных ossim.
Настраиваем работу с агентами
И наконец, настройка работы с агентами. Установка управ-
ляющего скрипта (написанного на Python), при помощи ко-
 безопасность
торого осуществляется контроль над агентами, несколь- /usr/bin/tcptrack -i eth0 -P 40003 -F 10 –D
ко отличается в версиях 0.9.7 и 0.9.8. Ранее необходимо
было просто скопировать файлы на свое место, теперь этим Записываем в файл /etc/services следующие строки:
руководит отдельный сценарий. При этом если просто ско-
пировать скрипт в каталог, перечисленный в переменной ossim-agent 40001/tcp #ossim-agent
ossim-agent 40001/udp #ossim-agent
PATH, то при работе выдается множество ошибок, лучше
всего создать ссылку: Теперь можно запускать в боевом режиме:

# cd $OSSIM_PATH/agent # ossim-agent -d -c /etc/ossim/agent/config.xml

# ln -sf `pwd` /usr/local/bin
# python setup.py install (->) Agent: Waiting for server...
(<-) Agent: Server connected

Копируем конфигурационный файл на свое место:
# mkdir /etc/ossim/agent
# cp $OSSIM_PATH/etc/agent/config.xml /etc/ossim/agent
и запускаем, проверяя на наличие ошибок:
# ossim-agent -v
Если агент запустился без проблем и жалуется на отсут-
ствие датчиков, то все нормально и можно открывать кон-
фигурационный файл для редактирования. Файл config.xml
имеет простую и понятную структуру, поэтому особых слож-
ностей не предвидится.
В самом начале идет описание сервера:
C точки зрения безопасности агентам лучше дать ми-
нимальные права для работы с базой данных:
# mysql -u root -p
mysql> GRANT INSERT, SELECT on snort.* to root@sensor_ip
IDENTIFIED BY 'mysql_password';
mysql> GRANT INSERT, SELECT on ossim.* to root@sensor_ip
IDENTIFIED BY 'mysql_password';
mysql> exit;
хотя на этапе настройки это можно пропустить.

<!-- Ip and port number where the ossim server is listening -->
<serverip>192.168.0.10 </serverip>
<serverport>40001</serverport>
<watchdog enable="yes" interval="30"/>
<logdir> /var/log/ossim</logdir>

Секция <plugins> описывает датчики. Если какой-то из

датчиков не установлен, то пункт, отвечающий за его за-
пуск, следует «закомментировать», чтобы при работе не
засорять файлы журнала ненужными сообщениями об Ðèñóíîê 1. Ïóíêòû ìåíþ êîíôèãóðàöèè ïîçâîëÿþò ïîëó÷èòü
áîëåå òî÷íûé ðåçóëüòàò
ошибках. Например, датчик snort описан так:

<plugin id="1001" process="snort" type="detector" ↵

start="yes" enable="yes">
<startup>/etc/init.d/snort start</startup>
<shutdown>/etc/init.d/snort stop</shutdown>
<source>fast</source>
<interface>eth0</interface>
<sensor>192.168.0.10</sensor>
<location>/var/log/snort/fast.log</location>
</plugin>

В принципе здесь все просто и должно быть понятно, но

это не значит, что все сразу и заработает. Причин может
быть две: неправильная строка запуска команды, либо ко-
манда недоступна из PATH. Поясню на примере. В ALTLinux,
как и во многих других дистрибутивах, а также при уста-
новке snort из исходников, скрипт запуска называется
snortd, а не snort. С Apache неразберихи еще больше, скрипт
может называться и apache, и httpd, и httpd2. Поэтому про-
контролируйте правильность написания названий. Во вто-
ром случае вместо строки, записанной по умолчанию в
файле:
tcptrack -i eth0 -P 40003 -F 10 –D
укажите полный путь к утилите (это даже считается хоро-
шим тоном).
Ðèñóíîê 2. Ïîëó÷åíèå ïîäðîáíûõ îò÷åòîâ – îäíà èç ïîëîæèòåëüíûõ
ñòîðîí OSSIM
Теперь, когда самая трудная часть позади и все настрой-
ки произведены, можно заходить в консоль. Вызываем веб-
браузер и вводим https://localhost/ossim, используя в качестве
имени/пароля admin-admin. При первом запуске система ак-
тивирует все необходимые для работы параметры и устано-
вит настройки для Control Panel. Дальнейшее изучение вы
можете продолжить самостоятельно, щелкая мышкой и на-
блюдая за информацией выдаваемой системой.

№5, май 2005 85

 образование
СВОБОДНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА
ДЛЯ ШКОЛ CENTRE
Несмотря на стремительное развитие компьютерных технологий, до настоящего времени
во многих учебных заведениях учет персональных данных школьников и студентов ведется
вручную. Это отнимает много времени у преподавателей и отвлекает их от основной работы.
Система Centre позволит автоматизировать рутинные задачи и облегчит повседневный труд.
тклики, пришедшие на мой адрес после публика-
ций материала об ATutor [1] и OpenAdmin [2], сви-
детельствуют об имеющемся спросе на приложе-
ния, которые ориентированы на сферу образования. Дей-
ствительно, сегодня в большинстве школ учет персональ-
ных данных ведется на бумаге либо в документах MS Word
(Excel), что не только неудобно, но и малоэффективно. По-
иск и отбор необходимой информации в таком случае силь-
но затруднен и часто происходит не без ошибок и казусов,
даже для небольшой справки задействуются лишние ре-
сурсы, которые могли бы быть использованы более рацио-
нально. Особенно большой интерес среди таких приложе-
ний вызывают открытые продукты.
Свободная студенческая информационная система
(Student Information System) Centre проектировалась так, что-
бы обеспечить все нужды преподавателей, родителей, сту-
дентов, школьников, администраторов, и представляет со-
бой эффективное средство сбора информации, которое мо-
жет быть использовано в учебных заведениях разного уров-
ня: от начальных школ до вузов. Гибкость Centre позволяет
применять один сервер для хранения информации любого
количества учебных заведений с разграничением полномо-
чий как во внутренних сетях, так и в Интернете. Применение
веб-технологий упрощает клиентскую часть и позволяет
пользователям получать доступ к необходимой информации
с любого компьютера, имеющего выход в Интернет. На мо-
мент написания статьи актуальной была версия 1.5, кото-
рую можно бесплатно получить с сайта поддержки проекта
http://www.miller-group.net, для чего необходимо первоначаль-
но зарегистрироваться. Centre распространяется под лицен-
зией GPL. В базу данных может быть внесена практически
любая информация об учащихся, персональные данные, в
том числе и медицинская информация, посещаемость, ус-
певаемость и прочее. В Centre особое внимание уделено
удобству поиска и генерации различного вида отчетов по его
результатам. Так, кроме выдачи информации в браузер, от-
четы могут быть сохранены в файле формата PDF, что удоб-
но для последующей печати. На основании данных о место-
жительстве учащихся могут быть заполнены адреса на кон-
вертах, это позволит организовать рассылку различного рода
информации (табелей успеваемости, посещаемости, спис-
ков и пр.). Различного рода планировщики помогают эффек-
тивно распоряжаться временем учебных групп или отдель-
ных учащихся, организовывать курсы, инструктажи. Плани-
руемые события можно просмотреть через календарь. Сentre
86
СЕРГЕЙ ЯРЕМЧУК
может быть адаптирован для различных школьных программ,
задано любое количество семестров или учебных периодов.
Кроме того, для Centre разрабатываются дополнения, спо-
собные расширить его возможности.
Главный недостаток Centre состоит в отсутствии русско-
язычной локализации. Ознакомиться с работой Centre мож-
но, зайдя по адресу http://demo.miller-group.net, используя для
доступа имена пользователей admin, teacher, parent, student
с таким же паролем (admin-admin, teacher-teacher и т. п.).
Установка сервера Centre
Сервер Centre построен с применением свободных компо-
нентов. Так, для хранения информации используется база
данных PostgreSQL (кроме неё поддерживается Oracle, дру-
гие сервера не поддерживаются), весь код написан на PHP,
в качестве веб-сервера используется Apache. Такие ком-
поненты позволяют использовать в качестве операционной
системы Linux, FreeBSD и многие другие UNIX-подобные ОС,
а также Windows и Mac OS X. Кроме того, для генерации
отчетов в формате PDF необходим HTMLdoc (http://www.
easysw.com/htmldoc). Во время написания статьи исполь-
зовался дистрибутив ALTLinux 2.4 Master.
Регистрируемся на сайте, скачиваем архив сервера и
распаковываем его в каталог с документами веб-сервера
Apache /var/www/html (или /srv/www в SuSE). Для удобства
работы переименовываем каталог.
# mv /var/www/html/Centre-v.1.4 /var/www/html/centre
Устанавливаем, настраиваем и запускаем PostgreSQL:
# /etc/init.d/postgresql restart
Service postmaster is not running. [PASSED]
Creating default database: [ DONE ]
Starting postmaster service: [ DONE ]
Link postgresql socket: [ DONE ]
Теперь соединяемся с PostgreSQL и создаем базу дан-
ных, необходимую для работы (см. рис. 1) .
# psql -U postgres template1
Далее создаем таблицы, используя готовый шаблон:
# psql -U postgres centre ↵
< /var/www/html/centre/centre.sql > centre.log

Добро пожаловать в psql 7.4.3 - Интерактивный Терминал PostgreSQL.
Наберите: \copyright для условий распространения
\h для подсказки по SQL-командам
\? для подсказки по внутренним slash-командам (\команда)
\g или ";" для завершения и выполнения запроса
\q для выхода
template1=# CREATE DATABASE centre;
CREATEDATABASE
template-# \q
Ðèñóíîê 1. Ñîçäàåì áàçó äàííûõ
При этом в ходе выполнения команды могут быть полу-
чены сообщения, начинающиеся с «NOTICE: ALTER TABLE /
ADD PRIMARY KEY will create implicit index», которые можно
проигнорировать. Далее нужно разрешить TCP/IP-соедине-
ния с localhost в файле настройки pg_hba.conf. И чтобы сер-
вер мог их обслуживать, добавьте ключ -i в строку запуска
postmaster в файле /etc/init.d/postgresql.
Для настройки доступа к базе данных сервером Centre
используется файл config.inc, в который необходимо вне-
сти изменения, подправив следующие строки:
// Database Setup
$DatabaseType="postgres"; // oracle, postgres
$DatabaseANSI=true; // ANSI compliant flag.
$DatabaseServer="127.0.0.1"; // postgres = host,
// oracle=SID
$DatabaseUsername="postgres";
$DatabasePassword="password";
$DatabaseName="centre";
$DatabasePort="5432";
Далее необходимо ввести полный путь к файлам сер-
вера и каталогу, в котором будут храниться фотографии
студентов, и изменить название школы, которое будет вы-
водиться в заголовке.
// Server Names and Paths
$CentrePath="/var/www/html/ñentre/";
$StudentPicturesPath = ="/var/www/html/ñentre/pictures";
$CentreTitle = 'Centre School Information System';
Набираем в строке браузера http://your_domain.com/
сentre/index.php и попадаем на заглавную страницу, где ре-
гистрируемся с именем пользователя admin и паролем
admin (по умолчанию в системе заведены и другие тесто-
вые пользователи, о которых говорилось в начале статьи,
в целях безопасности их желательно отключить или изме-
нить пароль). В результате будет выведено поздравление с
успешной установкой. В случае неудачи появится диагнос-
тическое сообщение (рис. 2):
Ðèñóíîê 2. Äèàãíîñòè÷åñêèå ñîîáùåíèÿ ïîçâîëÿþò âûÿâèòü
ïðîáëåìó
№5, май 2005
образование
Далее создаем новых пользователей, вводим информа-
цию о школе и прочие данные, необходимые для работы.
Администраторы, учителя, родители могут самостоятель-
но создавать учетные записи. Для этого на главной стра-
нице необходимо нажать «Create Account», после чего в по-
явившемся окне заполнить свои данные, указав действую-
щий почтовый адрес, на который будет затем отослано со-
общение об активации входа. Администратор может выб-
рать фильтр No Access на странице Users в строке поиска
пользователей Profile, и в результате им будет получен спи-
сок пользователей, не имеющих допуска (рис. 3).
Ðèñóíîê 3. Ïîíÿòíîå ìåíþ, ïîçâîëÿåò áûñòðî íàéòè
ïîëüçîâàòåëÿ ïî çàäàííûì êðèòåðèÿì
Чтобы разрешить пользователю вход, измените параметр
«User Profile» на необходимый, т.е. Administrator, Teacher,
Parent, N/A (остальные), и не забудьте указать в параметре
«School», к данным какой из школ он получит допуск. Пункт
«Associate Students» позволяет указать на родителей сту-
дента. После чего на заявленный при регистрации почто-
вый ящик уйдет сообщение об успешной активации пользо-
вательского входа. Для добавления в базу учащихся при-
меняется вкладка «Students», где, выбрав «Add a Student»,
необходимо ввести соответствующую информацию. В даль-
нейшей работе можно разобраться самостоятельно, к тому
же в каталоге Doc архива имеется документация на анг-
лийском языке, которая может помочь в освоении Centre.
Как говорилось выше, локализацию Centre можно осу-
ществить своими силами (рис. 3) по мере ввода сервера в
эксплуатацию. К сожалению, отсутствие шаблонов, собран-
ных в одном месте, несколько затрудняет работу.
В первую очередь следует заглянуть в файлы: Menu.php;
Help.php; functions/ErrorMessage.fnc.php; modules/Students/
includes/General_Info.inc.php; modules/Students/Student.php;
modules/Students/Search.php. И в некоторые другие, в ос-
новном находящиеся в каталогах modules/Scheduling/ и
modules/Reports/.
С остальными настройками вы сможете разобраться в
процессе работы. Успехов!
Литература:
1. Яремчук С. Обучение при помощи Atutor. – Журнал «Си-
стемный администратор», № 1, январь 2005 г. – 84-87 с.
2. Яремчук С. Сервер для школ. – Журнал «Системный
администратор», № 4, апрель 2005 г. – 88-91 с.
87
 web

БАЗОВАЯ HTTP-АВТОРИЗАЦИЯ –
ЗАЩИТА ОТ ЧЕСТНЫХ ЛЮДЕЙ

Базовая авторизация используется повсеместно

для ограничения доступа к «личным кабинетам»,
«панелям управления», администраторским
веб-интерфейсам, форумам и многим другим
веб-ресурсам. Думаю, рядовым пользователям
сети будет любопытно узнать, как работает
это средство и насколько оно надёжно.
Начинающим веб-мастерам будет интересно,
как его подключить. А веб-программисты
со стажем наверняка задавались вопросом,
можно ли усилить защиту.

Basic Authorization под микроскопом
За работу механизма так называемой базовой авториза-
ции (далее просто BA – Basic Authorization) на стороне сер-
вера отвечает не какое-то специфическое ПО, а сам сер-
вер.
АЛЕКСЕЙ МИЧУРИН
HTTP/1.1 401 Authorization Required
Date: Tue, 01 Mar 2005 11:30:10 GMT
Server: Apache/1.3.33 (Unix)
WWW-Authenticate: Basic realm="How about authorization?"
Connection: close
Content-Type: text/html; charset=iso-8859-1

Давайте рассмотрим диалог клиента и сервера при по- Необычным в нём является статус (первая строка), ко-
пытке получить доступ к конфиденциальной информации. торый равен не 200, как при «нормальном» ответе, а 401.
Когда пользователь впервые пытается получить защи- Также в нём имеется поле WWW-Authenticate, сообщающее
щённый документ, щёлкнув мышкой по ссылке, по кнопке браузеру детали: авторизация будет проходить по Basic-сце-
в форме или просто набрав URL, браузер (клиент) посыла- нарию, пользователю рекомендуется сообщить указанную
ет на сервер самый обычный запрос. Это неудивительно – фразу.
браузер пока не знает, что доступ к этому документу огра- Вслед за этими заголовками передаётся тело докумен-
ничен. Заголовки HTTP-запроса могут выглядеть прибли- та, которое браузер пока не отображает, а выдаёт диало-
зительно так: говое окно с просьбой ввести имя и пароль.
GET / HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7)
Gecko/20041016 Firefox/0.9.3
Accept: text/xml,application/xml,application/xhtml+xml,text/html;
q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.7,ru;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: KOI8-R,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

Но сервер возвращает не обычный ответ с кодом 200

(200 означает, что запрос обработан успешно, ответ отправ-
лен), а сообщение о том, что для получения доступа требу- Если пользователь откажется от ввода пароля, нажав
ется авторизоваться. Вот возможный набор заголовков от- кнопку «Отмена», то браузер отображает тело полученно-
вета: го документа.

88

Очень широко распространено заблуждение, что в от-
вет на отказ от ввода пароля (или после ввода неверного
имени/пароля) сервер высылает документ с сообщением
об ошибке 401. Это не так! Сервер высылает сообщение
401 всегда, когда запрашивает пароль. Когда пользователь
нажимает «Отмена», браузер вообще не обращается к сер-
веру1 – необходимый документ уже загружен, его осталось
только показать пользователю.
Если пользователь ввёл имя и пароль, то сразу после
нажатия кнопки «ОК» браузер отправляет эту информацию
на сервер в новом запросе, заголовок которого будет при-
мерно таким:
GET /paper/1.html HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7)
Gecko/20041016 Firefox/0.9.3
Accept: text/xml,application/xml,application/xhtml+xml,text/html;
q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.7,ru;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: KOI8-R,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Authorization: Basic MTox
Как видите, это снова обычный GET-запрос, но теперь
сервер получил информацию о пароле и имени пользова-
теля в строке Authorization. Секретная информация не за-
щищена, а просто закодирована методом base64 (RFC
2045). Если декодировать строку MTox, то вы получите имя
и пароль, разделённые двоеточием. То есть никакой сек-
ретностью тут и не пахнет.
Если имя и пароль удовлетворят сервер, то пользова-
тель получит требуемый документ. Набор заголовков отве-
та будет выглядеть как обычно:
HTTP/1.1 200 OK
Date: Tue, 01 Mar 2005 11:41:36 GMT
Server: Apache/1.3.33 (Unix)
Last-Modified: Tue, 01 Mar 2005 11:22:32 GMT
ETag: "4e598b-33-42245078"
Accept-Ranges: bytes
Content-Length: 51
Connection: close
Content-Type: text/html; charset=koi8-r
Если пара имя/пароль не верна, то сервер просто снова
выдаст документ-запрос 401, повторно инициируя диалог
браузера с пользователем.
После первой авторизации браузер запоминает имя и
пароль и сообщает серверу эту информацию при всех пос-
ледующих обращениях. Сервер больше не будет обраба-
тывать ошибку 401, а от пользователя не потребуется по-
вторного ввода пароля. Процесс авторизации прошёл ус-
пешно, но обратите внимание на то, что в результате не
была открыта сессия. Иллюзию непрерывной сессии созда-
ёт браузер, который фактически авторизуется при каждом
запросе. К этому существенному недостатку BA мы ещё
вернёмся.
Кроме того, практически все современные браузеры ос-
нащены менеджерами паролей и способны сохранять па-
1
Строго говоря, браузер может обратиться к серверу за графикой и другими элементами, необходимыми для отображения страницы с
сообщение 401.
2
Совсем не обязательно называть его именно так.
№5, май 2005
web
роли на жёстком диске. Если ваш браузер запомнил ваш
пароль неделю назад, то сегодня он может избавить вас и
сервер от утомительной процедуры авторизации. Читатель,
я думаю, осознаёт всю сомнительность такой «услуги» бра-
узера, ведь всю неделю пароль был подвергнут серьёзной
опасности.
Два слова о настройке
Basic Authorization
«Минусы» BA рассмотрим чуть позже, а сперва оценим глав-
ный её «плюс» – простоту настройки.
Сегодня уже трудно найти host-провайдеров, у которых
в списке предоставляемых возможностей не значилось бы
«пароллирование директорий». Воспользоваться этой воз-
можностью совсем несложно. Если вы захотели ограничить
доступ к определённой директории (и всем вложенным в
неё), достаточно разместить в ней файл .htacess примерно
следующего содержания:
AuthName "How about authorization?"
AuthType Basic
Require valid-user
AuthUserFile /ïóòü/ê/ôàéëó/.htpasswd
или добавить подобные команды в имеющийся .htaccess.
Смысл и назначение этих директив достаточно очевидны.
AuthName задаёт строку, которую браузер должен показать
пользователю при запросе имени и пароля. AuthType зада-
ёт тип авторизации (Basic). Директива Require способна вы-
полнять различные проверки легальности доступа Здесь
вы видите её элементарное применение: мы потребовали,
чтобы посетитель был зарегистрированным пользователем.
Точнее, мы потребовали, чтобы посетитель получил дос-
туп к файлам только в том случае, если он успешно про-
шёл процедуру авторизации. Директивой AuthUserFile ука-
зываем файл с паролями.
Файл с паролями .htpasswd2 создаётся и дополняется
утилитой htpasswd, входящей в дистрибутив Apache. Рас-
полагать его безопаснее вне дерева каталогов, доступных
по HTTP.
Я не сказал ещё про одну Auth-директиву – это Auth-
GroupFile. С её помощью можно задать файл, описываю-
щий группы пользователей. К сожалению, информация о
группе пользователя может быть использована только в ди-
рективе Require. Поэтому разбиение пользователей на груп-
пы практически ничем не расширяет возможности админи-
стратора и используется редко.
Защитить паролем можно директорию и с HTML-доку-
ментами, и с CGI-скриптами, и даже с графикой. Одним
словом, абсолютно любую директорию, доступную через
Web.
Есть ещё одна инструкция, к которой мы сегодня обра-
тимся, хотя она и не относится напрямую к авторизации.
Если добавить в .htaccess строку:
ErrorDocument 401 /ïóòü/äîêóìåíò_èëè_ñöåíàðèé
89
 web
то указанный документ (или результат работы указанного
сценария) будет высылаться с ответом 401. Пользователь,
как вы помните, увидит этот документ, если откажется от
авторизации3.
Уязвимости Basic Authorization
Итак, BA страдает практически всеми возможными уязви-
мостями, какие только можно придумать.
Передача открытого пароля
Как вы видели, пароль и имя пользователя передаются не-
шифрованными (base64-кодирование никак нельзя назвать
защитой). Более того, секретная информация оснащена
весьма броской «меткой» – текстом «Authorization», кото-
рую легко найти в общем потоке данных. Кроме того, если
злоумышленник не смог вычленить из трафика пароли с
первой попытки, то ему будут предоставлены новые и но-
вые возможности, ведь имя и пароль передаётся при каж-
дом запросе. Вам остаётся только надеяться, что ваш тра-
фик никто не анализирует. К счастью, большинство пользо-
вателей Интернета не имеет возможности просмотра ва-
шего трафика.
Защита от перехвата
Можно ли защититься от перехвата? Нет4! По крайней мере
до тех пор, пока вы остаётесь в рамках протокола HTTP и
механизма BA.
Возможность подбора пароля
Как видите, BA не предоставляет никаких средств, ограни-
чивающих количество неудачных попыток авторизоваться.
То есть злоумышленник может сколько угодно подбирать
пароль. Хуже всего то, что перебором может заняться лю-
бой пользователь Интернета. Конечно, не факт, что он от-
гадает ваш пароль, но, когда одновременно подбор ведёт
множество «агентов», опасность взлома, как вы понимае-
те, умножается, даже если шансы каждого будут невелики.
Защита от подбора
Этот недостаток можно частично скомпенсировать, и здесь
нам поможет директива ErrorDocument. С её помощью мож-
но назначить CGI-скрипт ответственным за обработку ошиб-
ки 401. Например:
ErrorDocument 401 /cgi-bin/401.cgi
Самая простая мера, которую можно реализовать та-
ким образом, – это ведение протокола автризаций. Жур-
нал не избавит вас от атак, но вы хотя бы будете знать о
них и об их источнике. А знание – сила.
Конечно, вы можете возразить, что всю необходимую
информацию можно собирать в log-файлы сервера. Это так.
Пользуясь этими файлами, несложно обнаружить попытки
подбора пароля, если у вас один посетитель в день, он один
3
Или, если его браузер не поддерживает авторизацию, что практически невероятно.
4
Строго говоря, вы можете защитить пароль, реализовав обмен по протоколу SSL и, защитив всю передаваемую информацию.
5
Конечно, это справедливо, даже если на стороне клиента используется не обычный браузер, а некое специальное средство для взлома,
имитирующее работу браузера.
90
пытается ломать защиту, и вы просматриваете статистику
каждый день. Если же в день ваш ресурс посещают сотни
пользователей, а попытки взлома случаются раз в год, жур-
налы (хуже! – лишь выжимки из них) вы просматриваете
примерно с такой же периодичностью, то обнаружить зло-
умышленников довольно трудно. Кроме того, на многих хо-
стингах у владельца нет возможности просматривать log-
файлы или управлять их форматом. А используя CGI-сце-
нарий, можно не только вести журнал, но и, скажем, фор-
мировать e-mail-сообщения администратору в «подозри-
тельных» случаях.
Вот простой пример CGI-сценария, написанного на shell.
Он ведёт простой протокол, отмечая в журнале время и имя
пользователя при каждой попытке авторизоваться.
#!/bin/sh
echo $REMOTE_ADDR ${REMOTE_USER:-nouser} `date` >>401.log
cat <<'TEXT'
Content-Type: text/html
<html>
<head><title>401</title></head>
<body><h1>Auth. Req.</h1></body>
</html>
TEXT
Команда echo добавляет строку в журнал, а cat выдаёт
на стандартный вывод минимальный заголовок и тело HTTP-
ответа.
Этот элементарный пример я привёл здесь не столько,
чтобы обогатить человечество ещё одним полезным CGI-
сценарием, сколько для того, чтобы обсудить два важных
аспекта.
Во-первых, обратите внимание на использование пере-
менной REMOTE_USER. Если эта переменная определена,
то конструкция ${REMOTE_USER:-nouser} эквивалентна
значению $REMOTE_USER, в противном случае вся конст-
рукция эквивалентна строке «nouser» (о работе с перемен-
ными в shell см. man 1 sh).
При первом обращении клиента к серверу, когда
Authorization-информация ещё не передаётся браузером,
переменная REMOTE_USER не будет определена. Но если
пользователь ввёл неверные данные – попытка авториза-
ции была, но потерпела неудачу – то наш сценарий будет
вызван повторно, а в переменной REMOTE_USER будет
находиться имя, под которым пользователь пытался авто-
ризоваться (даже если учётной записи для такого пользо-
вателя вовсе не существует).
Это, кстати, делает возможным определить причину
ошибки 401 и разделить случаи, когда пользователь пыта-
ется войти в систему впервые и когда он делает повторную
попытку5.
Таким образом, наш простой пример заносит в прото-
кол не только информацию о попытках авторизоваться, но
и имена, под которыми не удалось авторизоваться. Это
позволяет легко заметить, что кто-то занимается перебо-

ром. Если пользователь успешно авторизовался с первого
раза, то в протоколе останется только запись о «nouser». В
«боевых условиях» такие записи не представляют большой
ценности, но при отладке они могут быть весьма полезны.
Во-вторых (и это, конечно, недоработка), обратите вни-
мание на то, что мы в сценарии не проанализировали при-
чину его вызова. Кроме того, мы не позаботились о стату-
се, который возвращает наш сценарий. Если скрипт будет
вызван в результате действия нашей директивы Error-
Document, то код ответа сохранится без изменений – 401.
Но никто не мешает запустить этот сценарий не как обра-
ботчик ошибки, а напрямую, просто по его непосредствен-
ному адресу (например, http://host/cgi-bin/401.cgi). Тогда
клиенту будет возвращён тот же документ с обычным ко-
дом 200. Обратите внимание, тот же сценарий, что возвра-
щал ошибку-запрос с кодом 401, теперь вернул код 200.
Это произошло потому, что сам сценарий никак не влияет
на возвращаемый код, и сервер выставляет код ответа на
своё усмотрение. Такие вызовы будут ошибочно зарегист-
рированы в протоколе.
Конечно, в реальных условиях наш сценарий должен
был бы проанализировать обстоятельства вызова. При пер-
вом обращении, без сообщения Authorization-информации,
скрипт получает в своё распоряжение обычный набор
REDIRECT-переменных: REDIRECT_REQUEST_METHOD,
REDIRECT_STATUS, REDIRECT_URL, говорящие о том, что
скрипт вызван не напрямую. При повторном вызове, в слу-
чае провала предыдущей попытки авторизоваться, скрипт
получает вдобавок к упомянутым ещё две переменные:
AUTH_TYPE, которая, конечно, равна «Basic», и REMOTE_
USER с именем «неудачника».
При простом, непосредственном, вызове сценария все
перечисленные переменные просто не будут созданы.
Приведу пример shell-скрипта, анализирующего эти си-
туации:
#!/bin/sh
if [ ${REDIRECT_STATUS:-)} = 401 ]
then
echo $REMOTE_ADDR ${REMOTE_USER:-nouser} `date` >>401.log
if [ ${REMOTE_USER:-D} != D ]
then
mess='×òî-òî âû çà÷àñòèëè íåóäà÷íî àâòîðèçîâàòüñÿ!'
else
mess='Îøèáêà! (ïåðâàÿ)'
fi
else
mess='Òàê ýòîò ñêðèïò âûçûâàòü íåëüçÿ'
fi
echo "Content-Type: text/html
<html>
<head><title>$mess</title></head>
<body><h1>$mess</h1></body>
</html>"
Как видите, теперь мы различаем три случая:
! первая попытка авторизоваться;
! не первая попытка авторизоваться;
! вызов скрипта напрямую, вернее, вызов не для обра-
ботки ошибки 401.
Но давайте не будем увлекаться. Подобные проверки
необходимы, забывать про них нельзя, но они элементарно
№5, май 2005
web
организуются на любом языке программирования и не зас-
луживают пристального внимания. Во всех последующих
примерах я, для компактности, не буду их делать, предпо-
лагая, что вы при необходимости добавите соответствую-
щий код.
Приводя соображения о возможности подмены стату-
са, я хотел подвести вас к следующему вопросу: что про-
изойдёт, если обработчик ошибки 401 вернёт не код 401?
Вот пример такого обработчика:
#!/bin/sh
cat <<'TEXT'
Status: 200
Content-Type: text/html
<html>
<head><title></title></head>
<body><h1>âû íå àâòîðèçîâàëèñü è
íå àâòîðèçóåòåñü</h1></body>
</html>
TEXT
Озадачены? В общем-то, не произойдёт ничего неожидан-
ного. Давайте проследим всю цепочку событий. Когда не-
авторизованный пользователь обратится к серверу, про-
изойдёт ошибка 401. Следуя инструкции ErrorDocument,
сервер вызовет наш сценарий, который подменит код 401
на код 200 и выдаст обычный документ. Браузер получит
его и отобразит, оставаясь в полном неведении, что про-
изошло на самом деле на сервере. Пользователю не удас-
тся получить доступ к засекреченной области, но и диало-
га для ввода пароля он не получит. Обращаясь к любому
документу, пользователь будет получать только результат
работы вашего скрипта (который в свою очередь тоже мо-
жет организовать перенаправление). Мы заблокировали
для пользователя возможность авторизации.
Этот короткий скрипт может пока послужить только для
весьма сомнительной защиты. Использовать его можно
только как-нибудь так: сперва защитить директорию; по-
том авторизоваться, указав браузеру запомнить имя и па-
роль; и подключить в качестве обработчика ошибки 401 наш
скрипт. Всё! Больше диалога для ввода пароля никто не
увидит, и только вы сможете пользоваться ресурсом, так
как вам вводить имя и пароль больше не потребуется (пока
ваш браузер их помнит). Такой подход хоть и имеет право
на существование, но смотрится диковато. Тем более что
правильнее было бы сказать не «вы имеете доступ к ре-
сурсу», а «любой человек, воспользовавшийся вашим «за-
говорённым» браузером, имеет доступ к ресурсу». Это, как
вы понимаете, не одно и то же.
Тем не менее все высказанные идеи можно объединить
и развить, придав им более «товарный вид».
Следующий сценарий также является обработчиком
ошибки 401. Он разрешает авторизацию не чаще, чем раз
в десять секунд. Он уже написан на Perl, и является гибри-
дом двух предыдущих shell-скриптов.
#!/usr/bin/perl
use strict;
my $LOGFILE='401.log';
my $lastlog = $^T-(stat $LOGFILE)[9];
if ($lastlog > 10) {
91
 web
my $log=$ENV{'REMOTE_ADDR'}.
($ENV{'REMOTE_USER'} or 'nouser').
localtime($^T)."\n";
$log.=join('', map {" $_ $ENV{$_}\n"} sort keys %ENV);
open F, '>>'.$LOGFILE or die;
print F $log;
close F;
# Ýòîò äîêóìåíò áóäåò âûñëàí åù¸ äî òîãî,
# êàê ïîëüçîâàòåëü ââ¸ë ïàðîëü!
print <<'TEXT';
Content-Type: text/html
<html>
<head><title>Äîêóìåíò 401</title></head>
<body><h1>Äîñòóï çàêðûò</h1>
<p>Ìîæíî áûëî àâòîðèçîâàòüñÿ, íî âû
äîïóñòèëè îøèáêó ïðè íàáîðå ïàðîëÿ
èëè èìåíè. Òåïåðü ðåãèñòðàöèÿ
çàáëîêèðîâàíà íà 10 ñåêóíä.</p></body>
</html>
TEXT
} else {
# ýòîò äîêóìåíò ïîëüçîâàòåëü óâèäèò:
# - è åñëè íå âîâðåìÿ ïðèø¸ë
# - è åñëè ââ¸ë íåïðàâèëüíûé ïàðîëü
# àíàëèçèðóéòå $REMOTE_USER äëÿ ðàçäåëåíèÿ ýòèõ ñèòóàöèé
print <<'TEXT';
Status: 200
Content-Type: text/html
<html>
<head><title>Äîêóìåíò 200</title></head>
<body><h1>Äîñòóï âîîáùå çàêðûò</h1>
<p>Âû íå ìîæåòå àâòîðèçîâàòüñÿ âîîáùå.
Ïîäîæäèòå 10 ñåêóíä.</p>
</body>
</html>
TEXT
}
Как видите, этот сценарий тоже ведёт протокол. По дате
последней модификации log-файла мы определяем, давно
ли была последняя попытка авторизоваться6.
Если последняя попытка была более десяти секунд на-
зад, то в протокол заносится ещё одна запись, а пользова-
телю выдаётся документ с кодом 401. То есть мы даём
пользователю возможность вести имя и пароль. Если пос-
ледняя авторизация была менее десяти секунд назад, то
клиенту выдаётся код 200.
Вы, наверно, уже заметили, что у нашего сценария есть
большой изъян. (Не говоря о том, что он не выполняет про-
верку причины запуска.) После того, как авторизовался
один пользователь, на десять секунд право авторизации
теряет и он, и все остальные пользователи. Избавиться от
этого гораздо труднее, чем может показаться на первый
взгляд, потому что нам приходится принимать решение о
допустимости авторизации ещё до того, как мы получим
имя пользователя. И, напротив, после того, как сервер по-
лучил имя пользователя, наш скрипт запускаться уже не
будет (если имя и пароль верны).
Использовать в этой ситуации IP-адреса или cookie не
только ненадёжно, но и сложно. Ненадёжно потому, что
разные пользователи могут приходить c одного IP-адреса,
а cookie могут быть отключены (что, конечно, можно про-
верить, но только ценой дополнительных усложнений) или,
хуже того, фальсифицированы. А сложно потому, что об-
рабатывать эти адреса и cookie должно нечто, не связан-
ное с обработкой ошибки 401, нечто, работающее с уже
авторизованным пользователем. То есть вам придётся са-
мостоятельно реализовать скрипт, модуль сервера, или
6
Конечно, это далеко не лучший способ; здесь он используется только благодаря своей предельной простоте.
92
иное средство, выдающее ответы 200 и сами документы.
Но тогда это ваше средство должно проверять, авторизо-
вался ли пользователь. Как видите, мы пришли к тому, что
вам придётся реализовать всю (или практически всю) фун-
кциональность сервера. Но если платить такую цену, то не
за базовую же авторизацию. Тогда уж лучше сделать что-
нибудь понадёжнее.
К счастью, во многих случаях у ресурса есть только один
администратор (пользователь). Тогда указанная некоррек-
тность не играет роли.
Но это ещё не беда. Настоящая проблема состоит в том,
что выдача кода 200 – это, на самом деле, не совсем блоки-
ровка авторизации. Мы просто лишаем пользователя воз-
можности ввести имя и пароль. Злоумышленник по-прежне-
му сможет практически беспрепятственно перебирать паро-
ли, создавая запросы искусственно (не с помощью браузе-
ра) и варьируя информацию в поле Authorization. Конечно,
ответы нашего сервера (особенно с кодом 200) могут силь-
но затруднить работу супостата, но вряд ли мы сможем по-
ставить врагу действительно существенный заслон.
Мы снова получили защиту от честных людей, хотя и
усовершенствованную.
Невозможность «разлогиниться»
Разработчик веб-ресурса никак не может заставить брау-
зер забыть пароль и имя пользователя. За этим стоит тоже
сама природа протокола HTTP: сервер не может заставить
клиента выполнить какие-то действия. Сервер может толь-
ко рекомендовать, но для BA и такой возможности не пре-
дусмотрено.
Может показаться, что существуют возможности заста-
вить браузер забыть пароль или заменить его на новый,
неправильный. Например, можно выслать ещё раз ответ
401, созданный искусственно, и дать пользователю возмож-
ность ввести что угодно, заставив браузер «забыть» под-
линную информацию. Но ни к чему хорошему это не приве-
дёт. Если пользователь уже авторизовался, то на любой
ответ 401 браузер не обращается к пользователю и не пы-
тается изменить пароль, а просто повторяет запрос, высы-
лая прежние имя и пароль.
Резюме
Надеюсь, что теперь вам будет легче взвесить все «за» и
«против», когда в следующий раз доведётся оценивать бе-
зопасность того или иного решения. Вы видите, что, несмот-
ря на возможность многих косметических улучшений, фак-
тически, ни одно из слабых мест BA закрыть не удаётся в
принципе. Однако, принимая окончательное решение, будь-
те снисходительны. Помните, что BA – проверенный и на-
дёжный (в известном смысле) механизм. Кроме того, его
настройка очень проста. Не факт, что созданный вами соб-
ственный аппарат защиты не будет обладать изъянами, не-
взирая на все труды, которые придётся в него вложить. Од-
ним словом, я назвал здесь много «против», но не забывай-
те и про «за» – простоту и безотказность. Два эти довода
способны перевесить все «против», что подтверждается по-
всеместным использованием BA, невзирая ни на что.
 книжная полка
Windows server. Qt
Трюки профессиональное
Митч Таллоч программирование
Перед вами перевод книги из- на C++
дательства O'Reilly «Windows Макс Шлее
server hacks». Материал изло- Книга является подробнейшим
жен в небольших статьях, руководством к кроссплатфор-
объединенных в тематичес- менной библиотеке Qt. В ней
кие группы. Основные темы автор показывает, что с помо-
книги: общее администриро- щью Qt можно создавать как
вание, Acvtive Directory, уп- графические интерфейсы, так
равление пользователями, и писать достаточно сложные
сетевые службы файлы и программы. Подробно рас-
принтеры, ISS, установка си- смотрены вопросы программи-
стемы, безопасность, управление обновлениями, резерв- рования графики (растровые изображения, анимация, шриф-
ное копирование и восстановление. После прочтения кни- ты, OpenGL), звука, таймера, многопоточности, XML. Отдель-
ги вы сможете эффективно иcпользовать AD для упроще- ные главы посвящены написанию приложений для баз дан-
ния своей работы, управлять сетевыми ресурсами и таки- ных и сетей. И, конечно же, рассматриваются вопросы со-
ми службами, как DHCP, DNS, WINS. А также удаленно раз- здания различных интерфейсов. Затронут вопрос разработ-
вертывать ОС на компьютерах в рамках локальной сети с ки собственных элементов управления. Книгу можно поре-
помощью RIS и Sysrep, результативно использовать ASR комендовать широкому кругу читателей – повествование
для создания резервных копий и восстановления всей сис- начинается с азов (с «Hello, world!»), поэтому даже «нович-
темы. Кроме этого в книге описаны методы упрощения по- ки» смогут быстро освоиться. Большое количество приме-
вседневной работы администратора при помощи сценари- ров поможет наилучшим образом усвоить материал. На при-
ев и средств автоматизации. Книгу можно порекомендовать лагаемом диске вы найдете исходные коды примеров из кни-
администраторам Windows. ги и библиотеку Qt для ОС Windows и Linux.
Издательство «Питер», 2005 г. – 318 стр. ISBN5-469-00288-8 Издательство «БХВ-Петербург», 2005 г. – 544 стр.
(ориг. ISBN 0-596-00647-0). ISBN 5-94157-566-1.

Sendmail. Apache Tomcat

Настройка для
и оптимизация профессионалов
Ник Кристенсон Амит Бакор и др.
Эпиграфом к книге может Коллектив специалистов
послужить фраза, сказан- из 9 человек написал эту
ная Эриком Оллманом (со- книгу для профессиона-
здателем Sendmail): «Эта лов, работающих с Java-
книга великолепна». В из- веб-приложениями. В ней
дании рассмотрен широкий приведены сведения о
круг вопросов: введение в веб-сервере Tomcat (вер-
программу sendmail, на- сии 3.x и 4.x) – установка,
стройка режимов ретранс- конфигурирование, архи-
ляции почты (описаны воп- тектура, вопросы, связан-
росы синхронизации, файловых систем, пространства на ные с безопасностью. Рассмотрены различные коннекторы
дисках), приема электронной почты (системы дисковых за- веб-сервера (WARP, AJP), которые служат для интеграции
поминающих устройств и накопителей, особенности прото- Tomcat с Apache, рассказано, каким образом организовать
колов pop и imap) и рассылки электронной почты (создание подключения к базам данных через JDBC. Отдельные главы
списков рассылки, управление очередями). Вы также узнае- посвящены созданию массового виртуального хостинга при
те о методах поиска и устранения «узких» мест в системе, помощи Tomcat, тестированию и распределению нагрузки
формировании потока сообщений и тестировании. Не оста- сервера. Также вы узнаете об автоматической компоновке
лись без внимания вопросы безопасности и архитектуры веб-приложений при помощи Ant, научитесь профессиональ-
программы. Книгу, несомненно, можно посоветовать всем но вести журнал, используя для этого Log4J. Изложение ма-
без исключения людям, занимающимся администрировани- териала сопровождается большим количеством примеров.
ем почтового сервера на базе sendmail. Главной ценностью Книга рассчитана на специалистов, знакомых с Java, имею-
изложенного материала является то, что это не просто ин- щих представление о базах данных, XML, HTML.
формация в стиле HOWTO, а скорее «житейские» заметки и Издательство «КУДИЦ-ОБРАЗ», 2005 г. – 544 стр.
выводы, сделанные из личного опыта автора. ISBN 5-9579-0075-3 (ориг. 1-86100-773-6).
Издательство «КУДИЦ-ОБРАЗ», 2004 г. – 272 стр. Рубрику ведет
ISBN 5-93378-093-6 (ориг. 0-321-11570-8). Александр Байрак

№5, май 2005 93

 bugtraq
Выполнение произвольных команд
в Open WebMail
Программа: Open WebMail версии до 2.51 20050430
Опасность: Низкая.
Описание: Уязвимость существует при обработке входных
данных в некоторых параметрах, которые передаются фун-
кции Perl open(). Удаленный пользователь может с помо-
щью специально сформированного значения выполнить
произвольные команды на целевой системе с привилегия-
ми пользователя.
URL производителей: www.openwebmail.org.
Решение: Установите обновление от производителя.
Повышение привилегий и отказ
в обслуживании в IBM HTTP Server
Программа: IBM HTTP Server 1.3.26.x.
Опасность: Низкая.
Описание: Переполнение буфера существует в модуле
mod_include при обработке длины тегов в SSI-документах.
Локальный пользователь может создать специальным об-
разом SSI-документ и вызвать отказ в обслуживании или
выполнить произвольный код с повышенными привилегия-
ми на системе.
URL производителей: www-1.ibm.com.
Решение: Установите исправление от производителя.
SQL-инъекция и межсайтовый скриптинг
в PunBB
Программа: PunBB 1.2.4 и более ранние версии.
Опасность: Средняя.
Описание: Уязвимость существует при обработке входных
данных при изменении e-mail пользователя. Удаленный
пользователь может выполнить произвольные SQL-коман-
ды на уязвимой системе.
Межсайтовый скриптинг возможен из-за недостаточной
фильтрации входных данных в некоторых сообщениях. Уда-
ленный пользователь может с помощью специально сфор-
мированного сообщения выполнить произвольный HTML-
сценарий в браузере жертвы в контексте безопасности уяз-
вимого сайта.
Пример/Эксплоит: www.securitylab.ru/53935.html.
URL производителя: www.punbb.org.
Решение: Установите последнюю версию (1.2.5) с сайта
производителя.
Обход ограничений безопасности
в libsafe
Программа: libsafe 2.0.16.
Опасность: Средняя.
Описание: Уязвимость существует в функции _libsafe_stack-
VariableP() в многопотоковых приложениях. Злоумышлен-
ник может обойти ограничения фильтрации libsafe и пере-
записать данные в стеке.
URL производителя: http://www.research.avayalabs.com/
project/libsafe.
Решение: Способов устранения уязвимости не существует
в настоящее время.
94
Повышение привилегий
и отключение аудита в Oracle
Программа: Oracle Database 9i/10g.
Опасность: Низкая.
Описание: Уязвимость позволяет удаленному авторизован-
ному пользователю повысить свои привилегии в СУБД и
отключить Fine-Grained-Auditing для всех пользователей.
1. Уязвимость связана с тем, что Fine-Grained-Auditing не
работает, когда пользователь SYS делает запрос
SELECT.
2. После выполнения dbms_scheduler-job Oracle использу-
ет пользователя SYS в качестве SESSION_USER, что
может позволить злоумышленнику повысить свои при-
вилегии в VPD (Virtual Private Database) и OLS (Oracle
Label Security).
URL производителей: www.oracle.com.
Решение: Установите обновление от производителя.
Повышение привилегий в ядре Linux
при обработке дескрипторов pktcdvd
и rawdevice ioctl
Программа: Linux kernel 2.6 – 2.6.12-rc4.
Опасность: Низкая.
Описание: Уязвимость обнаружена в файле drivers/block/
pktcdvd.c из-за некорректной обработки некоторых входных
данных в дескрипторах блочных устройств rawdevice и
pktcdvd. Локальный пользователь может с помощью спе-
циально сформированного параметра обойти ограничения
страницы пользовательского пространства (user space limit),
перезаписать данные ядра и вызвать отказ в обслужива-
нии или выполнить произвольный код на целевой системе.
Пример/Эксплоит: http://www.securitylab.ru/54690.html.
URL производителей: www.kernel.org.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
SQL-инъекция и межсайтовый скриптинг
в Invision Power Board
Программа: Invision Power Board 2.0.3 и более ранние вер-
сии.
Опасность: Средняя.
Описание: SQL-инъекция существует из-за недостаточной
обработки данных в сценарии sources/login.php. Удаленный
пользователь может с помощью специально сформирован-
ного файла куки выполнить произвольные SQL-команды в
базе данных приложения при выключенных Magic_quotes_
gpc в конфигурационном файле php.
Отсутствует проверка входных данных при отображе-
нии результатов поиска в параметре highlite сценария
sources/topics.php. Удаленный пользователь может с помо-
щью специально сформированного файла куки выполнить
произвольный HTML-сценарий в браузере жертвы в контек-
сте безопасности уязвимого сайта.
URL производителей: http://invisionpower.com.
Решение: Установите исправление от производителя.
Составил Александр Антипов

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенкла-
туры АРЗИ:
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
подписка на II полугодие 2005
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарья-
на, 22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29)
и АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»

№5, май 2005 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№5(30), Май, 2005 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редакторы
Андрей Бешков
Валентин Синицын
Алексей Барабанов
Михаил Платов
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Константин Меделян
reсlama@samag.ru
Верстка и оформление
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
По вопросам распространения
обращайтесь по телефону:
(095) 928-8253 (доб. 120)
107045, г. Москва,
Ананьевский переулок, дом 4/2 стр. 1
тел./факс: (095) 928-8253
Сайт журнала: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 8400 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств мас-
совых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002 г.)
За содержание статьи ответствен-
ность несет автор. За содержание рек-
ламного обьявления ответственность
несет рекламодатель. Все права на
опубликованные материалы защище-
ны.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
Asterisk и Linux: свободное время и желание зарабаты-
миссия IP-телефония вать больше. Однако смена работы в
В прошлый раз мы познакомились с те- ближайшие планы не входит, а рабо-
оретическими основами IP-телефонии. тодатель не в состоянии увеличить
Теперь самое время заняться вещами зарплату. Лучший вариант в этой си-
более «приземленными», а именно – туации – искать дополнительные ис-
практическим изучением возможнос- точники дохода. Как найти еще одну
тей одного из cамых популярных Open работу по специальности со свобод-
Source продуктов IP-телефонии – ным графиком? Как результативно
Asterisk PBX. Мы рассмотрим архитек- провести переговоры с потенциальным
туру системы, основные файлы конфи- заказчиком? Как достичь того, чтобы
гурации и несколько полезных приме- работодатели находили вас сами? Сво-
ров определения номерного плана. В им практическим опытом делится ав-
процессе изучения преимущественно тор статьи.
будут использоваться Open Source и
Freeware программные продукты. Используем пакет
ImageMagick
Взлом без проводов в веб-разработке
Беспроводные сети активно проника- Работа с готовыми изображениями – за-
ют в нашу жизнь, принося с собой не дача достаточно распространенная в
только удобство, но и проблемы безо- веб-программировании. Построение
пасности. Интенсивность взломов ра- обычной веб-галереи требует создания
стет с каждым днем, но технические уменьшенных копий картинок, компрес-
подробности остаются за кадром и не сии, конвертации формата, возможно,
разглашаются. Хотите знать, как хаке- и некоторых других действий по их об-
ры проникают в беспроводные сети и работке. Для подобных задач широко
как этому противостоять? Главным об- применяется библиотека GD, имеющая
разом мы будем говорить о семействе в арсенале своей второй версии GD2
протоколов IEEE 802.11b/g (более из- довольно внушительный список функ-
вестном как WLAN). Статья ориенти- ций. Она имеет широкие возможности,
рована на кодокопателей, имеющих но качество результирующих изображе-
опыт программирования в LINUX и уме- ний часто оставляет желать лучшего.
ющих держать паяльник в руках. Кроме того, с такими задачами, как из-
менение пропорций, «обрезка» изобра-
Системный администратор – жения, манипуляции с цветами, встав-
ищем дополнительные ка другого рисунка, работать хоть и воз-
источники дохода можно, но крайне неудобно. Для подоб-
Ваша сеть отлажена и работает как ных действий идеально подходит пакет
швейцарские часы. У вас появилось ImageMagick.
Уважаемые читатели!
Спешите оформить подписку
на второе полугодие 2005 года!
Приобрести новые и старые номера журнала
вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
Доставка почтой в любую точку России.