Так видит журнал читатель, который забыл оформить подписку:

№5(30) май 2005

подписной индекс 81655

СЬ
www.samag.ru

ЛИ
Почему MS SQL медленно работает?
Ищем причины
ЛИ
ТЯ Е

Ж ПИ
Строим защищенную беспроводную сеть:
ЗА ДНИ

WPA-Enterprise, 802.1x EAP-TLS

НУ

РА КУ
Настраиваем UPS под Linux
ЛЫ ГО

ТИ РАС
Как восстановить
удаленные файлы под BSD
К У ВО

Что важно знать об IP-телефонии

№6(43) июнь 2006

О
танавливаем Symantec Antivirus 9.0
НИ НО

ТР
в корпоративной сети
Эффективно управляем

С
подписной индекс 20780
полями пользователей в AD

БЫ
Контролируем безопасность сети
с помощью OSSIM
КА

Интервью с Ларри Уоллом –

создателем языка Perl
www.samag.ru

Быть или не быть

№6(43) июнь 2006

И
ЬГ
ЬД О
РА СКА
ТЕ
К

ИС НН
ЕН
зарубежному софту в России?
УС

БО
НА ТПУ

ИЛ ДА
ТП

НЧ ЖИ
ВО

РА Е О

КО НЕО
АВ СЛ
Л

Л
ХА

ПО

Современный Linux-сервер:
УЕ

ЗА
виртуализируем сеть

Так видит журнал читатель, оформивший подписку: Создаем зоны DNS

№5(30) май 2005
подписной индекс 81655
www.samag.ru

Почему MS SQL медленно работает?

Технология AJAX:
как насчет безопасности?
Ищем причины
Строим защищенную беспроводную сеть:
WPA-Enterprise, 802.1x EAP-TLS
Настраиваем UPS под Linux
Как восстановить
удаленные файлы под BSD
Что важно знать об IP-телефонии
танавливаем Symantec Antivirus 9.0

Переключи драйвер NTFS

в корпоративной сети
Эффективно управляем
полями пользователей в AD
Контролируем безопасность сети
с помощью OSSIM

в режим read-write
Интервью с Ларри Уоллом –
создателем языка Perl

Настраиваем безопасный
роутер на базе FreeBSD
Пишем систему
динамической защиты
ресурсов в сети
ПОДПИШИТЕСЬ И ЧИТАЙТЕ! Первый раз в Linux-класс!
Роспечать – 20780, 81655 Оппонент мистера Гейтса
Пресса России – 87836
Интер-почта – тел. (495) 500-00-60
 оглавление
3 ТЕНДЕНЦИИ WEB
РЕПОРТАЖ 46 Технология AJAX:
как насчет безопасности?
4 PHP – это мой путь решать Появление новых технологий почти всегда приводит
возникающие в Web задачи к снижению уровня безопасности. Как обстоят дела
Итоги конференции «Современные технологии эф- с AJAX? Сергей Яремчук
фективной разработки веб-приложений с использо- grinder@ua.fm
ванием PHP». Дмитрий Горяинов
dg@webclub.ru БЕЗОПАСНОСТЬ
АНАЛИТИКА 50 Настраиваем безопасный роутер
на базе FreeBSD
6 Быть или не быть Как увеличить безопасность FreeBSD, работающей
зарубежному софту в России? в качестве маршрутизатора между локальной сетью
В июне Госдума поставит точку в нашумевшей истории и Интернетом? Василий Озеров
с запретом импортного программного обеспечения. fr33man@fr33man.ru
Ольга Максимович
maksim@ug.ru 56 Пишем систему динамической защиты
ресурсов в сети
АДМИНИСТРИРОВАНИЕ Аудит журналов безопасности операционной системы –
неотъемлемая часть вашей работы. Если обнаружены
10 Современный Linux-сервер: попытки проникновения, на них необходимо немедлен-
виртуализируем сетевые устройства но отреагировать. Андрей Бирюков
Переведя сетевые подключения в категорию виртуаль- mex_inet@rambler.ru
ных, можно значительно упростить их обслуживание
и предусмотреть многие внештатные ситуации. 62 Техника снятия дампа с защищенных
Алексей Барабанов приложений
alekseybb@mail.ru В предыдущей статье мы прошли сквозь распаковщик
и теперь нам необходимо снять дамп. Существует мно-
18 Как работает Sendmail? жество утилит для этой цели, но далеко не всегда по-
Полезные подробности. Часть 2 лученный дамп работоспособен. Крис Касперски
Одна из сильных сторон Sendmail – функциональная kk@sendmail.ru
мощь программы. Но запрятана она порой в дальних
уголках конфигурационных файлов. ОБРАЗОВАНИЕ
Сергей Супрунов
amsand@rambler.ru 70 Первый раз в Linux-класс!
Программы обучения и сертификации.
26 Переключи драйвер NTFS Андрей Маркелов
в режим read-write andrew@markelov.net
С помощью Captive (первой полнофункциональной Open
Source-реализации NTFS-драйвера) вы можете монти- 74 Linux в школе?
ровать Windows-разделы и записывать на них данные Проблемы использования Linux в учебных заведениях.
без опасения их потерять. Антон Ананич Сергей Яремчук
anton.ananich@gmail.com grinder@ua.fm

30 Централизованно меняем пароли 78 Дистрибутив Edubuntu: специально

локального системного администратора для школ
Автоматизация этого процесса значительно снизит за- Обзор дистрибутива.
траты на администрирование. Иван Коробко Сергей Яремчук
ikorobko@prosv.ru grinder@ua.fm

ЧЕЛОВЕК НОМЕРА HARDWARE

34 Оппонент мистера Гейтса 82 Волшебство с паяльником в руках
Сообщество разработчиков свободных программ в Рос- Хороший системный администратор не только зна-
сии возникло во многом благодаря Алексею Смирно- ет тонкости операционной системы, но и умеет обра-
ву, генеральному директору ALT Linux, и его коллегам. щаться с паяльником. Крис Касперски
Оксана Родионова kk@sendmail.ru
rodion@dol.ru
РЕТРОСПЕКТИВА
СЕТИ
86 Надежда умирает последней:
38 Создаем зоны DNS история компании SGI. Часть 3
Создать, настроить и запустить DNS-сервер для не- Дмитрий Мороз
большого предприятия – это не так сложно, как кажется akuji@list.ru
изначально. Достаточно пройти этот путь один раз.
Рашид Ачилов 92 КНИЖНАЯ ПОЛКА
shelton@granch.ru
33, 61, 73 BUGTRAQ

№6, июнь 2006 1


OpenDocument признан стандартом ISO/IEC
Организация международных стандартов (ISO) приня-
ла открытый формат OpenDocument (ODF) как всемир-
ный стандарт для хранения файлов, создаваемых офис-
ным программным обеспечением (для документов тексто-
вых процессоров, электронных таблиц, презентаций, ри-
сунков и т. п.).
OpenDocument стал стандартом ISO/IEC 26300, и это со-
бытие уже с энтузиазмом прокомментировали как предста-
витель Sun Саймон Фиппс (Simon Phipps), так и Луис Су-
арез-Поттс (Louis Suarez-Potts) из проекта OpenOffice.org.
«Время – сейчас, инструменты – здесь, свобода – ва-
ша», – написали в рассылке объявлений свободного офи-
са OpenOffice.org.
Алан Йейтс из Microsoft не стал скрывать отношения
своей компании к OpenDocument и открыто заявил, что
по сравнению с их новым (и тоже «открытым») форма-
том (Open XML) первый значительно уступает как в ско-
рости работы, так и в уровне документированности (чис-
ло страниц в документации по Open XML превышает от-
метку в 4000).
Энтузиасты OpenOffice.org тоже не стоят на месте
и запустили сайт why.openoffice.org для привлечения но-
вых пользователей (работающих с нелегальными копия-
ми MS Office). На ресурсе «Get Legal – Get OpenOffice.org»
подробно рассказывается о преимуществах использова-
ния свободного офиса.
тенденции
вроде Debian и Gentoo. Однако по этому случаю Ричард
Столлман (Richard Stallman) тут же высказал свое нега-
тивное отношение. Sun, по его мнению, не сделала ниче-
го полезного для сообщества Open Source: ведь она ос-
тавила Java закрытым продуктом, лишь дав потенциаль-
ную возможность для ее распространения в составе дру-
гих дистрибутивов.
Motorola запустила Open Source-портал
Motorola присоединилась ко множеству технологических
компаний, позаботившихся об открытии веб-порталов, пос-
вященных их сотрудничеству с сообществом программно-
го обеспечения с открытым кодом.
Как сообщается в пресс-релизе, цель нового ресурса,
доступного по адресу OpenSource.Motorola.com, – предо-
ставление разработчикам простого доступа к различно-
му коду, приложениям и интеллектуальной собственнос-
ти компании путем создания удобного рабочего канала
для Linux-, Java- и мобильного сообществ. «Предоставле-
ние кода в среде Open Source не только ускорит разработ-
ку ПО на платформе Motorola, но и приведет к инноваци-
ям и адаптации новых мобильных услуг и возможностей»,
полагают в Motorola.
Ресурс будет тесно сотрудничать с MOTODEV – актив-
но продвигаемой компанией инициативой, предоставляю-
щей разработчикам необходимые ресурсы, инструмента-
рий и техническую поддержку.

Sun DTrace портируют на FreeBSD Составил Дмитрий Шурупов

Брайан Кэнтрилл (Bryan Cantrill) из компании Sun в своем по материалам www.nixp.ru
блоге опубликовал сообщение о текущем статусе порти-
рования технологии DTrace в среду свободной операцион-
ной системы FreeBSD:
«Некоторое время назад я сообщал о возможности со-
здания FreeBSD-порта DTrace. Прошедшие несколько меся-
цев Джон Биррелл (John Birrell) серьезно работал над этой
задачей и недавно объявил о том, что добился функциони-
рования базовых возможностей DTrace. ... Хоть Джону еще
и нужно постараться для того, чтобы его труд можно было
назвать полноценным портом, уже то, что у него есть сей-
час, несомненно, само по себе полезно».

Sun все-таки откроет Java

Компания Sun Microsystems объявила о своем твердом на-
мерении сделать Java проектом Open Source, но пока еще
не определилась с тем, как и когда это лучше сделать.
На конференции JavaOne Рич Грин (Rich Green) испол-
нительный вице-президент компании по ПО подтвердил на-
мерение его компании открыть Java, но добавил, что пока
этот процесс испытывает некоторые трудности, среди ко-
торых обозначил проблему совместимости.
Впрочем, это не помешало Sun сообщить о передаче
сообществу Open Source своих других продуктов: Sun Java
Studio Creator, Sun Java System Portal Server, ПО для оче-
редей сообщений на базе Sun Java Message System и Web
Services Interoperability Technology.
Попутно Sun представила лицензию Operating System
Distributor’s License for Java, что должно способство-
вать появлению JRE в составе GNU/Linux-дистрибутивов

№6, июнь 2006 3

 репортаж

PHP – это мой путь решать

возникающие в Web задачи

25-26 мая в Москве прошла 5-я международная конференция «Современные технологии

эффективной разработки веб-приложений с использованием PHP». И на этот раз назвать
ее псевдомеждународной уже не получится!

В
первые Россию посетил основа- были именно бинарными или байт-ори- работке проектов для «внутреннего
тель проекта PHP Расмус Лер- ентированными). Вводится автомати- употребления» использовать исклю-
дорф (Rasmus Lerdorf) и один ческая поддержка Unicode для стро- чительно внутрипонятные (читай – на-
из активных разработчиков ядра и мо- ковых литералов. Происходит обнов- писанные иероглифами) названия пе-
дулей PHP Андрей Змиевский (Andrei ление семантики языка. Добавляется ременных и т. п. С докладом Андрея
Zmievski). поддержка преобразований кодировок Змиевского в виде тезисов можно оз-
Собственно, Андрей Змиевский в различных потоках данных. При этом накомиться на его сайте по адресу:
и стал первым докладчиком на конфе- предполагается возможность опери- http://www.gravitonic.com/talks.
ренции, рассказав о внедрении подде- ровать преобразованиями кодировок Старт конференции был дан, нача-
ржки Unicode в PHP 6. Да-да, вы не ос- для процесса выполнения скрипта, не- ло положено. Но дальше произошло
лышались. Не так уж и давно у нас по- посредственно самого скрипта; ввода- что-то странное. Выступившие вслед
явилась стабильная «пятерка», до сих вывода и файловой системы. за этим докладчики говорили не столь-
пор она еще не стала стандартом де- Возможность управления коди- ко о разработке приложений с исполь-
факто, а уже готовится версия PHP 6. ровкой скрипта (упрощенно это мож- зованием PHP, сколько о чем-то дру-
Причина довольно проста: объем внут- но представить как возможность ис- гом. Прозвучавший доклад «Автома-
ренних переработок, потребовавших- пользовать национальные символы тизация проектных задач и организа-
ся для полномаcштабной поддержки вплоть до иероглифов в названиях пе- ция цикла Build → Package → Deploy»
Unicode, таков, что провести его в ка- ременных), вызвало у аудитории впол- был, может, и интересен в качестве
честве очередного релиза версии 5 не законный вопрос: а зачем собствен- примера автоматизации сопровожде-
просто невозможно. Судите сами. но? Немного замявшись, г-н Змиевс- ния процесса разработки приложений,
Заявлена поддержка принципиаль- кий ответил, что в основном это но- но во-первых, докладчик не коснул-
но нового типа – символьной строки вовведение ориентировано на раз- ся нескольких действительно важных
Unicode и отделение типа «бинарная работчиков из стран Юго-Восточной для этого процесса тем (прежде всего –
строка» (до сих пор все строки в PHP Азии. Там, видите ли, любят при раз- проблемы получения и сборки патчей),

4
 репортаж
а во-вторых… Связь с разработкой веб- думаете Yahoo! – это огромная компа-
приложений с использованием PHP ния, у которой целое море серверов,
постепенно начала тускнеть. которые и решают все наши пробле-
Следующий доклад – «Как зара- мы с нагрузкой? Но это совсем не так!».
ботать деньги на Open Source» – про- После чего в живой и активной мане-
шел живее. В большей степени пото- ре наглядно продемонстрировал ауди-
му, что тема довольна близка аудито- тории подходы к выявлению, анализу
рии и животрепещуща. Хотя с тем же и устранению неоптимальных, ресур-
успехом этот доклад можно было про- соемких мест. Кстати, всем рекомен-
читать и на любой другой IT-конферен- дуется смотреть в сторону расширения
ции. После этого Александр Календа- APC (http://pecl.php.net/package/APC).
рев попытался рассказать о методах Следующим пунктом в докладе про-
криптозащиты в b2b веб-приложениях. звучала проблема защищенности веб-
Почему я написал «попытался»? Ну хо- приложений. В том числе рассмотре-
тя бы потому, что 60% времени Алек- но расширение Filter (http://pecl.php.net/
сандр говорил о стандартах и нормо- package/filter).
образующих документах, связанных Третьим ключевым моментом до-
с этой тематикой. По моим наблюде- клада стал разговор о PHP в приме-
ниям, большая часть аудитории, явно нении к современным тенденциям
не сталкивавшаяся с этой проблемой в веб-приложениях. Здесь речь пошла
всерьез, просто потеряла за это время об усовершенствованиях по отноше-
нить, суть и цель повествования. нию к XML, RSS-потоках и, разумеется,
В завершение первого дня прозву- о технологиях асинхронной динамичес-
чали еще два доклада. Первый был кой подкачки. В последнем случае ав-
посвящен дистрибуции PHP-прило- тор-изобретатель языка остался верен
жений с помощью PEAR Installer. Са- JSON (Java Script Object Notation) и про- Выступление Расмуса Лердорфа
мой интересной, на мой взгляд, в нем пагандируемому им расширению PHP-
была часть, посвященная PEAR-ка- JSON. В общем, настоятельно реко- ботки программных продуктов, дист-
налам и возможности использования мендую всем самостоятельно ознако- рибуции, интеграции с другими про-
специализированного сервера. Кажет- миться со слайдами, подготовленными граммными продуктами. И в меньшей
ся, помимо массы догматов, ограниче- расмусом Лендорфом для этого докла- степени о PHP и PHP для разработки
ний и всяких других штучек, призван- да (http://talks.php.net/show/phpclub). современных и эффективных веб-при-
ных усложнить жизнь всем тем, кто не Во второй день так же прозву- ложений. Язык трансформировался
успел вовремя вскочить на подножку чал доклад о применении процедур во что-то другое? Перестал удовлет-
PEAR-экспресса, эта система породи- в СУБД MySQL, Сергей Павлов из ком- ворять современным тенденциям или
ла, наконец, и что-то полезное приме- пании РБК поведал об агрегаторах стал проигрывать на рынке веб-прило-
нительно к реальной жизни. Заверша- приложений. Большой интерес вы- жений другим платформам?
ющий первый день доклад был истин- звал доклад Евгения Климова «Прак- Во второй день конференции мне
ным сыном нашего времени и назы- тика использования технологии XSLT удалось взять интервью у Расму-
вался «AJAX и основы Rich Client». в приложениях php5», который сложил- са Лердорфа и Андрея Змиевского
Разумеется, обойти тему техноло- ся не совсем удачно и из-за нехватки (интервью читайте в июльском номере
гий динамической подкачки и асинх- времени оказался скомканным и об- журнала – примеч. редакции). Я не мог
ронной загрузки, говоря о разработке резанным. удержаться и спросил г-на Лердор-
веб-приложений, сейчас попросту не- В целом конференция оставила фа о том, что он сам думает о срав-
возможно. Другое дело, что в докладе лично у меня двойственное ощущение. нениях PHP с другими языками, о ро-
прозвучал скорее верхний слой про- Тематические доклады наших гостей ли и применимости PHP? В ответ Рас-
блематики, так сказать «AJAX для са- из Yahoo! (и Расмус Лердорф, и Анд- мус очень удивился и сказал, что сам
мых маленьких». Кроме этого был дан рей Змиевский уже несколько лет ра- он об этом думает довольно мало.
некоторый обзор имеющихся в при- ботают именно там), несомненно стали «Я смотрю на Web, я думаю именно
роде библиотек, который, уже почти самым главным событием конферен- о Web. Как только возникает новая
под занавес, свелся к DOJO javascript ции и посвящались именно проблеме задача, решить которую имеющими-
toolkit. Проект уже в стадии предпро- разработки веб-приложений с исполь- ся инструментами становится невоз-
дакшен, и его можно и нужно смотреть, зованием PHP. В большинстве осталь- можно или не удобно – мы что-то до-
трогать руками и т. п. ных докладов язык, технология и тен- бавляем и меняем в PHP. Просто пото-
Второй день конференции начался денции PHP, связь PHP с Web, PHP, му, что PHP – это мой путь решать воз-
с доклада отца-основателя PHP Расму- как инструмент и платформа разра- никающие в Web задачи».
са Лердорфа. Прежде всего г-н Лер- ботки веб-приложений, как бы отош-
дорф заговорил о скорости выполне- ли на второй план. Докладчики гово- Текст: Дмитрий Горяинов
ния веб-приложений: «Вы, наверное, рили об организации процесса разра- Фото: Антон Довгаль

№6, июнь 2006 5

 аналитика

Быть или не быть

зарубежному софту
в России?

Ольга Максимович
В июне Госдума поставит точку в нашумевшей истории
с запретом импортного программного обеспечения.

Н
азвание проекта федераль- ющих стратегические отрасли и особо прежде всего попадут военный комп-
ного закона «Об информации, важные объекты Российской Федера- лекс, энергетика и транспорт.
информационных технологи- ции, запрещается использование за-
ях и защите информации» так и оста- рубежных программно-технических Цена вопроса
лось бы не столь узнаваемым для ши- средств. В другой говорится о недо- Как известно, безопасность в стране,
рокой публики, если бы не инициати- пустимости наличия в данных средс- в том числе и информационную, обес-
ва депутатов-единороссов. Геннадий твах недокументированных функций. печивают ФСБ и Федеральная служба
Гудков, член Комитета безопасности, Конкретный список объектов и отрас- по техническому и экспортному конт-
и Александр Хинштейн, зампредсе- лей, где планируется запретить зару- ролю. Кстати, в их совместной работе
дателя Комитета по промышленнос- бежный софт, по мысли разработчиков с Минобороны уже есть практика ог-
ти, во втором чтении предлагают до- и авторов поправок, должен устанав- раничения в стратегических отраслях.
полнить законопроект двумя поправ- ливаться правительством не позднее Например, предприятия могут исполь-
ками. Одна устанавливает норму, со- 12 месяцев с момента вступления зако- зовать только антивирусы, на которые
гласно которой в государственных ин- на в силу. Однако уже сейчас очевидно, имеются сертификаты этих ведомств.
формационных системах, обеспечива- что в список стратегических отраслей Что же касается инициативы депутатов

6
 аналитика
Гудкова и Хинштейна, то ФСБ с уче- словам, переходят на собственный ные Штаты, либо продолжающих жить
том ряда юридических и технических софт. «Если есть отечественный ана- в России и сотрудничать с компани-
замечаний предложенные поправки лог западного программного обеспе- ей как вольнонаемные программисты.
поддержала, о чем и сообщил в пись- чения, необходимо отдать приоритет С другой стороны, во многих российс-
ме на имя председателя Комитета ГД ему, – говорит Александр Хинштейн. – ких компаниях программное обеспе-
по информационной политике Валерия Это особенно касается военных, стра- чение разрабатывают специалисты
Комисарова статс-секретарь замести- тегических объектов и сохранения гос- из стран третьего мира, в частности
теля директора ФСБ России. Однако тайны. Если иностранная компания Индии, которая входит в число лидеров
комитет, дважды рассмотрев поправ- поставляет оборудование, она будет по предоставлению компьютерных ус-
ки без участия, а потом и в присутствии использовать эту возможность для по- луг. Поэтому говорить о каком-то стра-
авторов, занял другую позицию. лучения секретной информации, раз- тегическом выборе страны в пользу то-
«На мой взгляд, причины того, что ведданных. Это возможно путем внед- го или иного программного обеспече-
поправки не были поддержаны, впол- рения в технику «посторонних объек- ния не очень корректно. Конечно, есть
не очевидны, – сказал в комментарии тов», и такие случаи уже были. Те, кто компании, предлагающие наиболее
«Системному администратору» Дмит- противостоит принятию этого закона, – популярный продукт, не только в Рос-
рий Горовцов, помощник депутата пособники западных разведорганов». сии, такие, например, как Microsoft.
Госдумы РФ Геннадия Гудкова. – Се- Но и в своей стране эта компания пос-
годня российский рынок информаци- Русский Windows тоянно контролируется уполномочен-
онных технологий более чем на 90 про- Несмотря на то, что, по словам Генна- ными органами государственной влас-
центов представлен инструментальны- дия Гудкова, запрет на использова- ти, проходит различные виды антимо-
ми средствами импортного производс- ние иностранного ПО коснется толь- нопольных расследований. Это связа-
тва. 99 процентов – это импортное про- ко 10 процентов действующих в на- но с тем, что компания, занимающая
граммное обеспечение, включающее шей стране информационных систем, столь большую долю на рынке ком-
операционные системы, системы уп- в российских госкомпаниях пока осто- пьютерных программ, может теорети-
равления базами данных и разработки рожно высказываются о перспективах чески злоупотребить своими возмож-
приложений, системы поддержки сете- перехода на отечественные програм- ностями. Любая погрешность в таком
вых протоколов и другие универсаль- мы. Кроме того, российские предпри- массовом продукте мультиплицирует-
ные базовые средства. Соответствен- ятия уже сделали огромные инвести- ся на миллионы компьютеров и может
но существует мощное лобби на раз- ции в приобретение западных продук- создать серьезные сбои в работе жиз-
ных уровнях, отстаивающее интересы тов. Поэтому есть предложения встра- ненно важных узлов, таких как управ-
западных разработчиков и компаний. ивать модули в Windows или другие ление энергоресурсами, нефте- и га-
И для многих оппонентов включение операционные системы, подстраи- зопроводами, аэропортами и вокзала-
поправок в законопроект означает по- вая их под нужды конкретной отрас- ми. В этих случаях действительно мо-
терю финансовых потоков, которые, по ли, а не изобретать велосипед, при- жет существовать проблема».
самым скромным подсчетам, оценива- думывая «русский Windows». Говорят
ются в 12 миллиардов долларов в год. специалисты и о том, что существует Код доступа
Вот цена вопроса. По сути, эти деньги программное обеспечение, не имею- В Microsoft такой проблемы не видят.
главным образом идут на кредитова- щее отечественных аналогов, кото- О том, что исходные коды Microsoft
ние частных западных компаний». рое не может быть заменено. Напри- уже официально переданы России
мер, ПО к турбинам импортного про- и при необходимости их можно про-
Доводы депутатов изводства в РАО ЕЭС, оно поставля- верить на так называемые закладки,
В чем же конкретно заключается опас- ется с ними в комплекте. «Системному администратору» под-
ность? По мнению авторов попра- «Абсолютное большинство про- твердила Кира Кирюхина, руководи-
вок, ввезенная из-за границы техни- граммных продуктов не разрабаты- тель отдела по связям с обществен-
ка на стратегически важных объек- ваются в России и являются плодами ностью корпорации Microsoft. «По-
тах вовсе не гарантирует защиту ин- интеллектуального труда зарубежных нимая, что каждое государство обя-
формации, в том числе и секретной, разработчиков, – сказал в коммента- зано защищать свои национа ль-
от зарубежного поставщика. «У разра- рии «Системному администратору» ные интересы, в Microsoft в 2002 году
ботчиков есть возможность заложить Игорь Динес, член Комитета Госдумы разработали программу Government
«ошибки», которые могут сделать не- РФ по энергетике, транспорту и свя- Security Program (GSP) по сотрудни-
действенными военные системы и сис- зи и председатель подкомитета по ин- честву с государствами в области ин-
темы навигации. При необходимос- формационным технологиям. – Одна- формационной безопасности, – ска-
ти их можно легко вывести из строя. ко, учитывая степень интернационали- зала она. – В рамках программы GSP
На карте военная безопасность наше- зации знаний, сложно говорить, что се- мы предоставляем государствам до-
го государства. Если мы не примем за- годня можно считать национальным ступ к исходным кодам своих продук-
кон – окажемся безоружными», – счи- компьютерным продуктом. Например, тов. Россия была первой страной в ми-
тает Геннадий Гудков. многие программы компании Microsoft ре, подписавшей GSP в 2002 году и по-
Депутаты приводят в пример опыт разработаны с участием российских лучившей доступ к исходным кодам
Англии, Германии, Франции, где, по их специалистов, уехавших в Соединен- Windows и других программ. Все го-

№6, июнь 2006 7

 аналитика

Поправки депутатов Госдумы РФ Геннадия Гудкова и Александра Хинштейна ко второму чтению

проекта Федерального закона «Об информации, информационных технологиях и защите информации»,
принятого в первом чтении 25 ноября 2005 года (текст поправок выделен курсивом)

Статья 16. Требования к эксплуата-
ции государственных информацион-
ных систем
1. Принятие государственной информаци-
онной системы в эксплуатацию осущест-
вляется в порядке, устанавливаемом ее
заказчиком, если иное не предусматрива-
ется в решении о ее создании.
Правительство Российской Федерации
вправе устанавливать обязательные тре-
бования к такому порядку для отдельных
категорий государственных информаци-
онных систем.
2. Федеральные информационные сис-
темы подлежат регистрации в случаях, ус-
тановленных федеральным законом.
Порядок регистрации федеральных ин-
формационных систем устанавливается
Правительством Российской Федерации.
Порядок регистрации региональных
информационных систем может быть ус-
тановлен нормативным правовым актом
субъекта Российской Федерации.
3. Обеспечение целостности и сохран-
ности информации, содержащейся в го-
сударственных информационных систе-
мах, осуществляется путем установления
и соблюдения единых требований защиты
информации от несанкционированного до-
ступа или изменения, в том числе при осу-
ществлении доступа к информационно-те-
лекоммуникационным сетям.
4. Федеральный орган исполнительной
власти в области обеспечения безопаснос-
ти и федеральный орган исполнительной
власти, уполномоченный в области проти-
водействия техническим разведкам и тех-
нической защиты информации, в пределах
своих полномочий определяют требования
по защите информации в государственных
информационных системах, включая мето-
ды и способы такой защиты.
При создании государственной инфор-
мационной системы выбор методов и спо-
собов защиты информации, используемых
в информационной системе, осуществля-
ется из числа методов и способов, содер-
жащихся в указанных требованиях.
Нормативными правовыми актами го-
сударственных органов Российской Феде-
рации может предусматриваться возмож-
ность неприменения отдельных требова-
ний для определенных государственных
информационных систем.
5. Технические средства, программно-
технические средства и средства защиты
информации, содержащейся в государс-
твенной информационной системе, долж-
ны иметь подтверждение соответствия
обязательным требованиям, установлен-
ным в соответствии с законодательством
Российской Федерации о техническом ре-
гулировании.
6. В государственных информаци-
онных системах, обеспечивающих стра-
тегические отрасли и особо опасные
(важные) объекты Российской Феде-
рации, не допускается использование
зарубежных программно-технических
средств. Перечень стратегических от-
раслей и особо опасных (важных) объ-
ектов Российской Федерации устанав-
ливается Правительством Российской
Федерации не позднее 12 месяцев с мо-
мента вступления в силу настоящего фе-
дерального закона.
7. Не допускается эксплуатация госу-
дарственных информационных систем
без надлежащего оформления прав на ис-
пользование ее компонентов, охраняемых
в соответствии с законодательством Рос-
сийской Федерации об интеллектуальной
собственности.
8. Операторы государственных инфор-
мационных систем несут ответственность
за обеспечение целостности и сохраннос-
ти содержащейся в них информации и обя-
заны принимать меры по предотвращению
утраты или искажения информации, а при
необходимости – меры по восстановлению
утраченной информации.
Статья 18. Защита информации
1. Защита информации заключается в при-
нятии правовых, организационных и тех-
нических (программно-технических) мер
в целях:
1) обеспечения целостности и сохраннос-
ти информации, недопущения ее не-
санкционированного изменения или
уничтожения;
2) соблюдения конфиденциальности ин-
формации ограниченного доступа;
3) реализации права на доступ к инфор-
мации;
4) недопущения несанкционированного
воздействия на средства обработки
и передачи информации;
5) недопустимости недокументирован-
ных функций программно-техничес-
ких средств.

сударственные организации, отвеча- «Предприятие по поставкам продукции ям юридически обоснованно исполь-

ющие за безопасное использование Управления делами Президента РФ» зовать продукты Microsoft в своих за-
программных продуктов в государс- уже сертифицировало в ФСТЭК ряд щищенных информационных систе-
твенных организациях, среди кото- продуктов Microsoft: клиентскую опера- мах. А согласованные с ведомствами
рых Федеральная служба безопас- ционную систему Windows XP, сервер- планы по дальнейшей сертификации
ности, Федеральная служба по техни- ную операционную систему Windows продуктов Microsoft дают нашим поль-
ческому и экспортному контролю, Ми- Server 2003, сервер управления база- зователям уверенность в том, что тре-
нистерство обороны и другие, име- ми данных SQL Server 2000 и офисный бования нашего государства к исполь-
ют доступ к исходным кодам продук- пакет приложений Office 2003. Прово- зованию продуктов в информацион-
тов Microsoft для того, чтобы прове- дится сертификация наших продук- ных системах государственных орга-
рить качество продуктов и убедиться тов и в ФСБ. Там уже получены по- нов будут выполняться корпорацией
в отсутствии у них недекларированных ложительные заключения по резуль- Microsoft и далее».
возможностей. татам сертификационных испытаний
На основе данного соглашения еще Windows XP и Windows Server 2003. По- Отечественные аналоги
в 2003 году была начата сертификация лученные сертификаты дают возмож- Серьезные доводы имеются и в пользу
ряда продуктов. На сегодняшний день ность государственным организаци- перехода на российское ПО. «Есть оте-

8
 аналитика
чественные разработки, которые впол- водит ряд работ, в частности, «Багет- блему в долгий ящик, а не решить ее
не могут составить конкуренцию зару- АСУ» и «Каверна-АСУ», цель кото- сегодня».
бежным аналогам, – сказал «Систем- рых – переход на отечественную эле-
ному администратору» Дмитрий Горов- ментную базу в системах управления Буква закона
цов. – Российские разработчики, со- для стратегических отраслей и особо Точка в истории с попыткой запрета за-
здав программные продукты, не толь- важных объектов России. Предприятия рубежного ПО, скорее всего, будет пос-
ко не уступающие западным аналогам, и организации радиоэлектронной про- тавлена уже в самое ближайшее вре-
но и превосходящие их, не позволили мышленности Роспрома при выпол- мя. Согласно регламенту, независимо
иностранным компаниям окончатель- нении работ для специальных заказ- от решения Комитета Госдумы по ин-
но завоевать российский рынок. А их чиков – МО, ФСБ, МЧС – используют формационной политике, депутаты
успешная эксплуатация подтвердила, программное обеспечение ЗАО «Кон- имеют право вынести свои поправки
что отечественные разработки новых церн ВНИИНС»: операционную систе- на отдельное голосование на пленар-
информационных технологий вполне му «ОС МСВС» 3.0, систему управле- ном заседании Госдумы в день, когда
конкурентоспособны и при соответс- ния базами данных «Линтер-ВС» 6.0 будет рассматриваться данный проект
твующей поддержке государства мог- и многое другое». федерального закона во втором чте-
ли бы со временем вытеснить запад- «Вполне правомочной» постановку нии. Так, собственно, депутаты Гудков
ные аналоги с российского информа- вопроса о необходимости приоритет- и Хинштейн и намерены поступить.
ционного рынка. Например, в Институ- ного внедрения отечественных разра- Кроме того, еще до второго чте-
те системных исследований РАН, кото- боток считает и заместитель министра ния, они предполагают обсудить поп-
рый возглавляет академик Владимир информационных технологий и связи равки на президиуме фракции «Еди-
Борисович Бетелин, создана и успеш- Дмитрий Милованцев. Однако, высту- ная Россия», чтобы заручиться подде-
но действует система «Багет». Эта раз- пая на заседании Комитета ГД по ин- ржкой парламентского большинства.
работка позволяет осуществлять кон- формационной политике, он подчерк- Так что, по сути, принятие поправок –
троль за функционированием инфор- нул, что такой «сложный и комплекс- вопрос политический: либо идею Гуд-
мационных систем, обеспечением бе- ный вопрос решить двумя поправками кова – Хинштейна поддержат, либо нет.
зопасности их работы. в рамочный законопроект невозмож- В остальном рассмотрение законопро-
В Фонде социального страхования но», и предложил разработать новый екта – технические детали. Третье чте-
Российской Федерации внедрена и ус- проект федерального закона, посвя- ние, как правило, – всего лишь линг-
пешно экcплуатируется система управ- щенного вопросам поддержки отечест- вистическая экспертиза. Да и дальше,
ления базами данных, разработанная венного программного обеспечения. когда законопроект поступает на рас-
академиком РАЕН Сергеем Станис- «На словах Дмитрий Милован- смотрение в Совет Федерации и под-
лавовичем Ковалевским. Кроме того, цев поддержал идею депутатов Гуд- пись Президента, текст, как правило,
в настоящее время ФГУП «НИИ авто- кова и Хинштейна, – прокомментиро- уже остается без изменений. А потому,
матической аппаратуры имени акаде- вал позицию зам. министра Дмитрий быть или не быть зарубежному софту
мика В.С.Семенихина», ведущее в этой Горовцов, – однако на деле это, ско- в России, окончательно решит второе
области предприятие Роспрома, про- рее всего, означает – отложить про- чтение законопроекта.

№6, июнь 2006 9

 администрирование

Современный Linux-сервер:
виртуализируем сетевые устройства

Алексей Барабанов
В серверном эксплуатационном цикле часто возникает потребность во всевозможных
манипуляциях над сетевыми подключениями в режиме on-line. Переведя последние
в категорию виртуальных, можно значительно упростить их обслуживание
и предусмотреть многие внештатные ситуации.

С
етевые интерфейсы в серверах подхода вы можете встретить во мно- ется, – от «рождения» и до «смерти» бу-
обычно ассоциируются с чем- гих системах, например, во встроен- дет eth0. А вот и нет, как бы того не хо-
то неизменным и предопреде- ных Linux или при создании виртуаль- телось многим наивным скриптописа-
ленным. Их число, топология подклю- ных серверов. Рассмотрим предпо- телям, eth0 будет лишь в идеальном
чения и настройки, как правило, зара- сылки, идею и реализацию перевода случае при установке системы прямо
нее определяются в проектном зада- сетевых интерфейсов в виртуальный на данный системный блок. Если же,
нии и не меняются в процессе штат- режим. В качестве платформы будем что более реально, сервер не устанав-
ной эксплуатации. Но даже в таком использовать openSUSE Linux версий ливается каждый раз с нуля, а копиру-
идеализированном рассуждении ста- 10.0 и 10.1 [1]. Все несоответствия меж- ется через образ системы или всего
тичность интерфейсов весьма услов- ду ними я отмечу особо. Итак, начнем жесткого диска, то, скорее всего, даже
на. Возможен и иной взгляд на под- с перечисления возможных проблем, единственный интерфейс будет иметь
систему, отвечающую за сетевые ин- не решаемых в рамках традиционной иное название. Eth1 и далее, в том слу-
терфейсы. Безусловно, это всего лишь настройки сети. чае, если полагаться на автоматичес-
некий технический прием или рекомен- кую систему наименования устройств,
дация, и каждый из вас волен следо- Исходные предпосылки использованную в udev, что для совре-
вать ей или предпочесть консерватив- Рассмотрим «редкий» вариант, когда менных систем является стандартом.
ный вариант настроек. Более того, и не у сервера всего лишь один сетевой ин- Но в серверах, как правило, более
откровение, так как элементы такого терфейс. Что тут сложного, спрашива- одного интерфейса. И если их назва-

10
 администрирование
ния в некоторый момент упорядочены
и устраивают системного админист-
ратора и используемые им настроеч-
ные скрипты, то представим, что мо-
жет произойти в случае отказа одно-
го из интерфейсов. Например, произо-
шел отказ в процессе старта. В ста-
рых системах, без использования
udev, происходило смещение нумера-
ции устройств или фактическая пере-
коммутация соединений. Интерфейсы,
предназначенные для внутрисетевых
соединений, могли переключиться на
внешние линии. Практически это озна-
чало крах всей системы защиты. Сов-
ременные скрипты, ориентированные Рисунок 1. Сравнение традиционного способа настройки с виртуализованным интерфейсом
на udev, привязывают имена сетевых
интерфейсов к их физическим адре- рез ip link set) может привести к наруше- вер в защищенное состояние. А вот
сам или PCI-идентификаторам. Мож- нию работы сетевых служб, использую- иная схема, используемая в Fedora
но быть уверенным, что катастрофи- щих (прослушивающих) адрес данного Core и RHEL, совершенно неприем-
ческого «выворачивания» сервера интерфейса. Это в том благоприятном лема. Кстати, как и всякое примене-
внутренними интерфейсами наружу случае, если вы уверены, что созданная ние iptables-save/restore. Дело в том,
не произойдет. Но есть иная беда. Се- «на лету» аварийная схема при следу- что, как уже указано, вовсе не обяза-
тевая конфигурация, созданная авто- ющем рестарте не сломается. тельно сетевые интерфейсы старту-
матическим образом, может потерять Еще один редкий сейчас крэш-сце- ют нужным образом. Поэтому не факт,
свое сбалансированное состояние, нарий: сервер или поставляется в ви- что iptables-restore создаст те правила,
и очередная перезагрузка может при- де «черного ящика», или обслуживает- которые требуются из-за изменившей-
вести к новому изменению имен интер- ся на удаленной площадке привлечен- ся схемы наименования интерфейсов.
фейсов из-за отказа одной из сетевых ным техником. Здесь возможна ошиб- В схеме SuSE есть скрипт, который те-
карт. Впрочем, и при добавлении сете- ка кабельной коммутации, что может оретически может проанализировать
вой карты в систему с udev такие слу- привести к смене назначений сетевых реальное состояние сети и адаптиро-
чаи нередки. Итогом подобного про- соединений – внутрисетевые на вне- вать сетевой экран нужным образом.
цесса может стать частичный или пол- шние и наоборот. При традиционной Минус только в том, что сетевой эк-
ный отказ стартовых сетевых скрип- разметке сетевых интерфейсов не су- ран должен подниматься не отдельным
тов, то есть изоляция сервера от се- ществует возможности автоматически скриптом по расписанию SysVinit, а
ти. Для противодействия этому в сис- исправить ошибку внешнего кабельно- синхронно с интерфейсом, на который
темах с udev рекомендуется приме- го подключения. он настраивается! Увы, хотя разработ-
нять постоянные, или персистентные Теперь пример из смежной облас- чики Red Hat, Inc. далеки от этой прос-
(от persistent – постоянный) сетевые ти. Давайте задумаемся о том, как про- той мысли, но и в SuSE не лучше. Не
имена. Увы, в такой схеме главное – изводится включение сетевого экра- может система безопасности старто-
исключить столкновение переимено- на в процессе старта сервера. Самый вать, во-первых, после поднятия сете-
ваний. Другими словами, сетевые ин- грамотный из мною наблюдаемых – вых интерфейсов (и ведь никто не нор-
терфейсы можно называть как угодно, это способ, использованный в дис- мирует данное «после») и, во-вторых,
но только не по схеме ethN, принятой трибутивах SuSE. Безусловно, в ка- вне всякой связи с настройкой дина-
по умолчанию. честве серьезного решения это со- мических сетевых интерфейсов (wifi,
Выход из строя сетевой карты не- вершенно неприемлемо (практически ppp и прочие ADSL).
посредственно в ходе эксплуатации бытовой вариант). Отмечу лишь од-
потребует замены физического интер- но важное качество: в этом сетевом Возникновение базовой
фейса, то есть в процессе очередного экране выделена отдельная стадия идеи
старта произойдет добавление следу- предварительной настройки – снача- Причины для определенного рода оза-
ющего номера в базу udev при обнару- ла срабатывает SuSEfirefall2_init пос- боченности несовершенством сетевых
жении нового устройства, что сведет- ле старта boot.localnet, а потом уже настроек перечислены. Но путей ре-
ся к ранее описанной проблеме при- SuSEfirewall2_setup после $network. шения указанных проблем множест-
вязки имен. Но можно и рассмотреть Не буду обсуждать, что эти скрип- во. Например, можно проследить, как
существование в серверном блоке се- ты делают конкретно, меня ни один развивались (если не сказать – ме-
тевой карты, рассчитанной на горячую из них не устраивает, но главное – тались!) предложения разработчиков
замену. Тут мы сталкиваемся с иной здесь продемонстрирована необхо- SUSE по настройке персистентных се-
сложностью. Простое отключение ин- димость нулевой фазы настройки се- тевых имен от версии дистрибутивов
терфейса через ifdown (как вариант че- тевого экрана, которая переводит сер- 9.х, где эта проблема возникла, до ис-

№6, июнь 2006 11

 администрирование
пользуемых сейчас 10.х. Аналогично да файловер. И теперь, по прошествии рода роутинг. Поэтому будем считать
и в отношении применяемого в упо- более 4 лет со времени внедрения по- абсолютно обоснованным создание
мянутом дистрибутиве сетевого экра- добного способа разметки локальной сетевого окружения, приспособленно-
на. Ведь неспроста в его названии ис- сети, можно сказать, что эта техноло- го для подключения виртуальных сис-
пользован индекс 2. Можно, например, гия была испытана многолетней прак- тем, заранее в расчете на развитие.
пойти вообще радикальным путем, как тикой и ни разу не подвела.
это предлагается в ALT Linux, и исполь- Но сейчас появились дополнитель- Технология изнутри
зовать иную схему запуска сети [2]. ные аргументы в пользу использова- Итак, выбор сделан – сетевой мост.
Так что практика размножения сущнос- ния именно сетевых мостов в качест- Статей, описывающих настройку се-
тей и версий может продолжаться бес- ве основы виртуализации. Логика раз- тевых мостов в Linux и сопутствую-
конечно. Для меня выбор способа, ко- вития серверных систем неизбежно щие этому вопросы, огромное чис-
торый, как кажется сейчас, может ре- приводит к необходимости внутрен- ло, например [7]. Не буду дублировать
шить все проблемы разом, произошел ней виртуализации ресурсов и ком- очевидное. Обращаю ваше внима-
почти историческим путем. понентов. Причин этому очень много. ние лишь на самое важное в контек-
Несколько лет назад, как толь- Их рассмотрение заслуживает отде- сте предлагаемой идеи. Сам сетевой
ко код сетевого моста [3] был вклю- льной статьи. Как один из последних мост является полностью виртуаль-
чен в очередной дистрибутив SUSE, опубликованных аргументов приведу ным устройством. Реальный трафик
мне показалось очень интересным мнение Эндрю С. Таненбаума (Andrew принимается только физическими се-
использовать сетевой мост в качест- S. Tanenbaum) о необходимости изо- тевыми устройствами. Чтобы трафик
ве встроенного в сервер коммутато- ляции подсистем для увеличения на- попал на сетевой мост с некоторого
ра, подключенного к локальной се- дежности и безопасности [4]. Лучший физического устройства или, напро-
ти. Во-первых, это позволяло сокра- способ добиться изоляции – помес- тив, с сетевого моста поступил в ре-
тить объем дополнительного актив- тить нужные подсистемы в отдельную альный интерфейс, нужное сетевое
ного сетевого оборудования, исполь- виртуальную машину. К слову сказать, устройство должно быть подключено
зованного в формировании тополо- статья по ссылке [4] весьма спорная, к мосту командой:
гии сети, что было очень выгодным в о чем свидетельствует и сопутство-
маленьких офисах или при организа- вавшая ей сетевая дискуссия. Здесь brctl addif <bridge> <iface>
ции сетевых рабочих групп. И во-вто- предлагается принять на веру, что ра-
рых, выделяло вакантные интерфей- но или поздно, но использование вло- Иначе трафик не будет проходить.
сы для горячей замены в случае от- женных виртуальных машин внутри Здесь внимательный читатель уже
каза оборудования, что очень важно, серверов станет нормой. Практичес- должен все понять – таким путем реа-
если сервер обслуживается удаленно, ки во всех видах подобной виртуали- лизуется внутренняя коммутация. Это
поскольку переключить на запасной зации ресурсов внутренний, или зави- основная идея. То есть изначально се-
интерфейс и быстрей и дешевле, чем симый, уровень получает непосредс- тевой мост предназначен для объеди-
дожидаться приезда сисадмина, кро- твенный доступ к сети путем присоеди- нения нескольких реальных сетевых
ме того, что можно и сам сетевой ин- нения к виртуальному сетевому мосту интерфейсов в общий коммутатор. Но
терфейс использовать как своего ро- (bridge) [5, 6], если исключить всякого ничего не мешает использовать выде-
ленные сетевые мосты для каждого ре-
ального интерфейса. Собственно, как
и наоборот – для каждого (внимание:
здесь еще одно усложнение) реально-
го, но виртуализованного путем назна-
чения на выделенный специальный се-
тевой мост использовать один или не-
сколько аппаратных сетевых интер-
фейсов из массива имеющихся в со-
ставе оборудования сервера. И вот эту
привязку можно производить динами-
чески. Все сказанное иллюстрируется
схемой (см. рис. 1).
В левой части традиционная схема
подключения, далее – то же самое, но
с сетевым мостом, а в правой – новая.
Согласно схеме (рис. 1, правая часть)
сетевой мост переименовывается, так-
же как и заменяемый интерфейс, а имя
физической сетевой карты заменяет-
ся на служебное название. Причем
Рисунок 2. Запрос на перевод интерфейса в режим прослушивания все сетевые настройки выполняются

12
 администрирование
вне зависимости от текущего состояния коммутации меж- Итак, произведем подобную настройку. Прежде всего
ду ними. Сама же коммутация из стадии настройки пере- отключим имеющийся сетевой интерфейс:
водится в категорию состояния комплексного сетевого со-
единения, включающего сетевой мост и предназначенные # ifdown eth0
к подключению физические сетевые интерфейсы. eth0 device: Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE] (rev 10)
eth0 configuration: eth-id-00:0c:29:89:80:c2
Если сетевая карта вышла из строя, то подключается
предназначенная на замену. Если в «джек» сетевой кар- # ip link sh
ты вставлен «плуг» другого кабеля, то она подключается 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
на правильный виртуальный интерфейс согласно произ- link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
веденной кабельной коммутации после проверки трафика 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0c:29:89:80:c2 brd ff:ff:ff:ff:ff:ff
на данном кабельном подключении. Если нужно отключить 3: sit0: <NOARP> mtu 1480 qdisc noop
сервер временно от некоторой сети, то можно не вынимать link/sit 0.0.0.0 brd 0.0.0.0
кабель из сетевой карты, не останавливать сетевые серви-
сы, не запирать firewall, а просто отсоединить физический Затем переименуем его, так как «реальное» имя нам
интерфейс от используемого моста. Но на этом преиму- понадобится далее для создаваемого виртуального ин-
щества не кончаются. Все почти так же, как и с вытянутым терфейса:
носом киплинговского слоненка.
«Физика» работы сетевого моста требует, чтобы исполь- # ip link set dev eth0 name hweth0
# ip link sh
зуемое аппаратное устройство принимало из сети пакеты
для адреса сетевого моста, в который это устройство вклю- 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
чено. Такое возможно, если в сетевой карте отключить аппа- 2: hweth0: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast qlen 1000
ратную фильтрацию пакетов и перевести ее в promiscuous- link/ether 00:0c:29:89:80:c2 brd ff:ff:ff:ff:ff:ff
3: sit0: <NOARP> mtu 1480 qdisc noop
режим или, как будем называть это далее, перевести в ре- link/sit 0.0.0.0 brd 0.0.0.0
жим прослушивания. Самый простой способ добиться это-
го – поднять интерфейс с адресом 0.0.0.0 или, что более вер- Теперь переименованный интерфейс снова можно вклю-
но, вовсе без адреса. Собственно, в ином состоянии утилита чить. Впредь он будет играть роль простого элемента ком-
brctl откажется подключать интерфейс к мосту. И в процессе мутации без собственного IP-адреса:
подключения интерфейс будет переведен в режим прослу-
шивания автоматически. Но в этом тезисе ничего не сказа- # ip link set dev hweth0 up
# ifconfig hweth0
но про наличие действительного адреса у самого сетевого
моста. Он может иметь реальный адрес, может иметь не- hweth0 Link encap:Ethernet HWaddr 00:0C:29:89:80:C2
inet6 addr: fe80::20c:29ff:fe89:80c2/64 Scope:Link
сколько адресов как алиасы (синонимы), может иметь ад- UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
рес, немарштуризируемый в используемой сети, или вов- RX packets:15 errors:0 dropped:0 overruns:0 frame:0
TX packets:31 errors:0 dropped:0 overruns:0 carrier:0
се не иметь адреса. Ну и, наконец, сетевой мост может во-
collisions:0 txqueuelen:1000
обще не соединяться с физическим интерфейсом. Тогда он RX bytes:2629 (2.5 Kb) TX bytes:3211 (3.1 Kb)
образует полностью виртуальный коммутатор внутренней Interrupt:177 Base address:0x1400
сети, к которому могут подключаться виртуальные маши-
ны через виртуальные же интерфейсы, и использовать его Создадим сетевой мост с предпочтительным именем,
как внутреннюю сеть кластера. Рассмотрим эти варианты в нашем случае это eth0, так как виртуализацию этого ус-
подробнее и проверим их экспериментально. тройства мы и производим:

Сетевой мост с реальным адресом # brctl addbr eth0

# brctl show
Эту часть экспериментов проведем в системе, установлен-
ной внутрь виртуальной машины с полной и достаточно bridge name bridge id STP enabled interfaces
eth0 8000.000000000000 no
тщательной эмуляцией, а именно внутрь VMWare. Но, уве-
ряю вас, все будет полностью работоспособно и на реаль- # ip link set dev eth0 up
# ip link sh
ном оборудовании. Более того, такие условия позволят сде-
лать некоторые дополнительные выводы. 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
Виртуальный интерфейс с реальным адресом подхо- 2: hweth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
дит для использования в самом распространенном и од- link/ether 00:0c:29:89:80:c2 brd ff:ff:ff:ff:ff:ff
3: sit0: <NOARP> mtu 1480 qdisc noop
новременно тривиальном случае. Это фактически экви- link/sit 0.0.0.0 brd 0.0.0.0
валентная замена традиционного интерфейса на пару, со- 4: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
стоящую из виртуального и реального устройства. К мос-
ту с актуальным адресом подключается безадресный фи- В приведенном выше протоколе обратите внимание
зический интерфейс, который принимает все пакеты в дан- на то, что виртуальный интерфейс eth0 даже после вклю-
ной сети, а фильтрацию производит IP-стек, работающий чения командой ip link set up не имеет канального адреса
поверх сетевого моста. То есть сетевой экран тоже настраи- (MAC). Даже присвоение ему IP-адреса ничего не меняет:
вается на сетевом мосту. И все используемые сетевые сер-
висы также «слушают» адрес сетевого моста. # ip addr add 192.168.0.111/32 dev eth0

№6, июнь 2006 13

 администрирование
# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.0.111 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:1536 (1.5 Kb)
И это объяснимо, так как виртуальный интерфейс пока
не скоммутирован ни с одним реальным физическим ин-
терфейсом, то есть не подключен ни к одной сети. Прове-
рим это:
# ip route add 192.168.0.0/24 dev eth0
# ping -c 1 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
From 192.168.0.111: icmp_seq=1 Destination Host Unreachable
--- 192.168.0.1 ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 1ms
Как видите, трафик не идет. Точно такая же картина
и при попытке «достучаться» до адреса 192.168.0.111 с дру-
гих хостов сети. Теперь соединим eth0 с физическим ин-
терфейсом:
# brctl show
bridge name bridge id STP enabled interfaces
eth0 8000.000000000000 no
# brctl addif eth0 hweth0
// здесь происходит автоматический перевод hweth0
// в режим прослушивания
# ip link sh
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: hweth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0c:29:89:80:c2 brd ff:ff:ff:ff:ff:ff
3: sit0: <NOARP> mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
4: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
link/ether 00:0c:29:89:80:c2 brd ff:ff:ff:ff:ff:ff
# brctl show
bridge name bridge id STP enabled interfaces
eth0 8000.000c298980c2 no hweth0
# ping -c 1 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=29.9 ms
--- 192.168.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 29.959/29.959/29.959/0.000 ms
Разберем описанное в протоколе. Во-первых, в точке,
выделенной ремаркой, произошел автоматический перевод
физического интерфейса в режим прослушивания. Эмуля-
тор это «поймал» и выдал запрос оператору (см. рис. 2).
Во-вторых, несмотря на предупреждение о невоз-
можности данной операции, тем не менее все работает,
как следовало. Из чего можно сделать вывод, что реаль-
ный интерфейс компьютера, в котором запущен эмулятор
VMWare, и так уже работает в состоянии promiscuous (кстати,
это не отображается системными флагами), что подтверж-
дает тезис о неизбежности перехода к виртуализованным
сетевым интерфейсам в перспективе. В-третьих, сетевой
14
мост получает канальный адрес, такой же как адрес пер-
вого присоединенного интерфейса. Ну и, наконец, тра-
фик – пошел! Обратите внимание на задержки. Они вели-
ки. Но это лишь следствие инерционности работы сетево-
го моста. И немного спустя все приходит в норму. Напри-
мер, так выглядит «пингование» с удаленного хоста спус-
тя некоторое время:
server:~ # ping -c 1 192.168.0.111
PING 192.168.0.111 (192.168.0.111) 56(84) bytes of data.
64 bytes from 192.168.0.111: icmp_seq=1 ttl=64 time=0.498 ms
--- 192.168.0.111 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.498/0.498/0.498/0.000 ms
То есть на рабочей производительности это не ска-
зывается. Более того, подобное подключение полностью
прозрачно для всех сетевых служб даже канального уров-
ня. Например, переключим виртуальный интерфейс в ре-
жим DHCP:
# ip addr del 192.168.0.111/32 dev eth0
# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:89:80:C2
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:41 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:860 (860.0 b) TX bytes:3502 (3.4 Kb)
# brctl show
Internet Systems Consortium DHCP Client V3.0.3
Copyright 2004-2005 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/products/DHCP
Listening on LPF/eth0/00:0c:29:89:80:c2
Sending on LPF/eth0/00:0c:29:89:80:c2
Sending on Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 5
DHCPOFFER from 192.168.0.1
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.178 -- renewal in 1429 seconds.
# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:89:80:C2
inet addr:192.168.0.178 Bcast:192.168.0.255
Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:25 errors:0 dropped:0 overruns:0 frame:0
TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2651 (2.5 Kb) TX bytes:5370 (5.2 Kb)
Как видите, все работает. Собственно, другого и не сто-
ило бы ожидать, поскольку уже было сказано, что на подоб-
ной технологии давно и устойчиво работают такие способы
виртуализации серверов, как UML, XEN и даже VMWare.
Мост, объединяющий
виртуальные устройства
Но наиболее интересные способы использования сетевых
мостов как основы виртуализации получаются, если в них
включать псевдоустройства, которые сами являются вир-
 администрирование
туальными. Например, виртуальные устройства, создава-
емые в качестве туннельных. Но ведь самое главное пре-
имущество сетевого моста в том, что он позволяет рабо-
тать с включенными в него интерфейсами на уровне L2
модели ISO OSI. Поэтому наиболее уместным кандидатом
на такую интеграцию можно считать виртуальный интер-
фейс гостевого сервера. Итак, рассмотрим, как можно ма-
нипулировать сетевыми подключениями вложенного серве-
ра UML (user mode linux), подключенного к специально со-
зданным сетевым мостам. Этот пример, к сожалению, не-
доступен на openSUSE Linux 10.1 из-за прекращения под-
держки UML в указанной версии. Утилиты для настройки
специальных виртуальных устройств tun/tap можно найти
только в версии 10.0 этого дистрибутива. И хотя альтерна-
тивный вариант виртуализации Xen, который работает с се-
тью точно так же, присутствует и там и там, мы будем де- Рисунок 3. Тестовая система с виртуальными интерфейсами
и сетями
монстрировать все приемы на UML, поскольку эта техно-
логия более «прозрачна» для анализа. ются в командной строке. И ОС, запущенная внутри вир-
Предположим, что все необходимые элементы для за- туальной машины (в случае UML, сама модифицирован-
пуска виртуальной ОС уже созданы. Подробно данная те- ная ОС и является такой виртуальной машиной) использу-
ма будет затронута в следующих статьях цикла. Пока про- ет эти псевдоустройства в качестве эмулятора аппаратных
шу поверить «на слово». Структура тестовой системы изоб- сетевых интерфейсов. На стороне хостовой машины уст-
ражена на рис. 3. ройства tun/tap подключаются внутрь сетевых мостов, ес-
Внутри хостовой, той, которая служит основой, машины ли предполагается разрешить на них работу на уровне L2.
создан ряд сетевых мостов по схеме, описанной выше: Мы так и поступим:

# ifconfig eth0 server:~ # brctl show

bridge name bridge id STP enabled interfaces bridge name bridge id STP enabled interfaces
eth0 8000.000479661b70 no hweth3 eth0 8000.000479661b70 no hweth3
hweth5 hweth5
eth1 8000.000000000000 no tap1
eth1 8000.2e48adefd363 no tap0
В мосту eth0 два реальных порта, а в мосту eth1 вообще
нет физических интерфейсов, и он поэтому полностью вир- Сразу после подключения к мосту eth1 первого, как ему
туальный. Но даже в том виде, как он существует, без ка- «представляется» реального устройства, мост получает
нального адреса, мост вполне работоспособен: и собственный канальный адрес:

server:~ # ifconfig eth1 server:~ # ifconfig eth1

eth1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.254.1 Bcast:192.168.254.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:2166 (2.1 Kb)
eth1 Link encap:Ethernet HWaddr 2E:48:AD:EF:D3:63
inet addr:192.168.254.1 Bcast:192.168.254.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:372 (372.0 b) TX bytes:3628 (3.5 Kb)

server:~ # ifconfig tap0

И через него легко идет реальный трафик:
server:~ # ping -c 1 192.168.254.1
PING 192.168.254.1 (192.168.254.1) 56(84) bytes of data.
64 bytes from 192.168.254.1: icmp_seq=1 ttl=64 time=0.049 ms
--- 192.168.254.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.049/0.049/0.049/0.000 ms
После запуска виртуальной машины в системе созда-
ются два псевдоустройства tap0 и tap1. Эти устройства пе-
редают трафик, который на них маршрутизируется, об-
работчику из пользовательского пространства, в данном
случае виртуальной машине UML. Их создание произво-
дится командой «tunctl» непосредственно перед запуском
UML, которому названия полученных устройств переда-
tap0 Link encap:Ethernet HWaddr 2E:48:AD:EF:D3:63
inet6 addr: fe80::2c48:adff:feef:d363/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:13 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:560 (560.0 b) TX bytes:548 (548.0 b)
Этот адрес случайным образом был установлен для tap0
при его создании. В процессе дальнейшей работы данный
MAC более нигде не будет фигурировать, так как устройс-
тво tun/tap представляет собой туннель, в котором реаль-
ным является лишь пользовательский конец, находящийся
внутри виртуальной машины UML. И если внутри UML «под-
нять» интерфейс eth0, который будет привязан к виртуаль-
ному устройству tap0, с некоторым адресом, то внутри вир-
туальной сети появится новый хост с указанным адресом:

№6, июнь 2006 15

 администрирование
server:~ # ping -c 1 192.168.254.2 eth1 Link encap:Ethernet HWaddr FE:FD:C0:A8:01:01
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
PING 192.168.254.2 (192.168.254.2) 56(84) bytes of data. inet6 addr: fe80::fcfd:c0ff:fea8:101/64 Scope:Link
64 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=0.125 ms UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:92240 errors:0 dropped:0 overruns:0 frame:0
--- 192.168.254.2 ping statistics --- TX packets:314 errors:0 dropped:0 overruns:0 carrier:0
1 packets transmitted, 1 received, 0% packet loss, time 0ms collisions:0 txqueuelen:1000
rtt min/avg/max/mdev = 0.125/0.125/0.125/0.000 ms RX bytes:4576001 (4.3 Mb) TX bytes:13468 (13.1 Kb)
server:~ # arp -n Interrupt:5
Address HWtype HWaddress Flags Mask Iface
192.168.254.2 ether FE:FD:C0:A8:01:00 C eth1
При попытке «пропинговать» адрес UML получаем от-
Все это в точности совпадает с настройками интерфей- веты:
са eth0 в UML:
server:~ # ping -c 1 192.168.0.2
uml:~ # ifconfig eth0 PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=64 time=7.14 ms
eth0 Link encap:Ethernet HWaddr FE:FD:C0:A8:01:00
inet addr:192.168.254.2 Bcast:192.168.254.255 Mask:255.255.255.0 --- 192.168.0.2 ping statistics ---
inet6 addr: fe80::fcfd:c0ff:fea8:100/64 Scope:Link 1 packets transmitted, 1 received, 0% packet loss, time 0ms
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 rtt min/avg/max/mdev = 7.142/7.142/7.142/0.000 ms
RX packets:103 errors:0 dropped:0 overruns:0 frame:0 server:~ # arp -n
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 Address HWtype HWaddress Flags Mask Iface
collisions:0 txqueuelen:1000 192.168.0.2 ether FE:FD:C0:A8:01:01 C eth0
RX bytes:18261 (17.8 Kb) TX bytes:518 (518.0 b) 192.168.254.2 ether FE:FD:C0:A8:01:00 C eth1
Interrupt:5

Может, это вызвано неким локальным феноменом? Про-

Таким образом, продемонстрирована работоспособ- верим видимость адреса UML с еще двух компьютеров в се-
ность полностью виртуальной сети. В данном случае не- ти. После отправки ICMP-запросов внутри arp-хеша появи-
обходимость такой сети вызвана тем, что нужно было со- лись новые записи:
здать средство «общения» запускаемых виртуальных ма-
шин с хостовым сервером. server:~ # arp -n
Например, им всем через внутреннюю сеть «раздает- Address HWtype HWaddress Flags Mask
Iface
ся» рабочий дистрибутив: 192.168.0.2 ether FE:FD:C0:A8:01:01 C eth0
192.168.0.10 ether 00:05:5D:E7:86:39 C eth0
192.168.0.11 ether 00:05:5D:74:DD:5D C eth0
server:~ # showmount -e
Export list for server: Значит, все произошло успешно. Теперь сбросим ад-
/srv/susedvd/SU1000_001 192.168.254.0/255.255.255.0,localhost рес у самого сетевого моста. Это приведет к невозможнос-
ти работы с локальной сетью внутренних процессов сер-
Эта связь может стать особенно важной, если сам сер- вера. На рисунке 3 красная пунктирная линия обозначает
вер не будет иметь иного способа подключиться к госте- прерванные связи.
вой машине. Спросите, как это может быть? Очень прос-
то! Для этого рассмотрим второй виртуальный интерфейс server:~ # ip addr sh dev eth0
на рис. 3, который подключает и сервер, и его гостевую ОС 7: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
к локальной сети. Для этого используется мост eth0: link/ether 00:04:79:66:1b:70 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.9/24 brd 192.168.0.255 scope global eth0
inet6 fe80::200:ff:fe00:0/64 scope link
server:~ # brctl show valid_lft forever preferred_lft forever
bridge name bridge id STP enabled interfaces
eth0 8000.000479661b70 no hweth3
server:~ # ip addr del 192.168.0.9/24 dev eth0
server:~ # ip route sh
hweth5
tap1
10.0.0.0/24 dev eth2 proto kernel scope link src 10.0.0.1
eth1 8000.2e48adefd363 no tap0 192.168.254.0/24 dev eth1 proto kernel scope link src 192.168.254.1
127.0.0.0/8 dev lo scope link

Псевдоустройство tap1 точно так же, как и tap0, безад-

ресное, а вот сам мост имеет адрес:
server:~ # ifconfuigeth0
eth0 Link encap:Ethernet HWaddr 00:04:79:66:1B:70
inet addr:192.168.0.9 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14968 errors:0 dropped:0 overruns:0 frame:0
TX packets:499 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:792910 (774.3 Kb) TX bytes:77724 (75.9 Kb)
Внутри UML интерфейс, соответствующий tap1, настро-
ен для работы в локальной сети:
uml:~ # ifconfig eth1
Все! Теперь тот самый случай – никакая сеть, кроме вир-
туальной, хостовому серверу не доступна:
server:~ # ping -c 1 192.168.0.2
connect: Network is unreachable
А вот с других хостов сети «пинги» проходят вполне
успешно. Адрес внутреннего виртуального UML-сервера
присутствует в локальной сети и нормально работает. Ес-
ли к данному мосту подключить следующую виртуальную
систему с помощью соответствующего tun/tap устройства,
на пользовательской стороне которого поднят иной адрес,
то и он станет виден со стороны сети, подключенной к фи-
зическому интерфейсу сетевого моста. И так далее.

16

Получился безадресный сетевой мост, который работает
как arp-прокси и транслирует трафик с виртуальных хостов.
В чем его ценность? Такая схема позволяет защитить хос-
товую ОС от враждебного трафика сети, если вместо при-
ватной сети используется, например Интернет. Еще один
распространенный случай использования, когда безадрес-
ный хостер служит платформой для запуска виртуальных
гостевых ОС, каждой со своим собственным адресом. Ну и,
наконец, ничего не мешает применять на таком несущем
сетевом мосте собственную сетевую разметку, не маршру-
тизируемую общим порядком, создавая скрытую служеб-
ную сеть. Есть, правда, и тут некоторые «подводные кам-
ни». Дело в том, что процедура взаимодействия сетевых
узлов на уровне L2 является слабо защищенной. И в неко-
торых сетях используются самодельные службы и другие
нестандартные настройки, контролирующие канальное вза-
имодействие. И хотя описанный выше прием с безадрес-
ным мостом прекрасно работает (не говоря уже, что такой
классический способ настройки моста описан в докумен-
тации), но бывали случаи, когда такая настройка действо-
вала как DoS-атака. Точно так же стоит очень вниматель-
но отнестись к множеству физических интерфейсов, объ-
единенных в мост, – их неверное подключение может со-
здать неконтролируемые пути доступа или утечки трафи-
ка и тоже стать источником проблем L2.
Предварительные итоги
Итак, подмена сетевых устройств виртуальными сетевыми
мостами создает массу возможностей для манипуляции.
№6, июнь 2006
администрирование
В случае использования виртуальных серверов вообще
такая настройка является единственно возможной. Но не-
льзя же каждый раз выполнять приведенные в статье ко-
манды, даже если их записать в отдельный скрипт. О том,
как встроить предлагаемую схему разметки сетевых уст-
ройств в структуру реальных стартовых скриптов без ка-
ких-нибудь конфликтов для работы остальных подсистем,
поговорим во второй части статьи.
Ссылки:
1. Сайт проект Open SUSE – http://en.opensuse.org/Welcome_to_
openSUSE.org и область загрузки дистрибутива openSUSE 10.0 –
http://ftp.opensuse.org/pub/opensuse/distribution/SL-10.0-OSS.
2. Проект альтернативных сетевых скриптов – http://etcnet.org.
3. Страница wiki, на которую переадресует бывший «домаш-
ний» сайт проекта IEEE 802.1d ethernet bridging (http://bridge.
sourceforge.net) – http://linux-net.osdl.org/index.php/Bridge.
4. Andrew S. Tanenbaum, Jorrit N. Herden, and Herbert Bos, Vrije
Universiteit, Amsterdam, May 2006, «Can We Make Operating
System Reliable and Secure?» – http://www.computer.org/portal/
site/computer/menuitem.5d61c1d591162e4b0ef1bd108bcd45f3/
index.jsp?&pName=computer_level1_article&.
5. User Mode Linux. Set up the network – http://user-mode-linux.
sourceforge.net/networking.html.
6. openSUSE. Xen and Virtual Network – http://en.opensuse.org/
Xen3_and_a_Virtual_Network.
7. Закляков П. Разводной мост на Linux (bridging firewalls). – Жур-
нал «Системный администратор», №4, 2003 г. – 42-55 с. – http://
www.samag.ru/cgi-bin/go.pl?q=articles;n=04.2003;a=07.
17
администрирование

Как работает Sendmail?

Полезные подробности
Часть 2: Вопросы конфигурации

Видел я этот сендмайл – конфиги для

конфигов, чтобы создать конфиги!

Цитата с http://forum.oszone.net

Сергей Супрунов

Одна из самых сильных сторон Sendmail – функциональная мощь этой программы.

Но вот только запрятана она порой в дальних уголках конфигурационных файлов.

18

Ужас, летящий
на крыльях ночи
При первом просмотре основной кон-
фигурационный файл, sendmail.cf,
особенно ближе к концу, напомина-
ет скорее двоичный код, чем что-то
читаемое, и тем более редактируе-
мое. Но на самом деле всё не так уж
и сложно – всему виной перегружен-
ность «знаками пунктуации», сбиваю-
щими с толку и не позволяющими без
специальной подготовки сложить их
во что-то осмысленное.
Назначение файла sendmail.cf – оп-
ределить опции работы Sendmail и пра-
вила обработки сообщений. Собс-
твенно говоря, включение в него пра-
вил и обусловливает его перегружен-
ность и небывалый размер (обычно
он составляет несколько тысяч строк).
Но зато это значительно повышает
гибкость конфигурирования.
Несмотря на то что cf-файл, в об-
щем-то, не предусматривает прямого
редактирования (для этого служит ме-
ханизм m4, о котором поговорим в сле-
дующем разделе) и генерируется авто-
матически, он достаточно хорошо про-
комментирован.
Рассмотрим представленные в нём
секции и наиболее характерные пара-
метры. Строки, начинающиеся с «#» –
комментарии. Тип параметра задаётся
первой буквой строки (см. таблицу 1).
Строка, начинающаяся с пробельного
символа, – продолжение предыдущей.
Пустые строки игнорируются.
Классы предназначены для описа-
ния имён, объединённых одним при-
знаком. Сразу после буквы C следует
односимвольное или многосимвольное
(в фигурных скобках) имя класса.
Н а п р и м е р, к л а с с з а п р е щ ё н -
ных для использования в доменном
имени символов определяется как
«CB! % @ : ^».
Макросы представляют собой что-
то типа переменных, позволяя в даль-
нейшем обращаться к единожды опре-
делённому макросу по имени (перед
которым указывается префикс $). Су-
ществует ряд предопределённых мак-
росов (некоторые из них представле-
ны в таблице 2), которые можно ис-
пользовать по мере необходимости.
Для них зарезервированы строчные
буквы. Для иного использования пред-
назначены прописные буквы или мно-
госимвольные имена.
№6, июнь 2006
F-строки заносят в определённый
класс содержимое указанного фай-
ла. Строки типа K задают базы дан-
ных, которые в дальнейшем могут
использоваться в правилах преобра-
зования.
Например, так подключается ба-
за mailertable:
Kmailertable hash ↵
-o /etc/mail/mailertable
Про остальные типы строк у нас
будет возможность поговорить чуть
позже. Рассмотрим некоторые секции
файла sendmail.cf:
Local info
Здесь определяются общие парамет-
ры, влияющие на работу MTA:
 Cw – класс «w» описывает до-
мены, для которых будет выпол-
няться обработка почты. Обычно
присутствуют строки Cwlocalhost
и Cwdomain.ru (где domain.ru – до-
менное имя нашего сервера). Если
для указания хостов используется
файл local-host-names, он подклю-
чается следующей строкой:
Fw-o /etc/mail/local-host-names
Здесь параметр -o говорит о том,
ч то н е ну ж но выд ав ать с о о б -
щение об ошибке, если указан-
ный файл отсутствует. Имя фай-
ла – используемое по умолча-
нию, но в принципе может быть
произвольным. В старых верси-
ях Sendmail использовался файл
/etc/sendmail.cw.
 DS – имя «умного» (smart) хоста,
или почтового релея, который бу-
дет использоваться для пересыл-
ки почты. Если Smart-host указан,
то вся исходящая почта будет на-
правляться на него, а он уже зай-
мётся определением маршрутов от-
дельных сообщений и их дальней-
шей отправкой. Подробнее об этом
режиме работы мы поговорим чуть
позже.
 CO @ % ! – символы, которые за-
прещены для использования в име-
нах пользователей, поскольку яв-
ляются разделителями «именной»
и доменной частей адреса.
 DnMAILER-DAEMON – так наш
Sendmail будет представляться
в сообщениях об ошибках.
администрирование
Таблица 1. Коды строк sendmail.cf
Код Описание
C Классы
D Макросы
F Файлы с классами
H Поля заголовка
K Базы данных
M Почтовые агенты
O Опции Sendmail
P Приоритеты обработки
R Наборы правил для адресов
S Группы наборов правил
Таблица 2. Предопределённые макросы
Макрос Значение
$a Содержимое поля Date:
$f Адрес отправителя
$i Идентификатор сообщения в очереди
$h Полное доменное имя хоста получателя
$m Необработанный адрес получателя
$u Имя пользователя из адреса получателя
$w Имя данного хоста
$x Полное имя отправителя
$z Домашний каталог получателя
 DZ – этот макрос задаёт версию
конфигурации Sendmail, например:
DZ8.13.4.
Options
Эта достаточно большая секция со-
держит массу опций, управляющих те-
ми или иными аспектами работы поч-
тового сервера. Ниже приведено не-
сколько примеров (для некоторых оп-
ций по старой памяти существуют со-
кращённые однобуквенные наимено-
вания, но рекомендуется использовать
новый стиль):
 O AliasFile – определяет пу ть
к файлу псевдонимов (см. ниже).
 O MaxMessageSize – максималь-
ный размер обрабатываемого сооб-
щения. Разумное ограничение дан-
ного параметра позволит услож-
нить реализацию атак, направлен-
ных на заполнение всего доступно-
го пространства в почтовых ящиках
пользователей. Однако не забы-
вайте, что в наши дни прослежива-
ется тенденция к увеличению сред-
него объёма вложений, и отправка
по почте файла в 20-30 Мб являет-
ся не такой уж редкостью.
 O HoldExpensive – вы можете
объявить (с помощью флага «e»
в M-строке) агента доставки как «до-
19
администрирование
рогой» (expensive), и в этом случае Sendmail не будет пред-  O MaxRecipientsPerMessage – ограничивает число по-
принимать попыток отправить письмо через такого агента лучателей, которые могут быть указаны в заголовке од-
сразу же после получения, а будет просто оставлять его в ного сообщения. Наивная попытка бороться со спамом.
очереди. Эта опция может быть весьма полезна в случае Хотя и помогает несколько снизить нагрузку на сервер
коммутируемого соединения, когда осуществление дозво- и усложнить подбор адресов.
на до сервера провайдера при получении каждого пись-
ма может оказаться крайне неэффективным. Вместо это- По мере рассмотрения дальнейших вопросов мы будем
го разумнее дозваниваться, скажем, раз в час, отправляя встречаться и с другими опциями.
всё накопленное за это время («оптом – дешевле»).
 O DeliveryMode – устанавливает режим доставки (ин- Queue Group Definitions
терактивный, фоновый, отложенная доставка). Подроб- Эта секция отвечает за параметры работы почтовой очере-
нее о режимах доставки мы поговорим в третьей час- ди. Учитывая большое влияние очереди на производитель-
ти статьи, посвященной вопросам администрирования ность сервера, мы подробно рассмотрим связанные с ней
и оптимизации. вопросы в следующей части.
 O SuperSafe – ещё одна связанная с оптимизацией оп-
ция. Её наличие требует обязательной записи сообще- REWRITING RULES
ния в очередь, даже если оно может быть передано не- Правила преобразования адресов. Sendmail в процессе об-
медленно. Помните, что, отключив эту опцию, вы сэко- работки сообщения разбирает имеющиеся в нём адреса от-
номите немного на операциях записи, но лишитесь пра- правителя и получателей, выполняя по мере необходимости
ва именовать свой сервер соответствующим стандар- ряд преобразований. Каждый набор правил начинается ди-
ту SMTP, поскольку надёжность передачи – это его ос- рективой Sname[=n], где n – необязательный номер набора,
новополагающее требование. name – его кратное имя. Некоторые номера (0, 3, 4) предна-
 O QueueFileMode, O TempFileMode – права доступа, ус- значены для строго определённых целей. Другие могут за-
танавливаемые на вновь создаваемые файлы очереди даваться произвольно (например, SParser1) и служат в ос-
и временные файлы соответственно. По умолчанию – новном для дополнения основных наборов правил.
0600, но в некоторых экзотических (и весьма нежела- В процессе обработки наборы правил применяют-
тельных с точки зрения безопасности) случаях может ся в определённом порядке (см. рис. 1). Любой адрес
потребоваться этот параметр изменить. в первую очередь проходит через набор 3, который от-
 O MaxDaemonChildren – максимальное количество од- вечает за канонизацию, т.е. адрес приводится к виду
новременно работающих процессов Sendmail. Позволя- <имя_пользователя>@<доменное_имя>. Затем набор 0 оп-
ет более эффективно противостоять DoS-атакам, не до- ределяет, какому почтовому агенту это сообщение должно
пуская чрезмерной перегрузки сервера. быть передано. От этого зависят конкретные имена наборов
 O DaemonPortOptions – параметры прослушиваемых правил, которые будут подставлены вместо S (обработка
портов и интерфейсов, например: адреса отправителя) и R (обработка адреса получателя) –
они определяются в M-строке соответствующего агента.
O DaemonPortOptions=Port=smtp,Addr=127.0.0.1,Name=MTA На последнем этапе адрес обрабатывается 4-м набором,
который выполняет финальные преобразования.
 O SmtpGreetingMessage – баннер приветствия. По умол- Сами правила внутри набора начинаются с буквы R
чанию имеет вид «$j Sendmail $v/$Z; $b», где $j = $w – и имеют следующий формат:
доменное имя хоста, $v – версия Sendmail, $Z – версия
конфигурации, $b – текущая дата. В процессе работы R<шаблоны> <преобразование> <комментарий>
после имени хоста (точнее, на второе место) выводит-
ся также поддерживаемый протокол: Здесь <шаблоны> задают некоторый формат, на со-
ответствие которому проверяется входящая информация.
serg$ sendmail -bs В таблице 3 перечислены значения основных специальных
220 domain.ru ESMTP Sendmail 8.13.4/8.13.4; Tue, 25 Apr 2006 символов. Справа (отделяется от левой части символами та-
13:24:11 +0400 (MSD) буляции) задаётся <преобразование> – описание того, что
нужно сделать с исходными данными, если они соответству-
 O DoubleBounceAddress – указывает адрес, на который ют шаблону в левой части. В таблице 4 представлены неко-
следует отправлять уведомления об ошибке доставки торые операторы. Очень
Таблица 3. Значения основных
уведомления об ошибке. Другими словами, если с адре- напоминает регулярные специальных символов
са qwe@rty.ru пришло сообщение для несуществующе- выражения, не правда Шаблон Значение
го пользователя, то Sendmail отошлёт отправителю уве- ли? Например, следу- $* Любое количество символов
домление «User unknown». Однако если qwe@rty.ru яв- ющее правило меняет
$+ Один и больше символов
ляется фальшивым, то это уведомление также вернёт- адрес вида domain!user
$- Ровно один символ
ся с ошибкой. Чтобы разорвать порочный круг, вместо на user@domain при ус-
попыток и дальше уведомить несуществующего отпра- ловии, что часть «user» $@ Ни одного символа

вителя, такое сообщение доставляется на указанный ад- содержит хотя бы один $=<знач> Фрагмент равен значению <знач>
рес. По умолчанию крайним оказывается postmaster. символ: $~<знач> Фрагмент не равен <знач>

20
 администрирование
R$* ! $+ $2 @ $1 Таблица 4. Операторы преобразования
Оператор Значение
Следующее правило (взято из набора SParse1) демонс- Ссылка на фрагмент данных, соответствующих шаблону.
$<n>
трирует взаимодействие с базой: вместо фрагмента, соот- <n> – порядковый номер шаблона
ветствующего шаблону (в угловых скобках), подставляет- $: Применить правило один раз
ся значение из mailertable. Слово «lookup» здесь является $@ Применить правило и выйти из набора
простым комментарием: $> Передать на обработку другому набору правил
$( . . .$) Поиск данных в базе
R< $+ > $* $: < $(mailertable $1 $) > $2 lookup

Конечно, настраивать эти правила вручную – занятие

неблагодарное, но в ряде случаев с их помощью можно до-
биться нестандартных результатов.

Тестирование правил
Как видите, синтаксис правил обработки довольно сложен
(по крайней мере, читать их очень неудобно). Чтобы убе-
диться в правильности работы, в Sendmail предусмотрен
специальный режим тестирования:
Рисунок 1. Последовательность применения наборов правил
serg$ sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 admin@my
canonify input: admin @ my
Canonify2 input: admin < @ my >
Canonify2 returns: admin < @ my . domain . ru . >
canonify returns: admin < @ my . domain . ru . >
parse input: admin < @ my . domain . ru . >
Parse0 input: admin < @ my . domain . ru . >
Parse0 returns: admin < @ my . domain . ru . >
ParseLocal input: admin < @ my . domain . ru . > Рисунок 2. Схема работы макропроцессора
ParseLocal returns: admin < @ my . domain . ru . >
Parse1 input: admin < @ my . domain . ru . >
Здесь показана канонизация адреса, заданного в фор-
Parse1 returns: $# local $: admin
parse returns: $# local $: admin мате UUCP с детализацией 5-го уровня (21 – категория от-
ладки, отвечающая за трассировку правил обработки ад-
В данном примере мы прогоняем адрес admin@my (пред- ресов). Выводится информация не только о том, через ка-
полагая, что полное имя нашего домена – my.domain.ru) че- кие наборы правил проходит адрес, но и какие действия
рез правила 3 и 0. В первом столбце указываются имена выполняются.
наборов правил, во втором – тип данных (вход или выход), Для выхода из режима отладки используйте коман-
и после двоеточия – обрабатываемая информация. ду «/quit». Полный список доступных команд можно уви-
Как видите, сначала адрес канонизируется (краткое деть, введя «?».
имя домена дополняется до полного; обратите внима-
ние на завершающую точку). Затем Sendmail анализиру- Знакомьтесь: m4
ет полученный адрес (определяется, что он является ло- Естественно, долго мириться с произволом формата
кальным). sendmail.cf мало кто хотел, поэтому со временем задача
При необходимости можно повысить детализацию вы- создания этого файла была возложена на макроязык m4.
водимой информации, используя флаг отладки -d: Этот язык является универсальным и пригоден для реше-
ния достаточно широкого круга задач, прежде всего свя-
serg$ sendmail -bt -d21.5 занных с обработкой текста. В частности, он использует-
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) ся в Autoconf. Однако его использование для конфигура-
Enter <ruleset> <address> ции Sendmail является, пожалуй, наиболее известным при-
> 3 my.uudom.ru!user
canonify input: my . uudom . ru ! user менением.
rewritten as: my . uudom . ru ! user < @ > Эпиграф к статье как нельзя лучше отражает поло-
rewritten as: my . uudom . ru ! user
rewritten as: < my . uudom . ru ! user >
жение дел с настройками Sendmail. Сначала вы создаёте
rewritten as: my . uudom . ru ! user конфигурационный файл в формате m4 (так называемый
Canonify2 input: user < @ my . uudom . ru > «master config», или mc-файл). Затем макропроцессор m4,
rewrite: RHS $&{daemon_flags} => "(NULL)"
rewritten as: $| user < @ my . uudom . ru > руководствуясь этим файлом, генерирует cf-файл из вхо-
rewritten as: user < @ my . uudom . ru > дящих в поставку Sendmail шаблонов (макросов). Схема-
Canonify2 returns: user < @ my . uudom . ru >
тически этот процесс изображён на рис. 2.
rewritten as: user < @ my . uudom . ru >
canonify returns: user < @ my . uudom . ru > Фактически, m4 собирает воедино элементы шабло-
нов согласно опциям, имеющимся в mc-файле. Шаблоны

№6, июнь 2006 21

 администрирование

Введение в m4
В далёком 1977 году, когда Sendmail ещё
даже не планировался, Брайан Керниган
(Brian Kernighan) и Деннис Ритчи (Dennis
Ritchie), внёсшие немалый вклад в разви-
тие UNIX-систем (достаточно упомянуть
язык программирования C), разработали
макропроцессор m4.
Его основное назначение – «пропус-
кать» через себя поток информации, вы-
полняя макроподстановки по мере их об-
наружения. Он с успехом может использо-
ваться для программирования, генериро-
вания документации. Но наиболее попу-
лярным применением является генерация
конфигурационных файлов и прочие воп-
росы администрирования.
Фундаментом m4 является набор встро-
енных макросов, которые служат для управ-
ления потоком данных, ветвлений, опреде-
ления пользовательских макросов, некото-
рых математических операций.
Язык m4 отличается довольно-таки
своеобразным синтаксисом. Во-первых,
в нём различаются открывающая и закры-
вающая кавычки. По умолчанию использу-
ются символы «`» и «’», которые в случае не-
обходимости можно переопределить с по-
мощью встроенного макроса changequote.
Во-вторых, в качестве признака конца
строки используется макрос dnl. (То есть
после него вы можете указывать любые
комментарии). Для управления потоком
служит макрос divert. В частности, divert(0)
очищает буфер и направляет вывод в нуле-
вой поток (всего существует 10 выходных
потоков 0-9, которые на выходе объединя-
ются в порядке их нумерации). Конструк-
ции $n, где n – некоторое число, являются
ссылками на параметры макроса, разме-
щённые на соответствующих местах (на-
пример, $1 ссылается на первый параметр
указанного макроса). Рассмотрим простей-
ший пример. Для начала создадим файл
макроопределений:
serg$ vi test.m4
divert(0)dnl
define(`header', `<H1>$1</H1>')dnl
define(`footer', ↵
`<HR><SMALL>$1</SMALL>')dnl
define(`company', `Наша компания')dnl
Здесь мы определили три макроса,
причём в header и footer используются
ссылки на первый аргумент, т.е. вызов этих
макросов подразумевается с одним пара-
метром. Этот файл мы подключим как шаб-
лон. Далее файл с исходной информацией
(обратите внимание на макро-вставки):
serg$ vi test.in
header(`Страница компании')
company рада приветствовать Вас ↵
на своём сайте!
footer(`Заходите снова!')
Результат работы будет таким:
serg$ m4 test.m4 test.in
<H1>Страница компании</H1>
Наша компания рада приветствовать ↵
Вас на своём сайте!
<HR><SMALL>Заходите снова!</SMALL>
Фактически, несколько последователь-
ных файлов рассматриваются как единый
поток. То есть того же эффекта можно до-
биться, объединив макроопределения и ис-
ходный текст в одном файле.
Чтобы подробнее познакомится с m4,
просмотрите страницу справки man m4(1).
Также много интересного можно найти
в шаблонах Sendmail.

сосредоточены в каталоге /usr/share/sendmail/cf/. В общих  FEATURE – одна из самых востребованных директив.

чертах синтаксис языка рассматривается во врезке «Вве-
дение в m4».
Вносить изменения в шаблоны не рекомендуется (пос-
кольку они будут перезаписываться при обновлении опе-
рационной системы или почтового сервера). Все необходи-
мые корректировки лучше делать в mc-файле. В послед-
них версиях FreeBSD по умолчанию используется файл, со-
ответствующий доменному имени вашего сервера. Напри-
мер, domain.ru.mc. Если у вас такого файла нет, он будет
автоматически создан при первом вызове команды make
в каталоге /etc/mail, используя при этом как шаблон файл
freebsd.mc (при его отсутствии последует ошибка).
Коротко состав mc-файла был рассмотрен в преды-
дущей части статьи, сейчас чуть подробнее остановимся
на наиболее важных опциях:
 include – встроенный макрос для подключения других
m4-файлов.
 define – ещё один встроенный макрос языка m4, позво-
ляющий описывать другие макросы. Например, так мож-
но определить макрос LOCAL_MAILER_PATH со значе-
нием, содержащим полное имя локального агента до-
ставки:
define(`LOCAL_MAILER_PATH', `/usr/local/bin/dspam')dnl
Ниже представлен пример, позволяющий объявить smtp-
агент как «дорогой»:
define(`confCON_EXPENSIVE', `True')
define(`SMTP_MAILER_FLAGS', `e')
Аналогично рассмотренным в первой части статьи ди-
рективам OSTYPE и DOMAIN, подключает соответству-
ющий шаблон из каталога /usr/share/sendmail/cf/feature.
Через FEATURE реализуется подключение баз дан-
ных (см. в указанном каталоге файлы access_db.m4,
use_cw_file.m4, virtusertable.m4 и т. д.), различные «уп-
равляющие» директивы, такие как nocanonify (отклю-
чение канонизации адреса, что может быть оправда-
но на серверах, работающих исключительно в режиме
транзитной передачи), nodns (не использовать DNS-за-
просы для разрешения имён) и т. д. Если вам интерес-
но, какой код та или иная «фича» добавляет в cf-файл,
ознакомьтесь с содержимым шаблона в указанном вы-
ше каталоге.
 MASQUERADE_AS – если вы хотите, чтобы ваш поч-
товый сервер отправлял почту от имени, отличаю-
щегося от имени данного хоста, можно использо-
вать этот макрос. Дополнительно опции (такие как
MASQUERADE_EXCEPTION(`host.domain’), FEATURE
(`masquerade_envelope’) и др.) позволяют не маскиро-
вать указанные хосты, детализовать, какие именно ад-
реса (в заголовке, в конверте или все) должны маски-
роваться.
 MAILER – подключает шаблон, отвечающий за работу
того или иного почтового агента, из каталога cf/mailer.
В этих шаблонах определяются имена и флаги соот-
ветствующих утилит, наборы правил обработки адре-
сов и M-строки конфигурационного файла. Директивы
MAILER должны быть указаны после всех остальных,
в конце mc-файла.

22
 администрирование
Кстати, поскольку mc-файл – это обычный файл в фор- Приведённый фрагмент показывает, что по умолчанию
мате m4, то он может содержать помимо макроопределений почта «служебных» пользователей будет перенаправлять-
и собственно входные данные. При необходимости вы мо- ся пользователю root, в то время как почта пользователя
жете указать нужные cf-строки прямо здесь (хорошим при- root уйдёт в ящик администратора admin (это следует за-
мером является mc-файл основного разработчика Sendmail дать вручную).
Эрика Олмана – /usr/share/sendmail/cf/cf/knecht.mc). Всё работает правильно благодаря тому, что подстанов-
Последовательность подключения различных шабло- ка псевдонимов выполняется рекурсивно – после первой за-
нов можно найти в самом начале cf-файла – обратите вни- мены осуществляется ещё один «прогон» с новым адресом,
мание на строки, начинающиеся с «#### $Id:». Самым пер- и так далее, пока не будет выполнено ни одной подстановки.
вым подключается cfhead.m4, в котором определены ос- Кстати, чтобы не допустить бесконечной подстановки в слу-
новные макросы. чае ошибки, когда образуется петля псевдонимов, полезно
Если быть точным, то в команде m4 подключается cf.m4 – использовать опцию «O MaxAliasRecursion», которая задаёт
вручную создание cf-файла обычно запускается такой ко- максимальное число «проходов» по списку (в mc-файле за-
мандой: даётся как define(`confMAX_ALIAS_RECURSION’)).
В правой части может находиться не только один
m4 /usr/share/sendmail/cf/m4/cf.m4 domain.ru.mc > ↵ пользователь. Перенаправление может выполняться для
domain.ru.cf
нескольких пользователей (они разделяются запяты-
Но одной из первых директив cf.m4 значится следую- ми), на адрес в другом домене, на список адресов, ука-
щая: занный в файле (подключается с помощью конструкции
«:include: <имя_файла>»).
ifdef(`OSTYPE', `dnl',`include(_CF_DIR_`'m4/cfhead.m4)dnl Можно отдавать почту на обработку внешней програм-
ме, используя операцию конвейера (в данном примере поч-
Которая и выполняет подключение cfhead.m4. При жела- та, пришедшая на адрес spam-me, отдаётся на обработ-
нии вы можете включить cf.m4 непосредственно в mc-файл ку спам-фильтру dspam для переобучения его байесово-
(с помощью макроса include), чтобы не указывать его в ко- го анализатора):
мандной строке. Но во FreeBSD это не требуется – make
сделает всё, что нужно. spam-me: "| dspam --user me --class=spam ↵
--source=error"

Файлы специального назначения Помимо системного файла aliases пользователи могут

В первой части мы бегло окинули взглядом содержимое ка- создавать свои файлы перенаправлений – ~/.forward (точ-
талога /etc/mail. Настало время познакомиться с располо- нее, будут проверяться файлы, указанные в директиве
женными в нём конфигурационными файлами и их зада- confFORWARD_PATH). Формат ещё проще – в них просто
чами более подробно. указываются адреса, на которые следует перенаправлять
входящие сообщения. Нужно заметить, что когда Sendmail
Файл aliases запускается с правами непривилегированного пользовате-
Файл псевдонимов служит для сопоставления адреса ля, этот пользователь должен иметь права на чтение всех
электронной почты с конкретным получателем. По умол- .forward-файлов в домашних каталогах.
чанию, Sendmail работает с системными пользователями.
То есть если у вас есть пользователь admin, то автомати- Файл access
чески для него создаётся одноимённый почтовый ящик. Формат этого файла, отвечающего за доступ к серверу
Однако в ряде случаев необходимо (или просто удоб- с различных адресов, достаточно прост. Каждая строка со-
но) перенаправить входящую почту, направленную на тот стоит из разделённых пробелами или табуляцией объекта
или иной адрес, другому пользователю. Например, рабо- и действия. В качестве объекта могут выступать: IP-адрес;
та с почтой с правами root – не самая лучшая идея. А как подсеть, заданная неполным IP-адресом; доменное имя (бу-
же тогда читать системные сообщения, которые традици- дет относиться и ко всем поддоменам); адрес электронной
онно отправляются на этот адрес? Ответ можно увидеть почты. Действия: OK (всегда принимать почту, даже если
в файле aliases: другими директивами это запрещено), RELAY (разрешить
транзит), REJECT (отклонить соединение), DISCARD (от-
root: admin клонить без выдачи сообщения об ошибке). Можно указы-
bin: root
bind: root вать и конкретный код ответа (см. пример).
Комментарии, как обычно, предваряются символом
. . . пропущено . . .
«#». Например:
uucp: root
abuse: root # Блокируем конкретный IP-адрес
security: root 1.2.3.4 REJECT
ftp: root
# Разрываем соединения из указанного домена
spammers.dom 550 Closed for you.
Формат достаточно прост: слева – почтовый адрес,
на который направляется письмо, справа – адрес, куда # Разрешаем транзит из локальной сети
192.168 RELAY
письмо следует перенаправить.

№6, июнь 2006 23

 администрирование
# Разрешаем принимать на ящик abuse@domain.ru
# любую почту
abuse@domain.ru OK
Обратите внимание, что «действия», которые разреша-
ют принимать входящие соединения, указываются в cf-фай-
ле в классе {Accept}:
C{Accept}OK RELAY
В данном примере такое разрешение будет распростра-
няться на действия «OK» и «RELAY».
Раньше access-файл широко использовался для борь-
бы со спамом, когда в него заносились спамерские адре-
са/сети/домены. В наши дни, естественно, это не представ-
ляется разумным.
Однако если вы работаете лишь с определёнными поч-
товыми серверами (например, принимаете почту только
от вышестоящей организации и своих филиалов), то с по-
мощью этого файла можно довольно легко ограничить круг
общения вашего сервера.
Файл relay-domains
Ещё один файл, разрешающий транзитную пересылку –
relay-domains. Здесь, в отличие от access, указываются до-
мены-получатели, для которых данный сервер может прини-
мать сообщения и выполнять их дальнейшую пересылку. На-
пример, если вы хотите, чтобы сервер backup.mail.domain.ru
работал как резервный для mail.domain.ru, то создайте файл
/etc/mail/relay-domains следующего содержания:
mail.domain.ru
И подключите его следующей директивой:
define(`confCR_FILE', `/etc/mail/relay-domains')
Файл mailertable
В файле mailertable определяются агенты, ответственные
за обработку почты для определённых доменов.
Файл virtusertable
Здесь задаётся соответствие между виртуальными адреса-
ми обслуживаемых доменов и именами реальных пользо-
вателей. Необходимость в нём возникает тогда, когда не-
сколько адресов в обслуживаемых доменах имеют одина-
ковые имена пользователей (например, admin@domain1.ru
и admin@domain2.ru).
В этом случае вы можете занести в virtusertable следу-
ющие строки:
admin@domain1.ru admin-dom1
admin@domain2.ru admin-dom2
@domain1.ru error:nouser User not found
То есть входящая почта будет раскладываться по ящи-
кам разных пользователей. Благодаря третьей строке вся
почта в domain1.ru для любых пользователей, кроме опи-
санных в virtusertable (в нашем примере это admin), бу-
24
дет отклоняться. Домен domain2.ru будет обслуживать-
ся традиционно, то есть при получении письма, например,
для user@domain2.ru, будет предприниматься попытка до-
ставить его реальному пользователю user.
Файл genericstable
Этот файл решает обратную задачу: в условиях виртуаль-
ного хостинга ставит в соответствие имени пользователя
домен, с которого этот пользователь будет отправлять со-
общения.
Примеры конфигурации
Рассмотрим несколько практических примеров. При их ре-
шении конфигурационные файлы целиком приводиться
не будут – покажем только опции, необходимые для реше-
ния конкретной задачи. Во всех примерах подразумевает-
ся, что DNS настроен должным образом (см. врезку «DNS,
DNS, DNS…»).
Пример 1
Использование «умного» хоста
Вы хотите построить почтовый сервер для обслуживания
локальной сети, однако хотели бы переложить заботу об оп-
ределении маршрута писем на сервер вашего провайде-
ра (предполагается, что провайдер не запрещает транзит-
ную пересылку вашей почты). В этом случае достаточно
пересобрать конфигурационный файл со следующей оп-
цией в mc-файле:
define(`SMART_HOST', `1.2.3.4')
Здесь 1.2.3.4 – адрес smtp-релея вашего провайдера.
Теперь вся исходящая почта будет отправляться на ука-
занный сервер, который и будет заниматься дальнейшей
рассылкой.
Пример 2
Почтовый сервер в режиме шлюза
Предположим, у вас есть локальная сеть с размещённы-
ми в ней двумя почтовыми серверами (inner1.domain.ru
и inner2.domain.ru). Вы хотели бы обеспечить возможность
полноценной работы этих серверов, но без непосредствен-
ного подключения к Интернету. Настроим на машине, вы-
полняющей роль шлюза, сервер Sendmail, задачей которо-
го – взаимодействовать с внешними smtp-серверами и пе-
ресылать полученные от них сообщения на серверы в ло-
кальной сети.
1. В mailertable заносим строчки:
inner1.domain.ru smtp:[inner1.domain.ru]
inner2.domain.ru smtp:[inner2.domain.ru]
Теперь почта на указанные домены будет по smtp пере-
сылаться на указанные хосты. Квадратные скобки требуют
работать с хостом по его A-записи, а не по MX-записи в базе
доменных имен (которая указывает на адрес шлюза).
2. Для отправки почты нужно разрешить пересылку со-
общений с внутренних серверов (указав для них в файле
access значение RELAY), а внутренние серверы настроить
 администрирование

DNS, DNS, DNS…
Для нормальной работы любого MTA очень
важную роль играет правильная настрой-
ка DNS-сервера. Адрес почтового сер-
вера, обслуживающего тот или иной до-
мен, не обязан совпадать с самим домен-
ным именем.
Например, вы можете посчитать це-
лесообразным выделить для обслужива-
ния почты, адресованной в domain.ru, от-
дельный сервер mail.domain.ru. Как же
удалённый smtp-сервер поймёт, куда сле-
дует отправлять почту?
Для этого в DNS предусмотрен специ-
альный тип записи – MX (Mail eXchanger).
Этот же механизм позволяет организо- domain и dom2 будет обслуживаться маши-
вать резервные серверы, которые возь- ной mail.domain.ru. Если этот сервер ока-
мут на себя обслуживание (или, по крайней жется недоступен, почта должна будет на-
мере, временное размещение) сообщений правляться на backup.top.ru. Приоритет ис-
в случае недоступности основного MTA. пользования MX-записей задаётся числом
Рассмотрим фрагмент файла зоны: перед именем хоста – чем это число мень-
ше, тем выше приоритет (т.е. сначала бу-
domain IN MX 10 ↵ дет предприниматься попытка доставить
mail.domain.ru.
IN MX 20 ↵ почту на этот хост).
backup.top.ru. Впрочем, протоколом SMTP предус-
dom2 IN MX 10 ↵ мотрено, что если для некоторого доме-
mail.domain.ru. на отсутствует MX-запись, то почту сле-
IN MX 20 ↵
backup.top.ru. дует направлять непосредственно на
хост, определяемый по соответствующей
Эти строки определяют, что почта для A-записи.

на отправку сообщений вышестоящему серверу (в слу- 4. Всё пересобираем и перезапускаем сервер:

чае с Sendmail это достигается использованием опции
define(`SMART_HOST’, `<ip-адрес>’)). root# make all install restart
3. Подключим соответствующие файлы в mc-файле:
Если после этого выполнить тестирование, то можно
FEATURE(mailertable, `hash -o /etc/mail/mailertable')dnl увидеть, что разрешение имён выполняется должным об-
FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')dnl
разом:
После чего нужно пересобрать конфигурационный файл
> 3,0 serg@client.domain.ru
и перезапустить сервер: canonify input: serg @ client . domain . ru
Canonify2 input: serg < @ client . domain . ru >
root# make all install restart Canonify2 returns: serg < @ client . domain . ru . >
canonify returns: serg < @ client . domain . ru . >
parse input: serg < @ client . domain . ru . >
Parse0 input: serg < @ client . domain . ru . >
Parse0 returns: serg < @ client . domain . ru . >
Пример 3 ParseLocal input: serg < @ client . domain . ru . >
Виртуальный почтовый сервер ParseLocal returns: serg < @ client . domain . ru . >
У вас есть почтовый сервер с Sendmail. Требуется обес- Parse1 input: serg < @ client . domain . ru . >
Recurse input: serg-client
печить на нём обслуживание двух доменов – вашего canonify input: serg-client
(domain.ru) и домена одного из клиентов (client.domain.ru). Canonify2 input: serg-client
Canonify2 returns: serg-client
Предполагается, что принято следующее соглашение об canonify returns: serg-client
именах пользователей: пользователи domain.ru имеют parse input: serg-client
обычные имена (например, user), а для client.domain.ru ис- Parse0 input: serg-client
Parse0 returns: serg-client
пользуются имена вида user-client. Вносим в конфигурацию ParseLocal input: serg-client
следующие изменения: ParseLocal returns: serg-client
Parse1 input: serg-client
1. В local-host-names заносим обслуживаемые домены: Parse1 returns: $# local $: serg-client
parse returns: $# local $: serg-client
domain.ru Recurse returns: $# local $: serg-client
client.domain.ru Parse1 returns: $# local $: serg-client
parse returns: $# local $: serg-client
2. В virtusertable записываем «шаблон» преобразова-
ния имён:
Продолжение следует…
@client.domain.ru %1-client Как видите, Sendmail является очень гибкой программой,
способной эффективно решать разнообразные задачи.
Эта строка означает следующее – при получении пись- Сложность формата cf-файла перекладывается на пле-
ма на любой адрес в домене client.domain.ru следует отдать чи макропроцессора m4, оставляя вам возможность за-
его пользователю, имя которого соответствует указанному ниматься настройкой на «верхнем» уровне, не вдава-
в адресе (%1) плюс суффикс «-client». Почта на другие до- ясь в детали синтаксиса. Впрочем, при необходимости
мены будет обслуживаться обычным образом. вы вполне можете вносить изменения и непосредствен-
3. В domain.ru.mc включаем поддержку соответствую- но в sendmail.cf. Но просто настроить сервер недостаточ-
щих файлов: но, особенно если речь идёт о высокой нагрузке. Поэтому
в следующий раз мы поговорим о вопросах сопровожде-
FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')dnl ния сервера и его оптимизации. Также коснёмся и вопро-
define(`confCW_FILE', `-o /etc/mail/local-host-names')dnl
сов безопасности.

№6, июнь 2006 25

администрирование

Переключи драйвер NTFS

в режим read-write

Антон Ананич
Captive – это первая полнофункциональная Open Source-реализация NTFS-драйвера.
С помощью Captive вы можете монтировать Windows NT/2k/XP/2k3-разделы и записывать на
них данные без опасения потерять их.

26

F
USE (Filesystem in USErspace) – это драйвер для Linux
и FreeBSD, который позволяет непривилегирован-
ным пользователям создавать их собственные драй-
веры файловых систем без написания кода, выполняемо-
го в режиме ядра.
FUSE может быть особенно полезной для разработ-
ки драйверов виртуальных файловых систем (virtual file
systems, VFS). Это файловые системы, которые не сериа-
лизуют данные непосредственно, а всего лишь выступают
прослойкой (abstraction layer) или оберткой (wrapper) над
существующими файловыми системами или специальны-
ми устройствами.
В нашем журнале уже была статья о FUSE [1]. С тех пор
проект развился и сильно возмужал.
FUSE позволяет разрабатывать драйверы файловых
систем не только на языке С. Так как эти драйверы вы-
полняются в пользовательских процессах, то они могут
быть реализованы практически на любом языке програм-
мирования. Официально поддерживаются C, C++, Java,
C#, Haskell, TCL, Python, Perl, Sh (UNIX shell script), Ocaml,
Pliant и Ruby.
Существует несколько десятков файловых систем (на се-
годня более 50) на базе FUSE. Рассказать о всех в рам-
ках этой статьи просто невозможно. Поэтому я перечис-
лю некоторые задачи, которые могут быть решены с по-
мощью FUSE:
 шифрование и сжатие файлов «на лету»;
 SMB (монтирование при первом обращении, кэширова-
ние);
 FTP, SSh, WebDAV, Gmail и т. д.;
 монтирование содержимого архивов (rar, zip, tar, bzip2,
gzip и т. д.);
 монтирование специфических устройств (iPod, мобиль-
ники Siemens, Apple iPhoto DPAP и т. д.);
 монтирование NTFS в режиме read&write (полноценная
запись в отличие от той, что содержится в ядре по умол-
чанию);
 хранение файлов в реляционной БД.
FUSE работает на Linux 2.4, Linux 2.6 и FreeBSD [2]. На-
чиная с версии 2.6.14-rc1 FUSE входит в ядро Linux. Изна-
чально FUSE была частью проекта AFVS [3], но теперь яв-
ляется отдельным проектом на SourceForge [4].
Как работает FUSE?
Разработать драйвер файловой системы с использова-
нием FUSE очень просто. В качестве доказательства со-
здатели FUSE приводят на своем сайте пример драйвера
файловой системы Hello world, написанный на языке С, ис-
ходный код которого занимает меньше 100 строк. Этот ис-
ходный код доступен по адресу: http://fuse.sourceforge.net/
helloworld.html.
На рис. 1 показано, как происходит системный вызов
(например, stat) в драйвере Hello world.
Драйвер и библиотека FUSE общаются между собой
с помощью файлового дескриптора, получаемого при от-
крытии /dev/fuse. Этот файл может быть открыт несколько
раз. При этом для каждой монтируемой ФС генерируется
свой дескриптор.
№6, июнь 2006
администрирование
Рисунок 1. Файловая система Hello world
Сегодня вы узнаете, как можно монтировать разделы
NTFS в режиме read+write.
Как работает Captive?
Существует два FUSE-драйвера для NTFS: ntfsmount
и сaptive. Первый из них использует тот же код, что и kernel-
драйвер. По сути это один и тот же драйвер, который выпол-
няется по-разному. Этот драйвер написан с нуля. В ходе его
разработки проводилась большая работа по реверс-инжи-
нирингу. Этот драйвер пока ещё не очень стабилен и пред-
назначен в основном для чтения данных. Записывать он то-
же может, но единственное, что можно сделать с помощью
этого драйвера – это изменить содержимое существующе-
го файла, оставляя прежним его размер. Это может быть
полезно, если вы хотите использовать некий файл-контей-
нер, лежащий на NTFS, например, PGP-диск или виртуаль-
ный винчестер для VMWare. Но в этом случае лучше ис-
пользовать вариант драйвера, выполняемый в режиме яд-
ра, так как он работает гораздо быстрее.
Captive NTFS использует другой подход. Наподобие
того, как это делается в Wine, captive подгружает в адрес-
ное пространство позаимствованный из Windows драйвер
ntfs.sys и использует его код для записи в NTFS. Это дает
достаточно высокую гарантию сохранности данных. Ну так
давайте же скорее установим его!
Установка и использование
Для начала вам понадобится FUSE. Если вы приверже-
нец FreeBSD, то вам повезло: fuse4freebsd уже есть в пор-
тах. Достаточно установить пакеты sysutils/fusefs-kmod
и sysutils/fusefs-libs.
Я пользуюсь Gentoo Linux и поэтому все, что будет ска-
зано дальше в основном относится к этому дистрибутиву
и ядру Linux. Итак, в Gentoo установка проходит так:
emerge -av sys-fs/fuse
modules-update
modprobe fuse
chmod 666 /dev/fusе
Для удобства можно добавить FUSE в автозагрузку:
27
 администрирование
echo "fuse" >> /etc/modules.autoload.d/kernel-2.6
Неудобство этого подхода в том, что каждый раз, когда
вы пересобираете ядро, вам необходимо будет пересоби-
рать и sys-fs/fuse. Если вы используете ядро 2.6.14 или стар-
ше, то вы можете просто включить поддержку FUSE пря-
мо в ядре.
Symbol: FUSE_FS [=m]
Prompt: Filesystem in Userspace support
Defined at fs/Kconfig:465
Location:
-> File systems
Следующий шаг – установка captive. Вы можете ском-
пилировать captive из исходников или использовать го-
товый rpm, скачав его со страницы проекта: http://www.
jankratochvil.net/project/captive/#download. В портах Gentoo
captive уже присутствует, так что установка не составля-
ет труда.
echo "sys-fs/captive ~x86" >> /etc/portage/package.keywords
echo "sys-fs/captive -gtk" >> /etc/portage/package.use
emerge -av captive
Если вы используете Debian-based-дистрибутив, то вам
придется конвертировать rpm в deb:
alien captive-static-1.1.7-0.i386.rpm
dpkg -i captive-static_1.1.7_1.i386.deb
Если вы хотите скомпилировать captive из исходников,
то это лучше всего сделать так:
./configure –enable-install-pkg=no
make
make install
Теперь остается переписать файлы ${WINDIR}/system32/
ntoskrnl.exe и ${WINDIR}/system32/drivers/ntfs.sys в /var/lib/
captive/. Я это сделал с помощью Samba. Если у вас нет
доступа к установленной Windows NT/2000/XP/2003Server,
то вам, пожалуй, придется качать Service Pack с сай-
та Microsoft и извлекать эти файлы оттуда с помощью
cabextract. WinXP SP2 доступен по адресу [5].
Рисунок 2. Установка captive с помощью captive-install-acquire
28
Вот и всё! Теперь надо не забыть отмонтировать NTFS-
раздел:
umount /dev/hda1
mount -t captive-ntfs /dev/hda1 /mnt/tmp/ -o -–rw
Обратите внимание, что параметры, которые мы хотим
передать captive, должны начинаться с двух тире, а те па-
раметры, которые предназначены для FUSE, передаются
обычным образом.
Для удобства можно добавить в /etc/fstab запись, соот-
ветствующую NTFS-разделу:
/dev/hda1 /mnt/captive captive-ntfs noauto,--rw 0 0
Архитектура
Captive состоит из двух частей – это собственно сам драй-
вер и утилита настройки captive-install-acquire (см. рис. 2).
Эта утилита разработана под Gnome очень сильно и тянет
за собой много зависимостей. А вот функционал у неё до-
вольно скромный: она ищет на NTFS-разделах файлы ntfs.
sys, fastfat.sys, ntoskrnl.exe и sdfs.sys и переписывает их
в директорию /var/lib/captive. У меня она где-то нашла эти
файлы с испанской (!) локалью. Если такие файлы найти
не удается, то captive-install-acquire может скачать с сай-
та www.microsoft.com service pack и взять их оттуда. И пос-
леднее. Эта утилита добавляет в /ets/fstab записи об NTFS-
разделах, но без опции --rw, и поэтому всё равно приходит-
ся править руками.
К нашей удаче существует возможность установить
только драйвер. В Gentoo это делается с помощью USE-фла-
га -gtk, а если вы собираете пакет из исходников, то нужно
задать опцию -enable-install-pkg=no для скрипта configure.
Но даже в этом случае вам придется установить gnome-vfs,
libonobo и orbit. Давайте разберемся, для чего это нужно
(см. рис. 3).
При монтировании файловой системы FUSE подгружа-
ет sandbox master – компонент captive, который постоянно
находится в памяти. Sandbox master контролирует рабо-
ту sandbox slave. Этот slave выполняется в отдельном про-
цессе. В адресное пространство этого процесса подгру-
жаются ntosknl.exe и ntfs.sys прямо, как в Wine. Этот про-
цесс и называется sandbox – песочница. Внутри песочни-
цы captive делает вызовы бинарного кода, предназначен-
ного для выполнения в адресном пространстве несколь-
ко иной структуры. Кроме того, этот код предназначен для
выполнения в более богатом разными компонентами окру-
жении. Конечно, этот код должен выполняться на нулевом
кольце, а не на третьем. В силу сказанного ассемблерный
код из ntoskrnl.exe и *.sys довольно часто приводит к ава-
рийному завершению процесса. Segmentation, как говорит-
ся, fault. В ходе поставленных мною экспериментов такое
падение мне удавалось наблюдать до десяти раз за вре-
мя распаковки архива с исходниками captive (2,9 Мб). Ког-
да песочница ломается, sandbox master перезапускает пе-
сочницу повторно и продолжает выполнение сначала не-
удачной транзакции, поэтому для конечного пользовате-
ля этот крах остается незамеченным и не приводит к по-
тере данных.
 администрирование
Таблица 1. Результаты замера производительности
NTFS compressed NTFS ReiserFS
Копирование 0 m 12.159 s 0 m 39.673 s 0 m 0.048 s
Распаковка 3 m 10.333 s 4 m 22.235 s 0 m 1.479 s

Также мне хотелось бы отметить, что все компоненты

captive реализованы на языке C. Это положительно вли-
яет на производительность. IPC при управлении песоч-
ницей реализован на основе CORBA (вот для чего нужны
libonobo и orbit). А для чего же gnome-vfs? Если взглянуть
в ChangeLog, то становится ясно, что изначально captive раз-
рабатывался исключительно для gnome-vfs. Проект стар-
товал в октябре 2002 года. В августе 2003 была добавлена
поддержка LUFS, a в декабре 2005 LUFS была заменена на
FUSE. Проекты gnome-vfs, fuse и lufs стартовали соответс-
твенно в августе 1999, ноябре 2001 и августе 2002 годов.
Скорее всего разработчики думали, что captive не только
никогда не войдет в официальное ядро, но и вообще за пре-
делами Gnome использоваться не будет. Как мы увидим да- Рисунок 3. Принцип работы captive
лее, возможность использования gnome-vfs вместо FUSE
следует рассматривать всерьёз, если вы уделяете внима-
ние быстродействию файловой системы, так как при ис-
пользовании gnome-vfs приходится вместо трех переклю-
чений в/из режим(а) ядра делать всего одно.

Производительность
Думаю, вам будет интересно оценить производительность
captive. Для этого я проделал всего два теста. Я засекал
с помощью команды time время копирования одного боль-
шого файла и время распаковки архива с большим коли-
чеством маленьких файлов.

# time cp /usr/portage/distfiles/captive-1.1.7.tar.gz /mnt/tmp/

# time tar -xzf captive-1.1.7.tar.gz -C /mnt/tmp

Оба этих теста я проделал на разделах NTFS со сжа-

тием и без него и на reiserfs. Результат вы можете увидеть
в таблице 1.
Признаться, результат оказался несколько неожидан-
ным. Из таблицы видно, что производительность Captive
оставляет желать лучшего. ReiserFS работает более чем в
150 раз быстрее. Таким образом, если у вас нет необходи-
мости записывать на NTFS-раздел, то крайне целесообраз-
ным будет использовать read-only-драйвер, поставляемый
с ядром. Если вы хотите использовать VMWare hard drive,
BestCrypt диск и т. п., то в этом случае опять же лучше бу-
дет использовать драйвер из ядра.
Если вам жизненно необходимо создавать и удалять
файлы, менять их размер, то у вас есть два варианта:
Captive и VMWare. Captive вполне подойдет, если вам нуж-
но отредактировать документ на NTFS-разделе или сбро-
сить туда пару файлов. Если этот раздел расположен на
USB 1.0, то вы можете даже не заметить разницы в скоро-
сти. В случае когда вам необходимо писать на NTFS час-
то и много, стоит рассмотреть возможность применения
VMWare. Если виртуальная машина использует физичес-
кий диск, то запись происходит с такой же скоростью, как
и в Windows. Однако в отличие от Captive это коммерчес-
кий продукт. Кроме того, на виртуальную машину нужно бу-
дет поставить Windows NT/2k/XP/2k3, которые тоже не бес-
Рисунок 4. Captive API
платны. Кроме того, для установки вам придется пожертво-
вать 256 Мб памяти и 2 Гб дискового пространства. К тому
же VMWare для работы требуется X Server.
Поэтому невозможно дать универсальные рекоменда-
ции. В каждом конкретном случае вам приходется подби-
рать индивидуальное решение.
Ссылки:
1. Яремчук С. Файловые системы пространства пользователей. –
Журнал «Системный администратор», №6, 2006 г. – 40-43 с. –
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2005;a=06.
2. http://fuse4bsd.creo.hu.
3. http://www.inf.bme.hu/~mszeredi/avfs.
4. http://fuse.sourceforge.net.
5. http://www.microsoft.com/downloads/details.aspx?FamilyID=
049c9dbe-3b8e-4f30-8245-9e368d3cdb5a.

№6, июнь 2006 29

 администрирование

Централизованно меняем пароли

локального системного администратора

Иван Коробко
Регулярная смена паролей локальных системных администраторов – необходимое
мероприятие, обеспечивающие безопасность хранения данных в сети. Автоматизировав этот
процесс, вы значительно снизит затраты на администрирование.

С
пециалисты системной под-  Поддерживать работу в несколь- мента запускается тот или иной режим
держки, как правило, не обла- ких режимах: для конкретной ма- работы сценария (см. таблицу 1):
дают правами системного ад- шины, для членов группы в AD или
министратора. Для установки про- для всех рабочих станций в сети. Set objArgs=Wscript.Arguments
If Wscript.Arguments.Count=1 Then
граммного обеспечения они исполь-  Унифицировать имя системного If strcomp(ucase(objArgs(0)), ↵
зуют пароль локального системного администратора, переименовывая UCase("-Domain"))=0 Then
mode=1
администратора. Рекомендуется мак- учетную запись, например, из «Ад- End If
симально ограничить права пользова- министратор» в «Administrator». If strcomp(ucase(objArgs(0)), ↵
телям, поскольку установка програм-  По окончанию работы сценария UCase("-Group"))=0 Then
много обеспечения, подключение но- формировать файл отчета. mode=2
End If
вых физических устройств, например
Flash Card, несет в себе потенциаль- Мультирежимность If strcomp(ucase(objArgs(0)), ↵
UCase("-PC"))=0 Then
ную опасность: может произойти утеч- скрипта mode=3
ка важной информации, что не до- Поддержка нескольких режимов рабо- End If
пустимо. Таким образом, регулярная ты реализована с помощью парамет- Else
смена пароля очень важна. Посколь- ров запуска командной строки. Дого- mode=0
End If
ку в сети есть русско- и англоязычные воримся, что запуск сценария, изменя-
версии операционных систем, то стан- ющего имя администратора на указан-
дартные учетные записи и группы ад- ном компьютере, осуществляется с по- Вывод справки
министраторов могут записываться мощью параметра «-pc», для компью- Этот режим, как и все остальные, ре-
по-разному, согласитесь, это очень не- теров, перечисленных в группе, храня- ализован с помощью инструкции
удобно. Достичь универсальности име- щейся в AD, – «-group», а для всех ком- Select… Case и представляет собой вы-
ни локальной учетной записи адми- пьютеров в домене – «-domain». При за- вод текстового сообщения на экран:
нистратора и его пароля можно с по- пуске скрипта во всех остальных слу-
мощью скрипта. Для его создания ис- чаях будет выводиться справка. Select Case mode
Case 0
пользуем VBScript. Чтение аргументов осуществляется txt="ТЕКСТ СПРАВКИ"
с помощью объекта Wscript.Arguments, WScript.Echo txt
Режимы работы сценария их количество определяется с помо- Case 1
Создаваемый сценарий будет обла- щью команды Wscript.Arguments.Count.
…
дать следующими возможностями: В зависимости от полученного аргу- End Select

30

Переименование учетных записей
Поскольку речь идет о локальных учетных записях поль-
зователя и группы, то использовать для этих целей прото-
кол LDAP нельзя. Необходимо применять хорошо извест-
ный еще со времен Windows NT 4 протокол WinNT. Все три
оставшихся режима выполняют одну и ту же операцию:
проверяют на правильность имя группы и пользователя,
в случае ошибки переименовывают в правильное и зада-
ют новый пароль. Как видно – это общий фрагмент, кото-
рый рекомендуется внести в функцию, её входным пара-
метром будет имя локального компьютера. Функция со-
стоит из 3 частей:
 верификация и в случае необходимости изменение име-
ни пользователя;
 верификация и в случае необходимости изменение име-
ни группы;
 присвоение учетной записи «administrator» нового па-
роля.
Верификация и изменение имени пользователя
Зная имя компьютера, к сети необходимо подключиться
и получить список локальных пользователей на рабочей
станции, и проверить существование оговоренных учет-
ных записей. В случае несоответствии имен – переимено-
вать группу.
' Определение списка локальных пользователей
' на компьютере
Set obj_user= getobject("WinNT://" & pcname)
obj_user.filter = Array("user")
For Each user in obj_user
user_name= user_name ↵
+cstr(user.Name)
Next
' Переименование русского (*)Администратор(*)
' в латинское
If StrComp (UCase(user_name), ↵
UCase("Администратор"))=0 Then
Set obj_user2= getobject("WinNT://" & ↵
pcname&"/Администратор,User")
Set obj_user3= getobject("WinNT://" & pcname)
Set q=obj_user3.movehere(obj_user2.adspath, ↵
"Administrator")
Set obj_user2 = Nothing
Set obj_user3 = Nothing
End If
Переименование группы осуществляется аналогич-
ным способом. Полный текст сценария смотрите на сай-
те журнала www.samag.ru, в разделе «Исходный код». За-
мечание: для успешной работы скрипт должен быть запу-
щен от имени администратора сети. Задание нового па-
роля локального пользователя реализовано с помощью
функции setpassword(), параметром которой является но-
вый пароль:
Set obj_user4= getobject("WinNT://" & ↵
pcname&"/Administrator,User")
Call obj_user4.setpassword(PWD)
Set obj_user4 = Nothing
Изменяем пароль на локальном компьютере
Ранее говорилось, что смена пароля локального системно-
го администратора выполняется при запуске скрипта с ар-
№6, июнь 2006
администрирование
Таблица 1. Режимы работы сценария
Аргумент Значение переменной MODE Описание режима
– Mode=0 Вывод справки
-рс Mode=3 Изменение на локальном компьютере
-group Mode=2 Изменение у группы компьютеров
-domain Mode=1 Изменение на всех компьютерах домена
гументом «-pc». При этом значение переменной mode – 3.
При запуске в этом режиме необходимо задать два пара-
метра: имя рабочей станции и новый пароль. Лучше все-
го это сделать с помощью диалогового окна, вызываемо-
го с помощью InputBox().
После того как исходные параметры заданы, необ-
ходимо выполнить обращение к функции, которая из-
менит пароль, передавать ей в качестве параметра имя
компьютера. Значение переменной, в которой содержит-
ся новый пароль, не имеет смысла передавать как пара-
метр функции. Рекомендуется объявить эту переменную
как глобальную:
Dim PWD
PWD = "987654321"
Select Case mode
…
Case 3
PWD=CStr(inputbox("Введите новый пароль ↵
локального администратора",,PWD))
PCNAME = "1230PC"
PCNAME=CStr(inputbox("Введите имя рабочей станции",,PCNAME))
' вызов функции изменения имен и назначения
' нового пароля
make pcname
End Select
Изменяем пароль на группе компьютеров
Для смены пароля на компьютерах, входящих в группу бе-
зопасности, требуется создать группу в Active Directory
и включить в нее учетные записи компьютеров, на которых
необходимо сменить локальный пароль (см. рис. 1). Доступ
к AD в данной ситуации можно осуществлять с помощью
провайдеров LDAP и WINNT. Для простоты воспользуемся
последним из них.
Запрашиваемые параметры скрипта в данном режиме –
имя группы и новый пароль.
Чтобы получить доступ к AD, необходимо знать имя до-
мена. Для протокола WINNT имя домена должно быть пред-
ставлено в сокращенном варианте, например SPD. Полу-
чить имя домена в сокращенном виде можно несколькими
способами. Один из них – использование стандартной биб-
лиотеки ADSystemInfo:
Dim PWD
PWD = "987654321"
Select Case mode
…
Case 2
pwd=CStr(inputbox("Введите новый пароль ↵
локального администратора",,PWD))
31
 администрирование

Рисунок 1. Члены группы безопасности,

обрабатываемые скриптом Рисунок 2. Пример файла отчета

GROUPNAME = "PC$_group" те HTML и отображать его после завершения работы про-

GROUPNAME=CStr(inputbox("Введите имя группы, ↵ граммы.
включая префикс",,GROUPNAME)) Во время работы скрипта следует накапливать ин-
Set objSysInfo = CreateObject("ADSystemInfo") формацию в переменной, затем обрабатывать ее с по-
domain=cstr(objSysInfo.DomainShortName) мощью функции, которая выводила бы членов группы
Set obj_group= getobject("WinNT://" & ↵
domain &"/"&GROUPNAME) «Administrators». Если такой группы нет, то делается соот-
For Each pc in obj_group.members ветствующая пометка в файле. Отсутствие группы говорит
p=cstr(pc.name)
pcname=Left(p,Len(p)-1) о том, что компьютер недоступен (см. рис. 2): он выключен
make pcname или на нем настроен firewall.
Next
Set obj_group= Nothing Запись данных файл осуществляется с помощью объ-
екта FSO:
…
End Select
Set FSO=CreateObject("Scripting.FileSystemObject")
Set MyFile1 = fso.CreateTextFile("c:\"+report+".htm", ↵
True, TRUE)
Изменяем пароль на всех компьютерах в домене MyFile1.WriteLine(data)
Для изменения пароля локального администратора на всех MyFile1.Close
компьютерах домена необходимо определить его корот-
кое имя: Когда сценарий завершит работу, отобразите с по-
мощью созданной функции на экране созданный HTML-
Set objSysInfo = CreateObject("ADSystemInfo") файл. Управление веб-страницами осуществляется с по-
domain=cstr(objSysInfo.DomainShortName)
мощью объекта InternetExplorer.Application. Доступ к объ-
Затем получить поочередно доступ ко всем компьюте- екту из VBScript также осуществляется с помощью функ-
рам домена и последовательно вызывать функцию make ции CreateObject().
с изменяющимся значением параметра:
Path=c:\report.htm
Case 1
set oIE=Wscript.CreateObject("InternetExplorer.Application")
… With oIE
Set obj_comp = getobject("WinNT://" & domain) .Left=100
obj_comp.filter = Array("Computer") .Top=100
.Height=400
For Each Computer in obj_comp .Width=400
pcname=cstr(Computer.Name) .MenuBar=0
make pcname .Toolbar=0
Next .Statusbar=0
Set obj_comp= Nothing .Resizable=1
… End With
oIE.Navigate Path
oIE.Visible=1

Формируем отчет Созданный сценарий может быть запущен с любой маши-

Отчет может представлять собой какой-либо текстовый ны с привилегиями администратора.
файл, содержащий информацию о выполненных скриптом Надеюсь, что этот простой, но мощный скрипт поможет
действиях. Рекомендуется сделать файл отчета в форма- в вашей работе.

32

Выполнение произвольного кода
в Symantec Client Security /AntiVirus
Программа: Symantec Client Security 3.x, Symantec AntiVirus
Corporate Edition 10.x.
Опасность: Критическая.
Описание: Уязвимость существует из-за ошибки провер-
ки границ данных. Удаленный пользователь может выпол-
нить произвольный код на целевой системе с привилеги-
ями SYSTEM.
URL производителя: www.symantec.com.
Решение: Установите исправление с сайта производите-
ля.
Повреждение памяти в Sophos Anti-Virus
Программа: Sophos PureMessage for UNIX 5.x, Sophos
PureMessage for UNIX 4.x, Sophos MailMonitor for SMTP, Sophos
MailMonitor for Notes/Domino, Sophos Anti-Virus Small Business
Edition, Sophos Anti-Virus 5.x, Sophos Anti-Virus 4.x, Sophos
Anti-Virus 3.x, Sophos PureMessage for Windows/Exchange 2.x,
Sophos PureMessage Small Business Edition 2.x.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки при об-
работке Microsoft Cabinet (.CAB)-файлов. Удаленный поль-
зователь может с помощью специально сформированно-
го .CAB-файла вызвать повреждение памяти и выполнить
произвольный код на целевой системе.
Для успешной эксплуатации уязвимости должен быть
включен контроль .CAB-файлов.
URL производителя: www.sophos.com.
Решение: Установите исправление с сайта производите-
ля.
Переполнение буфера в Nagios
Программа: Nagios 1.x, Nagios 2.x.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки при об-
работке HTTP-заголовка «Content-Length» в некоторых CGI-
приложениях. Удаленный пользователь может указать от-
рицательное значения для заголовка «Content-Length», вы-
звать переполнение буфера и выполнить произвольный код
на целевой системе.
URL производителя: www.nagios.org.
Решение: Установите последнюю версию (2.3 или 1.4) с сай-
та производителя.
Обход парольной аутентификации
в RealVNC
Программа: RealVNC 4.1.1, возможно, другие версии.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки при обра-
ботке парольной VNC-аутентификации. Удаленный пользо-
ватель может получить доступ к удаленной системе.
URL производителя: www.realvnc.com.
Решение: Установите последнюю версию с сайта произ-
водителя.
№6, июнь 2006
bugtraq
Выполнение произвольного кода
в Microsoft Exchange
Программа: Microsoft Exchange 2000, Microsoft Exchange
2003.
Опасность: Критическая.
Описание: Уязвимость существует из-за ошибки Microsoft
Exchange Calendar в функционале EXCDO (Exchange
Collaboration Data Objects) и CDOEX (Collaboration
Data-Objects for Exchange) при обработке iCal- и vCal-свойств
e-mail-сообщения. Удаленный пользователь может с помо-
щью специально сформированного сообщения выполнить
произвольный код на целевой системе.
URL производителя: www.microsoft.com.
Решение: Установите исправление с сайта производите-
ля.
Переполнение буфера в wodSSHServer
Программа: wodSSHServer 1.2.7 и 1.3.3 DEMO. Возможно,
другие версии.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки проверки
границ данных при обработке строки алгоритма для обме-
на ключом, полученным от SSH-клиента. Удаленный поль-
зователь может вызвать переполнение стека и выполнить
произвольный код на целевой системе.
URL производителя: www.weonlydo.com /index.asp?
showform=SSHServer.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Переполнение буфера в FreeSSHd
Программа: FreeSSHd 1.0.9, возможно, другие версии.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки проверки
границ данных при обработке строки алгоритма для обме-
на ключом, полученным от SSH-клиента. Удаленный поль-
зователь может вызвать переполнение стека и выполнить
произвольный код на целевой системе.
URL производителя: www.freesshd.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Выполнение произвольного кода
в Verisign i-NAv ActiveX-компоненте
Программа: VeriSign i-Nav Plug-In.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки при обра-
ботке входных данных в механизме InstallProduct в ActiveX
компоненте VUpdater.Install. Удаленный пользователь мо-
жет выполнить произвольные файлы, содержащиеся в .CAB-
архиве.
URL производителя: www.idnnow.com.
Решение: Установите последнюю версию с сайта произ-
водителя.
Составил Александр Антипов
33
 человек номера
Оппонент мистера Гейтса
Сообщество разработчиков свободных программ в России возникло во многом благодаря
генеральному директору ALT Linux и его коллегам.
П
оздоровавшись, Алексей Вла-
димирович первым делом под-
вел меня к окну одной из комнат
Института философии РАН, в которых
компактно, уютно, в соседстве с мно-
гочисленной техникой располагается
Общественный институт логики, ког-
нитологии и развития личности. Из ок-
на был виден Кремль. Алексей Смир-
нов немного гордится этой панорамой
и вместе с тем находит ее забавной.
Уже потом, после беседы с ним, я поня-
ла, почему руководитель Обществен-
ного института и одновременно гене-
ральный директор компании ALT Linux
именно так воспринимает многие ве-
щи. Легким мировосприятие Алексея
Владимировича делает беспредельное
чувство свободы. Это чувство, по-мое-
му, ведет его по жизни. Да и разве мог
бы несвободный человек стать одним
из столпов свободного программного
обеспечения в России?
34
Психология, логика,
«Ямахи»…
А начиналось все с математики. Ма-
тематический факультет Московско-
го государственного педагогического
института им. Ленина ни к чему опре-
деленному не привязывал. Наоборот,
давал свободу. Алексей интересовал-
ся логикой, что вполне понятно – близ-
кая к основному образованию тема,
да и отец, Владимир Александрович
Смирнов, был виднейшим российским
философом и логиком, принадлежал к
блестящей плеяде выпускников фило-
софского факультета Московского уни-
верситета середины XX века. На пятом
курсе свободный поиск привел Алексея
Владимировича к тому, что его пригла-
сили на работу в НИИ общей и педаго-
гической психологии, где в должности
младшего научного сотрудника лабо-
ратории математического моделирова-
ния психических процессов наш герой
занимался автоматическим распоз-
наванием рукописных текстов. Между
прочим, чтобы попасть в НИИ, Алек-
сей должен был выполнить условие –
освоить один из языков программиро-
вания. О том, что это был первый шаг
в сторону Linux, он, естественно, не до-
гадывался. Шел 1979 год.
В 1984 году Смирнов перешел
на работу в Вычислительный центр Ми-
нистерства просвещения СССР. И ес-
ли раньше Алексей Владимирович ос-
вобождал тексты от скрытого в них
смысла с помощью логики, лингвис-
тики, математики и основ программи-
рования, то теперь ему предстояло ос-
вобождать советскую школу от жал-
кого прозябания в бескомпьютерной
среде. 1985-1987 годы – время массо-
вого внедрения в школы информати-
ки. Я помню, что именно тогда, во вто-
рой половине 80-х, увидела первые
в своей жизни компьютеры в учебном

центре моего подмосковного города,
а в моем школьном дневнике появи-
лась «Информатика». Ну и первая иг-
ра в тетрис, как такое забудешь! И вот
я сижу рядом с человеком, который
разрабатывал программное обеспече-
ние для японских «Ямах», которые пос-
тавлялись в образовательные учреж-
дения СССР, обучал школьников, пре-
подавателей, и он мне рассказывает,
как это было. Фантастика…
Более того, в это же время Алек-
сей Владимирович со товарищи стали
создателями чуть ли не первого после
принятия Закона «О кооперации» ко-
оператива «Сотрудничество» при СП
«Диалог».
– Мы делали комплекты программ
для «Ямах». Библиотеки выпуска-
ли, программно-аппаратные комп-
лексы, чтобы это можно было присо-
единять к лабораторному школьному
оборудованию и проводить экспери-
менты. Тогда как раз вышли програм-
мы и курсы А.Г. Кушнеренко, связан-
ные с виртуальными мирами. Идея бы-
ла такая – управление объектами, ко-
торые смоделированы на компьюте-
ре. Стали развивать мысль – давайте
не будем проводить физический экс-
перимент, а смоделируем его на ком-
пьютере. Нам это очень не понрави-
лось. Что такое физический экспери-
мент? Существует некая теория, и я хо-
чу убедиться, она соответствует тому,
что есть на самом деле. Если модели-
ровать реальность на компьютере, по-
лучается, что я сравниваю математи-
ческую модель с компьютерной. А за-
чем? В качестве иллюстрации?
– Мне кажется, – робко встре-
ваю я, – это делается для того, чтобы
уберечь детей. Эксперимент может
быть опасным…
– Тогда можно кино по телевизору
показать. Зачем компьютер? Не стоит
его использовать в качестве киноус-
тановки. Понятно, что ядерный взрыв,
другие опасные эксперименты лучше
так и показывать.
Берем обычный школьный экспе-
римент, обычные школьные приборы,
которые есть в обычной лаборатории.
Необходимо устройство, через кото-
рое мы сможем все это присоединить
к компьютеру и затем снимать показа-
ния этих приборов – амперметра, воль-
тметра и так далее… С другой стороны,
на приборы надо подавать управляю-
№6, июнь 2006
щие сигналы. Собираем эксперимен-
тальную установку и описываем метод
проведения эксперимента. Инструк-
ция по его проведению – фактически
программа для компьютера. Вот это,
я считаю, нормальное использование
компьютера, когда машина работает
с реальными объектами, а не ставит-
ся для демонстрации интерактивных
мультфильмов. Устройство мы сдела-
ли, написали методичку для доволь-
но широкого круга физических экспе-
риментов. Все это ушло в школы и ак-
тивно работало.
Диагноз ясен
От школьных проблем – к вузовским.
Еще в бытность свою ведущим спе-
циалистом того же кооператива «Со-
трудничество» Алексей Владимиро-
вич принял участие в создании учеб-
ника по логике «Логика и клиническая
диагностика», компьютерного практи-
кума для студентов-медиков. Вдохно-
вителем и руководителем этого проек-
та был Феликс Трофимович Михайлов,
российский философ и психолог-тео-
ретик, доктор философских наук, про-
фессор, действительный член РАО.
О Феликсе Трофимовиче необ-
ходимо сказать немного подробнее.
Без этого очерк об Алексее Смирнове
будет неполным. Ведь человека фор-
мируют не только семья, книги, обра-
зование, но и встречи с такими удиви-
тельными людьми. Феликс Михайлов –
автор знаменитых трудов «За порогом
сознания. Критический очерк фрейдиз-
ма» (в соавторстве), «Загадка челове-
ческого Я», «Общественное сознание
и самосознание индивида». В лабора-
тории теоретических проблем психоло-
гии деятельности, созданной руково-
дителем Института общей и педагоги-
ческой психологии Василием Василь-
евичем Давыдовым специально для
Михайлова, работали многие ученые
с громкими именами. А еще – знамени-
тые участники эксперимента, слепоглу-
хие выпускники Загорской школы-ин-
терната. Один из них, доктор психоло-
гических наук Александр Суворов, на-
писал в своей статье «Двойная звезда»
уже после смерти Феликса Трофимо-
вича в феврале этого года: «Мы с рож-
дения до смерти – органы друг друга, –
настаивает Феликс Трофимович. И этот
тезис Феликс Трофимович всё более
глубоко и всесторонне обосновывал
человек номера
в течение всей жизни. Создав, нако-
нец, концепцию обращений. Обраще-
ния – это тот механизм, который дела-
ет каждого из нас органом жизнеде-
ятельности человеческого рода и каж-
дого его представителя. Обращения –
это, во-первых, наше общение. Во-вто-
рых, это способ нашего друг с другом
действия, то, как мы друг с другом об-
ращаемся. Хорошо или плохо. Чело-
вечно или бесчеловечно. Нравствен-
но или безнравственно. И вот этот спо-
соб обращения друг с другом и делает
нас личностями, человеческими инди-
видуальностями того или иного качес-
тва. Ущербного – или всесторонне-гар-
монического...»
В 1957-1970-х годах Феликс Михай-
лов сначала был доцентом, а потом –
заведующим кафедрой философии
2-го Медицинского института. За сво-
бодомыслие был изгнан, а вернулся
20 лет спустя, и вот как раз об этих вре-
менах рассказывает Алексей Смирнов:
«Мы работали с группой врачей из Чет-
вертой Градской больницы, с кафед-
ры пропедевтики внутренних болез-
ней. Они подняли архивы расхождения
медицинских диагнозов по вскрытиям
с прижизненной диагностикой. То есть
архив медицинских ошибок, сущест-
вующий в больницах чуть ли не с ека-
терининских времен. Они обнаружи-
ли интересную вещь. Сейчас сущест-
вуют современные методы диагности-
ки. Если есть подозрение на инфаркт,
назначают кардиограмму. Если надо,
делают УЗИ, берут анализы. Но про-
цент медицинских ошибок практически
не меняется! Они поняли, почему. Ме-
диков учат, как собирать данные, как
пощупать пульс, расспросить больно-
го, на какой анализ направить, как его
прочитать. То есть методам обследова-
ния. С другой стороны, студенты изуча-
ют, как протекают те или иные болезни.
А дальше врач оказывается перед кон-
кретным больным. Он помнит про все
болезни, про все методы исследования
больного. А что делать с этим больным,
не знает. Выясняется, что методу поста-
новки диагноза его не научили! Что де-
лать? Смотреть зрачки, есть ли желту-
ха, посылать на кардиограмму или сра-
зу брать пункцию? Знаний много, а тол-
ку от них мало. Необходимо было сде-
лать курс, на котором медики-диагнос-
ты могли получить азы постановки диа-
гноза. Мы работали вместе и сделали
35
 человек номера
мости от того, что ном и моралью. Если это программное
вам надо. Если му- обеспечение идет в школу, там должна
чает жажда, прос- быть хотя бы кампусная лицензия, кото-
то посмотрите, ка- рая позволяет ученикам и сотрудникам
кая лучше, какая и, наверное, их домашним, поставить
приемлема по це- его на своих домашних компьютерах
не, заплатите и тут и на рабочем месте и беспрепятствен-
же выпьете, не гля- но пользоваться. А дальше – кто, что
дя на условия по- и за какие деньги предложит. Тут и на-
купки. А если на- до сравнивать. Один приходит и гово-
до поставить воду рит – берите программу, ставьте на лю-
на стол гостям, на- бом количестве компьютеров и исполь-
верное, придется зуйте как хотите, другой – вот програм-
купить ту бутылку, ма, можете поставить на 20 компьюте-
Свободнорожденного нельзя лишить свободы!
которую разреша- ров, а дальше придется еще закупать».
такой курс, тренажер на компьютере. ется наливать не только себе. Иначе При таких условиях свободному софту
Можно взять компьютерного больно- придется каждому гостю покупать по и особого лобби не надо, его преиму-
го, применить к нему те или иные мето- бутылке. Глядеть на цену, не поглядев щества видны сразу.
ды обследования и получить результат. на эти условия, нелепо». Набрав в любой поисковой системе
Врачи остались довольны. Тренажером Так же нелепо, объясняли в 2003 го- free software, находим сайт www.gnu.org.
этим пользуются до сих пор». ду Алексей Смирнов и его коллеги со- И вот они, четыре разновидности сво-
Научная работа Алексея Смирно- трудникам Министерства экономичес- боды пользователей программ:
ва в области логического программи- кого развития и торговли РФ, покупать 1. Свобода запускать программу
рования – это поиск вывода в различ- программы для госсектора, не указав, в любых целях (свобода 0).
ных логических системах, паранепро- какие права при этом вы хотите при- 2. Свобода изучения работы програм-
тиворечивые логики, компьютерные обрести. «Мы создали аналитическую мы и адаптация ее к вашим нуждам
системы поиска вывода. В соавторстве работу. Среди прочего, рекоменда- (свобода 1). Доступ к исходным тек-
Алексей Владимирович создал про- ции по использованию свободных про- стам является необходимым усло-
грамму интерактивного поиска дока- грамм в госсекторе. И заявили: катего- вием.
зательств Deductio, распространенную рически не надо при госзакупках какие- 3. Свобода распространять копии, так
в нашей стране и за рубежом. Интерес- либо преференции делать свободному что вы можете помочь вашему то-
нейшая тема, продолжить изучение ко- софту. Они на нас удивленно посмотре- варищу (свобода 2).
торой предлагаю на сайте www.logic.ru. ли и спросили: «Вы же представляете 4. Свобода улучшать программу
А я возвращаюсь к интервью. Мир сво- свободный софт, почему же не надо де- и публиковать ваши улучшения, так
бодного человека открыт, а значит, тем лать преференции?» Отвечаем: «Воп- что все общество выиграет от это-
для общения огромное множество. рос не в преференциях, а в том, что- го (свобода 3). Доступ к исходным
бы тендер проводился на равных для текстам является необходимым ус-
Четыре свободы всех». Что это значит? Когда вы поку- ловием.
Наш разговор продолжается. Вокруг паете программу, вы покупаете не ко-
тихо – сотрудники института уже дав- робочку, а определенные права. Объ- Программа считается свободной,
но разбрелись по домам – вечер, конец являя тендер, необходимо раскрыть если пользователи располагают все-
рабочей недели. А у нас беседа в раз- не только технические характеристи- ми четырьмя свободами… С вас мо-
гаре. Мы перешли к самой главной те- ки программы, но и заявить, какие пра- гут взять деньги за копирование про-
ме – свободный софт. К чайному сто- ва вы хотите купить. Что я имею пра- грамм GNU, либо вы можете получить
лу, расположенному неподалеку, под- во сделать с программой? Поставить их бесплатно. Вне зависимости от того,
ходит Алексей Евгеньевич Новодвор- ее на один компьютер и через два дня как вы получили вашу копию, вы всег-
ский, друг, соратник, спутник на всем стереть? Поставить на все компьютеры да свободны в дальнейшем копирова-
маршруте трудовой биографии Алек- на 41 год? Или могу копировать, разда- нии либо модификации программ».
сея Владимировича, наливает себе вать всем желающим? А если мне за- Практически, процитировав эти
чай. Смирнов указывает на него и пы- хочется ее исправить? Предположим, фрагменты, я применила на практике
тается объяснить мне, неофиту сво- программа закупается для школ. Зна- принципы свободного ПО.
бодного ПО: «Алексей привел хороший чит, это учебное пособие. Учебное по- Мне также понравилась идея «ав-
пример. Приходите в магазин, хотите собие должно быть свободно, доступ- торского лева», описанная в книге Ри-
купить бутылку воды. На одной напи- но всем сотрудникам и учащимся шко- чарда Столлмена «Open Sources»:
сано: «Берите, пользуйтесь до истече- лы. Если я покупаю программу, кото- «Центральная идея «авторского лева»
ния срока годности». А на другой напи- рую учитель может дать ребенку домой, в том, что мы даем каждому разреше-
сано: «Вы должны ее лично открыть и только нарушая уголовный кодекс, то, ние запускать, копировать, изменять
выпить, никому не наливать». Вопрос: наверное, это неправильно. Мы ставим программу и распространять изменен-
какую бутылку вы купите? В зависи- учителя перед выбором между зако- ные версии, но не разрешаем добав-

36
 человек номера
лять ограничения от себя… Эффек- тами: «Open Sources kill jobs», – пыта- Мир разработчиков свободных про-
тивность «авторского лева» возможна, ясь защитить низкоквалифицирован- грамм возник во многом благодаря
лишь если модифицированные версии ные кадры, которые, ничуть не сму- Алексею Смирнову и ALT Linux. При-
также свободны. Этим обеспечивает- щаясь, «рисуют» при помощи мышки чем народ общается не только в Сети,
ся, что производные продукты в слу- одни и те же программы для ста рабо- по e-mail и в «аське». Раз в год прово-
чае их публикации будут доступны на- тодателей. Не боятся, потому что об- дится знаменитый летний «форум» –
шему обществу. Когда программисты ладают замечательной эрудицией, хо- Linux Fest, а также приуроченная к не-
добровольно участвуют в улучшении рошо знают все о существующем про- му международная конференция раз-
программ GNU, «авторское лево» за- граммном обеспечении, способны ра- работчиков свободных программ, куда
щищает их от нанимателей, которые зобраться, что и как работает, и приду- приезжают, кстати, не только «линуксо-
могут сказать: «Вы не можете свобод- мать новое, если это необходимо. Вза- иды» и не только из России, но специ-
но распространять свои модификации, мен этих весьма высоких требований алисты практически со всего СНГ. Со-
поскольку мы собираемся сделать их «свободный софт» дает им свободу. И бирается целая армия – человек четы-
нашей собственнической версией про- пропуск в особый мир, который Алек- реста. Обсуждают технические, поли-
граммы». Отлично! Это то, что Алексей сей Смирнов описывает так: «Кто-то тические проблемы. Слабых докладов
Смирнов называет: «Свободнорожден- написал программу, другой посмот- на конференции не бывает, коммер-
ного нельзя лишить свободы». рел: «О, здесь можно что-то улучшить, ческие делают только фирмы-спонсо-
Уф, ну вот, спецы могут вздохнуть вот тебе изменения для этой програм- ры, да и те, чтобы не выглядеть глупо,
облегченно, мой ликбез завершен. Од- мы!». Наверное, он пришлет эти изме- присылают представителей с содержа-
нако еще одна восторженная нотка – по нения не потому, что он такой добрый, тельными сообщениями.
поводу «мира свободного софта», ко- а потому, что ему нужна дополнитель- Забавно, но уже в финале наше-
торый уже существует не только в ми- ная функциональность. Если он прос- го интервью, словно нарочно, раздал-
ре, но и в нашей стране. Почему-то в то сделает изменения для себя и ни- ся звонок – Алексея Владимировича
моем восприятии это мир легких, ве- кому не заявит о них, то в следующей спрашивали именно по поводу июль-
селых людей, которые ничего не боят- версии программы того, что ему нужно, ской встречи. Могу совершенно от-
ся – ни пресловутого нарушения авто- уже не будет. То есть если я что-то сде- ветственно заявить всем, кто интере-
рских прав, ни воровства «чужой ин- лал и открыл, это будет жить дальше, я суется: в этом году Linux Fest обяза-
теллектуальной собственности». Ни за- тоже смогу пользоваться. Причем я мо- тельно состоится. В восьмой раз. При-
явления Билла Гейтса, который не так гу сделать чуть-чуть, а другие продол- соединяйтесь!
давно сказал на встрече с программис- жат. Я обозначил направление». Оксана Родионова

III Международная конференция разработчиков свободных программ на Протве

 Когда: 24-26 июля
 Где: Калужская обл., г. Обнинск, Государственный
Центральный Институт Повышения Квалификации
(ГЦИПК), (ул. Курчатова, д. 21)
 Подробности: http://conf.altlinux.ru
Конференция, в работе которой примут участие веду-
щие разработчики свободных программ из России и дру-
гих стран, представители министерств и других госструк-
тур, а так же крупных фирм, ставит целью наладить лич-
ные контакты между специалистами, обсудить перспекти-
вы развития свободного программного обеспечения, ини-
циировать новые проекты. Планируется издание сборника
тезисов докладов к началу работы конференции.
Темы для докладов:
 Проекты разработки свободного программного обеспе-
чения.
 Научные проекты в различных областях знаний, включа-
ющие разработку продуктов под свободной лицензией.
 Культурные, философские и правовые особенности сво-
бодного лицензирования.
 Свободные программы для органов государственной
власти.
Во время конференции планируется провести круглый
стол на тему: свободные программы для электронного го-
сударства.
Заявки на проведение круглых столов по другим темам
принимаются Оргкомитетом до 1 июля. Для участия в кон-
ференции в качестве докладчика необходимо: выслать за-
явку до 20 июня, а в качестве слушателя – до 15 июля.
Контакты Оргкомитета Третьей Международной конфе-
ренции разработчиков свободных программ на Протве:
 conference@altlinux.ru
 +7 (495) 203-96-98
Организаторы: ALT Linux и Институт Логики.
Спонсоры: Naumen.
Информационные спонсоры:
LinuxRSP.ru;
Журнал «Системный администратор».
Алексей Новодворский – Председатель Оргкомитета
конференции.
Дмитрий Левин – Председатель Программного коми-
тета Конференции.
Подробная информация о месте проведения, услови-
ях участия, программе конференции (детальная програм-
ма будет размещена после 1 июля) и др. доступна по адре-
су: http://conf.altlinux.ru.

№6, июнь 2006 37

 сети

Создаём зоны DNS

Рашид Ачилов
Domain Name System – своеобразная «нервная система» сети Интернет. Именно благодаря ей
вы, набирая http://www.samag.ru, попадаете на сайт журнала «Системный администратор»,
а не куда-нибудь еще. Как создать, настроить и запустить DNS-сервер для небольшого
предприятия?

Структура DNS
В настоящее время Интернет – это ог-
ромная сеть, в которую входят мил-
лионы узлов, расположенных по все-
му миру. Для того чтобы запрос, сде-
ланный с одного компьютера, мог до-
стичь цели, расположенной на другом
компьютере, нужно прежде всего эту
цель задать. Можно, конечно, указать
IP-адрес напрямую. Если он вам из-
вестен, конечно. Но здесь существует
возможность очень просто ошибить-
ся – информация о том, где находит- шем случае 217.144.98.99). DNS и яв-
ся нужный вам адрес уже могла изме- ляется такой системой. Поскольку от
ниться, и в лучшем случае вы увидите ее успешного функционирования за-
сообщение о том, что адрес не найден, висит работа всей сети Интернет, эта
а в худшем – окажетесь на сайте, со- система функционирует по принципу
вершенно не имеющем никакого отно- распределенной базы данных – есть
шения к тому, что было нужно. Надеж- «хорошо известные» серверы, чис-
ней и проще будет обратиться к систе- лом 13, их еще называют «корневыми»
ме, которая хранит соответствие меж- (root servers), содержащие информа-
ду символическими именами типа цию о серверах, содержащих инфор-
www.samag.ru и IP-адресам, соответс- мацию о серверах и т. д. Как дом, ко-
твующими им в данный момент (в на- торый построил Джек.

38
 сети
Вся сеть Интернет, которая описы-
вается зоной «.» (точка) делится на так Домены верхнего уровня .museum, .name, .pro и .travel. Более подроб-
называемые TLD (Top Level Domains – Первоначально, согласно RFC 920, в спис- ная информация приведена в [2]. Географи-
домены верхнего уровня), распре- ке функциональных TLD присутствова- ческие же домены распределены раз и на-
деляемые либо по функционально- ли только .com, .gov, .mil, .edu, .org [1], ко- всегда. Хотя это не значит, что вы не мо-
му, либо по географическому призна- торые представляли соответственно ком- жете зарегистрировать в нем свой домен.
ку. Существует также термин primary мерческие, правительственные, военные Многие географические домены, случай-
domain – «первичный домен», или «до- организации, образовательные учрежде- но совпавшие с «хорошо известными» со-
мен первого уровня», но этот термин ния и некоммерческие организации. Впос- кращениями, являются чрезвычайно при-
используется значительно реже. Рас- ледствии этот список несколько расширил- влекательными. Например, .md (Молдавия)
пределение по географическому при- ся – в 1985 г. добавился TLD .net, представ- очень привлекательна для медицинских
знаку осуществляется в соответствии ляющий организации-поставщики сетевых учреждений и жителей штата Мэриленд,
с ISO 3166, устанавливающему для услуг, а в 1988 – TLD .int, представляющий США; .tv (Тувалу) – для сайтов, связанных
всех стран мира двух- и трехбуквен- международные организации. В 2001-2002 с телевидением; .tm (Туркменистан) сов-
ные коды. Распределение по функцио- к этому списку добавились практические падает с написанием сокращения «Trade
нальному признаку осуществляется по неизвестные российскому пользовате- Mark», а .nu (Ниуэ – есть такой остров-ко-
мере необходимости создания нового лю TLD .aero, .biz, .cat, .coop, .jobs, .mobi, лония) – для сайтов в стиле «ню».
TLD. Здесь следует отметить, что все-
ми вопросами по отношению к TLD за-  Сервер DNS обращается к серверу организациями, причем резервиро-
нимается ICANN (Internet Corporation for зоны granch.ru. вание .gov оформлено соответствую-
Assigned Names and Numbers), и имен-  И наконец, сервер зоны granch.ru щим RFC – RFC 2146 [5]. Полный спи-
но этот орган решает – создавать ли сообщает ему адрес, соответству- сок всех существующих в настоящий
новый TLD. ющий имени www. В данном случае момент географических же TLD с ука-
Корневые сервера сами по себе со- это будет 81.1.252.58. занием регистратора домена и необ-
держат только ссылки на сервера, со- ходимой контактной информации мож-
держащие информацию о зонах вто- Данный процесс проиллюстриро- но посмотреть в [6]. Хотя если, скажем,
рого уровня, которые в свою очередь ван на рис. 1, где цифры обозначают в зоне .com можно выбирать из ог-
содержат информацию о серверах, со- последовательность запросов. ромного списка, то для зон .ru и .su
держащих информацию о зонах треть- РУЦЕНТР, [8], без вариантов.
его уровня и т. д. В большинстве слу- Как встроить свою Здесь надо отметить несколько мо-
чаев иерархия исчерпывается на тре- информацию в структуру ментов. Фактически зона .su относится
тьей-четвертой зоне. Но не потому, DNS? к несуществующему государству Со-
что здесь заложено какое-то ограниче- Прежде чем включаться в какую-либо ветский Союз (Soviet Union), хотя тем
ние. Просто запоминать сложные име- систему, нужно иметь некоторое пред- не менее продолжает обслуживаться
на ничуть не проще IP-адресов. ставление о том, куда и каким образом и открыта для регистрации. Регистра-
Таким образом, процесс поиска ин- включаться. ция там достаточно дорогая – 100 дол-
формации, допустим, о веб-сервере ларов за регистрацию или поддержку
www.granch.ru, будет выглядеть сле- Куда встраиваем? в год.
дующим образом: За различные TLD отвечают различ- Не существует никакого приори-
 Клиент обращается к своему сер- ные сервера, и если за географи- тета, согласно которому одна органи-
веру DNS, адрес которого был ческие домены отвечает, как прави- зация или человек имеет преимущес-
задан системным администра- ло, один сервер (точнее говоря, одна тво при регистрации домена над дру-
тором с запросом «Скажи мне организация), то за домены функцио- гим. Один американский бизнесмен,
адрес, соответствующий имени нальные может отвечать, вообще гово- занимавшийся производством плас-
www.granch.ru». ря, неограниченное количество так на- тиковых окон, зарегистрировал до-
 Сервер DNS знает адреса серве- зываемых регистраторов, то есть ком- мен windows2000.com. Когда то же са-
ров, с которых ему следует начи- паний, заключивших специальные до- мое попыталась сделать Microsoft, она
нать поиск в том случае, если в его говоры с ICANN о том, что именно они с удивлением обнаружила, что это имя
кэше не хранится запрошенная ин- будут регистрировать имена в некото- уже занято, и за него компании при-
формация, поэтому он обращается рых функциональных доменах. Крат- шлось выложить крупную сумму. Су-
к одному из них. кое описание функционального до- ществует даже понятие «киберсквот-
 Корневой сервер присылает ему мена и адрес его регистратора при- терство» – процесс регистрации до-
адрес сервера, отвечающего за зо- ведены в [3]. менов с целью их последующей пере-
ну .ru Если регистраторов несколько, то продажи. РУЦЕНТР тоже решил при-
 Сервер DNS обращается к серверу дается адрес основного (например, ложить к этому руку, и по новым пра-
зоны .ru VeriSign [4] для домена .com). Домены вилам, которые вводятся с 1 июня
 Сервер зоны .ru присылает ему .gov и .mil зарезервированы исключи- 2006 года, освобождающиеся доме-
адрес сервера, который отвечает тельно за американским правительс- ны выставляются на «аукцион домен-
за зону granch внутри его зоны. твом и американскими же военными ных имен» и передаются тому, кто даст

№6, июнь 2006 39

 сети
ми картами, но если домен по какой-либо причине не мо-
жет быть зарегистрирован, деньги будут возвращены не ра-
нее чем через три дня.
Регистратору потребуется указать IP-адрес и маску под-
сети сервера, на котором будет запущена программа DNS-
сервера, и который будет содержать основную базу дан-
ных, создаваемую и редактируемую вами по мере необхо-
димости. Этот сервер будет называться первичным серве-
ром (master server). Кроме того, потребуется указать как
минимум один IP-адрес сервера, содержащего резервную
копию базы на случай отказа первичного сервера. Такие
серверы называют вторичными серверами (slave servers).
Чтобы долго не размышлять о том, где разместить вторич-
ный DNS, РУЦЕНТР предлагает разместить его на их пло-
щадке. Стоимость услуг РУЦЕНТРа составляет 15 долла-
ров в год за домен в зонах .ru, .net, .com, .org, 50 долларов
за домен в зонах .biz, .info, 100 долларов за домен в зоне
.su и 5 долларов в год за поддержку вторичного DNS в лю-
бой (в том числе и зарегистрированной не у них) зоне.
Почему требование к наличию вторичного DNS-серве-
ра является обязательным? Поскольку стабильность рабо-
ты DNS крайне важна для стабильности работы сети Ин-
тернет в целом, то лицо или организация, регистрирующая
Рисунок 1. Процесс поиска информации домен, обязана удовлетворять некоторым условиям, каса-
ющимся стабильности работы DNS:
больше. Имена удерживаются на «аукционе» в течение го-  Должно быть предусмотрено не менее двух серверов,
да, если за этот срок никто на него не претендует, имя вы- обслуживающих данный домен.
водится в свободную регистрацию.  Эти сервера должны быть доступны не менее 22 часов
При создании TLD, перечисленных выше, планиро- в сутки.
валось также создание TLD .xxx для сайтов с тематикой
«для взрослых». ICANN отклонила это предложение. Недав- Каких-либо требований к размещению серверов по но-
но оно было вынесено на повторное голосование, и ICANN вым правилам не выдвигается, хотя ранее требовалось на-
снова его отклонила [7]. Зато появился TLD .tel [9], рассчи- личие их в разных IP-сетях.
танный на использование одновременно в компьютерах
и мобильных устройствах. www.krokodil.ru
Существует RFC 1480, описывающий правила регистра- Итак, допустим, мы хотим создать сайт www.krokodil.ru (на
ции имен в домене .us. Правила эти чрезвычайно громозд- момент написания статьи это имя было свободно), посвя-
ки и запутанны и предполагают создание имен из 6-7 уров- щенный разведению крокодилов в домашних условиях.
ней типа Hamilton.High.LA-Unified.K12.CA.US Подключение по выделенной линии есть, сеть класса С,
а именно 212.20.5.0 – 212.20.5.255 (этот диапазон в настоя-
Каким образом встраиваем? щее время свободен) провайдером выделена. Этот пример
Раньше все было гораздо сложнее. Для регистрации зоны несколько нехарактерен для нынешнего времени с его де-
.com мне пришлось заполнять множество текстовых форм – фицитом IP-адресов, но он взят специально для того, что-
с данными на организацию, с данными на контактных лиц... бы рассмотреть создание обратной зоны. Также будет рас-
Формы эти потом отсылались на специальные адреса, от- смотрен вариант с подключением через сеть 212.20.5.0/31.
куда приходили ответы – приняты или нет. Затем предвари- Внутренняя сеть нашей крокодиловодческой конторы со-
тельно сформированный файл зоны тестировался, и опять стоит из шести компьютеров и будет отделена от Интернет
же по почте приходило сообщение о том, успешно завер- firewall-proxy и т. д. под управлением FreeBSD. Что нам по-
шено тестирование или нет. надобится для осуществления задуманного?
Сейчас все стало гораздо проще. И Network Solutions, Прежде всего отмечу, что существуют варианты, не
и РУЦЕНТР обзавелись веб-интерфейсами, с помощью ко- предполагающие какого-либо знания DNS – все размеща-
торых все вышеперечисленное (за исключением, конечно, ется на площадке провайдера, все обслуживается провай-
составления файла зоны) можно сделать несколькими кли- дером, вам предоставляется только веб-интерфейс. Эта ус-
ками мыши. Все данные можно исправить, дополнить или луга чрезвычайно популярна за рубежом, но очень слабо
удалить в любой момент. Ранее с РУЦЕНТРом требовалось востребована в России. Ее описание выходит за рамки дан-
заключать договор на обслуживание, но начиная с 1 июня ной статьи, поэтому рассматривать ее я не буду.
2006 года в действие вводятся новые правила, согласно ко- Во-первых, нам понадобится программа DNS-серве-
торым достаточно зарегистрироваться на их сайте. Зару- ра. На сегодняшний день только одна программа реализу-
бежные регистраторы, как правило, обходятся кредитны- ет требуемый набор функций. Это DNS-сервер BIND, рас-

40
 сети
пространяемый ISC (Internet System Consortium Inc., [10]) –  класс – класс записи;
некоммерческой организацией, которая занимается раз-  тип – тип записи;
работкой серверов BIND, DHCP, INN и NTP. Если он отсутс-  данные – ассоциируемые с данным обьектом данные.
твует в вашей системе, его необходимо скачать и устано-
вить. FreeBSD поставляется вместе с BIND 9.3.2, поэтому Имя может принимать любое значение, и в таком слу-
в данной статье будет рассматриваться именно эта вер- чае оно считается именем обьекта. Если имя заканчива-
сия. Следует отметить, что для версий BIND 8.x приводи- ется на точку, то оно считается полностью определенным,
мое ниже описание конфигурации совершенно неприем- иначе в конец имени подставляется имя зоны, которое мо-
лемо, поскольку формат конфигурационных файлов BIND жет быть задано двумя способами:
8.x коренным образом отличается от формата конфигура-  Заданием имени зоны в директиве $ORIGIN, например:
ционных файлов BIND 9.x.
Во-вторых, понадобится распределить выделенные нам $ORIGIN krokodil.ru
IP-адреса и наделить адресами внутренние компьютеры.
Здесь все чрезвычайно просто: пусть 212.20.5.1 – шлюз  Заданием имени зоны в директиве zone конфигураци-
провайдера, 212.20.5.2 – адрес UNIX- сервера, 10.87.1.0/24 – онного файла BIND.
внутренняя подсеть, в которой с 1-й по 6-й – рабочие стан-
ции, 254 – адрес внутреннего интерфейса сервера. Осталь- Специальный символ «@» обозначает текущее имя зо-
ные адреса будут зарезервированы для будущего расши- ны. Имейте в виду, что директива $ORIGIN отменяет дирек-
рения. тиву zone и действует до появления следующей директивы
В-третьих, потребуется заранее подготовленный файл $ORIGIN или до конца файла. До момента появления пер-
описания зоны, который будет определять небольшое коли- вой директивы $ORIGIN она считается заданной значению
чество внешних адресов: krokodil.ru – корневой сервер зоны, директивы zone конфигурационного файла BIND.
www.krokodil.ru, ftp.krokodil.ru, mail.krokodil.ru и ns.krokodil.ru. Если имя задано, оно должно начинаться с первой по-
Имя ns (nameserver) является практически традиционным зиции строки.
наименованием компьютеров, на которых работает служ- TTL обычно опускается и задается глобально дирек-
ба DNS, хотя, конечно, никто не помешает вам назвать его, тивой $TTL. Директива $TTL для BIND 9.x является обя-
например jaws.krokodil.ru. Будут определены также имена зательной и, как правило, задается в самом начале фай-
для компьютеров внутренней сети, доступные только из- ла. В поле данных этой директивы задается время жизни
нутри: tooth1.krokodil.ru – tooth6.krokodil.ru. (в секундах) элемента, в течение которого он может нахо-
диться в кэше и считаться достоверным. В данном приме-
Записи DNS ре это двое суток (48 часов).
Существует достаточно большое количество типов разно-
образных записей, которые можно помещать в DNS. Обьем $TTL 172800
данной статьи позволяет рассмотреть лишь наиболее важ-
ные из них, для получения полной информации следует об- Класс записи может принимать одно из следующих
ратиться к соответствующим RFC: RFC 1033 и RFC 1035 оп- значений:
ределяют форматы основных записей, RFC 1122 – формат  IN – запись ресурсов Интернет.
записи PTR, RFC 2782 – формат записи SRV. Мы рассмот-  CH – запись ресурсов ChaosNet – совершенно незнако-
рим только те записи, которые понадобятся для формирова- мой российскому пользователю сети, применявшейся
ния файлов зон, необходимых для регистрации домена: на машинах фирмы Symbolics.
 Запись SOA, задающая начало описания зоны.  HS – запись ресурсов Hesiod – служебного протокола
 Запись NS, определяющая сервера имен зоны. BIND.
 Запись A, задающая соответствие между IP-адресом
и именем (прямое преобразование). Тип записи – один из типов, перечисленных выше.
 Запись MX, описывающая настройки доставки почты Следует обратить внимание на то, что поля имя, ttl
для данного компьютера. и класс могут быть опущены. При этом в качестве их зна-
 Запись CNAME, задающая альтернативные имена. чений принимается последнее определенное значение
 Запись PTR, задающая соответствие между именем (при этом задание @ будет корректным определением),
и IP-адресом (обратное преобразование), употребля- а если значение не было определено нигде, то для поля
ется в описании «обратной» зоны. класс принимается значение по умолчанию «IN», для дру-
гих полей – приводит к сообщению об ошибке.
Формат записей DNS общий для всех типов записей: Кроме записей, в файле зоны могут быть команды. Всего
команд четыре – $TTL, $ORIGIN, $INCLUDE и $GENERATE.
[имя] [ttl] [класс] <тип> <данные> Описание команды $GENERATE приведено в документации
на программу BIND, а также в [13] и [14], команда $INCLUDE
где: работает соответственно своему написанию – включает
 имя – это имя обьекта, с которым ассоциируются дан- указанный файл в текущий файл.
ные;
 ttl – время жизни обьекта; $INCLUDE /etc/namedb/krokodil-ru-int.soa

№6, июнь 2006 41

 сети
Примечание: знак «;» (точка с запятой) является при- подчиненный сервер должен связаться с главным и про-
знаком комментария. верить, не изменился ли серийный номер зоны. Если
серийный номер изменился, подчиненный сервер за-
Запись SOA грузит новые данные. В данном примере 10800 секунд
Эта запись определяет начало зоны. Любая зона должна (3 часа).
начинаться с записи SOA. Появление другой записи SOA  Время, через которое подчиненный сервер будет пытать-
автоматически заканчивает первую зону и начинает вто- ся обратиться к главному, если попытка получить новый
рую. Формат записи SOA приведен ниже. Фактически за- серийный номер закончилась неудачно. В данном при-
пись SOA именует зону и задает для нее некоторые умол- мере 3600 секунд (один час).
чания.  Время, в течение которого подчиненные сервера будут
обслуживать запросы по данной зоне при длительном
@ IN SOA krokodil.ru. hostmaster.krokodil.ru. ( отсутствии главного сервера. Система должна работать,
2005122001 ; Serial number
10800 ; Refresh every 3 hours даже если главный сервер не работает длительный пе-
3600 ; Retry every hour риод времени, поэтому в значении данного параметра
1728000 ; Expire every 20 days
172800 ) ; Minimum 2 days задано 1728000 секунд (20 суток).
 Время кэширования отрицательных ответов. В данном
Разберем пример. Знак @ в поле имени означает, что примере 172800 секунд (2 суток).
необходимо взять имя зоны, заданное ранее директивой
$ORIGIN. Класс записи – IN, тип записи – SOA. SOA – это Запись NS
единственная запись, которая имеет такой сложный спи- Эта запись задает имена серверов, поддерживающих зо-
сок параметров. ну, т.е. ведущих ее базу. Здесь должны быть перечислены
Первый параметр – это адрес главного сервера имен имена первичного и всех вторичных серверов. Обычно эта
зоны. В данном примере это krokodil.ru. Второй параметр – запись следует непосредственно за записью SOA. В поле
адрес электронной почты лица, ответственного за данную данные заносится одно значение – имя или IP-адрес сер-
зону. Обратите внимание, что адрес записан как «username. вера DNS-зоны независимо от того, является ли он глав-
domain», а не «username@domain». ным или подчиненным. Все указанные здесь имена долж-
Второй параметр – это список значений, заключенный ны быть полностью определенными, то есть заканчивать-
в скобки. Теоретически возможно его записать в одну стро- ся точкой!
ку, но практически я нигде этого не видел, всюду употреб-
ляется форма записи, приведенная в примере. Список со- IN NS ns.krokodil.ru.
IN NS ns4.nic.ru.
стоит из пяти элементов:
 Серийный номер зоны. Этот параметр играет чрезвы- В приведенном примере описывается сначала главный
чайно важную роль в распространении обновления, вы- сервер нашей зоны ns.krokodil.ru, а потом подчиненный сер-
полненного на первичном сервере, по всем его вторич- вер – узел РУЦЕНТРа ns4.nic.ru.
ным серверам. Необходимо каким-то образом сообщить
вторичному серверу о том, что данные на первичном Запись A
сервере изменились. Если первичный сервер был пе- Запись типа A – это основное содержимое файлов зоны
резапущен, то он отсылает всем вторичным серверам прямого преобразования или же просто «прямой» зоны,
извещение о возможном изменении (DNS NOTIFY). По- то есть выдающей имя компьютера по его адресу. Она со-
лучив это извещение, вторичный сервер запрашивает ставляется для каждого компьютера. Для удобства чтения
серийный номер – если на первичном сервере серий- эти записи обычно группируются в порядке возрастания
ный номер больше, чем на вторичном, вторичный сер- IP-адресов, а также группируются с записями MX, соответс-
вер выполняет команду обновления зоны. Кроме того, твующими данному IP-адресу, хотя это, конечно, не явля-
вторичный сервер выполняет периодические проверки ется обязательным. В поле имя заносится имя, назначае-
серийного номера с той же целью. Поэтому следует за- мое IP-адресу, в поле данные – IP адрес, которому назна-
помнить одно простое правило: исправил зону – увеличь чается имя. При наличии у адреса дополнительных имен,
серийный номер! Среди администраторов DNS распро- имя, назначенное адресу записью типа A, называют ос-
странена практика, в соответствии с которой серийный новным именем.
номер формируется следующим образом: YYYYMMDDv,
где: tooth1 IN A 10.87.1.1
tooth2 IN A 10.87.1.2
 YYYY, MM, DD – текущий год (4 цифры), месяц и день tooth3 IN A 10.87.1.3
соответственно tooth4 IN A 10.87.1.4
tooth5 IN A 10.87.1.5
 v – версия зоны за день. Если вносится несколько tooth6 IN A 10.87.1.6
изменений в день, это число последовательно уве-
личивается на единицу. В данном примере описано назначение IP-адресов ком-
Конечно, вас никто не будет обязывать следовать по- пьютерам внутренней сети, которая имеет адрес 10.87.1.0/24.
добной практике. Например, сервера DNS в Windows ее Для компьютеров внутренней сети, как правило, нет необ-
не придерживаются, а просто нумеруют ее 1, 2, 3 и т. д. ходимости формирования каких-либо дополнительных за-
 Значение периода обновления, по истечении которого писей, за исключением разве что CNAME.

42
 сети
Запись CNAME растания приоритетов и именно так предпринимает попыт-
Запись типа CNAME – это дополнительная возможность ки доставить почту. Предположим, мы договорились с ад-
DNS. Она позволяет назначить одному IP-адресу более мином узла behemot.ru о том, что сможем использовать его
одного имени. В поле имя заносится дополнительное имя, сервер как транзитный узел, который будет получать нашу
назначаемое IP-адресу, в поле данные – основное имя, на- почту с целью последующей доставки ее адресатам, ког-
значенное ранее записью типа A, или другое дополнитель- да связь восстановится. Тогда описание сервера krokodil.ru
ное имя, назначенное записью CNAME. При этом имя, стоя- будет выглядеть следующим образом:
щее в поле данных записи, называют каноническим (отсю-
да и название записи – Canonical Name). Одному IP-адресу krokodil.ru. IN A 212.20.5.2
IN MX 10 krokodil.ru.
можно назначить неограниченное количество дополнитель- IN MX 50 behemot.ru.
ных имен посредством записей CNAME, но в записях друго-
www IN CNAME krokodil.ru.
го типа должно быть указано имя, назначенное записью A, mail IN CNAME krokodil.ru.
а не записью CNAME. Ниже приводится пример правильно- ftp IN CNAME krokodil.ru.
го и неправильного назначения дополнительных имен.
Правильно: Это комплексный пример, он сразу показывает исполь-
зование записей MX, А и CNAME. Здесь мы:
ns IN A 10.87.1.1  Назначаем адресу 212.20.5.2 имя krokodil.ru.
name1 IN CNAME ns
IN MX 10 ns  Указываем, что почту, направляемую по адресам типа
tail@krokodil.ru, будут принимать (в указанном поряд-
Неправильно: ке):
 сервер krokodil.ru;
ns IN A 10.87.1.254  сервер behemot.ru.
name1 IN CNAME ns
IN MX 10 name1  Определяем дополнительные имена www.krokodil.ru,
mail.krokodil.ru и ftp.krokodil.ru. Обратите внимание,
Записи CNAME могут указывать одна на другую, что все имена в правой части полностью определен-
но не более семи уровней, восьмой обязательно должна ны, то есть заканчиваются на точку. Если этого не сде-
идти запись, указывающая на имя, назначенное записью лать, то в конец имени будет автоматически подстав-
типа A. В литературе встречается рекомендация исполь- ляться значение текущей директивы $ORIGIN. В дан-
зовать множественные записи типа A вместо назначения ном случае это привело бы к появлению имен типа
адресу множества дополнительных имен. По поводу этого www.krokodil.ru.krokodil.ru.
можно сказать, что данный момент упоминается в RFC 2219
в плане «не существует абсолютных рекомендаций по это- Запись PTR
му поводу, каждый должен решать для себя, что для него Это совершенно особый тип записей. В нашем примере мы
лучше». Множественные CNAME проще для администри- «специально» взяли полную подсеть, чтобы рассмотреть
рования, множественные A-записи легче обрабатываются, случай «нормальной» работы с записями PTR. Случай с се-
поскольку происходит меньше перенаправлений. тью 212.20.5.0/31 будет рассмотрен чуть позже.
Запись PTR предназначена для осуществления обрат-
Запись MX ного преобразования – имен в IP-адреса. Подобные пре-
Запись типа MX – это второй основной элемент файла зо- образования очень широко применяются в различных про-
ны. Эта запись расшифровывается как «Mail eXchanger», граммах, предоставляющих доступ к некоторым сетевым
и предназначена для указания IP-адресов или имен ком- ресурсам: они проверяют соответствие прямого и обрат-
пьютеров, которые принимают почту для узла, описанного ного преобразования и в случае несовпадения или отсутс-
в поле name. В этом поле может быть пусто, а также указа- твия записи PTR могут отказать в доступе. Зона, содержа-
но полностью или не полностью определенное имя. Если щая записи PTR, называется зоной обратного преобразо-
в поле name пусто или указано не полностью определенное вания или же просто «обратной» зоной.
имя, то имя дополняется из директивы $ORIGIN. Формиро- Записи PTR не имеют никакого отношения к записям A,
вание записей MX в сложных случаях, когда настраивается MX, CNAME и другим, описывающим прямое преобразова-
достаточно большая зона с разветвленной схемой приема ние. Сделано это намеренно с целью использовать для обо-
почты, – весьма нетривиальная задача, которая тесно пе- их преобразований один и тот же набор программных мо-
реплетается с работой программ, использующих протокол дулей. Здесь, правда, нас ожидает сложность следующе-
SMTP для доставки почты, поэтому мы рассмотрим толь- го вида – полностью определенное доменное имя вида
ко наиболее простой случай – вся почта принимается сер- www.krokodil.ru. «наращивает размерность» слева направо
вером UNIX. В поле данные заносятся два значения – при- (то есть укрупнение узлов идет по мере продвижения по тек-
оритет и имя или IP-адрес компьютера, принимающего поч- сту имени слева направо), а IP-адрес 212.20.5.2 – справа
ту, направляемую на данный компьютер. С одним IP-адре- налево. Для унификации программных модулей приняли
сом может быть связано, вообще говоря, неограниченное следующую условность: все IP-адреса – это имена, вхо-
количество записей типа MX, и все они должны иметь раз- дящие в специальный TLD in-addr.arpa. «Зонами» в этом
ный приоритет. Почта направляется в соответствии с при- домене являются подсети, а имя зоны записывается в ви-
оритетом – почтовый агент сортирует записи в порядке на- де IP-адреса, читаемого наоборот. Таким образом «имя»

№6, июнь 2006 43

 сети
нашей обратной зоны будет 5.20.212.in-addr.arpa для об-
ратной зоны, содержащей описание для внешней сети
и 1.87.10.in-addr.arpa для обратной зоны, содержащей опи-
сание внутренней сети.
Точно так же, как для использования доменного имени
необходимо его зарегистрировать, так и для использования
обратного преобразования необходимо зарегистрировать
обратную «зону» у координатора обратных зон. В отличие
от зон прямого преобразования здесь существует только
один координатор, и регистрация у него бесплатная. Регист-
рацией обратных зон занимается RIPE NCC [11]. Вся инфор-
мация о регистрации обратной зоны приведена в [12].
Зачем нужно регистрировать обратную зону? Сервер
верхнего уровня зоны in-addr.arpa должен знать, что для
выполнения запроса обратного преобразования ему сле-
дует обратиться к такому-то серверу, в данном случае к на-
шему 212.20.5.2. Разумеется, где-либо регистрировать об-
ратную зону внутренней подсети не нужно.
Сама запись PTR выглядит очень просто – в поле имя
заносится последняя часть IP-адреса, в поле данные – пол-
ностью определенное имя прямого преобразования. Обра-
щаю внимание на последнее – имя, заносимое в поле дан-
ных, должно быть полностью определенным, поскольку за-
писи PTR сами задают связь между IP-адресом и именем,
они не могут получить ниоткуда информацию о том, к ка-
кой зоне следует отнести не полностью квалифицирован-
ное имя прямого преобразования.
$ORIGIN 1.87.10.in-addr.arpa
1 IN PTR tooth1.krokodil.ru.
2 IN PTR tooth2.krokodil.ru.
3 IN PTR tooth3.krokodil.ru.
4 IN PTR tooth4.krokodil.ru.
5 IN PTR tooth5.krokodil.ru.
6 IN PTR tooth6.krokodil.ru.
В приведенном выше примере мы задали обратное пре-
образование для компьютеров внутренней сети. Для сер-
вера мы запишем одну строчку (в реальном примере ди-
рективы $ORIGIN указывать не надо, они приведены толь-
ко, чтобы было понятно, о какой зоне идет речь):
$ORIGIN 5.20.212.in-addr.arpa
2 IN PTR krokodil.ru
Здесь необходимо отметить, что записи CNAME для за-
дания множественного обратного соответствия не использу-
ются, поэтому при запросе «какое имя соответствует адре-
су 212.20.5.2» результатом всегда будет krokodil.ru незави-
симо от количества установленных для него псевдонимов.
Чем будет отличаться случай, когда провайдер выделя-
ет блок 212.20.5.0/31 вместо полноценной подсети? С точ-
ки зрения формирования всех записей, кроме PTR, ничем.
Процедура создания прямой зоны и ее регистрации не за-
висит от количества адресов, тем более что для большинс-
тва случаев много адресов и не надо. Однако с точки зре-
ния записей PTR разница есть. В сторону упрощения. А мо-
жет быть, и нет – в зависимости от провайдера. И заклю-
чается она в том, что записи:
gate.krokodil.ru. IN A 212.20.5.1
krokodil.ru. IN A 212.20.5.2
44
будут находиться на вашем сервере и управляться вами,
но записи:
1 IN PTR gate.krokodil.ru.
2 IN PTR krokodil.ru.
должны быть сформированы провайдером, потому что воз-
можность самому регистрировать обратную зону и само-
му ей управлять предоставляется только при наличии сети
класса не менее С. Это, с одной стороны, облегчает рабо-
ту – не нужно регистрироваться в RIPE, но с другой стороны,
осложняет – для внесения изменений в именование серве-
ра нужно каждый раз связываться с провайдером.
Файловая структура
Самому BIND, конечно же, все равно, в каком порядке идут
записи и как они отформатированы. Это важно только тем,
кто будет сопровождать зону, особенно, если изменения
в нее будут вноситься часто. Здесь я опишу распределе-
ние зон по файлам так, как это используется в тех зонах,
которые я сопровождаю. Разумеется, это не единствен-
ный возможный порядок и, возможно, не лучший. Но это
работает.
Зоны внешние и внутренние
BIND 8.x имел один чрезвычайно крупный недостаток –
он не позволял дифференцировать выдаваемую инфор-
мацию в зависимости от каких-либо факторов – приходи-
лось либо показывать лишнее, либо скрывать нужное. Вне-
шним клиентам совершенно нет никакой необходимости
знать о наличии компьютеров внутренней сети, но, пос-
кольку разделить информацию не было возможности, лю-
бой компьютер мог установить структуру внутренней се-
ти посредством запросов DNS. BIND 9.x свободен от это-
го недостатка – он позволяет посредством списков управ-
ления доступом (Access Control List, АСL) распределить за-
просы по «представлениям» (views). Представления могут
иметь произвольные имена, обычно создается внутреннее
представление «internal», которому удовлетворяют клиенты
внутренней подсети, и внешнее представление «extrenal»,
которому удовлетворяют все остальные. Здесь помните,
что это одна и та же зона, просто показывается она по-раз-
ному – как правило, в файлах внешних зон присутствует
только та информация, которая необходима внешним кли-
ентам, – о внешнем сервере, о путях доставки почты и т. д.,
а в файлах внутренних зон отражается вся сетевая тополо-
гия. Кроме того, если сопровождается обратная зона, то не-
обходимо точно так же разделить по файлам информацию
об адресах обратного преобразования.
Итак, вернемся к нашему примеру.
Файловая структура будет следующей. У нас имеется
прямая зона krokodil.ru и обратная зона 5.20.212.in-addr.arpa.
Кроме того, обязательно должна присутствовать обрат-
ная зона зона 0.0.127.in-addr.arpa для обеспечения коррек-
тного обратного преобразования localhost → 127.0.0.1. Зо-
на эта нужна для того, чтобы BIND не пытался запраши-
вать корневые сервера о самом себе, что происходит, ког-
да 127.0.0.1 указывает на «localhost.» Запись прямого пре-
образования 127.0.0.1 → localhost.krokodil.ru будет занесена
в файл прямого преобразования внутренней зоны. Для то-
 сети
го чтобы не загружать сеть передачей бесполезных данных, tooth2 IN A 10.87.1.2
tooth3 IN A 10.87.1.3
для внешних и внутренних зон используются разные запи- tooth4 IN A 10.87.1.4
си SOA – записи во внешних зонах меняются весьма редко, tooth5 IN A 10.87.1.5
tooth6 IN A 10.87.1.6
а во внутренних довольно часто. Следовательно, мы име-
ем следующие файлы:
 localhost.rev – файл зоны обратного преобразования Файл direct-krokodil-ru.ext:
0.0.127.in-addr.arpa. Этот файл существует только для
внутреннего представления. $INCLUDE /etc/namedb/krokodil-ru-ext.soa
krokodil.ru. IN A 212.20.5.2
 zone212.rev – файл зоны обратного преобразования IN MX 10 krokodil.ru.
5.20.212.in-addr.arpa. IN MX 50 behemot.ru.
 zone10.rev – файл внутренней зоны обратного преоб- www IN CNAME krokodil.ru.
разования 1.87.10.in-addr.arpa. mail IN CNAME krokodil.ru.
ftp IN CNAME krokodil.ru.
 direct-krokodil-ru.int – файл внутренней зоны прямого
преобразования krokodil.ru. gate IN A 212.20.5.1
 direct-krokodil-ru.ext – файл внешней зоны прямого
преобразования krokodil.ru. Файл krokodil-ru-int.soa:
 krokodil-ru-int.soa – файл с записями SOA и NS для
внутренних зон. @ IN SOA krokodil.ru. hostmaster.krokodil.ru. (
2006051202 ; Serial number
 krokodil-ru-ext.soa – файл с записями SOA и NS для 10800 ; Refresh every 3 hours
внешних зон. 3600 ; Retry every hour
1728000 ; Expire every 20 days
172800 ); Minimum 2 days
Несмотря на обширный список, файлы достаточно ко- ;
IN NS krokodil.ru.
роткие, поэтому приводятся здесь полностью, за исключе-
нием комментариев. Файл krokodil-ru-ext.soa:
Сделаем одно замечание относительно имени localhost.
RFC 1912 специально упоминает настройку файлов c раз- $TTL 172800
@ IN SOA korkodil.ru. hostmaster.krokodil.ru. (
решением имени 127.0.0.1 и localhost. В нашем приме- 2005122001 ; Serial number
ре зона localhost соответствует RFC 1912, хотя в жизни 10800 ; Refresh every 3 hours
3600 ; Retry every hour
вполне можно встретить разрешение имени 127.0.0.1 → 1728000 ; Expire every 20 days
localhost.domain.tld и соответствующее ему обратное раз- 172800 ); Minimum 2 days
;
решение. IN NS krokodil.ru.
Файл localhost.rev. Использует одну запись SOA вместе IN NS ns4.nic.ru.
с внутренней зоной обратного преобразования:

$INCLUDE /etc/namedb/krokodil-ru-int.soa Заключение

1 IN PTR localhost.
Как создать, настроить и запустить DNS-сервер для неболь-
Файл zone212.rev: шого предприятия? На самом деле не так сложно, как ка-
жется изначально, – достаточно пройти этот путь один раз,
$INCLUDE /etc/namedb/krokodil-ru-ext.soa дальнейшие действия будут идти «на автомате».
1 IN PTR gate.krokodil.ru.
2 IN PTR krokodil.ru.
Ссылки и литература:
Файл zone10.rev: 1. ftp://ftp.rfc-editor.org/in-notes/rfc920.txt
2. http://www.iana.org/domain-names.htm.
$INCLUDE /etc/namedb/krokodil-ru-int.soa 3. http://www.iana.org/gtld/gtld.htm.
1 IN PTR tooth1.krokodil.ru.
2 IN PTR tooth2.krokodil.ru. 4. http://www.verisign.com/information-services/index.html.
3 IN PTR tooth3.krokodil.ru. 5. ftp://ftp.rfc-editor.org/in-notes/rfc2146.txt.
4 IN PTR tooth4.krokodil.ru.
5 IN PTR tooth5.krokodil.ru. 6. http://www.iana.org/cctld/cctld-whois.htm.
6 IN PTR tooth6.krokodil.ru. 7. http://www.icann.org/announcements/announcement-10may06.htm.
8. http://www.nic.ru.
Файл direct-krokodil-ru.int: 9. http://www.icann.org/tlds/agreements/tel.
10. http://www.isc.org.
$INCLUDE /etc/namedb/krokodil-ru-int.soa 11. http://www.ripe.net.
krokodil.ru. IN A 10.87.1.254
IN MX 10 krokodil.ru. 12. http://www.ripe.net/rs/reverse/rdns-project/index.html.
www IN CNAME krokodil.ru. 13. Немет Э., Снайдер Г., Сибасс С., Хейн Т.Р. UNIX: руководс-
mail IN CNAME krokodil.ru.
proxy IN CNAME krokodil.ru. тво системного администратора. Для профессионалов/Пер.
ftp IN CNAME krokodil.ru. с англ. – Спб.:Питер; К.: Издательская группа BHV, 2002 г. –
ns IN CNAME krokodil.ru.
928 с.: ил.
localhost. IN A 127.0.0.1 14. Cricket Liu, Paul Albitz, DNS and BIND, Third Edition, 1998 (изд-
tooth1 IN A 10.87.1.1 во O’Reilly, ISBN 1-56592-512-2).

№6, июнь 2006 45

 web
Технология AJAX:
как насчет безопасности?
История развития IT-индустрии показывает, что появление новых технологий практически
всегда приводит к понижению уровня безопасности. Так было всегда. Когда мэйнфреймы
стали объединяться в сеть, началось развитие клиент-серверных приложений – всё это
породило специфические проблемы и фактически обесценило старую систему безопасности.
И вот сегодня новая ступень – AJAX.
О
дин-единственный объект Java
Script XMLHttpRequest изменил
порядок взаимодействия поль-
зователей с сервером. Если ранее для
того, чтобы отправить данные, необ-
ходимо было нажимать кнопку, под-
тверждая действие, то теперь это бу-
дет сделано автоматически. Стоит за-
полнить поле, и браузер уже отправля-
ет данные серверу, пользователь при
этом не участвует. Удобство налицо,
например, если в поисковике по мере
ввода параметров поиска будут выво-
диться подходящие страницы, то таким
образом можно регулировать парамет-
ры запроса на лету, добившись резуль-
тата в меньшее время. Или, например,
как в Gmail, можно на лету проверять
правописание. При этом веб-приложе-
ние фактически ведет себя аналогич-
но настольному.
Безопасность клиента
Все вроде бы хорошо, удобство налицо,
но представьте, что при вводе произош-
ла ошибка, например, пользователь
механически ввел вместо одного почто-
46
Сергей Яремчук
вого адреса другой. В старых системах этом, но и сделать, собственно, ниче-
у него всегда был бы шанс исправиться, го не сможет. То есть фактически тех-
теперь его, увы, уже нет. И в итоге про- нология AJAX позволяет контролиро-
вайдерский почтовый адрес уже висит вать действия пользователя, а раз та-
на каком-либо форуме и через некото- кая возможность есть, то я сомневаюсь,
рое время попадет в базу данных спа- чтобы ею никто не воспользовался.
меров. Возможно, это не самое страш- Но это еще не все. Пользователи
ное, что может произойти, но можно, обычно бывают более внимательны-
например, представить ситуацию и по- ми при первоначальной загрузке стра-
хуже. Зашли на сайт, начали заполнять ницы, когда обычно выполняется код
поля, ввели номер кредитной карточки, страницы, контролируются сообще-
а затем сам сайт показался подозри- ния межсетевого экрана, подозри-
тельным, а ничего уже не изменишь. тельные системные события и прочее.
Или, как вариант, по ошибке был вве- Но теперь ситуация изменяется в кор-
ден логин и пароль не к тому сайту, учи- не. Все дело в том, что теперь любой
тывая, что большинство пользователей код может быть выполнен и после за-
не утруждают себя многочисленны- грузки страницы. Например, рассмот-
ми комбинациями логин/пароль, мож- рим такой код:
но получить данные для доступа сов-
сем к другому ресурсу. При этом вла- xmlReq.onreadystatechange =
{
дельцы веб-сайтов могут собирать ин- if ( xmlReq.readyState == 4 )
формацию о привычках пользователя. {
eval ( xmlReq.responseText );
Фактически каждое нажатие клавиши, }
каждое движение мыши, щелчок, пау- }
за при чтении информации могут быть
перехвачены и отправлены на веб-сер- Такой сценарий выполнит JavaScript-
вер, и пользователь может и не знать об код, содержащийся в ответе сервера,

т.е. код, полученный уже после загруз-
ки запрошенного документа. Самое
простое, для чего можно использовать
такую конструкцию, – это загрузка бан-
неров, которые можно теперь подгру-
жать постоянно без перезагрузки ос-
новной страницы. Кстати, интерес-
ная проблема получается: раз в AJAX-
приложениях нет страниц как таковых,
то каким же образом пользователю бу-
дут показываться баннеры? Решить ее
очень просто, например: менять по тай-
меру, по щелчкам или движению мыши,
нажатию клавиш. Но если попадется
недобросовестный веб-мастер, поже-
лавший накрутить счетчики, то поль-
зователь может заплатить за удобс-
тво лишним трафиком.
И самое печальное, что теперь,
проанализировав исходный код доку-
мента, нельзя до конца быть уверен-
ным в лояльности того или иного сер-
виса. И все это на фоне повышения по-
пулярности атак, направленных на уяз-
вимости в клиентских приложениях,
в частности в веб-браузерах. Как бы
то ни было, именно на безопасность
клиентов при использовании техноло-
гии AJAX обращают внимание много-
численные эксперты.
Ошибки при
программировании
AJAX-технология относительно моло-
дая, и хотя уже сегодня можно най-
ти тысячи примеров, разработчикам
все равно приходится самостоятель-
но писать код как для сервера, так и
для клиента практически в каждомом
случае, и к тому же на разных языках.
Это приводит к многочисленным ошиб-
кам в реализации, часть которых об-
наруживается только при эксплуата-
ции приложения. К тому же не стоит
забывать, что эту ситуацию усугубля-
ют различия в поведении веб-браузе-
ров, наличие плагинов (некоторые от-
ладчики, о которых рассказано чуть
ниже, перехватывают действие и под-
меняют своим) и прочее. Это приводит
к увеличению кода, а значит, – к ве-
роятному появлению ошибок в конк-
ретной реализации. На сегодняшний
день стандарт XMLHttpReques еще не
принят, 5 апреля 2006 года World Wide
Web Consortium опубликовал всего
лишь его черновой вариант [13]. К то-
му же всегда найдутся особенные бра-
узеры, разработчики которых не бу-
№6, июнь 2006
web
Рисунок 1. При помощи FireBug можно просматривать AJAX-запросы
дут придерживаться рекомендаций проса либо самому составить запрос,
WWWC, и некоторая часть пользовате- основываясь на анализе исходного ко-
лей все равно будет использовать ста- да и ответов сервера. Если во время
рые версии браузеров, поэтому улуч- своей работы сервер не будет дополни-
шений здесь в ближайшем будущем тельно подстраховываться и контроли-
не предвидится. ровать поступающие данные на пред-
мет их принадлежности конкретно-
А что сервер? му пользователю, это может привес-
По сообщениям специалистов, зани- ти к утечке конфиденциальных дан-
мающихся безопасностью, сегодня ных. Одним из самых простых мето-
приблизительно 20 процентов уязви- дов управления разрешениями являет-
мостей приходятся именно на веб-при- ся использование cookies. Когда объ-
ложения. Отмечается, что очень ред- ект XMLHttpRequest создает запрос,
кое приложение может похвастаться он возвращает все активные в насто-
всего одной уязвимостью, большая ящее время для этого сайта сеансо-
же часть содержит несколько уязви- вые cookies. Но это может быть выхо-
мых мест. При этом большая часть дом не для каждой ситуации. Напри-
уязвимостей (около 95%) приходится мер, запросы могут быть отправлены
на cross-site scripting (XSS), т.е. подста- не тому серверу, на котором зарегис-
новка чужого кода в текущий сеанс. Ти- трировался пользователь, а на другой
пичные эксплоиты могут включать: мо- сервер, где привилегии никак не под-
дификацию страниц (дефейс), переад- тверждены. Если ранее браузер прос-
ресацию (например, для форм регис- то отправлял ему форму, то теперь
трации) и взаимодействие с сайтом происходит двусторонний обмен дан-
от имени другого пользователя. ными (хотя некоторые браузеры могут
Нас в контексте статьи интересу- блокировать такое поведение), и са-
ет последний пункт. Хотя стоит отме- мое главное, что второй ресурс может
тить, что при помощи XSS можно смо- не иметь активных cookies.
делировать любую ситуацию, кото- В некоторых скриптах, встречаю-
рую возможно проделать при помо- щихся на форумах, приходящие дан-
щи JavaScript. Теперь представим та- ные персонализируются на основа-
кую ситуацию. Пользователь запол- нии некоего идентификатора пользо-
няет некую форму, AJAX отсылает за- вателя (ID) или токена. Токен включен
прос, сервер обрабатывает отправ- как заголовок в запросах, сделанных
ленные данные и возвращает ответ. объектом XMLHttpRequest. Он должен
Но что, если злоумышленник имеет вести себя аналогично сеансовому то-
возможность перехватить данные се- кену и обеспечивать доступ к защи-
анса и скорректировать параметры за- щенному ресурсу. Но злоумышленни-
47
 web
ку ничего не стоит сгенерировать за-
прос, указав перехваченный при по-
мощи сниффера идентификатор, ли-
бо просто попытаться его подобрать
и получить в результате доступ к ин-
формации. Если все же использование
других механизмов неудобно либо на-
кладно, то постарайтесь избегать пос-
ледовательных ID, а сам ID сделать ме-
нее предсказуемым. Этим вы хотя бы
затрудните его подбор.
Самое интересное, что никаких
особых инструментов для перехва-
та не надо, достаточно иметь под ру-
кой веб-браузер. Тот же Firefox позво-
ляет просмотреть исходный код доку-
мента, а, использовав плагины FireBug
(рис. 1) и Greasemonkey, можно не толь-
ко просматривать исходный код полу-
ченных документов, но и редактиро-
вать их, регистрировать AJAX-запросы
и проверять ответы сервера. Причем
это далеко не единственные плагины
к этому веб-браузеру, предназначен-
ные для отладки веб-приложений.
Наверное, самой большой ошибкой
при использовании технологии AJAX
является недостаточный контроль над
вводимыми данными, возможно, из-за
незначительного объема обрабатывае-
мой информации. Это не может не при-
водить к появлению характерных уяз-
вимостей. И хотя на сегодняшний мо-
мент в AJAX найденные ошибки мож-
но пересчитать по пальцам, но они уже
есть и, несомненно, это только начало.
Самое печальное, что подобные ошиб-
ки встречаются не только в любитель-
ских скриптах, но и в инструментах
разработчиков.
Например, CPAINT (Cross-Platform
Asynchronous INterface Toolkit) [7], ко-
торый представляет собой пакет AJAX-
разработчика, распространяемый
по лицензии GNU GPL и поддержи-
вающий работу с несколькими язы-
ками. В нем обнаружена уязвимость,
позволяющая злоумышленнику вы-
полнить произвольные ASP/PHP-ко-
манды. Аналогичная уязвимость была
найдена и в PAJAX [8], который пред-
ставляет собой структуру, облегчаю-
щую создание отдаленных PHP-объ-
ектов в JavaScript. Для связи между
объектами JavaScript, которые выпол-
няются в браузере, и реализации их
PHP-аналога на сервере использует-
ся AJAX. Или, например, AJAX Spell
Checker (ajax-spell), в котором обнару-
48
жена уязвимость, позволяющая про-
вести XXS-атаку [5].
Небольшой объем данных, обычно
пересылаемый при помощи AJAX, час-
то приводит к тому, что им могут просто
не придать значения, забывая о их цен-
ности. И если ранее всю форму полно-
стью направили бы через SSL, то те-
перь, возможно, с этим возиться ник-
то не будет, особенно на фоне того, что
большая часть передаваемых и прини-
маемых данных действительно не име-
ет большой ценности. Но стоит отме-
тить, что уже появились наработки [11]
по шифрованию информации, переда-
ваемой при помощи AJAX.
Кроме того, бездумное использо-
вание AJAX может привести к возрас-
танию нагрузки на сервер. Так, если
раньше форма отсылалась на сервер
всего один раз после заполнения всех
параметров, то теперь запросы посту-
пают постоянно. И если скрипт написан
неправильно, с ошибками или пользо-
ватель повел себя не так, как задумы-
вал разработчик (а они обычно поче-
му-то так всегда и поступают), то сер-
вер может быть завален запросами.
Без тщательного планирования и тес-
тирования написанных приложений
здесь явно не обойтись.
Что имеем?
Новая архитектура предполагает и до-
селе неизвестные проблемы. Особен-
ное беспокойство вызывает возмож-
ность нападения на клиентские сис-
темы, пользователи которых, как пра-
вило, подготовлены хуже и защищен-
ность систем ниже. Можно даже пред-
положить появление в недалеком буду-
щем дополнительных настроек в веб-
браузере, при помощи которых пользо-
ватель сможет контролировать AJAX-
запросы, как это сегодня делается для
cookies. Но как бы то ни было, не смот-
ря на это, технология AJAX уже приме-
няется на тысячах серверов и их коли-
чество постоянно растет. Отказаться от
нее вероятно уже не нельзя, да и глупо.
Один из соавторов книги «Ajax in Action»
Эрик Паскарелло (Eric Pascarello) в ин-
тервью SearchWebServices.com дал
следующие рекомендации для разра-
ботчиков AJAX которых и стоит при-
держиваться:
 Если используется аутентификация
пользователя, убедитесь в провер-
ке на странице запроса.
 Проверьте возможность SQL-инъ-
екции.
 Проверьте возможность JavaScript-
инъекции.
 Храните логику работы на севере.
 Не думайте, что каждый запрос ре-
альный.
 Проверяйте данные с подтвержде-
нием.
 Проверьте правильность информа-
ции в заголовке запроса.
И тестирование, тестирование
и еще раз тестирование. Успехов.
Ссылки, литература:
1. Using the XMLHttpRequest Object and
AJAX to Spy On You – http://www.devx.
com/webdev/Article/28861.
2. Security in an AJAX World – http://www.
whirlycott.com/phil/2005/04/15/security-
in-an-ajax-world.
3. Архив проекта ModSecurity – http://www.
modsecurity.org/arhive.
4. «XMLHttpRequest allows dangerous
request headers to be set», Bugzilla bug
302263 – https://bugzilla.mozilla.org/
show_bug.cgi?id=302263.
5. Описание уязвимости в AJAX Spell
Checker – http://www.securityfocus.com/
bid/13986/references, http://secunia.
com/15737/, http://www.security.nnov.ru/
Jdocument503.html?l=RU.
6. Описание уязвимости в CPAINT – http://
secunia.com/advisories/16462.
7. Домашняя страница CPAINT – http://
sourceforge.net/projects/cpaint.
8. Домашняя страница PAJAX – http://www.
auberger.com/pajax.
9. Плагин Greasemonkey – http://f tp.
mozilla.org/pub/mozilla.org/extensions/
greasemonkey/greasemonkey- 0.6.4-
fx.xpi.
10. Плагин FireBug – http://releases.mozilla.
org/pub/mozilla.org/extensions/firebug/
firebug-0.3.2-fx+fl.xpi.
11. Pro of of C o n c e pt : B rows e r- B as e d
Field Encr yption With Blowfish Via
Ajax – http://smokey.rhs.com/web/blog/
PowerOfTheSchwartz.nsf/plinks/RSCZ-
6CATX6.
12. Родионов В. AJAX: заработавший
Javascript. – Журнал «Системный ад-
министратор», № 12, 2005 г. – 66-69 с.
13. Ч е р н о в о й в а р и а н т к л а с с а
XMLHttpRequest, описывающий его
интерфейс и поведение, – http://www.
w3.org/TR/2006/WD-XMLHttpRequest-
20060405.
 безопасность

Настраиваем безопасный роутер

на базе FreeBSD

Василий Озеров
Существует два ошибочных мнения. Одно гласит, что безопасности в настройке сервера много
не бывает, другое – что она не нужна вовсе. В первом случае работать в системе становится
неудобно, во втором – важная информация не защищена от посторонних. Где же золотая
середина?

Р
ечь пойдет о том, как увеличить полагаю, что компьютер имеет доступ тожить. Это правило работает везде
безопасность FreeBSD, работаю- в Интернет с внешним IP-адресом. и всегда. Возвращаясь к безопаснос-
щей в качестве маршрутизатора Говоря о безопасности в общем ти операционных систем, можно гово-
между локальной сетью и Интернетом. (не только о компьютерной), мы неиз- рить об их защите очень долго, но все
Так как мы будем настраивать роутер, менно возвращаемся к одному очень вернется опять к этому правилу: опе-
то о большом количестве пользовате- простому и действенному правилу: все, рационную систему создал человек, и,
лей на нем речи не идет. Также я пред- что человек создал, он может и унич- следовательно, всегда найдется дру-

50

гой человек, который сможет обойти ее защиту, какой бы
мощной она ни была.
Безопасность
Безопасность системы в целом складывается из трех фак-
торов:
 Безопасность ядра.
 Безопасность установленного в ней ПО.
 Человеческий фактор.
Рассмотрим каждый из этих факторов подробно.
Безопасность ядра
Большинство взломов происходит из-за ошибок в ядре. Яд-
ро для операционной системы – это основа: оно управляет
всеми операциями, производимыми в компьютере, и, сле-
довательно, без ядра работа системы невозможна, в част-
ности, из-за отсутствия контроля за входными значениями
функций. Функции работают на уровне ядра и как следс-
твие имеют абсолютные привилегии, поэтому некоторые
хакеры усердно ищут уязвимости для повышения приви-
легий в системе.
Так как для семейства UNIX-систем ядра распространя-
ются в открытом исходном коде, то для нахождения уязви-
мостей достаточно знать язык C.
Человек, нашедший уязвимость, может сообщить о ней
разработчику или использовать уязвимость для взлома.
В первом случае разработчик, как правило, в кратчай-
шие сроки устранит уязвимость и выложит обновления для
ядра. Вам же как системному администратору достаточно
вовремя обновить систему (ядро).
Второй вариант происходит достаточно редко и грозит
взломом многих серверов. Опасен он тем, что вы думаете,
что система надежна защищена, хотя на самом деле это не
так. Рано или поздно, разработчики узнают о существова-
нии уязвимости и все возвращается к первому случаю.
Безопасность ПО
Уязвимости в программном обеспечении находят гораздо
чаще, нежели в самой системе. Если программа достаточ-
но популярна, то в ней будут стараться найти уязвимости,
чтобы получить возможность взломать достаточно большое
количество серверов. Человек, который нашел уязвимость,
может пойти двумя путями, которые аналогичны описанным
ранее. Автор программы рано или поздно узнает об уязви-
мости и выпустит обновление к программе. А ваша зада-
ча – всего лишь вовремя обновить ПО.
Человеческий фактор
Эта составляющая является главной для безопасности
системы в целом! Ни одна система не может «похвастать-
ся» безопасностью без дополнительной настройки. Все ОС
придется аккуратно настроить перед тем, как они смогли
бы противостоять хакерским атакам.
На основании вышеизложенного понятно, что от грамот-
ной настройки сервера и его поддержки зависит практичес-
ки все, а выполнить эти требования может только компе-
тентный специалист. Следовательно, говоря о безопаснос-
ти ОС, мы должны сравнивать настройки систем, а не сами
№6, июнь 2006
безопаснсоть
системы. Если у кого-то взломали FreeBSD, то это не гово-
рит о том, что вся система FreeBSD уязвима, это говорит
только о том, что ее неправильно настроили.
Как настроить FreeBSD
Итак, переходим от теории к практике. Настраивать систему
мы будем также по трем направлениям, описанным ранее.
Ядро
Итак, у вас установлена FreeBSD со стандартным ядром
GENERIC, которое включает в себя поддержку избыточно-
го количества устройств и функций. Это достаточно прос-
то объяснить: разработчик не знает, какая у вас система,
какие устройства и т. д., а стандартное ядро практически
всегда позволяет загрузиться на любом компьютере. Кон-
фигурирование ядра – задача довольно тривиальная. Тре-
буется совсем немного времени, чтобы «выкинуть» из кон-
фигурационного файла ядра все, что не нужно, потом, до-
бавив дополнительные возможности, перекомпилировать
его. Зачем пересобирать ядро:
 Ядро будет пытаться определить только те устройства,
которые установлены в компьютере, поэтому загрузка
системы будет происходить намного быстрее.
 Размер ядра уменьшается, и оперативная память осво-
бождается.
 Увеличивается безопасность благодаря отключению не-
нужных функций.
Отключение поддержки ненужных устройств я ос-
тавляю на ваше усмотрение, подробности смотрите на
официальном сайте FreeBSD (http://www.freebsd.org/doc/
ru_RU.KOI8-R/books/handbook/kernelconfig-config.html). Сра-
зу добавляем в конфигурационный файл опции для firewall:
я предпочитаю использовать в качестве firewall pf, поэто-
му речь пойдет о нем. Приступаем к конфигурированию
и компиляции ядра (комментарии начинаются с «//», их пи-
сать не нужно!):
# cd /usr/src/sys/i386/conf/
# cp GENERIC new
# cat >> new
// Включаем поддержку firewall
device pf
device pflog
device pfsync
// Запрещает перезагрузку клавишами <ctrl+ alt +del>
options SC_DISABLE_REBOOT
// Включаем поддержку ALTQ для шейпинга пакетов
options ALTQ
Конфигурируем ядро:
# config new
Kernel build directory is ../compile/new
Don’t forget to do ``make cleandepend; make depend’’
Компилируем и устанавливаем:
# cd ../compile/new && make cleandepend && make depend ↵
&& make && make install
Перезагружаемся:
51
 безопасность
# reboot Для начала нужно отредактировать /etc/login.conf, в кото-
ром описываются классы пользователей, заменив:
Должно быть загружено новое ядро, если этого не про-
изошло, то старое лежит в /boot/kernel.old. :passwd_format=md5:\
У меня после удаления всех ненужных опция ядро умень-
шилось более чем в два раза. на

Механизм sysctl :passwd_format=blf:\

Это достаточно мощное средство управления системой:
с помощью sysctl можно смотреть и изменять параметры Теперь можно создать базу:
системы. Так как наша машина должна выполнять роль роу-
тера, то желательно изменить следующие значения: # cap_mkdb /etc/login.conf

// Включаем проброс пакетов через интерфейсы
# sysctl net.inet.ip.forwarding=1
// Генерируем случайный идентификатор IP-пакетов
# sysctl net.inet.ip.random_id
Для того чтобы пароли пользователей теперь хеши-
ровались с помощью blowfish, нужно отредактировать
/etc/auth.conf, заменив:

// Ограничиваем количество ICMP-ответов crypt_default=md5

# sysctl net.inet.icmp.icmplim=10

// Отключаем реагирование на попытку обратиться на

// к закрытым портам
# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1 crypt_default=blf

// Запрещаем пользователям смотреть чужие процессы

# sysctl security.bsd.see_other_gids=0 После этого в /etc/master.passwd все пароли будут начи-
# sysctl security.bsd.see_other_uids=0
наться с $2, что указывает системе на использование хешей
Это минимум, который необходимо изменить. Чтобы по алгоритму blf.
после перезагрузки все настройки остались прежними, вне- Теперь пользователям, которым не разрешено иметь ин-
сите изменения в /etc/sysctl.conf. терактивный шелл, в систему нужно поставить:
Есть еще одна очень интересная переменная, которую
я хотел бы описать, – это kern.securelevel. Securelevel может shell: /sbin/nologin
принимать значения от -1 до 3. Давайте рассмотрим пос-
ледние три случая, так как -1 и 0 являются небезопасными Этот шелл дает два преимущества:
режимами работы и ставятся по умолчанию:  При попытке регистрации пользователя в системе
 1. Безопасный режим. В этом режиме вы не може- /sbin/nologin возращает ответ о том, что регистрация
те снимать модификационные флаги с файлов (да- пользователя в системе невозможна.
же от имени суперпользователя – root), смонтирован-  Попытка входа записывается в логи.
ные дисковые устройства, а также /dev/mem /dev/kmem
не могут быть открыты для записи. Также нельзя под- После этого нужно разобраться в правах к некоторым
гружать/выгружать модули ядра. системным файлам и директориям:
 2. Повышенная безопасность. В дополнение к преды-
дущим требованиям запрещена прямая запись на дис- # chmod 0600 /etc/login.conf /etc/syslog.conf ↵
/etc/newsyslog.conf /etc/rc.conf /etc/hosts.allow
ки, независимо от того, смонтированы они или нет. # chmod 0700 /root/
 3. Режим безопасности сети. Режим повышенной бе-
зопасности плюс нельзя изменять правила firewall.
Настройка программного обеспечения
Какой режим поставить – выбирать вам (у меня стоит Для начала обновим систему. В первую очередь – исход-
второй). Вам не нужно перекомпилировать код ядра каж- ники, потом – коллекцию портов. Для обновления системы
дый раз для добавления новых функций, достаточно под- будем использовать cvsup. Редактируем supfile:
грузить необходимый модуль ядра. Например, для работы
стека bluetooth используется модуль ng_ubt. При захвате *default host=cvsup5.ru.FreeBSD.org
*default base=/usr
системы хакер скорее всего попытается подгрузить новый *default prefix=/usr
модуль для того, чтобы скрыть свое нахождение в системе, *default release=cvs tag=RELENG_6_0
*default delete use-rel-suffix
но если устновить второй или третий режим безопасности,
то для загрузки модуля придется перезагружать систему, *default compress
что вряд ли не останется незамеченным. src-base
src-bin
src-contrib
Настройка безопасности системы src-etc
Давайте поменяем хеширование паролей md5, которое src-gnu
src-include
стоит по умолчанию, на более стойкое к взломам blowfish.

52
 безопаснсоть
src-kerberos5 to $prov_if port www -> 172.16.1.3 port www
src-kerberosIV # Включаем прозрачное проксирование
src-lib rdr on $int_if proto tcp from $internal_net ↵
src-libexec to any port 80 -> 172.16.0.1 port 3128
src-release
src-sbin
src-share # in packs on prov_if
src-sys
src-tools # Блокируем все входящие соединения
src-usrbin block in on $prov_if from any to any
src-usrsbin # Разрешаем пинги
src-crypto pass in on $prov_if inet proto icmp from any ↵
src-secure to $prov_if icmp-type 8 keep state
src-sys-crypto # Разрешаем соединяться с ssh-сервером
pass in on $prov_if inet proto tcp from any ↵
Таг RELENG_6_0 используется для исправлений исход- to $prov_if port 22 keep state
# Доступ к WWW
ного кода системы для увеличения безопасности. Теперь pass in on $prov_if inet proto tcp from any ↵
непосредственно запускаем cvsup: to $prov_if port www keep state
# Разрешаем соединяться с нашим почтовым сервером
pass in on $prov_if inet proto tcp from any ↵
# cvsup -g -L 2 /usr/local/etc/supfile to $prov_if port 25 keep state

Обновления можно взять с cvsup5.ru.FreeBSD.org (па- # out packs on prov_if

раметр host в supfile), причем скачиваются только обнов- # Блокируем все входящие соединения
ленные файлы, а не все целиком, отсюда такое малень- block out on $prov_if from $prov_if to any
# Разрешаем пинги от нас
кое потребление трафика. Точно сказать нельзя, сколько pass out on $prov_if inet proto icmp from ↵
придется скачать, все зависит от количества исправлений, $prov_if to any icmp-type 8 keep state
# Разрешаем обращаться на Web
но точно менее 10 Mб. pass out on $prov_if inet proto tcp from ↵
Теперь смотрим, если уязвимость обнаружена в ядре, то $prov_if to any port www keep state
# На ftp
придется его пересобрать. Если в системной утилите, то пе- pass out on $prov_if inet proto tcp from ↵
ресобирать следует только программу. $prov_if to any port ftp keep state
# На ssh
Обновление коллекции портов удобнее делать с помо- pass out on $prov_if inet proto tcp from ↵
щью программы portsnap, которая теперь является частью $prov_if to any port ssh keep state
# Разрешаем запросы к DNS
системы. Пользоваться ей намного проще, чем cvsup: pass out on $prov_if inet proto udp from ↵
При первом запуске: $prov_if to any port 53 keep state

# portsnap fetch # in packs on int_if

# portsnap extract
# portsnap update # Блокируем все входящие соединения
block in on $int_if from $internal_net to $me
При последующих запусках: pass in on $int_if inet proto tcp from ↵
$internal_net to $me port 22 keep state
# portsnap fetch # Разрешаем локальной сети обращаться к нашему DNS-серверу
# portsnap update pass in on $int_if inet proto udp from ↵
$internal_net to $me port 53 keep state
Portsnap только в первый раз скачивает всю коллек-
цию портов(~38 Mб), потом же качаются только обновлен- # out packs on $int_if
ные файлы. # Запрещаем все исходящие от нас соединения в локальную сеть
block out on $int_if from $me to $internal_net keep state
# Разрешаем пинги от нас
Настройка pf pass out on $int_if inet proto icmp from ↵
На любом компьютере, подключенном к сети, обязательно $me to $internal_net icmp-type 8 keep state
должен стоять firewall. Причем он должен быть корректно
настроен. Я приведу несколько простых правил, которые При составлении правил главная идея такова: запреща-
позволят фильтровать входящие соединения: ем все, а потом разрешаем только то, что нужно.
Теперь переходим к настройке безопасного доступа
prov_if="sk0" к серверу OpenSSH. Раньше терминальный доступ к серве-
int_if="rl0"
internal_net="172.16.0.0/24" ру обычно был предоставлен только telnet-сервером, но его
me="172.16.0.1" сменил безопасный ssh-сервер. Но при настройках по умол-
LAN_to_INT="{ftp,ftp-data,www,https,ssh,smtp,pop3,nntp, ↵ чанию – это хорошая мишень для хакера. Итак, при настрой-
8080,ntp,411,5190}" ке ssh-сервера, мы поступим так: составим два конфигура-
scrub in all ционных файла специально для двух сетей:
# Транслируем все пакеты к smtp-серверам
 локальная сеть;
nat on $prov_if from $internal_net to any port 25 -> $prov_if  Интернет.
# Транслируем все пакеты к pop-серверам
nat on $prov_if from $internal_net to any port 110 -> $prov_if
В локальной сети мы разрешим авторизацию по паро-
# Настраиваем перенаправление всех пакетов, идущих лю, а из Интернета разрешим авторизацию только по клю-
# к www-серверу в DMZ
rdr on $prov_if proto tcp from any ↵ чам, что не позволит подобрать пароль.

№6, июнь 2006 53

 безопасность
# sshd_config_1 (Локальная сеть): Так как сервер выполняет роль шлюза, то на нем редко
Port 22 будут меняться системные файлы, следовательно, можно на-
Protocol 2 строить аудит системных файлов. В данной области самой
ListenAddress 172.16.0.1
PermitRootLogin no распространенной из бесплатных систем является tripwire:
PasswordAuthentication yes
MaxStartups 2:90:5 # cd /usr/ports/security/tripwire
AllowGroups ssh # make install clean
Banner /etc/motd
Subsystem sftp /usr/libexec/sftp-server
После установки база файлов начнет создаваться ав-
# sshd_config_2 (Интернет): томатически, желательно посмотреть, каких файлов она
AllowGroups ssh не нашел. После этого редактируем файл политик /usr/local/
Banner /etc/motd etc/tripwire/twpol.txt. Изменять нужно две вещи:
ListenAddress 213.251.193.69
LogLevel VERBOSE  Так как мы хотим получать отчеты по email, то пос-
MaxStartups 2:90:5 ле каждой строки severity нужно дописывать строку:
PasswordAuthentication no
PermitRootLogin no emailto = qw@er.ty.
Port 22  Нужно закомментировать строки с файлами, которых
Protocol 2
Subsystem sftp /usr/libexec/sftp-server у вас в системе нет.
SyslogFacility AUTH
После этого нужно создать файл политик:
Это опять же минимальные настройки, об остальных мож-
но прочитать, например, в руководстве (man sshd_config). # twadmin --create-polfile twpol.txt
Также изменим /etc/motd:
Теперь осталось инициализировать tripwire:
*********************************************************
# tripwire --init
This is a private system!!! All connection attempts are
logged and monitored. All unauthorized connection
attempts will be investigated and
handed over to the proper authorities. Проверку файлов можно осуществлять следующим об-
разом:
*********************************************************

Так как мы указали, что из Интернета можно аутентифи- # tripwire --check

цироваться только по ключам, то придется эти самые клю-
чики сгенерировать:
$ ssh-keygen -t rsa -b 4096
$ cat ~/.ssh/id_rsa.pub > ~/.ssh/authorized_keys
Теперь нужно «спрятать» id_rsa в надежное место и мож-
но логиниться с помощью этого ключа, предупреждаю,
что для putty придется генерировать ключи специальной
утилитой – puttygen.
Желательно прописать запуск tripwire в cron.
Теперь установим еще одну полезную утилиту chkrootkit,
которая будет проверять наличие известных ей rootkit в сис-
теме:
# cd /usr/ports/security/chkrootkit/
# make install clean
Проверить систему можно так:

Отчеты системы # chkrootkit | mail root

Последний фактор – человеческий. Сейчас мы постараем-
ся сделать отчеты о работе системы как можно более под-
робными. Так как у нас в системе практически все ПО ус-
тановлено из портов, то было бы неплохо проверять уяз-
вимость портов. Для этого будем использовать специаль-
ную утилиту portaudit:
# cd /usr/ports/security/portaudit
# make install clean
Настраивать ее не нужно, для проверки установленных
пакетов достаточно выполнить:
# /usr/local/sbin/portaudit -Fda
При попытке установить программу из портов portaudit
проверит и выдаст предупреждение, если данный порт со-
держит уязвимость. Также информация об уязвимостях
в установленном ПО будет включаться в ежедневный от-
чет о безопасности системы.
Таким образом, отчет о проверке по почте придет к ад-
министратору. Также советую прописать эту строку в cron.
Единственная проблема, связанная с chkrootkit, заключа-
ется в том, что программа написана на sh и как следствие
может быть «переписана» взломщиком, поэтому желатель-
но добавить проверку chkrootkit в tripwire.
Заключение
Таким способом мы улучшили безопасность системы в не-
сколько раз:
 Установлен и настроен firewall.
 Настроен безопасный доступ к системе (OpenSSH).
 Увеличено количество информации, поступаемой
от системы.
Остальное дело за вами: следить за уязвимостями, вовре-
мя обновлять систему и софт, установленный в ней, следить
за отчетами безопасности и всегда быть на страже.

54
безопасность

Пишем систему динамической защиты

ресурсов сети

Андрей Бирюков

Аудит журналов безопасности операционной системы – неотъемлемая часть работы системного

администратора. Если обнаружены попытки проникновения, на них необходимо немедленно
отреагировать. Автоматизируем данный процесс с помощью сценария Perl.

56
 безопасность
Что собираемся защищать формирующих о попытках несанкционированного доступа
Серверные журналы, проще говоря протоколы, содержат с определенного IP-адреса, по протоколу ssh в iptables до-
в себе информацию о различных событиях, происходящих бавляется строка, блокирующая получение пакетов с дан-
в системе. Например, информацию об ошибках приложе- ного адреса. Список заблокированных IP-адресов автор
ний или о попытках несанкционированного проникновения предлагает передавать в сообщениях syslog.
в сеть. Автоматизация «реакции» на эти сообщения являет- Обратите внимание на то, что перед запуском сценария
ся важным элементом в обеспечении бесперебойного фун- необходимо создать iptables chain Block и поместить теку-
кционирования всей сети. Конечно, каждый администратор, щую конфигурацию iptables в файл /etc/sysconfig/iptables.
придя на работу, первым делом должен проверить прото- Тут следует сразу отметить, что пример сценария (см. лис-
колы своих серверов, не произошло ли что-нибудь в тече- тинг 1) ориентирован на использование в дистрибутивах
ние ночи или за выходные, и в случае необходимости при- Fedora/Red Hat. Для применения с другими дистрибути-
нять соответствующие меры. вами Linux необходимо будет произвести небольшие из-
Однако иногда такая реакция может оказаться запозда- менения.
лой, особенно это касается попыток осуществления несан-
кционированного входа в систему. Если какие-либо ресур- Листинг 1. Сценарий, блокирующий атаки на ssh
сы вашей сети (например, электронная почта, веб-сервер #!/usr/bin/perl -w
или доступ по протоколу SSH) опубликованы в Интернете, use Sys::Syslog; # модуль для работы с syslog
$max=10; # максимально разрешенное число попыток
то вам наверняка приходилось наблюдать записи в протоко-
лах, свидетельствующие о попытке осуществления несанк- # файл журнала, с которым мы и работаем
$watchfile= '/var/log/messages';
ционированного доступа к ресурсам сети. Конечно, это по-
пытки взлома с помощью «грубой силы» (brute force, подбор # путь к iptables (для разных дистрибутивов Linux
# он может различаться)
пароля по словарю), такой способ, как правило, не приносит $iptables= '/sbin/iptables';
результата. Хотя иногда начинающие хакеры с упорством,
# тоже iptables, но после сохранения изменений
достойным лучшего применения, «натравливают» слова- $iptables_save= '/sbin/iptables-save';
ри на учетную запись root.
# исходные значения iptables
Но тут следует заметить, что зачастую наш потенциаль- $iptables_restore= '/sbin/iptables-restore';
ный противник охотится вовсе не за паролем к учетной за-
# файл конфигураций iptables
писи пользователя, а, к примеру, ему необходимо опреде- $cfgfile= '/etc/sysconfig/iptables';
лить существует ли пользователь с таким именем на сер-
open(LFILE, "<$watchfile"); # открываем лог на чтение
вере или нет. Такая информация будет весьма полезна
для спамеров. Ведь на очень многих почтовых серверах %tries=(); # количество попыток для IP
%blocked=(); # уже заблокированных IP
имя пользователя совпадает с именем почтового ящика,
точнее, с той его частью, которая идет до знака @ (напри- # восстанавливаем конфигурацию, это нужно для того,
# чтобы «устаревшие» IP-адреса не оставались запрещенными
мер, user@mydomain.ru), а база корпоративных электрон- `$iptables_restore < $cfgfile`;
ных адресов стоит дороже чем база адресов с бесплатных
# получаем уже заблокированные IP-адреса из iptables
почтовых серверов. Для того чтобы избежать подобного ро- open(IPTPIPE, "$iptables -L -v -n|");
да сканирования, можно просто закрыть соответствующие $blockChain=0;
while (<IPTPIPE>){
порты от использования снаружи. Но в большинстве совре- $blockChain=1 if (/^Chain block \(\d+ references\)$/);
менных компаний сотрудники хотят иметь доступ к своей next unless $blockChain;
last if (/^$/ );
почте из дома или находясь в командировке, поэтому ва- $blocked{$1}=1 if (/(\d+\.\d+\.\d+\.\d+)/);
риант с запретом нам не подходит. }
close IPTPIPE;
Из всего этого делаем вывод, что нам необходимо # преобразуем в строку
средство, которое могло бы обнаруживать и адекватно ре- $blk_ips=join(", ",keys(%blocked));
# отправляем сообщение syslog
агировать на попытки подбора логинов/паролей к ресур- syslog('warning',"sshwatch.pl started. ↵
сам нашей сети. currently blocked ip's are: $blk_ips");
Существует масса решений, как программных, так и ап- # просматриваем /var/log/messages
паратных, получивших название Intrusion Detection System, while (1) {
for ($curpos = tell(LFILE); $_ = <LFILE>; ↵
IDS, системы обнаружения вторжения, которые позволяют $curpos = tell(LFILE)) {
выполнить данную задачу. Но зачастую они либо слишком # искомая строка
if (/sshd\[\d+\]: Failed password for .+ ↵
громоздки в управлении, либо слишком дорого стоят. from \D+(\d+\.\d+\.\d+\.\d+)/) {
Попробуем самостоятельно разработать простейшую $ip=$1;
next if defined($blocked{$ip});
IDS. В качестве инструментов будем использовать сцена- $tries{$ip}+=1; #увеличиваем счетчик
рии Perl под ОС Linux. if ($tries{$ip} eq $max){
# если превышено максимальное значение,
# пакеты с данного адреса должны быть заблокированы
Как собираемся защищать `$iptables -I block -s $ip -j DROP ; ↵
$iptables_save > $cfgfile`;
В качестве основы для реализации я использовал сцена- $blocked{$ip}=1;
рий, находящийся на cpan.org [1]. Идея довольно проста: че- # снова сообщение syslog
syslog('warning', "IP $ip has been blocked !");
рез определенные промежутки времени сканируется файл }
/var/log/messages. В случае обнаружения сообщений, ин- }

№6, июнь 2006 57

 безопасность
} рой создаются правила фильтрации. Для запрета доступа
sleep 1;
seek(LFILE, $curpos, 0);
} Директива deny сводит к минимуму риск определенных
Как видите, сценарий довольно прост, мы всего лишь
отслеживаем нужные строки в файле и реагируем на них
заданным образом, блокируя доступ к сети для IP-адреса
атакующего.
Расширяем функциональность
Попробуем расширить функциональность сценария, напи-
санного нашим коллегой.
Во-первых, допустим, у нас открыты наружу не только
ssh, но и, к примеру, POP3.
И во-вторых, рассмотрим различные варианты пос-
троения сети: как с использованием демилитаризован-
ной зоны (DMZ), так и без нее. Суть DMZ заключается
в том, что она не входит непосредственно ни во внутрен-
нюю, ни во внешнюю сеть и доступ к ней может осущест-
вляться только по заранее заданным правилам межсете-
вого экрана. В DMZ нет пользователей – там располага-
ются только серверы. Демилитаризованная зона, как пра-
вило, служит для предотвращения доступа из внешней се-
ти к хостам внутренней сети за счет выноса из локальной
сети в особую зону всех сервисов, требующих доступа из-
вне. Фактически получается, что эта зона будет являться
отдельной подсетью с публичными адресами, защищен-
ной (или отделенной) от публичных и корпоративных се-
тей межсетевыми экранами.
При попытке получения доступа к почтовому ящику
по протоколу POP3, в случае неверного указания логина/
пароля получаем сообщение:
Apr 22 21:25:24 MexBSD qpopper[782]: [AUTH] Failed attempted
login to admin from host (TestBSD) 172.29.1.19
Здесь в качестве POP3-демона использовался qpopper,
но и для других серверов вид сообщения будет аналоги-
чен.
По поводу топологии сети будем предполагать, что у нас
имеется единственный сервер и необходимо блокировать
пакеты, непосредственно приходящие на него.
Также сценарий, предназначенный для защиты от подбо-
ра протокола POP3, применялся на FreeBSD, поэтому вмес-
то iptables воспользуемся утилитой ipfw, с помощью кото-
Рисунок 1. Размещение серверов в DMZ
58
у ipfw существуют директивы deny и reject.
атак типа «отказ в обслуживании» и усложняет взломщи-
ку задачу сканирования системы. В то же время директи-
ва reject позволяет скрыть факт наличия брандмауэра, так
как она заставляет систему вернуть отправителю сообще-
ние о том, что хост или порт недоступен (как если бы мар-
шрутизатор не смог найти хост или на нем отсутствует при-
ложение, контролирующее заданный порт).
В нашем случае предпочтительнее будет указать ди-
рективу deny, потому что она заставляет систему игнори-
ровать пакет, чтобы отправитель думал, будто пакет по-
терялся или хост-адресат выключен. Я бы еще добавил,
что такая реакция сильно замедляет автоматическое ска-
нирование.
Например, команда, добавляющая правило, которое
запрещает доступ к нашему серверу 172.29.1.1 для атаку-
ющего хоста 172.29.1.19, будет выглядеть следующим об-
разом:
ipfw add deny ip from 172.29.1.19 to 172.29.1.1
В отсутствии явно указанного индекса (положения пра-
вила в списке), который присваивается каждому правилу,
он будет присвоен автоматически, причем значение этого
индекса будет на 100 больше чем номер самого последне-
го правила, за исключением правила по умолчанию (име-
ет номер 65535).
Не забудьте проверить список настроек ipfw с помощью
команды «ipfw list». Это необходимо для того, чтобы ваше
запрещающее правило не лишилось смысла из-за стоя-
щего перед ним уже есть разрешающего. В случае если
у вас уже используются разрешающие правила для дан-
ного трафика, проследите за тем, чтобы запрет оказался
выше по списку.
Можно, конечно, ограничиться только запретом tcp,
но лучше, чтобы все выглядело, как будто сервер не просто
недоступен, а выключен. Такого результата легче добить-
ся, запретив любой IP-трафик. Вообще утилита ipfw обла-
дает довольно большими возможностями, подробно озна-
комиться с которыми можно в справочнике [2].
Итак, мы определились с тем, какие записи в журна-
ле событий нам необходимо просматривать и как на них
реагировать. Для разнообразия будем список заблоки-
рованных IP-адресов с указанием времени блокирования
отправлять на почту системному администратору. Хоте-
лось бы сразу предупредить, что этих писем будет доволь-
но много и поэтому необходимо заранее создать в почто-
вом клиенте соответствующую папку и правило для пере-
направления писем.
Листинг 2. Сценарий, блокирующий атаки на POP3
#!/usr/bin/perl -w
use Mail::Sendmail;
# максимально разрешенное число попыток
$max=10;
# файл журнала, с которым мы и работаем
$watchfile= '/var/log/messages';
 безопасность
$ipfw= '/sbin/ipfw'; ся в этой DMZ. Как уже упоминалось, к нему есть доступ
# то же ipfw но после сохранения изменений из глобальной сети. При такой топологии лучше всего от-
$ipfw_save= '/sbin/ipfw_save'; секать трафик атакующего еще на брандмауэре.
# исходные значения ipfw Будем предполагать, что в качестве межсетевого экра-
$ipfw_restore= '/sbin/ipfw-restore'; на у нас используется оборудование Cisco, тогда для осу-
# файл конфигураций ipfw ществления блокирования нам необходимо воспользовать-
$cfgfile= '/etc/sysconfig/ipfw' ся командами Cisco IOS.
# открываем лог на чтение Приведем необходимый набор команд для доступа
open(LFILE, "<$watchfile"); к консоли и изменения списка доступа. Приводить здесь ко-
# количество попыток для IP манды для настройки NAT и связи с ACL я не буду, так как
%tries=(); это не является темой статьи, и предполагаю, что у вас
# уже заблокированных IP уже всё настроено и нормально функционирует. Приведу
%blocked=(); лишь те команды, которые необходимо будет передавать
# восстанавливаем конфигурацию, это нужно для того, с помощью Perl-сценария. В моем примере использовался
# чтобы «устаревшие» IP-адреса не оставались запрещенными скромный PIX 501, однако для других моделей существен-
`$ipfw_restore < $cfgfile`;
`$ipfw list > out`; ных различий не будет.

# получаем уже заблокированные IP-адреса из iptables login as: user

open(IPTPIPE, "out"); Sent username "user"
$blockChain=0; user@1.1.1.1's password:
while (<IPTPIPE>){ Secure Access
$blockChain=1 if (/^Chain block \(\d+ references\)$/); Type help or '?' for a list of available commands.
next unless $blockChain;
last if (/^$/ ); ipfw add deny ip from 172.29.1.19 to 172.29.1.1
$blocked{$1}=1 if (/(\d+\.\d+\.\d+\.\d+)/);
} Password: ********
close IPTPIPE;
pixfirewall# configure terminal
# просматриваем /var/log/messages
while (1) {
for ($curpos = tell(LFILE); $_ = <LFILE>; ↵ Так как если в список доступа просто добавить запись,
$curpos = tell(LFILE)) { то она будет поставлена в конец, а в нашем случае это за-
# искомая строка
if (/qpopper\[\d+\]: Failed attempted login to .+ ↵ прещающая запись, то соответственно ее добавление бу-
from \D+(\d+\.\d+\.\d+\.\d+)/) { дет бессмысленно и не приведет к желаемому результату.
$ip=$1;
next if defined($blocked{$ip}); Поэтому нам необходимо сначала убрать старый список до-
$tries{$ip}+=1; #увеличиваем счетчик ступа, а потом уже прописать новый. Естественно, что кро-
if ($tries{$ip} eq $max){
# если превышено максимальное значение, ме наших записей, запрещающих трафик с определенных
# пакеты с данного адреса должны быть заблокированы узлов там должны быть еще другие записи, обеспечиваю-
`$ipfw deny $ip; $ipfw_save > $cfgfile`;
$blocked{$ip}=1; щие нормальный доступ к ресурсам сети.
# отправляем письмо В нашем случае необходимо лишь заблокировать тра-
%mail = ( To => 'admin@test.local',
From => 'firewall@test.local', фик с конкретного хоста (2.2.2.2). Запись, которая осущест-
Message => "IP $ip has been blocked !", вляет данные действия, мы разместим в начале нашего
SMTP => 'smtp.mail.ru'
); нового ACL. Реализовать все эти действия можно следу-
ющим образом:
sendmail(%mail) or die $Mail::Sendmail::error;

} pixfirewall(config)# no access-list 110

} pixfirewall(config)# access-list 110 deny ip host 2.2.2.2 ↵
} host 1.1.1.254
sleep 1; pixfirewall(config)# access-list 110 permit ip 172.16.0.0 ↵
seek(LFILE, $curpos, 0); 0.0.255.255 1.1.1.0 0.0.0.255
} …
pixfirewall(config)# end
Пример в целом аналогичен предыдущему, но содержит
ряд отличий, свойственных утилите ipfw и формату тех за- Не забудьте, что по умолчанию действует неявный за-
писей, которые ищет данный сценарий. прет, то есть все то, что не разрешено, будет запрещено.
Изменения в конфигурацию внесены, остается только
Защита по периметру сохранить их и отключиться.
Мы рассмотрели упрощенный случай топологии сети, когда
у нас имеется сервер, не защищенный какими-либо допол- pixfirewall# write mem
pixfirewall# logout
нительными аппаратными брандмауэрами, и единственной
защитой для него являются те средства, которые на нем Такие действия нужны для того, чтобы закрыть атакую-
установлены. Но очень часто сеть имеет более сложную щему доступ к ресурсам нашей сети.
структуру. Ресурсы, доступ к которым необходим как из Теперь можно приступать к написанию сценария, реали-
внутренней сети, так и из Интернета, помещают в демили- зующего эти действия на практике. Так как исходный текст
таризованную зону. Примерная топология сети на рис. 1. сценария подвергается существенным изменениям, приве-
Рассмотрим случай, когда наш почтовый сервер находит- дем его полностью.

№6, июнь 2006 59

безопасность
use Net::Telnet (); or die "No router configure mode: ", $t->lastline;
use Mail::Sendmail; $t->print("end");
#!/usr/bin/perl -w $t->waitfor('/# pixfirewall#:.*$/')
use Mail::Sendmail; or die "No router configure mode: ", $t->lastline;
$t->print("write mem");
# максимально разрешенное число попыток $t->waitfor('/# pixfirewall#:.*$/')
$max=10; or die "No router configure mode: ", $t->lastline;
$t->print("logout");
# файл журнала, с которым мы и работаем $result=$t->getline;
$watchfile= '/var/log/messages';

# открываем лог на чтение Перед тем как начать поиск попыток проникнове-
open(LFILE, "<$watchfile"); ния в сеть, подключаемся к консоли брандмауэра с по-
# количество попыток для IP мощью протокола Telnet. Как и в предыдущих сценариях,
%tries=(); мы ищем вхождения искомых строк, и в случае, если ко-
# уже заблокированных IP личество попыток проникновения превосходит заданное
%blocked=(); значение, добавляем запись в список доступа. Затем, пос-
# получаем доступ к консоли ле того как все «новые» записи добавлены, мы добавляем
$t = new Net::Telnet ; основные, разрешающие записи, сохраняем измененную
$hostname="1.1.1.254";
$t->open($hostname); конфигурацию и отключаемся от консоли. Конечно, кому-
$t->waitfor('/login:.*$/') то такой подход может показаться не слишком удобным,
or die "bad login: ", $t->lastline;
$t->print("user"); так как необходимо вносить изменения в конфигурацию
$t->waitfor('/Password:.*$/') работающего устройства, однако такой вариант позволя-
or die "bad password: ", $t->lastline;
$t->print("password"); ет отсекать вредоносный трафик еще до того, как он про-
$t->waitfor('/pixfirewall>:.*$/') никает в вашу локальную сеть. Естественно необходимо
or die "No user mode: ", $t->lastline;
$t->print("enable"); позаботиться о безопасности доступа по Telnet, разре-
$t->waitfor('/login:.*$/') шив подключения только определенным узлам из внут-
or die "bad login: ", $t->lastline;
$t->print("user"); ренней сети [3].
$t->waitfor('/Password:.*$/')
or die "bad password: ", $t->lastline;
$t->print("password"); Автоматизируем запуск
$t->waitfor('/pixfirewall#:.*$/') После написания сценария нам необходимо автоматизи-
or die "No router privilege mode: ", $t->lastline;
$t->print("configure terminal"); ровать его работу. Сделаем это с помощью cron. По по-
$t->waitfor('/# pixfirewall(config):.*$/') воду работы с данной утилитой и ее синтаксиса написа-
or die "No router configure mode: ", $t->lastline;
$t->print("no access list 110"); но уже достаточно, поэтому приведу лишь несколько при-
меров. Прежде всего рекомендовую не запускать сцена-
# просматриваем /var/log/messages
while (1) { рий слишком часто, по крайней мере не каждые пять ми-
for ($curpos = tell(LFILE); $_ = <LFILE>; ↵ нут. Это связано с тем, что на активно работающем серве-
$curpos = tell(LFILE)) {
# искомая строка ре, как правило, файл messages имеет весьма внушитель-
if (/sshd\[\d+\]: Failed password for .+ ↵ ный размер, и поиск текстовых вхождений может сущест-
from \D+(\d+\.\d+\.\d+\.\d+)/) {
$ip=$1; венно нагрузить систему. К тому же слишком частые обра-
next if defined($blocked{$ip}); щения к консоли сетевого оборудования тоже не очень же-
$tries{$ip}+=1; # увеличиваем счетчик
if ($tries{$ip} eq $max){ лательны. Я бы рекомендовал запуск сценария каждый час.
# если превышено максимальное значение, Задать выполнение сценария по такому расписанию мож-
# пакеты с данного адреса должны быть заблокированы
$blocked{$ip}=1; но следующим образом:
# добавляем в список доступа запись о запрете
# доступа с IP @hourly /tmp/pop3watch.pl
$t->waitfor('/# pixfirewall(config):.*$/')
or die "No router configure mode: ", ↵
$t->lastline;
$t->print("access list 110 deny ip host ↵ Итак, мы рассмотрели различные сценарии, позволя-
$ip host 1.1.1.254"); ющие обнаружить и адекватно реагировать на попытки
# отправляем письмо
%mail = ( To => 'admin@test.local', несанкционированного доступа к ресурсам сети. Конечно,
From => 'firewall@test.local', приведенные способы поиска можно расширить, например,
Message => "IP $ip has been blocked !",
SMTP => 'smtp.mail.ru' искать информацию не только о попытках проникновения,
); но и о неисправностях и сбоях, возникающих в системе, на-
sendmail(%mail) or die $Mail::Sendmail::error;
пример, в случае аварийного завершения работы какого-
} либо демона или сценария. Поэтому данный сценарий мо-
}
} жет оказаться полезен и при решении других задач авто-
sleep 1; матизации системного администрирования.
seek(LFILE, $curpos, 0);
}
$t->waitfor('/# pixfirewall(config):.*$/') Использованные источники:
or die "No router configure mode: ", $t->lastline;
$t->print("access list 110 permit …."); 1. http://cpan.org/authors/id/D/DR/DRAGOS/sshwatch-0.01.pl – ис-
… ходный сценарий.
# здесь добавляем другие записи в список доступа
2. Родерик Смит. Полный справочник по FreeBSD.
$t->waitfor('/# pixfirewall(config):.*$/') 3. Основы организации сетей Cisco. Справочное руководство.

60

Переполнение буфера и раскрытие
данных в MySQL
Программа: MySQL 4.1.18 и более ранние версии, MySQL
5.0.20.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за недостаточной
обработки данных в команде COM_TABLE_DUMP. Удален-
ный пользователь может с помощью специально сформиро-
ванного пакета получить доступ к важным данным на сис-
теме (к частям запросов или результатам их выполнения
другими пользователями).
2. Переполнение стека обнаружено в команде COM_
TABLE_DUMP. Удаленный пользователь может послать сер-
веру специально сформированную последовательность
COM_TABLE_DUMP-пакетов и вызвать отказ в обслужива-
нии или выполнить произвольный код на целевой системе.
URL производителя: www.mysql.com.
Решение: Установите последнюю версию (4.1.19 или 5.0.21)
с сайта производителя.
SQL-инъекция в PostgreSQL
Программа: PostgreSQL, ветки 7.3, 7.4, 8.0 и 8.1.
Опасность: Средняя.
Описание: Уязвимость существует при обработке SQL-
строк, содержащих мультибайтные символы. Удаленный
пользователь может с помощью специально сформирован-
ного запроса выполнить произвольные SQL-команды в ба-
зе данных приложения.
URL производителя: www.postgresql.org.
Решение: Установите исправление с сайта производите-
ля.
Отказ в обслуживании в SCTP Netfilter
в ядре Linux
Программа: Linux kernel, версии до 2.6.16.13.
Опасность: Средняя.
Описание: Уязвимость существует из-за отсутствия про-
верки размера SCTP в коде SCTP-netfilter. Удаленный поль-
зователь может вызвать зацикливание приложения и пот- URL производителя: www-306.ibm.com/software/webservers/
ребить все доступные ресурсы на системе.
URL производителя: www.kernel.org.
Решение: Установите последнюю версию ядра (2.6.16.13) (6.0.2.3) или выше, с сайта производителя.
с сайта производителя.
Переполнение буфера в DPRPCW32.DLL
в клиенте Novell
Программа: Novell Client 4.83 SP3, 4.90 SP2 и 4.91 SP2 для
Windows 2000/XP/2003.
Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки провер-
ки границ буфера в библиотеке DPRPCW32.DLL. Подроб-
ности уязвимости не сообщаются.
URL производителя: www.novell.com/products/clients.
Решение: Установите исправление с сайта производите-
ля.
№6, июнь 2006
bugtraq
Переполнение буфера в Novell eDirectory
Программа: Novell eDirectory 8.8.
Опасность: Средняя.
Описание: Уязвимость существует из-за неизвестной
ошибки в iMonitor. Подробности уязвимости неизвестны.
URL производителя: www.novell.com/products/edirectory.
Решение: Установите исправление с сайта производите-
ля.
Целочисленное переполнение буфера
в FreeType
Программа: FreeType 2.2, возможно, более ранние версии.
Опасность: Средняя.
Описание: Целочисленное переполнение буфера сущест-
вует из-за ошибки в функции read_lwfn() файла src/base/
ftmac.c. Удаленный пользователь может вызвать перепол-
нение динамической памяти с помощью специально сфор-
мированного LWFN-файла и выполнить произвольный код
на целевой системе.
URL производителя: www.freetype.org.
Решение: Установите последнюю версию (2.2.1) с сайта
производителя.
Обход ограничений безопасности
в IBM WebSphere Application Server
Программа: IBM WebSphere Application Server 6.0.2, вер-
сии до Fix Pack 3.
Опасность: Средняя.
Описание: Уязвимость существует из-за отсутствия необ-
ходимого ограничения на доступ к страницам приветствия.
Удаленный пользователь может с помощью специально
сформированного запроса получить доступ к защищенным
страницам приветствия приложения. Пример:
1. http://ServerHost/webapp_context/homepage.jsp – будет
запрошен пароль на доступ к странице.
2. http://ServerHost/webapp_context/ – удаленный поль-
зователь получит доступ к запрещенной странице
homepage.jsp.
appserv/was.
Решение: Установите последнюю версию 6.0.2 Fix pack 3
Обход аутентификации
в Sun Java System Directory Server
Программа: Sun Java System Directory Server 5.2.
Опасность: Средняя.
Описание: Уязвимость существует из-за неизвестной
ошибки в процессе инсталляции. Удаленный пользователь
может получить административный доступ к приложению.
URL производителя: www.sun.com.
Решение: Следуйте инструкциям производителя.
Составил Александр Антипов
61
 безопасность

Техника снятия дампа с защищенных

приложений

Крис Касперски
В прошлой статье этого цикла мы прошли сквозь распаковщик, добравшись до оригинальной
точки входа, и теперь, чтобы окончательно победить защиту, нам необходимо снять дамп.
Существует множество утилит, предназначенных для этой цели, но далеко не всегда
полученный дамп оказывается работоспособным. Почему? Попробуем разобраться!

П
ротекторы типа Themida (в «де-
вичестве» eXtreme Protector)
и Star-Force, которыми защи-
щены многие популярные программы,
очень глубоко «вгрызаются» в опера-
ционную систему, что снижает произ-
водительность и порождает частные
BSOD. Их «коллеги» ведут себя не так
агрессивно, но проблем с совмести-
мостью все равно хватает, особенно
при переходе на 64-разрядные опе-
рационные системы или многоядер-
ные процессоры, значительно отлича- чем. А ведь приходится! Как странно
ющиеся от тех, под которые проекти- устроен мир.
ровалась защита, активно использу-
ющая недокументированные возмож- Простые случаи дампинга
ности. Уж сколько раз твердили миру – Представим себе, что распаковщик
не используйте ничего недокументиро- уже отработал, программа остановле-
ванного в коммерческих приложени- на в оригинальной точке входа (OEP)
ях, да только все не впрок! Вот и при- и мы готовы сохранить образ файла
ходится браться за хакерский инстру- (file image) на диск, то есть сбросить
ментарий и освобождаться от протек- дамп. Отладчик soft-ice не предостав-
торов, даже когда программа куплена ляет такой возможности, поэтому при-
легальным путем и «ломать» ее неза- ходится действовать обходным путем..

62
 безопасность
Но для начала необходимо выяснить, какой именно реги-
он памяти необходимо сохранять. При условии, что защита
не предпринимает никаких враждебных действий, нужная
информация может быть добыта командами MOD и MAP32
(см. рис. 1 и листинг 1).

Листинг 1. Определение дислокации модуля в памяти.

Здесь «test_dump» — имя процесса, с которого мы собираемся
снять дамп (soft-ice отображает его в правом нижнем углу)

# определяем базовый адрес загрузки модуля в память

:MOD test_dump
hMod Base PEHeader Module Name File Name
00400000 004000D0 test_dum \TEMP\test_dump.exe

# смотрим на карту модуля в памяти

:MAP32 test_dump
Owner Obj Name Obj# Address Size Type
test_dump text 0001 001B:00401000 00003B46 CODE RO
test_dump rdata 0002 0023:00405000 0000080E IDATA RO
test_dump .data 0003 0023:00406000 00001DE8 IDATA RW

Базовый адрес загрузки (hMod base) располагает- Рисунок 1. Определение региона памяти для снятия дампа
ся по адресу 400000h. Последняя секция (.data) начина-
ется с адреса 406000h и продолжается вплоть до адреса
(406000h + 1DE8h) == 407DE8h. Таким образом, нам необхо-
димо сохранить 7DE8h байт памяти, начиная с 400000h. Но
в soft-ice такой команды нет! Зато есть «история команд».
Даем команду «DB 400000 L 7DE8», выходим из отладчи-
ка, запускаем symbol loader и «говорим»: «file → save soft-
ice history as» (при этом размер самой истории должен быть
предварительно увеличен хотя бы до 30 МБ: «edit → soft-ice
initialization setting → history buffer size»). В результате обра-
зуется текстовый файл (см. листинг 2), который необходи-
мо преобразовать в exe, для чего потребуется написать спе-
циальную утилиту или поискать уже готовую.

Листинг 2. Дамп памяти, снятый через history

:db 400000 L 7DE8

010:00400000 4D 5A 90 00 03 00 00 00-04 00 00 00 FF FF 00 00 MZР.............
010:00400010 B8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
010:00400040 0E 1F BA 0E 00 B4 09 CD-21 B8 01 4C CD 21 54 68 ........!..L.!Th
010:00400050 69 73 20 70 72 6F 67 72-61 6D 20 63 61 6E 6E 6F is program canno
010:00400060 74 20 62 65 20 72 75 6E-20 69 6E 20 44 4F 53 20 t be run in DOS
010:00400070 6D 6F 64 65 2E 0D 0D 0A-24 00 00 00 00 00 00 00 mode....$....... Рисунок 2. Снятие дампа в soft-ice с помощью плагина IceExt

Как вариант, можно воспользоваться бесплатным пла- Другой плагин — icedump (programmerstools.org/system/
гином IceExt (http://stenri.pisem.net), значительно расширя- files?file=icedump6.026.zip) тоже умеет дампить память,
ющим функциональные возможности soft-ice. Если IceExt и так же, как и IceExt, он распространяется на бесплатной
откажется запускаться, увеличьте размер кучи и стека основе вместе с исходными текстами.
до 8000h байт, отредактировав следующую ветвь реестра Полученный дамп можно загрузить в дизассемб-
HKLM\SYSTEM\CurrentControlSet\Services\NTice. лер типа IDA Pro, но от его запуска лучше воздержать-
Команда !DUMP (см. рис. 2 и листинг 3) позволяет со- ся (особенно на соседних компьютерах), поскольку для
хранять блоки памяти на диск в двоичном виде, что очень корректной работы необходимо восстановить табли-
удобно: цу импорта и ресурсы, но это настолько обширный воп-
рос, что здесь мы не будем его касаться, тем более что
Листинг 3. Дамп памяти, снятый командой !DUMP плагина IceExt существуют готовые утилиты: Import Reconstructor (http://
:!DUMP www.wasm.ru/baixado.php?mode=tool&id=64) восстановит
Dump memory to disk импорт, а Resource Rebuilder (http://www.wasm.ru/baixado.
!dump FileName Addr Len php?mode=tool&id=156) – ресурсы.
Ex: Для отладчика OllyDbg существует плагин OllyDump
!dump c:\dump.dat 400000 1000
!dump \??\c:\dump.dat 400000 1000 (http://dd.x-eye.net/file/ollydump300110.zip) со встроенным
!dump \??\c:\dump.dat edx+ebx ecx реконструктором таблицы импорта (см. рис. 3).
:!DUMP C:\dumped 400000 7DE8 Наконец, можно воспользоваться и автономным дам-
DUMP: \??\C:\dumped 400000 7de8 пером. Самым первым (и самым неумелым) был ProcDump,

№6, июнь 2006 63

 безопасность
Рисунок 3. Снятие дампа в OllyDbg с помощью плагина OllyDump
затем появился Lord PE, учитывающий
горький опыт своего предшественника
и способный сохранять дамп даже в тех
случаях, когда PE-заголовок умышлен-
но искажен защитной, а доступ к некото-
рым страницам памяти отсутствует (ат-
рибут PAGE_NOACCESS). Венцом эво-
люции стал PE-TOOLS (см. рис. 4), с ко-
торым мы и будем работать. Базовый
комплект поставки можно найти прак-
тически на любом хакерском сервере,
например, на WASM (http://www.wasm.
ru/baixado.php?mode=tool&id=124) или
на CrackLab (http://www.cracklab.ru/
download.php?action=get&n= MTU1),
а свежие обновления лежат на «род-
ном» сайте проекта http://neox.iatp.by,
кстати говоря, уже несколько раз по-
менявшим свой адрес (по непонятым
причинам базовый пакет на нем от-
сутствует).
Если мы работаем с отладчиком
прикладного уровня (типа OllyDbg)
и стоим в OEP, то снять дамп с програм-
мы очень просто. Достаточно переклю-
читься на PE-TOOLS, выбрать нужный
процесс в списке и сказать «dump full»,
однако, с отладчиками уровня ядра
(soft-ice, Microsoft Kernel Debugger) этот
номер не проходит и тут приходится
хитрить. Запоминаем (в голове или на
бумажке) первые два байта от начала
OEP и записываем сюда EBFEh, что
соответствует машинной инструкции
JMP short $-2, зацикливающей про-
цесс. Теперь можно смело выходить из
отладчика, идти в PE-TOOLS, снимать
64
дамп и восстанавливать оригинальные
байты в любом hex-редакторе.
Обыкновенные упаковщики (типа
UPX) не сопротивляются снятию дампа,
поскольку борьба с хакерами в их зада-
чу не входит. Иное дело – протекторы.
Фактически это те же самые упаковщи-
ки, но снабженные целым арсеналом
систем, противодействующих взло-
му. Защитные методики можно разде-
лить на активные и пассивные. К пас-
сивным относятся все те, что работа-
ют только на стадии распаковки и не
вмешиваются ни в саму программу, ни
в операционную систему. Активные –
перехватывают API-функции внутри
адресного пространства защищаемо-
го процесса или даже устанавливают
специальный драйвер, модифицирую-
щий ядро операционной системы та-
ким образом, что прямое снятие дампа
становится невозможным. Очевидным
побочным эффектом активных защит
ставится их неуживчивость с новыми
версиями Windows, зачастую приво-
дящая к краху операционной систе-
мы. Печальнее всего то, что, запуская
setup.exe, мы даже и не подозреваем,
что там может оказаться, да и далеко
не все протекторы поддерживают кор-
ректурную деинсталляцию...
В поисках самого себя
Снятие дампа начинается с определе-
ния региона памяти, принадлежаще-
го исполняемому файлу (или динами-
ческой библиотеке). Приемы, описан-
ные выше, всецело опираются на PE-
заголовок и таблицу секций, использу-
емую операционной системой практи-
чески только на стадии загрузки фай-
ла. В частности, нас интересуют по-
ля ImageBase (адрес базовой загруз-
ки), SizeOfImage (размер образа) и со-
держимое таблицы секций. Протекто-
ры любят затирать эти поля после за-
вершения распаковки или подсовы-
вать заведомо некорректные значения.
Дамперы первого поколения от этого
«сходили с ума», но PE-TOOLS в боль-
шинстве случаев восстанавливает не-
достающую информацию самостоя-
тельно, но иногда он все-таки не сра-
батывает. И что тогда?
Самое простое – исследовать карту
памяти подопытного процесса, возвра-
щаемую API-функциями VirtualQuery/
VirtualQueryEx. Регионы, помеченные
как MEM_IMAGE, принадлежат испол-
няемому файлу или одной из исполь-
зуемых им DLL (в PE-TOOLS за пост-
роение карты отвечает команда «dump
region» (см. рис. 5)).
Активные защиты могут перехваты-
вать эти функции, подсовывая подлож-
ные данные, и тогда приходится спус-
каться на один уровень вглубь, обра-
щаясь к функции NtQueryVirtualMemory,
которая, как и следует из ее названия,
существует только в NT-подобных опе-
рационных системах и экспортируется
библиотекой NTDLL.DLL, но в некото-
рых случаях перехватывается и она, вы-
нуждая нас обращаться к функции NtQu
erySystemInformation. Долгое время она
оставалась совершенно недокументи-
рованной и многие протекторы о сущес-
твовании подобной лазейки даже и не
подозревали. Теперь же ее описание
доступно на MSDN: http://msdn.microsoft.
com/library/default.asp?url=/library/en-us/
sysinfo/base/ntquerysysteminformation.
asp, c грозным предупреждением,
что поведение функции может изме-
ниться в любой новой версии, а потому
в долгосрочных продуктах на нее луч-
ше не закладываться.
В самом крайнем случае (когда
перехвачена и NtQuerySystemInform
ation) приходится прибегать к после-
довательному разбору структур дан-
ных, относящихся к памяти процесса
(soft-ice именно так и поступает), од-
нако гораздо проще и надежнее прос-
то скопировать кусок адресного про-
странства. Если образ не был переме-
 безопасность
щен, базовый адрес загрузки тот же самый, что и в PE-за-
головке exe-файла. При работе с перемещенным образом,
базовый адрес приходится определять вручную путем по-
иска сигнатур PE и MZ, двигаясь от OEP вверх (т.е. в сто-
рону младших адресов). К нашему счастью, полностью за-
тереть PE-заголовок защита не может, поскольку тогда пе-
рестанут работать некоторые API-функции, взаимодейству-
ющие с ресурсами и т. д.
Если ни одним из способов определить границы обра-
за не удается, приходится дампить фрагменты адресного
пространства, загружая их в IDA Pro как двоичный файл,
естественно, с сохранением начального адреса фрагмен-
та. Для анализа работы защитного механизма этого в боль-
шинстве случаев оказывается вполне достаточно, тем бо-
лее что IDA Pro позволяет подгружать недостающие час-
ти «налету».
Рисунок 4. Внешний вид утилиты PE-TOOLS
Дамп извне
Прежде чем читать адресное пространство чужого про-
цесса, до него еще предстоит добраться. Windows изоли-
рует процессы друг от друга на случай непреднамеренно-
го удара по памяти (который сильно досаждал пользовате-
лям Windows 3.x), но предоставляет специальный набор API-
функций для межпроцессорного взаимодействия. Класси-
ческий путь: получаем обработчик процесса, который мы
собрались дампить вызовом OpenProcess и передаем его
функции ReadProcessMemory вместе с остальными парамет-
рами (откуда и сколько байт читать). При этом необходимо
учитывать, что некоторые страницы могут быть помечены
защитой как недоступные и перед обращением к ним необ-
ходимо вызвать функцию VirtualProtectEx, разрешив полный
доступ (PAGE_EXECUTE_READWRITE) или, по крайней мере, Рисунок 5. Просмотр карты памяти в PE-TOOLS
открыв страницы только на чтение (PAGE_READONLY).
Естественно, функции OpenProcess/ReadProcessMemory/ ции могут быть перехвачены защитой со всеми вытекаю-
VirtualProtectEx могут быть перехвачены защитой, и тог- щими отсюда последствиями (протектор Themida именно
да вместо дампа мы получим error, а то и reboot. Низко- так и поступает).
уровневые функции NtOpenProcess/NtReadVirtualMemory/ Важно отметить, что универсальных способов перехвата
NtProtectVirtualMemory перехватываются с той же легко- не существует – протектор может модифицировать табли-
стью, к тому же некоторые защиты изменяют маркер безо- цу экспорта, внедрять свои jmp в начало или даже середи-
пасности процесса, запрещая открытие его памяти на чте- ну сервисных функций ядра и т. д. А это значит, что на ядро
ние даже администратору! полагаться нельзя и вариантов у нас только два: использо-
Считается, что снятие дампа на уровне ядра открывает вать те функции, которые не догадалась перехватить защи-
большие возможности для реверс инжиниринга и противо- та, или переключать адресные пространства вручную.
стоять этому никак невозможно, поскольку драйвер рабо- Специальный плагин к PE-TOOLS (http://neox.iatp.by/
тает с наивысшим уровнем привилегий, который позволя- eXtremeDumper.zip, http://www.wasm.ru/pub/21/files/dumping/
ет все. Но ведь и драйверу защиты, работающему на уров- eXtremeDumper.rar), написанный MS-REM, пробивается
не ядра, тоже доступно все, в том числе и модификация яд- к процессу через следующую цепочку сервисных вызовов
ра операционной системы, в которых нуждается драйвер PsLookupProcessByProcessId → ObOpenObjectByPointer →
дампера. Причем никаких документированных функций ObDereferenceObject, которую пока еще никто не перехваты-
для чтения памяти чужого процесса (за исключением вы- вает, что позволяет снимать дамп даже с очень сильно защи-
шеупомянутых) в системе нет! щенных программ, однако, сколько этот способ еще продер-
Чтобы читать память процесса напрямую, драйвер дол- жится, сказать невозможно. Создатели протекторов не си-
жен к нему подключиться, вызвав функцию KeAttachProcess дят сложа руки и на хакерских форумах тоже бывают.
или ее современный аналог KeStackAttachProcess, поя- В долговременной перспективе надежнее всего исполь-
вившийся и впервые документированный в Windows 2000. зовать недокументированную (и к тому же неэкспортиру-
Пользоваться обеими функциями следует с величайшей емую!) функцию KiSwapProcess, адрес которой меняет-
осторожностью и прежде, чем подключаться к другому ся от системы к системе, что затрудняет перехват. В то же
процессу, необходимо отсоединиться от текущего, вызвав время дампер может легко определить его посредством
KeDetachProcess/KeStackDeattachProcess. Однако эти функ- таблицы отладочных символов, бесплатно распространя-

№6, июнь 2006 65

 безопасность
емых Microsoft. Для работы с ними понадобится библио- Механизмы динамической расшифровки
тека dbghelp.dll из комплекта Debugging Tools (http://www. Алгоритм динамической расшифровки, реализованный
microsoft.com/whdc/devtools/debugging/default.mspx) и ути- в протекторе Armadillo и известный под именем CopyMem,
лита symchk.exe, взятая оттуда же. в общих чертах выглядит так: защита порождает отла-
Функция KiSwapProcess – это одна из самых низкоуров- дочный процесс, передавая функции CreateProcess в ка-
невых функций, напрямую работающих с регистром CR3, честве имени нулевой аргумент командной строки, «бла-
в который заносится указатель на каталог страниц выбран- годаря» чему в диспетчере задач отображаются две ко-
ного процесса, после этого его адресное пространство пии запущенной программы. Одна из них – сервер (ус-
можно читать как свое собственное машинной командой ловно), другая – клиент. Сервер посредством функции
MOVSD, в грубом приближении представляющий собой VirtualProtectEx делает все страницы клиента недоступ-
аналог memcpy. Предвидя такой исход событий, некоторые ными (атрибут PAGE_NOACCESS) и передает ему управ-
защиты пошли на отчаянный шаг: перехватив SwapContext ление, ожидая отладочных событий с помощью функции
и ряд других функций, работающих с CR3, они стали раз- WaitForDebugEvent, а события долго ждать себя не застав-
рушать каталог страниц «своего» процесса на время пере- ляют и при первой же попытке выполнения кода в недо-
ключения контекстов и вновь восстанавливать его, когда ступной странице возбуждается исключение, передающее
в нем возникает необходимость. Настоящее варварство! серверу бразды правления. Сервер расшифровывает теку-
Обращение к каталогу страниц происходит из десятков не- щую страницу, взаимодействуя с клиентом посредством
документированных функций, которые в каждой версии яд- API-функций ReadProcessMemory/WriteProcessMemory, ус-
ра реализованы по своему. А это значит, что такая агрес- танавливает необходимые атрибуты доступа и возвраща-
сивная защитная политика рискует «свалиться» в сплош- ет клиенту управление.
ной BSOD, не оставляющий пользователю никаких шансов Остальные страницы остаются зашифрованными, и при
для нормальной работы! обращении к ним вновь возбуждается исключение, кото-
Но это еще не самое страшное. Все больше и больше рое передается серверу через WaitForDedugEvent. Сервер
протекторов переходят на динамическую распаковку, рас- зашифровывает предыдущую страницу, отбирая все атри-
шифровывая страницы по мере обращения к ним, а затем буты доступа, какие у нее только есть, и расшифровывает
зашифровывая их вновь. Даже если мы пробьемся сквозь текущую страницу, возбудившую исключение (в действи-
защиту и дорвемся до процесса, дампить будет нечего... тельности для увеличения производительности защита под-
вернее, полученный дамп будет практически на 99% за- держивает примитивный кэш, позволяя клиенту иметь не-
шифрован. сколько расшифрованных страниц одновременно).

«Нечестные» защитные приемы
Нормальные упаковщики (UPX, PKLITE,
PECOMPACT) сжимают исполняемый файл
без потерь, и после завершения распа-
ковки он возвращается к своему перво-
начальному виду, что делает процесс сня-
тия дампа тривиальной задачей. Протек-
торы в стремлении усилить защиту зачас-
тую идут на довольно рискованный шаг –
они слегка «корежат» обрабатываемый
файл с таким расчетом, чтобы он мог ра-
ботать только под протектором, а после
освобождения от него становится нежиз-
неспособным. Наиболее популярные спо-
собы подобной «нечестной» защиты рас-
смотрены ниже.
Кража байт с OEP. Самая простая
и широко распространенная подлянка, ис-
пользуемая даже в таких безобидных про-
текторах как, например, ASProtect. Суть ее
заключается в том, что упаковщик «крадет»
несколько инструкций из оригинальной
точки входа, сохраняет их в потайном мес-
те (возможно, в замаскированном или за-
шифрованном виде), а после завершения
распаковки эмулирует выполнение краде-
ных байт. Чаще всего для этой цели исполь-
зуется стек (тогда краденые байты обычно
становятся операндами инструкций PUSH),
реже – прямое воздействие на регистры
и память (при этом краденые инструкции
трансформируются в псевдокод и в явном
виде нигде не сохраняются). Суть в том, что
в точке входа распакованного образа ори-
гинальных байт уже не оказывается и сня-
тый дамп становится неработоспособным.
К нашему счастью, подавляющее боль-
шинство программ начинается со старто-
вого кода, который является частью библи-
отеки времени исполнения (RTL), поставля-
емой вместе с компиляторами. Используя
оставшийся «хвост» стартового кода, мы
легко отождествим компилятор и восста-
новим краденые байты из его библиотеки.
Если же данного компилятора в нашем рас-
поряжении не окажется, первые несколь-
ко байт стартового кода в 9 из 10 случаев
вполне предсказуемы, и зачастую их уда-
ется восстановить самостоятельно (естес-
твенно, для этого необходимо иметь опыт
работы с различными RTL). Кстати, IDA Pro
распознает компилятор именно по первым
байтам стартового кода, и, если они отсутс-
твуют или искажены, механизм FLIRT рабо-
тать не будет. Это значит, что мы останем-
ся без имен библиотечных функций и про-
цесс дизассемблирования займет намно-
го больше времени.
Полиморфный мусор в OEP. Вместо
того чтобы красть байты с OEP, некоторые
протекторы предпочитают модифициро-
вать стартовый код, разбавляя значимые
инструкции бессмысленным полиморфным
мусором. Это никак не влияет на работос-
пособность снятого дампа, но ослепляет
«FLIRT», вынуждая нас либо вычищать по-
лиморфный мусор, либо определять версию
компилятора «на глазок», загружая сигна-
туры вручную (IDA Pro это позволяет).
Переходники в таблице импорта к ку-
че. Протектор Themida использует следую-
щий прием, серьезно затрудняющий восста-
новление таблицы импорта. Непосредствен-
ные адреса API-функций заменяются пере-
ходниками на область памяти, выделенную
VirtualAlloc (т.е. кучу), которая по умолчанию
в дамп не попадает, поэтому восстанавли-
вать импорт приходится вручную. Это не-
сложно, но утомительно – ищем вызовы API-
функций, ведущие к куче (то, что это именно
куча, а не что-то другое, можно определить
по карте), дампим соответствующий регион
памяти на диск, удаляем переходники, за-
меняя их действительными адресами, пос-
ле чего запускаем Import Reconstructor или
другую утилиту аналогичного назначения
и... нет, это еще не все! Это только начало!

66
 безопасность
Потребность в отладочном процессе-сервере объясня- однако написание драйверов – занятие утомительное и сов-
ется тем, что по другому ловить исключения на прикладном сем небезопасное в плане «голубых экранов смерти». К то-
уровне просто не получается. А как же механизм структур- му же разработчику защиты придется либо наотрез отказы-
ных исключений или, сокращенно, SEH? Регистрируем свой ваться от поддержки 9x (которая все еще жива!), либо реали-
собственный обработчик и ловим исключения, что называ- зовывать сразу два драйвера! Тем не менее защиты такого
ется по месту возникновения. Это избавляет нас от API-вы- типа все-таки встречаются. Независимо от того, как проис-
зовов, обеспечивающих межпроцессорное взаимодействие, ходит обработка исключения, сломать такую защиту очень
которые элементарно перехватываются хакером. Увы! Ес- просто! Читаем первую страницу, дожидаемся завершения
ли защищаемое приложение использует SEH (а подавля- расшифровки, сохраняем ее на диск, обращаемся к следу-
ющее большинство приложений его используют), наш об- ющей странице и... действуем так до тех пор, пока в наших
работчик окажется перекрыт другим. Столкнувшись с «на- руках не окажется весь образ целиком. Стоит только внед-
шим» исключением, он попросту не будет знать, что с ним рить код дампера в адресное пространство защищенного
делать, и с вероятностью, близкой к единице, просто завер- процесса… и протектору будет очень сложно отличить об-
шит приложение в аварийном режиме. ращения самой программы от обращений дампера.
Теоретически установку нового обработчика легко отсле- Последние версии протектора Armadillo, недавно пере-
дить, установив аппаратную точку останова по доступу к па- именованного в Software Passport, реализуют намного более
мяти на адрес FS:[00000000h]. Операционные системы се- надежный, хотя и чрезвычайно низко производительный ме-
мейства NT позволяют прикладным приложениям манипули- ханизм трассирующей расшифровки, при котором весь код
ровать с отладочными регистрами через контекст, причем от- программы зашифрован целиком. Сервер трассирует кли-
ладочный регистр действует лишь в рамках «своего» процес- ента, расшифровывая по одной инструкции за раз (преды-
са, не мешая работать всем остальным, но 9x «забывает» со- дущая инструкция при этом зашифровывается). Снять дамп
хранять отладочные регистры в контексте «своего» процесса, тупым обращением к памяти уже не получается, поскольку
и они приобретают глобальный характер, воздействующий защиту интересуют только исключения, возникающие при
на все процессы! Так что в ней этот трюк не проходит. исполнении. Все, что мы можем, это «вклиниться» между
А вот другой способ: устанавливаем драйвер, пере- зашифрованным приложением и расшифровщиком, «кол-
хватывающий исключения на уровне IDT и взаимодейст- лекционируя» расшифрованные инструкции, образующие
вующий со своим процессом либо через DeviceIoControl, трассу потока выполнения. Поскольку, достичь 100% пок-
либо через NtReadVirtualMemory/NtWriteVirtualMemory/ рытия кода практически невозможно, полученный дамп бу-
KeDeattachProcess/KeAttachProcess. Это вполне надежно, дет неполноценным, но тут есть один маленький нюанс. По-

Помимо создания переходников некоторые
функции копируются протектором целиком!
Подробнее об этом приеме можно прочитать
в статье «Точки останова на win32 API и про-
тиводействие им» – раздел «Копирование
API – функций целиком», которая находит-
ся на http://kpnc.opennet.ru/adt.zip.
Замена jx с последующей эмуляци-
ей. При «отвязке» программ от протектора
Armadillo самое сложное – это восстановле-
ние оригинального кода программы. Защи-
та дизассемблирует обрабатываемый файл,
находит в нем условные и безусловные пе-
реходы, записывает поверх них команду
INT 03h, а сам переход сохраняется в сво-
ей внутренней таблице переходов. Процесс-
сервер перехватывает исключение, возбуж-
даемое инструкцией INT 03, «смотрит», от-
куда оно пришло, извлекает из таблицы со-
ответствующий этому адресу переход и эму-
лирует его выполнение с помощью арифме-
тических манипуляций с регистром флагов
(то есть в явном виде переходы нигде не хра-
нятся!). Вот три главных минуса такого ре-
шения: во-первых, нет никакой гарантии,
что защита правильно дизассемблирует об-
рабатываемую программу и не спутает пе-
реход с другой командой; во-вторых, эмуля-
ция требует времени, существенно снижая
производительность и, наконец, в-третьих,
от взлома это все равно не спасает! Дизас-
семблировав эмулятор переходов (а дизас-
семблировать его несложно) и обнаружив
таблицу переходов, хакер в считанные мину-
ты напишет скрипт для IDA Pro или OllyDbg,
удаляющий все INT 03 и восстанавлива-
ющий оригинальные переходы. Сущест-
вует даже полуавтоматический взломщик
Armadillo, написанный двумя богами распа-
ковки – infern0 и dragon (http://www.wasm.ru/
baixado.php?mode=tool&id=220), в следу-
ющих версиях которого обещана полная
автоматическая распаковка и дезактива-
ция Armadillo.
Преобразование в байт-код. Протек-
торы Themida и Start-Force позволяют пре-
образовывать часть машинного кода за-
щищаемой программы в язык виртуаль-
ной машины, то есть в байт-код (также на-
зываемый p-кодом). Если виртуальная ма-
шина глубоко «вживлена» внутрь протек-
тора, то отломать защиту, не «умертвив»
при этом приложение, становится прак-
тически невозможно, как невозможно не-
посредственно дизассемблировать байт-
код. По меньшей мере для этого необхо-
димо разобраться с алгоритмом работы
виртуальной машины и написать специ-
альный процессорный модуль для IDA Pro
или свой собственный дизассемблер. Это
очень трудоемкое занятие, отнимающее
у исследователя кучу сил и времени, а ведь
байт-код виртуальной машины в следую-
щих версиях протектора может быть из-
менен и ранее написанный процессорный
модуль/дизассемблер окажется непригод-
ным. Это наиболее стойкая защита из всех,
существующих на сегодняшний день, одна-
ко не стоит забывать о двух вещах: во-пер-
вых, если протектор становится популяр-
ным, а его новые версии выходят редко, со-
здание процессорных модулей становится
экономически оправданным и защиту на-
чинают ломать все желающие, если же но-
вые версии выходят чуть ли не ежедневно,
то навряд ли у разработчика протектора бу-
дет достаточно времени для радикальной
перестройки виртуальной машины и ему
приходится ограничиваться мелкими из-
менениями байт-кода, которые выливаются
в мелкие изменения процессорного моду-
ля, и протектор продолжат ломать. Во-вто-
рых, хакер может «отодрать» виртуальную
машину от протектора, совершенно не вни-
кая в тонкости интерпретации байт-кода,
лишний раз подтверждая известный тезис:
сломать можно все… со временем.

№6, июнь 2006 67

 безопасность
командная расшифровка не может использовать ни блоч- потока, обращаясь к SetThreadContext (действует на всех
ные, ни контекстно-зависимые криптоалгоритмы, посколь- системах). Естественно, предыдущий EIP должен быть со-
ку трассирующий расшифровщик никогда не знает наперед, хранен, а сам поток – остановлен.
какая инструкция будет выполнена следующей. Остаются Постойте! Но ведь это мало чем отличается от обыч-
только потоковые алгоритмы типа XOR или RC4, которые ного межпроцессорного взаимодействия ! Функции
очень легко расшифровать – стоит только найти гамму, кото- NtAllocateVirtualMemory/NtSetContextThread/NtCreateThread
рую протектор, несмотря ни на какие усилия, слишком глубо- любая защита перехватит со смаком! (Никакой ошибки тут
ко запрятать все равно не сможет! Естественно, полностью нет, API-функция CreateRemote Thread в действительнос-
автоматизировать процесс снятия дампа в этом случае уже ти представляет собой «обертку» вокруг ядерной функ-
не удастся и придется прибегнуть к дизассемблированию, ции NtCreateThread.)
а быть может, даже к отладке. К счастью, подобные схемы Хорошо, вот другой классический путь. Помещаем дам-
защиты не получили широкого распространения и навряд пер в DLL и прописываем ее в HKLM\Software\Microsoft\
ли получат его в обозримом будущем. Трассировка замед- Windows NT\CurrentVersion\Windows\AppInit_DLLs, в ре-
ляет скорость работы приложения в десятки раз, в резуль- зультате чего она будет отображаться на все процессы, ка-
тате чего оно становится неконкурентоспособным. кие только есть в системе, и перед передачей управления
на очередной запускаемый процесс первой получит управ-
Дамп изнутри ление наша DLL! К сожалению, об этой ветке знают не толь-
Снятие дампа через механизмы межпроцессорного взаимо- ко протекторы, но и другие программы (антивирусы, персо-
действия – это вчерашний день. Для борьбы с активными нальные брандмауэры) и следят за ней. Наша запись мо-
защитами хакеры внедряют код дампера непосредствен- жет быть удалена еще до того, как дампер приступит к ра-
но в «подопытный» процесс, что позволяет обойти как пе- боте! Если же ему все-таки удастся получить управление,
рехват API-функций, так и победить динамическую шиф- первое, что он должен сделать, – выделить себе блок па-
ровку типа CopyMem. мяти внутри процесса, скопировать туда весь необходи-
Классический способ внедрения кода реализуется так: мый код и вернуть ветку AppInit_DLLs в исходное состоя-
открываем процесс функцией OpenProcess, выделяем блок ние. Поскольку дампер получает управление еще до того,
памяти вызовом VirtualAllocEx, копируем код дампера через как защита начнет работать, она никак не сможет обнару-
WriteProcessMemory, а затем либо создаем удаленный по- жить, что здесь кто-то уже побывал.
ток функцией CreateRemoteThread (только на NT-подобных Исключение составляют активные защиты резидент-
системах), либо изменяем регистр EIP в контексте чужого ного типа, постоянно присутствующие в системе даже ес-

68

ли защищаемый файл не был запущен. Но в этом случае
они сталкиваются со следующей проблемой – как отли-
чить «свой» процесс от всех остальных? По имени фай-
ла? Это не слишком надежно… Лучше использовать «мет-
ку» – уникальное сочетание байт по определенному адре-
су. С такими защитами справиться очень сложно, но все-
таки возможно. Перепробовав несколько вариантов, ав-
тор остановился на следующем алгоритме, который об-
ходит все существующие на сегодняшний день активные
и пассивные защиты:
 Копируем оригинальный файл (с защитой) в tmp.tmp.
 Открываем оригинальный файл в hiew, переходим в точ-
ку входа (EP) и ставим jmp на свободное место, где и раз-
мещаем код дампера, который при получении управле-
ния осуществляет следующие действия:
 выделяет блок памяти и копирует туда свое тело,
обычно подгружаемое с диска (динамическую биб-
лиотеку лучше не загружать, поскольку некоторые
защиты контролируют список DLL и если вызов идет
из неизвестной динамической библиотеки, расцени-
вают это как вторжение);
 устанавливает таймер через API-функцию SetTimer
с таким расчетом, чтобы процедура дампера полу-
чила управление, когда весь код будет полностью
распакован или, в случае с CopyMem, когда защи-
та успеет установить отладочный процесс (конечно,
снять дамп в OEP в этом случае уже не получится,
но даже такой дамп лучше, чем совсем ничего);
 переименовывает оригинальный файл (тот, что ис-
полняется в данный момент!) в tmp.xxx, а файлу tmp.
tmp возвращает оригинальное имя;
 вычищает себя из памяти, восстанавливает EP и пе-
редает управление защищенной программе;
 если активная защита охраняет свой файл, опозна-
вая его по сигнатуре, используем какой-нибудь бе-
зобидный упаковщик с «нулевым побочным эффек-
том» типа UPX, при этом все вышеуказанные дейст-
вия следует выполнять на отдельной заведомо «сте-
рильной» машине;
 Запускаем модифицированный файл на выполнение.
Таким образом, защита не сможет обнаружить измене-
ний ни в файле, ни в памяти (при попытке определения име-
ни текущего файла операционная система будет возвра-
щать то имя файла, какое он имел на момент запуска, иг-
норируя факт его «онлайнового» переименования). Но это
слишком громоздкий и навороченный алгоритм, к тому же
активной защите ничего не стоит перехватить SetTimer и за-
претить установку таймера внутри «своего» процесса до за-
вершения распаковки/передачи управления на OEP.
Забавно, но многие защиты забывают о функции
SetWindowsHookEx, позволяющей внедрять свою DLL в ад-
ресное пространство чужого процесса. Впрочем, даже если
бы они помнили о ней, осуществить корректный перехват
весьма не просто. Многие легальные приложения (напри-
мер, мультимедийные клавиатуры или мыши с дополнитель-
ными кнопками по бокам) используют SetWindowsHookEx
для расширения функциональности системы. Не сущест-
вует никакого способа отличить «честное» приложение
№6, июнь 2006
безопасность
от дампера. Защита может распознать факт внедрения
чужой DLL в адресное пространство охраняемого ее про-
цесса, но откуда ей знать, что эта DLL делает?! Можно, ко-
нечно, просто выгрузить ее из памяти (или воспрепятство-
вать загрузке), но какому пользователю понравится, что ле-
гально приобретенная программа конфликтует с его кру-
той клавиатурой, мышью или другим устройством? Так что
SetWindowsHookEx при всей своей незатейливости – до-
вольно неплохой выбор для хакера!
Самый радикальный способ внедрения в чужое адрес-
ное пространство – это правка системных библиотек, та-
ких как KERNEL32.DLL или USER32.DLL. Править можно
как на диске, так и в памяти, однако в последнем случае
защита может легко разоблачить факт вторжения прос-
тым сравнением системных библиотек с их образом. Внед-
рившись в системную библиотеку, не забудьте скорректи-
ровать контрольную сумму в PE-заголовке, иначе NT от-
кажется ее загружать. Сделать это можно как с помощью
PE-TOOLS, так и утилитой rebuild.exe, входящей в состав
SDK. Внедряться лучше всего в API-функции, вызываемые
стартовым кодом оригинального приложения (GetVersion,
GetModuleHandleA и т. д.), определяя «свой» процесс функ-
цией GetCurrentProcessId или по содержимому файла (пос-
леднее – надежнее, т. к. GetCurrentProcessId может быть пе-
рехвачена защитой, которая очень сильно «удивится», если
API-функция GetVersion неожиданно заинтересуется иден-
тификатором текущего процесса). Во избежание побочных
эффектов запускать такой дампер следует на «выделен-
ной» операционной системе, специально предназначен-
ной для варварских экспериментов и обычно работающей
под виртуальной машиной типа BOCHS или VMWare.
Заключение
Правильно спроектированная и должным образом реали-
зованная защита должна препятствовать нелегальному ис-
пользованию программы, но не имеет ни морального, ни юри-
дического права мешать честным пользователям и уж тем
более вторгаться в операционную систему, производя никем
не санкционированные изменения. Последние версии про-
текторов Themida и Software Passport вплотную приближа-
ются к rootkit. Еще немного и они превратятся в настоящие
вирусы, создание которых преследуется по закону.
Полезные ссылки:
1. Современные технологии дампинга и защиты от него. От-
личная статья от создателя eXtremeDumper доступно расска-
зывающая о том, как протекторы защищаются от снятия дам-
па, и объясняющая, как эти защиты обойти (на русском язы-
ке): http://www.wasm.ru/article.php?article=dumping.
2. Об упаковщиках в последний раз. Объемный труд, создан-
ный коллективом лучших отечественных хакеров во главе
с легендарным Володей и охватывающий все аспекты рабо-
ты упаковщиков, протекторов и самой операционной систе-
мы (на русском языке): http://www.wasm.ru/article.php?article
=packlast01 (первая часть); http://www.wasm.ru/article.php?
article=packers2 (вторая часть).
3. Касперски К. Генная инженерия на службе распаковки PE-фай-
лов. – Журнал «Системный администратор», №5, май 2006 г. –
58-68 с.
69
 образование

Первый раз в Linux-класс!

Андрей Маркелов
Когда идет речь о повышении квалификации IT-специалистов, в первую очередь вспоминается
компания Microsoft с огромным числом учебных курсов. Аналогичные программы обучения есть
и для Linux-специалистов.

Л
юбой из вас знает, насколько структуру предприятия и постоянно тичным для бизнеса. Иногда и минут-
быстро развивается область ин- следовать небезызвестному лозунгу ный простой в работе важных служб
формационных технологий. Про- «Учиться, учиться и еще раз учиться!» может привести к серьезным убыткам
изводители программного обеспече- Это прекрасно понимают и производи- предприятия.
ния улучшают свои продукты и выпус- тели программного обеспечения. И чтобы предоставить действи-
кают новые версии, внедряют новые Для того чтобы правильно эксплу- тельно качественный сервис своим за-
технологии и выводят на рынок реше- атировать программный комплекс, казчикам, все крупные производите-
ния, принципиально отличающиеся нужно опираться на твердые теорети- ли программного обеспечения само-
от тех, которыми вы пользовались ра- ческие знания и практические навы- стоятельно или через своих партнеров
нее. И кому же, как не вам «по велению ки. Во многих же современных компа- предлагают авторизированные курсы
судьбы или зову сердца» приходится ниях бесперебойное функционирова- обучения, а также линейки экзаменов
поддерживать и развивать IT-инфра- ние IT-инфраструктуры является кри- и программы сертификации, позволя-

70
 образование
ющие подтвердить полученные специ-
алистом знания.
Ранее я уже рассказывал о преиму-
ществах и недостатках сертификации
и авторизированного обучения, а так-
же о нескольких учебных программах
и линейках сертификации [1].
Сегодня речь пойдет о программе
обучения и сертификации компании
Red Hat [2], которая будет безусловно
интересна всем, кому приходится ра-
ботать с операционной системой Linux,
и тем, кому хотелось бы усовершенс-
твовать знания по работе с ней.
Нет нужды говорить о том, что Red
Hat Enterprise Linux (RHEL) является
одним из самых известных коммер-
ческих дистрибутивов. А спонсируе-
мый компанией проект Fedora Project
выпускает свободный дистрибутив
Рисунок 1. Программа подготовки Сертифицированного технического специалиста
Linux под названием Fedora Core, на- Red Hat (RHCT)
ходящийся в списке самых популяр-
ных дистрибутивов (по данным сайта тификат от компании Red Hat. Также тему X Window, познакомятся с осно-
http://distrowatch.com). Делаем ли мы у слушателя остается официальное вами написания скриптов. Достаточ-
выбор в пользу RHEL и Fedora (кото- учебное пособие. К сожалению, поли- но много времени уделено текстово-
рую в принципе можно назвать «бе- тика Red Hat такова, что получить учеб- му редактору vim, входящему в боль-
та-версией очередной версии RHEL») ник может только слушатель курсов. шинство дистрибутивов Linux. Каждая
или выбираем другой не менее достой- Впрочем, той же стратегии придержи- из рассматриваемых тем, как и на ос-
ный из дистрибутивов Linux, нельзя ваются и другие производители ПО, та- тальных курсах от Red Hat, заверша-
не согласиться, что Red Hat – знако- кие как Oracle и Microsoft. С другой сто- ется лабораторной работой под руко-
вая компания на корпоративном рын- роны, тот же Microsoft выпускает офи- водством преподавателя. Новичкам
ке Linux-решений. циальные курсы для самостоятельной в мире Linux и UNIX я бы не рекомендо-
Компания Red Hat предлагает не- подготовки, чего нет у Red Hat. вал приходить на более старшие кур-
сколько треков обучения и сертифика- Идя на курсы Red Hat, желательно сы, не прослушав этот вводный курс
ции IT-специалистов. В России на мо- иметь базовые навыки чтения техни- или не имея базовых навыков. Подроб-
мент написания статьи были доступны ческой литературы на английском язы- нее с программой обучения как этого,
курсы и экзамены на статусы Red Hat ке для эффективной работы с учебным так и остальных курсов, можно позна-
Certified Technican (RHCT) – сертифи- пособием. В настоящий момент на рус- комиться на специальном разделе сай-
цированный техник и Red Hat Certified ском языке есть только официальная та компании Red Hat [2].
Engineer (RHCE) – сертифицированный документация, которая свободно до- Курс «Основы Red Hat Linux для
инженер. Если вы знакомы с програм- ступна в Интернете [3]. профессионалов Windows» отличается
мами обучения от компании Microsoft, Чтобы гарантировать качество обу- от вышеописанного лишь наличием до-
то первую сертификацию можно со- чения в России и странах СНГ курсы полнительного дня, в котором Windows-
поставить со статусом MCSA, а вто- Red Hat имеют право проводить толь- специалисты знакомятся с графичес-
рую – со статусом MCSE. Сравнивать ко сертифицированные инструкторы кими инструментами system-config-*,
сертификации можно лишь очень при- Red Hat компаний-партнеров. позволяющими выполнить основные
близительно, и в первую очередь из-за Самый младший из курсов назы- действия по управлению системой, ис-
формата экзамена. Но об этом позже. вается «Основы Red Hat Linux». Собс- пользуя графический пользователь-
Начнем с обучения – что оно из себя твенно говоря, практически все, о чем ский интерфейс.
представляет и как проходит. говорится в этом четырехдневном тре- Наиболее популярным можно на-
нинге, относится к любому из дист- звать базовый курс «Системное ад-
Курсы обучения рибутивов Linux. Ориентирован курс министрирование Red Hat Enterprise
Для начала несколько общих слов. на специалистов, ранее не работав- Linux», который является основой
На момент написания статьи курсы ших ни с UNIX, ни с Linux. За время для сертификации RHCT. Курс дает
и экзамены проводились на осно- обучения слушатели получат базовые слушателям навыки и знания на уров-
ве Red Hat Enterprise Linux 4 update 2. сведения и познакомятся с принципа- не установки и настройки новой рабо-
Большинство курсов продолжаются ми UNIX-way, научатся работать с ко- чей станции Red Hat Enterprise Linux
четыре дня. По их окончании слуша- мандной строкой, ориентироваться и подключения к существующей сети.
тель получает соответствующий сер- в файловой системе, настраивать сис- Рассматриваются установка опера-

№6, июнь 2006 71

 образование
Рисунок 2. Программа подготовки Сертифицированного инженера Red Hat (RHCE)
ционной системы, в том числе по сети
и с использованием kickstart-файлов,
управление стандартным оборудова-
нием, программными RAID и LVM-то-
мами, работа с файловыми системи
ext2/ext3. Рассматриваются клиенты
NFS и autofs, процесс инициализации
системы и загрузчик GRUB, админис-
трирование пользователей, групп и уп-
равление службами, клиенты NIS, DNS,
DHCP, утилиты автоматизации выпол-
нения задач, RPM и многое другое. Од-
на из самых интересных частей курса –
вторая половина последнего дня обу-
чения, где используются все получен-
ные за предыдущие дни навыки. Слу-
шатели в течение нескольких часов
тренируются в устранении реальных
неисправностей на специально подго-
товленных рабочих станциях.
Еще один популярный курс – «Се-
тевые службы Red Hat Enterprise Linux
и администрирование безопасности».
Он закладывает основы, необходимые
для успешной сдачи экзамена на ста-
тус RHCE. Здесь слушатели знакомят-
ся с базовой настройкой и настройкой
безопасности таких служб, как DNS,
NIS, Apache, Samba, Sendmail, Postfix,
FTP, SSH, а также некоторых других
служб и настройкой брандмауэра. Кро-
ме того, обсуждаются вопросы безо-
пасности системы.
Наконец существует «Курс уско-
ренной подготовки и сертификации
RHCE», который представляет собой
«выжимку» из двух предыдущих кур-
72
сов. Он предназначен в первую оче-
редь для опытных Linux/UNIX админис-
траторов. В последний, пятый день ин-
тенсивного обучения слушатели сдают
экзамен на статус RHCE.
Ряд других «продвинутых» курсов,
к сожалению, на настоящий момент не-
доступен для слушателей на террито-
рии России и стран СНГ, так как ком-
пания Red Hat пока не делегировала
право проведения некоторых курсов
своим партнерам. В частности, кур-
сы линейки RHCA – подготовки сер-
тифицированного архитектора мож-
но прослушать только непосредствен-
но в Red Hat.
Сертификация
для технических
специалистов
В рейтинге CertCities сертификация
RHCE названа «Hottest Certification for
2006» [4], опередив CCIE, MCA, LPI 2,
MCSE и некоторые другие программы
сертификации. Основное отличие сер-
тификаций компании Red Hat от многих
других – это практическая направлен-
ность экзаменов. На экзамене, продол-
жающемся 3 часа (RHCT) или 5,5 ча-
са c перерывом на обед (RHCE), соис-
кателю приходится сталкиваться с ре-
альными задачами по устранению не-
исправностей и настройки Linux-сис-
тем, а не с выбором вариантов отве-
тов из предложенного списка. Руко-
водство по подготовке к экзаменам
расположено на сайте [2]. Также до-
ступен перевод на русский язык [5].
Сертификация RHCE включает в се-
бя навыки RHCT, но вам необязатель-
но быть сертифицированным техни-
ком для того, чтобы попытаться сдать
экзамен RHCE.
Экзамен состоит из двух частей –
«Установка и настройка» и «Диагности-
ка и устранение неисправностей». Не-
обходимые навыки, знания и проход-
ные баллы указаны в руководстве.
Статус сертифицированного техни-
ка или инженера действителен до мо-
мента выхода версии Red Hat Enterprise
Linux, чей номер выше на две едини-
цы, чем номер той версии, по которой
сдавался экзамен. Например, статус
RHCE по Red Hat Enterprise Linux бу-
дет действителен до выхода Red Hat
Enterprise Linux 6. Компания Red Hat
выпускает новые версии своего кор-
поративного дистрибутива раз в 12-18
месяцев.
Для обновления статуса необходи-
мо заново сдавать экзамен на общих
основаниях (хотя и со скидкой). Единс-
твенное преимущество у обладате-
лей сертификата – доступ к учебнику
по обновлению навыков через специ-
альный портал RHCT/RHCE.
Также на сайте Red Hat [2] доступ-
на online-проверка действительности
выданного сертификата.
Безусловно, каждый сам для се-
бя решает необходимость в сертифи-
кации и прохождении авторизованно-
го обучения. Но по крайней мере если
вы всерьез задумываетесь об обуче-
нии или подтверждении своих навыков
работы с Linux-системами, то, надеюсь,
статья будет вам полезна.
Литература и ссылки:
1. Маркелов А. «Три К» сертификации
для IT-специалистов. – Журнал «Ком-
пьютерра», №13(537)/2004. Доступ-
на по адресу: http://www.markelov.net/
articles.php?lng=ru&pg=38.
2. Red Hat Global Learning Services – https://
www.redhat.com/training.
3. Переводы официальной документации
RHEL на русский язык – http://www.rhd.
ru/docs.
4. CertCities.com’s 10 Hottest Certifications for
2006 – http://www.certcities.com/editorial/
features/story.asp?EditorialsID=9.
5. Руководство по подготовке к экзаме-
нам RHCE и RHCT – http://www.rhd.ru/
rhce_prepguide.php.

Отказ в обслуживании в SCTP
в ядре Linux
Программа: Linux kernel 2.6.16 и более ранние версии.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за некорректно-
го использования элементов таблицы состояния в SCTP-
коде, когда система получает определенные ECNE-раз-
делы в состоянии CLOSED. Удаленный пользователь мо-
жет с помощью специально сформированного пакета вы-
звать панику ядра.
2. Уязвимость существует при обработке входящих фраг-
ментированных SCTP-пакетов. Удаленный пользователь мо-
жет с помощью специально сформированных COOKIE_
ECHO и HEARTBEAT-пакетов вызвать панику ядра.
3. Уязвимость существует из-за ошибки в функции sctp_
skb_pull() в lksctp. Удаленный пользователь может с помо-
щью специально сформированного пакета, содержащего
два или более фрагментов DATA в сообщении вызвать от-
каз в обслуживании системы.
4. Уязвимость существует из-за ошибки при обработке
большого количества маленьких сообщений в SCTP. Уда-
ленный пользователь может вызвать отказ в обслужива-
нии системы.
URL производителя: www.kernel.org.
Решение: Установите последнюю версию ядра (2.6.16.15)
с сайта производителя.
SQL-инъекция в Invision Power Board
Программа: Invision Power Board 2.1.5, возможно, более
ранние версии.
Опасность: Средняя.
Описание: Уязвимость существует из-за недостаточной об-
работки входных данных в параметре selectedtids в функ-
ции post_delete() сценария func_mod.php при удалении не-
скольких тем в форуме. Удаленный пользователь может
с помощью специально сформированного запроса выпол-
нить произвольные SQL-команды в базе данных приложе-
ния. Пример:
act=mod&auth_key=2b71da21cbacba35ccf6fc04fe807d9a&st= ↵
0&selectedpids=-1)
UNION SELECT 1,3/*&tact=delete
URL производителя: www.invisionboard.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Переполнение буфера в mpg123
Программа: mpg123 0.x.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки провер- намической памяти и выполнить произвольный код на це-
ки границ данных в функции III_i_stereo() в layer3.c при об- левой системе.
работке файлов MPEG 2.0 layer 3. Удаленный пользователь URL производителя: www.argosoft.com/applications/ftpserver.
может вызвать переполнение буфера и выполнить произ- Решение: В настоящее время способов устранения уязви-
вольный код на целевой системе.
URL производителя: www.mpg123.de.
Решение: В настоящее время способов устранения уязви-
мости не существует.
№6, июнь 2006
bugtraq
Отказ в обслуживании
в Kerio WinRoute Firewall
Программа: Kerio WinRoute Firewall версии до 6.2.1.
Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки в инспек-
торах протоколов SMTP и POP3. Удаленный пользователь
может с помощью специально сформированного e-mail-со-
общения вызвать отказ в обслуживании приложения.
URL производителя: www.kerio.com.
Решение: Установите последнюю версию (6.2.1) с сайта
производителя.
Обход ограничений безопасности
в Kerio MailServer
Программа: Kerio MailServer версии до 6.1.4.
Опасность: Средняя.
Описание: Уязвимость существует из-за неизвестной
ошибки при обработке вложений. Удаленный пользователь
может обойти фильтрацию вложенных файлов в сообщени-
ях. Подробности уязвимости не сообщаются.
URL производителя: www.kerio.com/kms_home.html.
Решение: Установите последнюю версию (6.1.4) с сайта
производителя.
Переполнение буфера в ClamAV
Программа: Clam AntiVirus (clamav) 0.80 по 0.88.1.
Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки проверки
границ данных в HTTP-клиенте в утилите Freshclam. Уда-
ленный пользователь может вызвать переполнение стека,
если размер HTTP-заголовков, полученных от веб-серве-
ра, превышает 6 Kб. Удачная эксплуатация уязвимости воз-
можна, если Freshclam используется для закачки обновле-
ния сигнатур вирусов с злонамеренного сервера (напри-
мер, посредством отравления DNS-кеша).
URL производителя: www.clamav.net.
Решение: Установите последнюю версию (0.88.2) с сайта
производителя.
Переполнение буфера
в Argosoft FTP Server
Программа: Argosoft FTP Server 1.4.3.6, возможно, более
ранние версии.
Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки проверки
границ данных при обработке параметров в команде RNTO.
Удаленный пользователь может вызвать переполнение ди-
мости не существует.
Составил Александр Антипов
73
 образование

Linux в школе?

Сергей Яремчук
Из всех сфер применения вычислительной техники один из самых горячо обсуждаемых
вопросов – использование GNU/Linux в области образования. Споры спорами, но на сегодняшний
день на большинстве компьютеров в учебных заведениях стоит Windows.

А зачем Linux в школе?
Как вы думаете, почему компания
Microsoft усиленно обращает внима-
ние на вузы и школы, проводя раз-
личные акции, скидки на ПО. Да и во
время кампании по борьбе с пиратс-
ким софтом учебные заведения были
практически нетронуты, лишь немно-
го «припугнули» и практически оста-
вили в покое. Все просто до безобра-
зия. Человек по природе своей сущес-
тво ленивое, и, разобравшись с конк-
ретным вопросом один раз, он не захо-
чет ничего нового и будет в большинс-
тве своем пользоваться старыми зна-
ниями, переучиваться никто не любит.
А ведь в учебных заведениях ежегод-
но проходят обучение тысячи человек,
которые затем станут потенциальны- сравнить деятельность по борьбе с пи-
ми пользователями системы. Попро- ратством звукозаписывающих компа-
буйте в офисе вместо MS Office пос- ний и Microsoft, то можно отметить от-
тавить OpenOffice.org. Внешне и фун- носительно ленивые потуги последней.
кционально они очень похожи, но пси- Не в попытке ли приручить пользова-
хологически человек воспринимает теля здесь дело? А вот когда решат
перемены тяжело, и поверьте, поль- все-таки гайки позакручивать, то как
зователи будут искать разные причи- вы думаете, за какой системой будет
ны, чтобы им поставили старый офис- стоять очередь?
ный пакет. Да, пусть Microsoft при этом Linux же пришел на десктопы не-
понесет некоторые убытки, но они бу- давно и в принципе несколько запоз-
дут несравнимы с теми, которые она дало, так что пока не может похвас-
понесла бы, усилив борьбу с пиратс- таться большим количеством поклон-
твом и доведя ее до победного кон- ников, не занимающихся информати-
ца. Поэтому и пиратство на террито- кой профессионально. Основная же
рии бывшего Союза вопреки подня- часть пользователей просто не видит
тому шуму не только не уходит в под- смысла менять систему, отказывать-
полье, а, наоборот, процветает. И если ся от любимых приложений, а неко-

74
 образование
торые, возможно, просто опасаются, страняются промоутинговые скидки, зывают о непонятных протоколах, а за-
что не смогут самостоятельно разо- а стоят они на порядок дороже. В слу- тем на практических занятиях показы-
браться. В школах ситуация полностью чае же со свободным ПО деньги вкла- вают, как настроить Windows для рабо-
совпадает с описанной. За несколь- дываются не в конкретную програм- ты в сети. Учитывая, что особенности
ко лет все программы обучения фак- му, а в подготовку человека. Систе- настроек в последней скрыты, получа-
тически были адаптированы только мы и технологии меняются постоянно ется, что теория и практика разделены,
под Windows, учителя тоже привыкли и будут требовать постоянных обнов- и пользователь просто заполняет поля,
к этой системе, потому что это единс- лений (капиталовложений), а знания часто не понимая, зачем и что он дела-
твенное, что было доступно. С накатан- остаются. В большинстве школ ситу- ет. Хорошо это или плохо, однозначно
ного пути уходят только энтузиасты, ко- ация такова, что школьник, имеющий трудно сказать. С одной стороны, боль-
торым надоели вечные перестановки доступ к Интернету и не озабоченный шинству эти знания явно не нужны, но
системы, необходимость обновления кучей проблем, может дать фору учи- с другой – каждая нестандартная си-
версий системы и оборудования пос- телю информатики по знаниям или туация приводит такого пользователя
ле выхода очередной версии Windows, взломать систему, потому что учителю в замешательство.
а также постоянные шалости учени- не хватает квалификации все профес- На курсах по геоинформационным
ков, вирусы и пр. Кстати, парадоксы сионально настроить. После перепод- системам тоже произошла интересная
встречаются и здесь. Так, если почи- готовки технический уровень препода- ситуация. Преподаватель рассказы-
тать требования к статьям в научные вателя повысится, и он сам теперь смо- вал о проблемах, возникающих при со-
журналы в различных вузах, то одним жет поддерживать ПО в современном здании подобных систем. Они связа-
из пунктов обязательно стоит MS Word, состоянии, защитить сеть, объяснить ны с большим объемом работ, кото-
и именно определенной версии (иног- не на пальцах, а на реальных приме- рые необходимы провести при созда-
да вплоть до build). Об этом почему-то рах основы или принципы работы Ин- нии подобных систем и соответствен-
мало говорят, но ведь разные версии тернета и пр. Причем это, можно ска- но с большими финансовыми затра-
Microsoft Office тоже не всегда дружат зать, единоразовое вложение, т.к. для тами, что не всегда могут себе позво-
друг с другом. Это, конечно, хорошо, работы с любым Linux достаточно по- лить некоммерческие проекты. И со-
когда диск со всеми версиями офи- нять базовый принцип и некоторые ответственно на поставленный воп-
са стоит копейки и за его нелегаль- принципы работы, далее все идет бо- рос «а есть ли бесплатные (свобод-
ное использование никто ответствен- лее-менее по накатанной. Может, си- ные) альтернативы подобному коммер-
ности не несет. А если бы пришлось туация описана идеально, но, по-мое- ческому ПО», преподаватель, не заду-
каждый раз покупать нужную версию му, именно учителя в силу специфики мываясь, ответил, что такого и не мо-
по рыночной цене, то мне трудно пред- своей профессии склонны к самообра- жет быть. Как же он удивился, когда
ставить, как бы велась научная работа зованию, повышению своей квалифи- через некоторое время я принес ему
в этом случае. Запад эту проблему ре- кации, обмену опытом. Хотя, по прав- свободную альтернативу и показал
шил намного проще, там используют- де, потрясения последних лет породи- возможности ПО, входящего в ком-
ся только открытые форматы. ли и здесь массу проблем, в том чис- плект. Правда, на программу курсов
ле лень, заключающуюся в нежела- это никак не повлияло, все осталось
Затараты нии изучать что-то новое. Вы скажи- по-старому.
на использование те, что человек тоже весьма не наде- Еще одно отличие состоит в том,
В Интернете периодически появляют- жен, он может заболеть, а то и вовсе что при изучении /использовании
ся цифры сравнения затрат при ис- перейти на другую работу. Так ведь и Windows от пользователя не требу-
пользовании Windows и Linux, при этом купленная система не всегда работает ется глубоких знаний и весь процесс
сходятся в том, что эта сумма пример- так, как требуется. Кроме того, здесь (в том числе и справочная информа-
но одинакова. Причина такова, что хо- начинает срабатывать принцип, кото- ция системы) подчас сводится к бес-
тя софт и бесплатный, но все равно рый биологи называют «коллективным смысленному запоминанию и затем
потребуется научить людей им поль- иммунитетом», когда количество при- воспроизведению последовательнос-
зоваться. То есть с точки зрения фи- витых от некоторой болезни не поз- ти действий без понимания происхо-
нансирования смысла использовать воляет возникнуть эпидемии. Так вот, дящего. Да и инструментов для тон-
Linux вроде бы и нет. Но это только сейчас все привиты Windows, а Linux кой настройки некоторых параметров
поверхностный взгляд. Достаточно смогли заразиться только те, кто смог в самой системе просто нет, если толь-
вспомнить, что в случае с системой преодолеть этот барьер. ко самому не лезть в реестр, что уже
Microsoft мы платим за ПО, которое, требует определенных знаний. Как
кстати, через год-два будет устарев- По каким принципам вы думаете, тяжело Microsoft создать
шим и потребует дополнительных вло- ведется обучение? встроенный графический инструмент
жений на обновление и времени на ос- Как пример, мне довелось пару раз по- для настройки реестра Windows? Нет.
воение. Не говоря уже о том, что кро- бывать на курсах по изучению сетевых Нужен пользователь, бездумно тыкаю-
ме самой системы, еще нужны другие технологий, кроме того, видеть про- щий в кнопки, которому можно расска-
программы (антивирус, офис, компиля- граммы некоторых других курсов. Изу- зывать сказки об удобных интерфей-
тор, приложения для работы с графи- чение в некоторых ведется по такому сах и новых возможностях. Это отчас-
кой и пр.), на которые уже не распро- принципу. Сначала новичкам расска- ти подтверждается и справочной сис-

№6, июнь 2006 75

 образование
темой, в которой даются ответы на то, зубного врача только теоретическим  SEUL (Simple End User Linux)/edu –
что нужно нажать для выполнения кон- курсом. Я к такому не пойду), и если http://seul.org/edu;
кретной операции, без пояснения того, есть желание, то и расширить функ-  Schoolforge – http://www.schoolforge.
зачем и что делается. циональность тех или иных инструмен- net;
В Linux же от пользователя требует- тальных средств. Ученик не должен  K12OS – http://k12os.org;
ся в первую очередь понимание самих быть ограничен в возможности изуче-  K12Linux – http://k12linux.org;
механизмов работы, которые не толь- ния, учеба должна побуждать челове-  KDE Edutainment Project – http://edu.
ко не скрываются, а скорее, наоборот, ка к дальнейшему развитию. Только kde.org;
о них говорят постоянно и везде, оби- так появляются будущие Торвальдсы.  O FS E T ( O rganization for Free
лие документации уже ставится в ви- Кстати, в его книге «JUST FOR FUN» Software in Education and Teaching) –
ну системе, и все потому, что ее объ- описана ситуация, как студенты со- http://www.ofset.org/freeduc;
емы уже превосходят все мыслимые ревновались с преподавателем в изу-  O p e n S o u r c e S c h o o l s – h t t p : / /
размеры, и в некоторых дистрибу- чении UNIX. А в Windows в чем сорев- opensourceschools.org;
тивах ее выносят уже на отдельный новаться, кто быстрее кнопки нажмет?  портал свободного ПО UNESCO
диск. Сами же параметры конфигу- Windows как система фактически под- (United Nations Educational, Scientific
рационных файлов отходят на второй страивает под себя человека, который, and Cultural Organization) – http://
план, и достаточно разобраться один не думая, будет чувствовать себя оди- www.unesco.org/webworld/portal_
раз, чтобы чувствовать себя в любом наково во всех условиях, в Linux же, на- freesoft/index.shtml;
дистрибутиве Linux более-менее сво- оборот, позволено заставить систему  отдельного упоминания стоят сай-
бодно. При этом эксперименты толь- делать то, чего хочется мне, а не как ты проектов LinuxForKids – http://
ко поощряются, и код не скрывается. задумал разработчик. www.linuxforkids.org;
Система сложна, так это даже лучше, Делайте все что хотите, а главное –  Tux4Kids, представляющие свобод-
ведь решение проблем заставляет че- думайте. Скажите, не лучший ли это ное образовательное ПО, ориенти-
ловека думать. инструмент для школы. Как бы то ни рованное на детей младше 10 лет
В книгах бывшего разведчика Ре- было, но в некоторых странах сегодня (для этой категории труднее все-
зуна-Суворова описывается подготов- существует законодательный запрет го найти программы) – http://www.
ка спортсменов и спецназа. Так вот, на использование коммерческого ПО tux4kids.net.
только тот, кто может сделать сегод- в учебных заведениях во избежание
ня чуть больше, чем вчера, добивает- скрытого промоутинга. Да и поговари- К сожалению, несмотря на нали-
ся успеха, а изначально выбирающие вают, что пингвин Тукс может стать та- чие такого большого количества ре-
легкий путь остаются далеко поза- лисманом общественной системы об- сурсов, большая часть из предлагае-
ди. Да, согласен, не все могут и, глав- разования Америки, т.к. позволяет пе- мого софта, вероятно, не найдет при-
ное, хотят быть профи при обращении рестать тратить сотни тысяч долларов менения. Причина банальна – отсутс-
с компьютером, но тем, кому это нуж- на программное обеспечение. твие локализации. Хотя можно отме-
но, должны быть созданы максималь- тить, что ситуация сдвинулась с мер-
ные условия. Что имеем сегодня? твой точки и прогресс налицо. Неко-
Далее. Стремительный прогресс Необходимо отметить, процесс раз- торые приложения уже локализова-
в науке, искусстве является в том чис- работки свободного ПО для образо- ны если не полностью, то в объеме до-
ле и результатом совместного исполь- вательных целей шел непрерывно статочном, чтобы их можно было ис-
зования накопленных знаний, идей, те- и целенаправленно, поэтому, хоро- пользовать, не говоря уже о том, что
орий и исследований. И в то же время шо поискав в Интернете, можно най- за это время многие из них выросли
в школах устанавливается закрытое ти большое количество приложений качественно.
программное обеспечение с лицен- разного качества исполнения, рабо- Я против идеологии запретов, огра-
зионными ограничениями, закрыты- тающих как в консоли, так и с графи- ничений, отсутствия альтернативы, ко-
ми форматами и технологиями, к тому ческой оболочкой, практически на все торые в случае с образованием толь-
же заставляющее постоянно устанав- случаи жизни. Некоторые из них уже ко идут во вред делу. Здесь Linux в си-
ливать самую последнюю версию ПО упоминались на страницах журнала, лу своей открытости и демократичнос-
вне зависимости, нужно ли это вообще. так как входят в большинство дистри- ти подходит все-таки больше. Конечно,
При этом постоянно требующее фи- бутивов (OpenOffice, GIMP, Firefox, Dia и сегодняшняя ситуация с программами,
нансирования, которое могло бы пойти пр.). Практически все возможные ком- ориентированными на сферу образо-
на дальнейшее развитие системы об- бинации слов Linux, education, schools, вания, еще далека от идеальной, про-
разования вообще, а не только на об- если набрать их в строке веб-браузе- граммы локализованы не полностью,
новление программного обеспечения. ра, то наверняка получите отклик сер- нет стандартного интерфейса, не хва-
Ученикам (студентам) нужно по край- вера. Вот только несколько ссылок, где тает подготовленных специалистов
ней мере дать возможность изучить, найдете информацию по применению и прочее. Но главное, что она общи-
как работают те или иные инструменты, свободного ПО и Linux в учебных за- ми усилиями сдвинулась с места. И по-
дать понять, что происходит, им нужна ведениях: моему, не использовать заложенный
возможность заглянуть вовнутрь, изу-  Open Source Education Foundation – в OpenSource потенциал – это просто
чить (а попробуйте научить хорошего http://www.osef.org; преступление.

76
образование

Дистрибутив Edubuntu:
специально для школ

Сергей Яремчук
В учебных заведениях некоторых западных стран позиции UNIX настолько сильны,
что производителям проприетарного софта остается только завидовать этому. Чтобы
упростить процесс использования свободного ПО в сфере образования, организациями
и энтузиастами были собраны специальные дистрибутивы.

78

О
собенно этот процесс оживил-
ся в последнее время в связи
с ростом популярности LiveCD-
дистрибутивов Linux, которые позволя-
ют опробовать новые решения, не при-
бегая к кардинальной перестройке уже
имеющейся инфраструктуры.
Вот некоторые из них:
 польский Linux-EduCD (http://
www.simp-st.pl/linux-educd.html);
 американский Quantian (http://dirk.
eddelbuettel.com/quantian);
 итальянский eduKnoppix (http://
eduknoppix.dmf.unicatt.it);
 норвежский Skolelinux (http://www.
skolelinux.no);
 LiveCD FREEDUC (http://www.ofset.
org/freeduc), разрабатываемые
при поддержке OFSET (Organisation
for Free Software in Education and
Teaching) и UNESCO.
Список дистрибутивов из разных
стран можно продолжать.
Дистрибутив Edubuntu
Edubuntu представляет собой версию
популярного дистрибутива Ubuntu, опти-
мизированную для применения в шко-
лах. В отличие от остальных дистрибу-
тивов его с успехом можно применять
и дома. Фактически Edubuntu это и есть,
собственно, Ubuntu, но только с другой
целевой аудиторией и другими прило-
жениями. Создаетсяи поддерживает-
ся той же группой разработчиков, что
и оригинальный дистрибутив. Центра-
лизованное управление конфигураци-
ей, учетными записями пользователей
и приложениями, плюс комплектование
дистрибутива специальными програм-
мами для учебных заведений, – на это
ориентирован Edubuntu. Edubuntu пост-
роен на идеях, записанных в манифес-
те Ubuntu, в котором, в частности, го-
ворится, что программное обеспече-
ние должно быть бесплатным, доступ-
ным на любом языке и использоваться
всеми, в том числе и людьми с физичес-
кими недостатками. Пользователь всег-
да должен иметь возможность свобод-
но модифицировать используемое про-
граммное обеспечение.
Напомню, что Ubuntu построен на
базе самого свободного дистрибути-
ва GNU/Linux – Debian. Дружелюбность,
присущая Ubuntu, позволяет работать
с ним пользователям со средними тех-
ническими навыками. Linux принято ру-
№6, июнь 2006
образование
Рисунок 1. Рабочий стол Edubuntu
гать за недружелюбность к обычным мер, в статье Владимира Якубовского
пользователям и необходимость чте- «Ubuntu 5.10 – первый взгляд на «Линукс
ния документации. Ничего подобного. для людей», в первом номере элект-
Начинающие пользователи Windows ронного приложения к журналу «Open
задают не меньше вопросов, чем поль- Source». Та же программа установки,
зователи Linux и также сталкиваются которая спокойно, без лишних вопросов
с проблемами. Поэтому в любом слу- проведет пользователя по всем этапам
чае пользователям требуется помощь установки. Несколько непривычно, что
консультантов или приходится разби- пароля root никто не спрашивает, а сис-
раться самостоятельно. Для повсед- тема просто просит создать учетную за-
невных задач пользователям не по- пись обычного пользователя, под ко-
надобится особых знаний при работе торым и будет происходить дальней-
с Edubuntu. шая работа. Созданный при установке
пользователь автоматически заносит-
Что внутри? ся в группу admin, представителям ко-
Текущая стабильная верся на мо- торой разрешено использовать sudo.
мент написания статьи – Edubuntu 5.10 Все системные настройки производят-
«Breezy Badger», о которой и пойдет ся исключительно через sudo (или «run
речь далее. Уже имеется версия 6.06 as different user» в графической среде),
beta, предназначенная для разработ- при этом вводится пароль текущего
чиков. Учитывая 6-месячный цикл пользователя. Поначалу такая систе-
разработки Ubuntu, в ближайшее вре- ма безопасности кажется непривычной
мя следует ожидать нового релиза, но и неудобной, но быстро осваиваешься,
главное – познакомиться c подобным к тому же на некоторые повторяющие-
дистрибутивом в общем. Да и в новой ся операции (например, копирование)
версии состав приложений тот же, что и пароль запрашивается только первый
в «Breezy Badger», единственное отли- раз. Но зато забыть оставить активи-
чие – это появление LiveCD-версии. рованным терминал с администратор-
На странице закачки предлагает- скими привилегиями при таком подходе
ся два образа. Один собран для i386 просто невозможно, особенно учитывая
архитектуры (для всех систем), вто- специфику применения Edubuntu, когда
рой – для 64-битных систем (Athlon64, преподаватель может часто отвлекать-
Opteron, EM64T Xeon). Доступны и DVD- ся, для помощи ученикам.
образы. Единственной рабочей средой яв-
Edubuntu во многом напоминает ро- ляется Gnome (см. рис. 1). Возможно,
дительский дистрибутив, о котором бо- кому-то покажется, что KDE лучше бы
лее подробно можно почитать, напри- подошел на эту роль, но для неиску-
79
 образование
Рисунок 2. Установка/удаление программ в Edubuntu
шенного пользователя, поверьте, это-
го будет достаточно. При желании
любую другую среду можно устано-
вить через систему обновлений apt-
get или Synaptic в графическом ва-
рианте, где доступно более 16 ты-
сяч приложений. Кроме того, в глав-
ном меню имеется пункт «Add/Remove
Aplications» (/usr/bin/gnome-app-install)
(см. рис. 2), являющийся также над-
стройкой к apt-get, но в нем собраны
только ссылки на основные приложе-
ния. Рабочее окружение локализова-
но, как говорится, из коробки. Если при
установке был выбран соответствую-
щий язык, то большая часть сообще-
ний, меню Gnome и некоторых прило-
жений после регистрации в системе бу-
дут также на этом языке.
Еще во время установки система
«предупреждает пользователя», что
текущий состав приложений не полно-
стью соответствует требуемым локаль-
ным настройкам и рекомендуется ска-
чать и установить необходимые вер-
сии самостоятельно. Поэтому о пол-
ной локализации говорить не прихо-
дится, к тому же и некоторые прило-
жения, входящие в состав, не лока-
лизованы вообще, либо это сделано
лишь частично. OpenOffice.org напри-
мер, придется переустановить пол-
ностью, взяв локализованную копию
с http://www.openoffice.ru.
Раскладка клавиатуры переключа-
ется, как это привычно пользователям
Windows, по <Alt+Shift>. Запятая и точ-
ка размещены нестандартно, по <Shift +
80
6, 7>. Поэтому в xorg.conf необходимо
подправить параметр XkbLayout.
Option "XkbLayout" "us,ru(winkeys)"
Да и в качестве локали использу-
ется UTF-8, что уже, впрочем, стало
традицией, сегодня все меньше можно
встретить дистрибутивы, в которых ис-
пользована традиционная локаль. Од-
ним из компонентов Edubuntu является
LTSP (Linux Terminal Server Project [3]),
при помощи которого можно присо-
единить маломощные клиентские тер-
миналы к серверу Linux. Кроме того,
в комплекте идет утилита tsclient [4],
посредством которой можно получить
доступ к удаленным сервисам Microsoft
Windows NT/2000 Terminal Services и XP
Remote Desktop Sharing.
Полезные программы
В дистрибутиве собрано лучшее, по мне-
нию разработчиков, свободное програм-
мное обеспечение, ориентированное на
сферу образования. Рассмотрим кратко
их назначение. Хотя, еще раз напомню,
у других дистрибутивов состав приложе-
ний подчас отличается кардинально.
В первую очередь хочу отметить на-
личие Gcompris, с которым я знаком уже
продолжительное время. Правда, рас-
положен он во вкладке «Игры», но это и
есть набор развивающих игр для детей
в возрасте от 2 до 10 лет. Когда я с ним
впервые познакомился года два три на-
зад, о какой либо локализации говорить
не приходилось, и для того чтобы что-то
показать своему ребенку приходилось
разбираться самому. Теперь, во-первых,
сам проект весьма продвинулся впе-
ред, назначение некоторых задач ста-
ло более понятным даже без перевода,
а во-вторых, некоторые задачи и зву-
ковые сообщения уже переведены на
русский. Gcompris содержит игры, поз-
воляющие научиться простым матема-
тическим действиям, определять вре-
мя по часам, тренироваться в написа-
нии слов на слух, чтению, пользовать-
ся мышью и клавиатурой. Кроме того,
имеются различные логические игры,
игры на развитие памяти – всего не пе-
речислить. И все это в понятной и при-
ятной детям игровой форме. По край-
ней мере, мой ребенок, применяющий
свои математические познания только
для того, чтобы получить еще пару кон-
фет и неприемлющий обучение в явном
виде, с превеликим удовольствием от-
влекается (даже меня заставляет вклю-
чать компьютер) на спасение пингвинов
и не подозревает при этом подвоха. При
этом часто одна задача решается раз-
ными приемами. Например, в матема-
тическом разделе необходимо ввести
правильный ответ, до того как пингвин
упадет в воду. Здесь требуется быст-
рый ответ, который стандартным ме-
тодом (пересчитав пальцы) не решить.
Другая задача вроде бы аналогична,
необходимо убрать в таблице все ячей-
ки, ответ на математическое действие
будет равняться определенному числу
(рис. 3). Здесь, во-первых, сразу стало
ясно, что сложение моему ребенку да-
ется лучше чем вычитание, а, во-вто-
рых, решив первый раз задачу в лоб, т.е.
просто пересчитав все ответы, во вто-
рой раз появились первые признаки оп-
тимизации работы, которые, надо ска-
зать постепенно усложнялись. Эффект
налицо, используя игры удалось повы-
сить познания в математике в относи-
тельно короткий срок. Хотя полностью
согласен, что живого общения с педа-
гогом не заменит ничто, но используя
разные подходы, удается быстрее до-
биться требуемого результата.
Всего более 20 игр. Кроме набора
пасьянсов, некоторых карточных игр,
вариантов реверси, головоломок, са-
пера, которые также, впрочем, явля-
ются логическими играми, есть неко-
торые и образовательные.
В первую очередь это три приложе-
ния от проекта Tux4kids:

Рисунок 3. Gcompris поможет в изучении математики
и не только
 в TuxMath («Tux, of Math Command»),
чтобы спасти планету, необходимо
быстро производить математичес-
кие вычисления;
 TuxTyping научит быстро печать сло-
ва (правда, только английские);
 веселая рисовалка TuxPaint, скорее
всего, оставит вас без компьютера
надолго.
Кроме того, есть Atomix, который
даст понятия о молекулах и атомах,
и gLIfe, некий автомат искусственной
жизни, и некоторые другие.
Пункт «Образовательные» содер-
жит еще 14 приложений, большая часть
которых из KDE edutainment module [2]:
 Kalzium – покажет всю информацию
по периодической системе элемен-
тов, подробно по каждому элемен-
ту, по группам, по характеристикам,
по времени открытия и пр. (рис. 4).
 KBruch – поможет научиться обра-
щаться с дробями, возможны четы-
ре варианта – посчитать, сравнить,
преобразовать и разложить на мно-
жители.
 Keduca – представляет собой сис-
тему тестирования, в состав входит
и редактор тестов.
 KhangMan – компьютерный вари-
ант известной игры виселица, име-
ет четыре уровня сложности, рас-
считана на детей от 6 лет.
 Kig (kde Interactive Geometry) –
инструмент, позволяющий в диа-
логовом режиме изучать матема-
тические фигуры и понятия, кро-
ме того, может использоваться
для WYSIWYG создания математи-
ческих фигур для включения в дру-
гие документы.
№6, июнь 2006
Рисунок 4. При помощи Kalzium можно изучать периодическую
систему элементов
 KmessedWords – игра рассчитана
на детей от 10 лет, в ней необходимо
расставить правильно буквы в слове.
Игра имеет три уровня сложности,
можно создавать свои слова и пра-
вила.
 KmPlot – математический графо-
построитель с мощным синтакси-
ческим анализатором.
 KPercentage – небольшая матема-
тическая программка, которая помо-
жет освоить вычисление процентов.
 Kstars – простой на вид имитатор
ночного звездного неба, на самом
деле использующий самые совре-
менные алгоритмы вычисления по-
ложения небесных тел и имеющий
базу о тысячах небесных объектах
и снимки, взятые с космического те-
лескопа Hubble и некоторых обсер-
ваторий.
 KTouch – еще один клавиатурный
тренажер, правда, опять же англий-
ский.
 KTurtle – образовательная програм-
мная среда, использующая язык про-
граммирования Logo (первоначально,
ответвление LISP). Легкость и доступ-
ность делает эту программу непло-
хим подспорьем при обучении (имен-
но обучении, Kturtle не предназначен
для программистов) программирова-
нию, математике и геометрии.
 Kverbos – программа для изучения
испанских глаголов.
 KVocTrain – еще одна программа,
цель которой помочь в изучении
иностранного языка.
Кроме этого, если зайти по адре-
су http://localhost:7080/, то можно найти
еще один сервис SchoolTool [5], пред-
образование
ставляющий собой систему распреде-
ления времени (занятия, дежурство, по-
сещаемость, оценки и демографичес-
кую информацию).
Кроме образовательных приложе-
ний в дистрибутиве можно найти пол-
ный комплект программ для повседнев-
ной работы. Офисные Scribus, Evolution,
OpenOffice 2.0, Интернет Gaim, Firefox,
XCat, GnomeMeeting, клиент сети bittorent,
программы для просмотра видео и про-
слушивание музыки (mp3 не поддержи-
вается). Учитывая направленность дис-
трибутива, не мешало бы наличие при-
ложения, при помощи которого можно
было блокировать доступ к некоторым
веб-ресурсам, на которые детям по-
падать не желательно, хотя бы при по-
мощи одного из плагинов Firefox (http://
kb.mozillazine.org/Parental_controls).
Вывод
Edubuntu еще далек от идеала, установ-
ка на маломощных компьютерах про-
исходит медленно, дистрибутив и про-
граммы недостаточно локализованы,
некоторые настройки не понятные инту-
итивно. Но в том, что такому дистрибу-
тиву будет найдено применение, сомне-
ваться не приходится, особенно учиты-
вая низкую стоимость и, главное, состав
программ, входящих в комплект.
Cсылки:
1. Сайт пректа Edubuntu – http://www.
edubuntu.org.
2. KDE edutainment – http://edu.kde.org.
3 Linux Terminal Server Project – http://www.
ltsp.org.
4. Утилита tsclient – http://www.gnomepro.
com/tsclient.
5. SchoolTool – http://www.schooltool.org.
81
hardware

Волшебство с паяльником в руках

Крис Касперски
Хороший системный администратор не только знает тонкости операционной системы,
но и умеет обращаться с паяльником, а из его кармана высовывается мультиметр.
Этих простых вещей вполне достаточно для того, чтобы усовершенствовать систему
индикации или устранить мелкие неисправности, возвращая отказавший компьютер
из небытия в рабочий строй.

82

П
роизводители аппаратного
обеспечения делают все воз-
можное и невозможно для до-
стижения максимальной производи-
тельности, функциональности, эрго-
номики и т. д. Считается, что кустар-
ным способом ничего усовершенство-
вать уже невозможно, а вышедшую
из строя материнскую плату востано-
вить по силам только сервисному цен-
тру, но это не так! Творчески настроен-
ный системный администратор может
и должен дорабатывать компьютер,
попутно исправляя мелкие неисправ-
ности типа сгоревших предохраните-
лей (далеко не все знают, какое коли-
чество предохранителей расположе-
но на материнской плате) и т. д. Разу-
меется, подобные эксперименты с па-
яльником приводят к аннулированию
гарантии, поэтому действуйте на свой
страх и риск!
Один LED на двоих
При подключении дополнительных
винчестеров на внешний контроллер
(SCSI или IDE) возникают проблемы
с индикацией. Светодиод – один, и он
уже занят материнской платой с ос-
новными IDE-контроллерами. Можно,
конечно, просверлить в корпусе дыр-
ку и вывести наружу столько светоди-
одов, сколько потребуется, но это мо-
жет испортить внешний вид компью-
тера, к тому же большое количество
моргающих светодиодов сильно раз-
дражает.
Воспользовавшись следующей
схемой (см. рис. 1), мы сможем под-
ключить к одному светодиоду прак-
тически неограниченное количество
контроллеров.
Для исключения «выгорания» це-
пей индикации контроллеров мы ис-
пользуем диоды Шотки типа BAT46
(см. рис. 2), которые можно взять прак-
тически с любой материнской платы,
оставшейся от апгрейда, или купить
в радиомагазине за «копейки». Прове-
ряя их целостность омметром, не вол-
нуйтесь, если стрелка не захочет от-
клоняться. Это свойство диода та-
кое – открываться только при дости-
жении определенного порогового на-
пряжения. Все необходимые вольтам-
перные характеристики диода содер-
жатся в бесплатно распространяемой
документации: http://ronja.twibright.com/
datasheets/bat46.pdf.
№6, июнь 2006
hardware
LDE-моддинг
Два светодиода на передней панели
(один из которых – Power-LED– посто-
янно горит, а другой – HDD LED – ожив-
ленно мигает) – это традиция, сохра-
нившаяся с древнейших времен, ког-
да самым престижным компьютером
был IBM XT, выполненный в «строгих
серых тонах», но в наш век подобный Рисунок 1. Подключение нескольких
контроллеров к одному светодиоду
дизайнерский подход выглядит мало-
привлекательным и неоправданно ас-
кетичным.
Разве не интересно загляну ть
во внутренний мир компьютера, при-
цепив индикацию буквально на каж-
дую шину? Например, подключившись
к выводу /RAS модуля памяти (115/154-
выводы DIMM-слота на SDR/DDR со-
ответственно), мы сможем наблю- Рисунок 2. Внешний вид диодов Шотки
дать за переключениями DRAM-стра-
ниц оперативной памяти, а 27/63-кон-
такты будут мигать светодиодом при
переключении микросхемы из режи-
ма чтения в режим записи! Достаточ-
но взять в руки схему материнской
платы (схемы рефересных плат бес-
платно раздаются с сайта Intel), и че- Рисунок 3. Схема подключения
дополнительного светодиода
рез несколько минут наш PC превра-
тится в рождественскую елку! Кста-
ти, при выявлении причин сбоев это
очень помогает.
Вот только напрямую подсоеди-
нить светодиоды ни в коем случае не-
льзя! Ну уже хотя бы потому, что шины
и так работают на пределе, и при по-
пытке их удлинения все падает в тар-
тарары. Приходится хитрить, восполь-
зовавшись операционным усилите-
лем, таким, например, как LM358, ко-
Рисунок 4. Пульсовый генератор
торый легко выпаять с любой материн- на LM358
ской платы, видеокарты или купить на
рынке. Вот его техническая докумен- и подключенные к ним светодиоды бу-
тация: http://www.ensc.sfu.ca/reference/ дут монотонно мигать, имитируя рабо-
data-sheets/LM358.PDF, а типовая схе- ту сердца.
ма подключения на рис 3. На самом деле, схема, приведен-
Каждая микросхема LM358 вклю- ная в описании операционного уси-
чает в себя целых два операцион- лителя, очень условна, и все «второ-
ных усилителя, а значит, что она мо- степенные» элементы типа фильтров
жет обслуживать сразу два незави- в ней опущены. Во-первых, не всегда
симых светодиода. Сама микросхе- на интересующем нас выводе будет по-
ма монтируется прямо на материн- ложительный уровень, поэтому поря-
скую плату, непосредственно на ин- док подключения «+» и «–» приходит-
тересующий нас вывод, а светодиод ся определять либо «по науке» (све-
может быть выведен гибким шнуром рясь со схемой), либо «эксперимен-
на переднюю панель или даже в со- тально» (если подсоединить непра-
седнюю комнату. вильно, ничего не сгорит, просто све-
Незадействованные усилители тодиод моргать не будет). Во-вторых,
легким движением руки превращают- работа компьютера после такого вар-
ся в тактовые генераторы (см. рис. 4), варского вмешательства рискует стать
83
 hardware

Рисунок 5. «Правильная» схема подключения контрольных Рисунок 6. HDD-индикатор на самом деле отражает активность
светодиодов от Intel всех ATA/ATAPI-устройств

нестабильной, так что на высоких час- смотрим типовую схему подключения тодиод другого цвета и другой поляр-
тотах ее лучше не применять. POWER LED (см. рис. 7). ности (минус этого решения в том,
Правильное решение (выдерну- На плате (ON-BOARD) расположен что придется «дырявить» лицевую па-
тое из схемы на материнскую плату двухцветный (DUAL-COLOR) светоди- нель, что не есть хорошо, а впрочем...
Intel 100 MHz Pentium(tm) II processor/ од. Это такой специальный светодиод, так даже красивее).
440BX) выглядит так (см. рис. 5). Про- содержащий два LED в одном флаконе.
верено – оно работает и на более высо- Выбор нужного цвета осуществляется Когда индикатор лжет
ких частотах, вплоть до Pentium-4. полярностью. Параллельно ON-BOARD Невероятно, но факт, HDD LED на са-
Основной всего служит чип 74ALS08 LED расположен CHASSIS POWER LED, мом деле отображает активность ши-
(вот ссылка на документацию: http:// что в переводе на русский язык озна- ны IDE и подмигивает любому ATA/
www.standardics.philips.com/products/ чает «светодиод, выведенный на кор- ATAPI-устройству (например, DVD-
als/pdf/74als08.pdf). Это так называе- пус». Итак, все необходимые ингреди- приводу или CD-ROM), что вносит ди-
мый «Quad 2-input AND gate» (2-х вход- енты у нас уже есть! кую путаницу в процесс и нервиру-
ной И-вентиль, в количестве 4-х штук Способ номер один – убираем ста- ет начинающих пользователей, иног-
в одном корпусе) со свитой резисто- рый светодиод с лицевой панели и ста- да даже сдающих компьютер в ре-
ров и конденсаторов, подавляющих вим на его место новый DUAL-COLOR, монт (см. рис. 6). Против схемотех-
помехи. Как и следует из его назва- который можно взять со старой платы ники, конечно, не попрешь, но мы зна-
ния, он обслуживает две «контроль- или в магазине. Все! Теперь он будет ем как быть!
ных» точки, выводимые на один-единс- светиться двумя разными цветами! Разносим HDD и CD-ROM/DVD-
твенный светодиод. Все детали легко Способ номер два – подключаем ROM по разным шлейфам (если не сде-
взять с любой платы, так что на рынок к старому светодиоду еще один све- лали этого сразу), берем в руки лупу и,
идти совершенно необязательно.
Главное – запастись светодиодами.
Яркими и, желательно, разноцветными
(для увеличения яркости в J28 можно
«воткнуть» вышеописанный операци-
онный усилитель).

Два цвета в одном

На многих материнских платах распо-
ложен светодиод, горящий в рабочем
режиме одним цветом, а в ждущем –
другим. Светодиод, расположенный
на лицевой панели некоторых систем-
ных блоков, обычно ведет себя точно
так же, но... «обычно» это еще не всег-
да (у старых системных блоков вооб-
ще никогда).
На самом деле этой беде легко по-
мочь! В большинстве случаев даже не
понадобится трогать паяльник! Рас- Рисунок 7. Типовая схема подключения Power LED

84
 hardware
вооружившись омметром, ищем, куда
идет питающий вывод IDE-LED (про-
тивоположный тому, что подключает-
ся к массе). Рано или поздно мы «вре-
жемся» в микросхему 74ALS08 или не-
что подобное ей (см. рис. 5). Аккурат-
но перерезаем 2-й вывод микросхемы
(или отпаиваем его, удаляя припой от-
сосом или обыкновенной медицинской
иглой – иглы для капельниц предпоч-
тительнее).
С этого момента HDD LED будет
подмигивать только одному IDE-кана-
лу, на котором размещен жесткий диск,
игнорируя второй с CD-ROM.
Главное не перепутать каналы!
Впрочем, этот процесс легко обра-
тим, и отпаянный вывод можно при-
паять вновь.
Рисунок 8. Предохранители, охраняющие USB-порты на плате F1 и F2
Реанимация USB-портов,
мыши и клавиатуры
USB-порты мрут как мухи, особенно
когда к ним через разветвитель под-
ключается несколько мощных уст-
ройств, с которыми они уже не справ-
ляются. К счастью, на современных
компьютерах количество USB-пор-
тов обычно достигает четырех-шес-
ти и смерть одного из них, это, конеч-
но же, трагедия, но все-таки не при-
говор. Если материнская плата еще
на гарантии, можно попытаться отнес-
ти ее в ремонт.
Расследование, проведенное мной,
показало, что в подавляющем боль-
шинстве случаев «горит» не сам порт,
а предусмотренный мудрыми конс-
трукторами плавкий предохранитель,
который легко найти, если двигаться
вдоль печатной магистрали от перво-
го вывода USB-разъема (VCC) в глу-
бину материнской платы. Предохра- Рисунок 9. Предохранители, охраняющие клавиатуру и мышь
нитель обозначается латинской буко-
вой F и по обыкновению соседству- Как-то раз один мой знакомый шинство из нас предпочитает выкла-
ет с резисторами и конденсаторами включил старый-старый джойстик, ос- дывать деньги за готовое устройство,
(см. рис. 8). тавшийся от компьютера ZX-Spectrum, даже если его можно собрать само-
Прозвоните его омметром – если в клавиатурный DIN-разъем. Думал стоятельно. Но далеко не все необхо-
он покажет обрыв, с некоторым рис- поиграть! Поиграть не получилось, димые нам устройства представле-
ком предохранитель можно просто пе- а клавиатура, увы, умерла. К счас- ны на рынке.
ремкнуть, хотя правильнее заменить тью, предохранитель принял весь удар Производители ориентируются
его таким же точно или аналогичным, на себя (номинальный ток 1,35 A), на массовый рынок, максимально
рассчитанным на ток 1,5-2,0 A. Чаще после замены которого клавиатура унифицируя настольные компьютеры
всего после этой несложной операции ожила, и компьютер заработал, как и сервера.
USB «оживает». новый! Потребности отдельных пользова-
Аналогичные предохранители за- телей игнорируются, но электроника
щищают мышь и клавиатуру от непра- Заключение не стоит на месте, и доработать «фир-
вильного включения и еще кое от че- Страх перед сложной техникой сдер- менное» оборудование собственными
го (см. рис. 9). живает порывы творчества, и боль- силами вполне реально!

№6, июнь 2006 85

 ретроспектива
Надежда умирает последней:
история компании SGI
Часть 3
После череды неудач, постигших SGI в период с 1994 по 1999 годы, многие стали с надеждой
смотреть на нового исполнительного директора. Но сможет ли один человек помочь
«тонущему кораблю»?
«Мы сеяли семя
инноваций, но потерпели
неудачу в сборе урожая»
(Боб Бишоп)
До получения должности исполнитель-
ного директора SGI Боб Бишоп на про-
тяжении девяти лет работал в этой
компании, занимая пост главы отдела
маркетинга, пока в 1995 году не поки-
нул его, став членом наблюдательного
совета акционеров. После предатель-
ского бегства его предшественника,
Рика Белуццо, на предложение воз-
главить SGI Бишоп с радостью согла-
сился. «Принимая непосредственное
участие в формировании нашей но-
вой стратегии, я окончательно завер-
шу процесс трансформации компании
для поддержания её роста и прибыль-
ности, – говорил тогда Бишоп. – У ме-
ня огромная вера в талантливых лю-
дей, глубину технологий и лояльность
клиентов SGI».
86
Дмитрий Мороз
Однако компания, в которой он ра- сячелетие SGI вступала в весьма пла-
ботал четыре года назад, в 1999 г. бы- чевном состоянии.
ла уже совсем другой. «SGI продол- Планы компании в скором време-
жает наращивать скорость, но вмес- ни остановить разработку собствен-
те с тем теряет высоту. Компания ра- ных графических систем для своих ра-
ботает совсем не так, как должна, тем бочих станций и серверов визуализа-
самым «играя на руку» нам», – гово- ции стали более «осязаемыми» в се-
рил тогда генеральный директор Sun редине 1999 года, когда специально по
Microsystems Скот МакНили. этому поводу SGI подписала соглаше-
Реструктуризация, о которой как ние с компанией nVidia. Согласно не-
раз перед своим уходом заговорил Бе- му nVidia получила право лицензиро-
луццо, оставила неизгладимый отпеча- вать графические технологии SGI, ко-
ток не только на компании, но и на её торая, в свою очередь, имела доступ
служащих. Агонизирующая SGI уже к самым новым чипам, произведённым
к октябрю 1999 года вынуждена была nVidia. Кроме того, 50 инженеров SGI
отрапортовать как о финансовых по- перешли к nVidia для работы над про-
терях, так и о массовых сокращениях ектом «Одиссей». Его результатом
персонала. Финансисты «не досчита- стало появление последнего поколе-
лись» 68 млн. долларов, а менеджеры ния собственных графических плат
компании – 1100 человек кадрового SGI серии VPro (основная их «изюмин-
состава. При подведении финансовых ка» – 48-битное представление цвета
итогов 1999 года стало известно о по- RGBA, позволяющее работать с па-
терях 213 млн. долларов. В новое ты- литрой, состоящей из 68 миллиардов
 ретроспектива
цветовых оттенков), устанавливав- чем особым от рабочих станций дру-
шихся в более поздние модели Octane гих компаний, равно как и от обычных
и новые Octane 2, выпущенные вмес- ПК, не отличались, разве что их гра-
те с O2+ в августе 2001 года. К сожа- фический адаптер VR3, был постро-
лению, кроме более быстрых процес- ен на базе профессионального чипа
соров и новых графических опций эти nVidia Quadro, впрочем, являвшегося
рабочие станции не предлагали ниче- «сынком» обычного GeForce 256.
го нового и при своей заоблачной стои- По типу «цепной реакции» вскоре
мости практически не приобретались. после заявления SGI о желании «из-
Что же касается линейки систем, ра- бавиться» от Visual Workstation после-
ботающих на процессорах Intel Pentium, довало сообщение и о продаже Cray Рабочая станция SGI 230
жить ей оставалось недолго. В конце Research. Начиная с декабря 1999 го-
года стало известно, что усилия SGI, да в Интернете стали появляться слухи
направленные на поиски потенциаль- о том, что SGI ищет потенциального по-
ного покупателя на подразделение, за- купателя на это подразделение. К тому
нимающееся производством рабочих времени Cray Research представляла
станций Visual Workstation, оказались собой довольно жалкое зрелище: 850
безуспешными. Линейка систем на ба- сотрудников (против 4500 в 1996 году)
зе процессоров Intel «камнем» висела и 300 млн. долларов. годового дохода
на «шее» компании, всё дальше затя- (900 млн. долларов. в 1996 году).
гивая её в пучину финансовых убыт- 2 марта 2000 года слухи, наконец-
ков. Потери от продаж рабочих стан- то, подтвердились, и SGI продала Cray
ций 320 и 540 стоили SGI 45 млн. дол- Research со всеми «потрохами» ком-
ларов. «Урок, полученный нами в ре- пании Terra Computer за не оглашён-
зультате запуска Visual Workstation, дал ную общественности сумму (по словам
понять, что в мире быстро совершенс- Wall Street Journal, эта цифра состави-
твующихся систем на базе процессо- ла около 100 млн. долларов. Сравни-
ров компании Intel попытка продвиже- те с суммой покупки в 1996 году, соста-
ния собственных разработок заранее вившей 764 млн. долларов). Новая ро-
обречена на провал», – говорил тог- дительская компания, сама прибываю- Сервер SGI Origin 3400
да главный бухгалтер компании Боб щая в не очень «радужном» состоянии
Солтмарш. (потери Terra Computer во время покуп- и главный инженер Cray Бартон Смит
Ну а пока SGI искала пок упа- ки составляли 7,5 млн. долларов при ушёл в Microsoft. Аналогия с Белуццо
теля, компания решила дать Visual прибыли в 850 тыс. долларов), не ста- напрашивается сама собой.
Workstation последний шанс, благо не- ла диктовать новоиспечённой Cray Inc. В свете продажи подразделений
обходимость в развитии линейки всё свои условия и дала «вольную». Одна- SGI стоит упомянуть слова одного
ещё сохранялась. Однако на этот раз ко, несмотря на выпуск ряда довольно из посетителей сайта Osnews.com, вы-
разработкой продвинутой архитекту- удачных суперкомпьютеров типа SX-1, сказанные по поводу финансовых ос-
ры SGI особо не увлекалась. После X1 и XD1, дела у компании шли всё ху- ложнений компании: «Ничто не сможет
покупки части компании Integraph, SGI же и хуже. На сегодняшний день ак- спасти SGI от краха, поскольку компа-
в мае 2000 г. выпустила её графичес- ции Cray Inc. практически обесцени- ния до сих пор продолжает следовать
кие рабочие станции под своим име- лись. К тому же в ноябре прошлого го- давно устаревшей «университетской»
нем. Новые модели 230, 330 и 550 ни- да один из основателей Terra Computer модели бизнеса: в погоне за стаби-
лизацией своего финансового состо-
Наследник проекта «Реальность» процессором RCP для Nintendo 64, реши- яния она отрезает, отрезает и будет
Одной из идей бывшего управляющего ла воплотить мечты Кларка в реальность, дальше отрезать свои подразделе-
Silicon Graphics Джима Кларка являлся для чего в сентябре 1997 года ушла из ком- ния до тех пор, пока бизнесу не пона-
«перенос» разработок компании в области пании и основала свою собственную, на- добится дальнейшее развитие. Одна-
создания графических процессоров в но- званную ArtX. Первым клиентом новоис- ко к тому моменту от SGI больше ни-
вые сегменты рынка – мультимедийные печённого «стартапа», как не трудно дога- чего не останется».
приставки, игровые консоли, персональ- даться, стала компания Nintendo, по зака- В июле 2000 года состоялось об-
ные компьютеры и т. д. Несмотря на то зу которой ArtX занялась разработкой гра- новление линейки Origin. Архитекту-
что акционерам эта затея не понрави- фического чипа для следующей консоли ра новых серверов Origin 3000 (поколе-
лась, часть инженеров тайком (необходи- японского гиганта под кодовым названи- ние SN-1) под названием NUMAflex со-
мо вспомнить о негласном правиле: «либо ем «Dolphin» (Nintendo GameCube). Позд- стояла из так называемых «модулей»,
в одной лодке со всеми, либо – за бор- нее, 1 марта 2000 года, ArtX была приоб- каждый из которых отвечал за свою
том») поддержала идею их «духовного ретена компанией ATI за 400 млн. долл., функцию. Так, процессорный модуль
лидера». Так, команда под руководством и продолжила свою работу уже под её содержал: процессоры, контроллер
Веи Ена, работавшая над графическим «крылом». ОЗУ и саму оперативную память. В

№6, июнь 2006 87

 ретроспектива
ной неудовлетворительный финансо-
Проигранная процессорная гонка нее. К 2002 году частота наиболее произ- вый квартал стал причиной увольне-
В 1997 году SGI убедилась, что более не мо- водительного процессора MIPS, R14000А, ния из SGI 1000 сотрудников. С 1997
жет соперничать с Intel и IBM в разработ- добралась до смехотворной отметки 600 по 2001 год персонал компании со-
ке новых процессоров, поэтому приняла МГц. При этом стоит учесть, что он, как и кратился практически вдвое: с 12 ты-
решение о постепенной миграции своей R12000, являлся обновлённым R10000, ко- сяч до 6 тысяч человек.
продукции на новую платформу. В то вре- торый был выпущен ещё в 1996 году. Не об- Постоянные неудачи вынудили SGI
мя наиболее многообещающим процессо- ладая конкурентоспособной производи- подправить свою философию. Несмот-
ром должен был стать чип Mersed (будущий тельностью, этот процессор мог похвас- ря на то что 75% своих доходов компа-
Itanium), разрабатывавшийся Intel совмест- таться лишь малым энергопотреблением – ния получает в результате продаж ап-
но c Hewlett-Packard с 1993 года. В 1998 году 17 Вт. Тактовая частота следующей вер- паратного обеспечения, SGI, подоб-
SGI официально объявила о том, что посте- сии этого ядра, R16000, достигла 800 МГц. но IBM, решила перепрофилировать-
пенно прекратит разработку и выпуск про- Это был последний барьер, который смог- ся из продавца «железа» в реализа-
цессоров семейства MIPS, а также выделит ла преодолеть MIPS Inc. тора готовых аппаратно-программных
процессорное подразделение в самостоя- В 2004 году SGI планировала присту- решений. Пример – «системы коллек-
тельную компанию (что и случилось в 1998 пить к выпуску процессоров на основе но- тивной визуализации» (Systems for
году, когда на свет появилась MIPS Inc.). вой архитектуры под кодовым названием Collaborative Visualization). Суть их со-
Однако постоянные проблемы, возникав- N1, которая должна была принести в мир стоит в том, что над проектом, будь то
шие по ходу разработки Mersed, а также MIPS двуядерные чипы. К 2005 году следу- CAD-моделирование, научно-техни-
неугомонный технический прогресс вынуж- ющее поколение, N2, должно было, нако- ческие расчёты, или трёхмерное моде-
дали SGI продолжать поддерживать свою нец, преодолеть гигагерцовый рубеж. Од- лирование, могут одновременно рабо-
продукцию в конкурентоспособном поло- нако постоянные финансовые проблемы тать множество пользователей в неза-
жении. А для этого, как ни крути, были не- заставили компанию практически полно- висимости от их местоположения. По-
обходимы новые процессоры. стью отказаться от MIPS-процессоров и пе- добные системы состоят из всего спек-
Развитие же этого направления дава- рейти на архитектуру Itanium, которая, ещё тра продукции SGI: начиная от рабо-
лось Silicon Graphics всё сложнее и слож- не выйдя, успела разочаровать весь мир. чих станций и заканчивая серверами
визуализации Onyx и системами хра-
системе также присутствовали моду- вице-президент по корпоративному нения данных.
ли шины NUMAlink, модули ввода/вы- маркетингу SGI Грэг Истис. «У нас бы- Ещё один пример, так называемые
вода, модули шин PCI и XIO, диско- ли, и до сих пор есть, чудесные продук- «центры реальности» (Reality Centre),
вые модули и т. д. Максимальное ко- ты, и мы это знали. К сожалению, ры- как их называет компания, были раз-
личество процессоров в новых серве- нок, для которого мы производили на- работаны SGI ещё в середине 90-х
рах Origin на первых порах равнялось шу технику, был очень мал. Мы прос- годов прошлого столетия (а точнее –
128 штукам. Вместе с Origin 3000 бы- то не могли быстро повернуть корабль в 1994 году) и использовались NASA,
ли анонсированы и сервера визуали- для того, чтобы соревноваться с новым Boeing и другими государственными
зации Onyx3, отличавшиеся лишь на- поколением ПК». учреждениями и крупными коммер-
личием графических модулей на базе Постоянное снижение притока де- ческими компаниями. Эти комплексы
плат InfiniteReality3. нежных средств вынудило компанию позволяют моделировать практически
По словам Боба Бишопа, денеж- провести ряд «мероприятий» с целью любое окружение, будь то контрольная
ная сумма заказов на новые сервера финансовой стабилизации своего по- башня аэропорта или центр управле-
за первые два месяца достигла отмет- ложения. В апреле 2001 года очеред- ния атомной электростанцией. Несмот-
ки в 100 млн. долл., которых, тем не ме- ря на то что в начале своего сущест-
нее, всё же не хватило для стабили- вования количество подобных цент-
зации финансового положения ком- ров можно было сосчитать на пальцах
пании. рук, к 2001 году эта цифра возросла до
К 2001 году стало окончательно вполне приличных 450 штук. «Мы ста-
ясно, что тягаться с компаниями Sun, новимся более известными в этой об-
Hewlett-Packard и начинавшей наби- ласти, которая представляет собой
рать в то время популярность Apple оказание услуг по установке высокоп-
в секторе высокопроизводительных роизводительных комплексов для сов-
рабочих станций SGI уже не может. местной визуализации, быстродейс-
Конкурентоспособность её продуктов твующей обработки данных и их хра-
была очень низкой, к тому же, всемир- нения, а также их объединению по все-
ная «миграция» на дешёвые ПК, а так- му миру», – подводил тогда итоги тог-
же кластерные системы свели все про- да Боб Бишоп.
дажи компании практически к нулю. Для понимания последней заслу-
«Я не люблю использовать это слово, живающей внимания технологии VAN
однако вынужден: наши амбиции сыг- (Visual Area Networking – «сетевая ви-
рали с нами злую шутку», – говорил Рабочая станция SGI 750 зуализация») обратимся к словам Эди-

88
 ретроспектива
сона Снила, менеджера по производс- теры, спрос на которые был более или
твенному маркетингу SGI: «Вспом- менее стабильным.
ним закон Мура: по прошествии опре- В июне 2001 года компания объ-
делённого промежутка времени мощ- явила об окончательном прекращении
ность компьютера увеличится в два производства Visual Workstation. Это
раза. Вместе с тем, из-за увеличения не только ударило по имиджу компа-
количества передаваемой информа- нии, но и вылилось в 60 млн. долларов
ции возникает необходимость в соот- убытков, состоявших из отменённых
ветствующем увеличении и пропуск- контрактов на производство и нереа-
ной способности. 10 лет назад, если лизованного товара. Ко всему проче-
вы занимались производством авто- му SGI объявила об очередном уволь-
мобилей, вам необходимо было про- нении 1500 человек.
считать приблизительно 10 тысяч де- Спустя полгода после роспуска
талей, из которых она состояла. Сегод- подразделения, занимавшегося раз-
ня эта цифра возросла до 10 милли- работкой Visual Workstation, состоя-
онов. Несмотря на возросшее за пос- лось долгожданное обновление рабо-
ледние 10 лет в десятки и сотни раз чих станций начального уровня, честь
быстродействие компьютеров, экран- которых на протяжении шести лет «от-
ное разрешение мониторов хоть и уве- стаивали» O2 и O2+. Данное событие
личилось, однако не столь значитель- произошло в январе 2002 года, когда
но. «Сетевая визуализация» позволя- миру была представлена модель Fuel.
ет вам вместо передачи информации Основная её особенность, позднее
пересылать лишь её изображения, тем ставшая стандартом для остальных но- Рабочая станция SGI Fuel
самым значительно эффективнее рас- винок SGI – архитектура, основанная
ходуя пропускную способность канала на базе SN-1. В принципе Fuel пред- тели SGI опровергали эти слухи, в ап-
передачи информации. Для примера: ставляла собой одномодульную и од- реле Патентное Ведомство США под-
геолог в поле может получать данные нопроцессорную вариацию на тему твердило передачу трёх патентов в ру-
с суперкомпьютера своей компании сервера начального уровня Origin 300, ки Microsoft.
на ноутбук или даже карманный ком- дополнительно оснащённую графикой Затем SGI впала в «спячку» и лишь
пьютер». Как и «центры реальности», VPro. Однако цена станции, стартовав- в ноябре 2002 года объявила о выходе
системы «сетевой визуализации» ути- шая с 11,5 тыс. долларов, явно не спо- Origin 3900 – наиболее производитель-
лизировали весь спектр аппаратного собствовала обретению Fuel статуса ного сервера компании. Новинка под-
и программного обеспечения SGI. «начального уровня». держивала до 512 процессоров, до 1 Тб
Однако количество клиентов, нуж- Анонс новой рабочей станции по- оперативной памяти и в максималь-
давшихся в системах подобного клас- мерк по сравнению с возникшими слу- ной конфигурации стоила 3 млн. дол-
са и, главное, способных платить за хами о том, что SGI опять взялась со- ларов. Примечательно, что Origin 3900
них баснословные суммы, было нич- трудничать со своим злейшим врагом – стал последним сервером SGI, работа-
тожно мало, чтобы помочь компании Microsoft. В январских новостях, цирку- ющим на базе чипов MIPS.
держаться «на плаву». Единственное, лировавших в Интернете, говорилось Лето 2003 года ознаменовалось
что её спасало – традиционные высо- о продаже части патентов на графи- выходом множества новинок, пред-
копроизводительные сервера, систе- ческие технологии за 62,5 млн. дол- ставленных SGI. В июле семейство ра-
мы хранения данных и суперкомпью- ларов. Несмотря на то что представи- бочих станций Octane, которому шёл
шестой год, наконец-то «ушло на по-
Первая станция на базе Itanium ная оперативная память типа SDRAM, а так- кой», а вместо него появился новый
Несмотря на то что о появлении первых же графический адаптер ATI XPERT 2000 чемпион – Tezro. Новинка была осно-
систем семейства Altix на базе процессо- PRO на базе чипа Rage 1999 года выпуска. вана на уже ставшей стандартом для
ров Itanium компания объявила лишь в 2003 Последний «штрих» к «портрету» новин- всей продукции SGI архитектуре Origin
году, попытка выпустить рабочую станцию ки – выпуск компанией Dell рабочей стан- 3000, содержала один, два или четыре
на базе нового чипа от Intel была предпри- ции Precision Workstation 730, являющейся… процессора MIPS R16000, до 8 Гб ОЗУ,
нята ещё раньше. В июне 2001 года вмес- точной копией SGI 750 как по внутреннему а также самый производительный гра-
те с анонсом о прекращении производс- содержанию, так и по внешнему исполне- фический адаптер серии VPro – V12 со
тва рабочих станций на базе процессоров нию, однако, что интересно, анонсирован- 128 Мб видеопамяти. Цена – от 31 тыс.
Pentium SGI объявила о выпуске SGI 750 – ной на месяц раньше. Из-за «сырости» пер- долларов.
единственной модели, построенной на ба- вого поколения чипов Itanium, малого коли- Второй новинкой стало новое поко-
зе Itanium первого поколения. Однако эта чества доступного для этой платформы ПО, ление серверов визуализации Onyx4,
рабочая станция не являлась собственной а также неудачной комплектации SGI 750 способных, по сравнению со своим
разработкой компании, внутри неё исполь- и её работы исключительно под Linux, рабо- предшественником, нести большее
зовались стандартные компоненты: мате- чая станция популярности не обрела и ско- количество процессоров, а также об-
ринская плата производства Intel, стандарт- ропостижно «канула в Лету». ладающих графическими системами

№6, июнь 2006 89

 ретроспектива
Проект «Колумбия»
К 2004 году Национальное аэрокосмичес-
кое агентство для проведения своих даль-
нейших экспериментов заказало SGI новый
суперкомпьютер, который бы увеличил ком-
пьютерные мощности NASA в десятки раз.
В июле 2004 года был официально запущен
проект под названием Project Columbia, ре-
зультатом которого должна была стать сис-
тема, состоящая из 20 серверов Altix 3700,
каждый из которых нёс на борту 512 про-
цессоров. На следующий день после запус-
ка, состоявшегося 26 октября, новый су-
перкомпьютер стал первым в списке Top
500 наиболее производительных систем
InfiniteReality4, построенными на базе
чипов от ATI.
И, наконец, последняя новинка,
появления которой компьютерная об-
щественность ждала на протяжении
пяти лет, – семейство серверов Altix
3000, работающих на основе процес-
сора Itanium.
Итаник XXI века
Ещё до своего официального выхо-
да новый процессор Itanium компании
Intel был окрещён общественностью
«Титаником» нового века, или прос-
то «Итаником» (Itanic). Первоначаль-
но выход процессора должен был со-
стояться в 1999 году, однако затем его
выпуск был неоднократно перенесён,
что стало причиной неудовлетвори-
тельных финансовых показателей SGI
в 1998-99 гг.
Тем не менее компания возлагала
большие надежды на новый чип от Intel,
и при проектировании архитектуры
SN-1 (Onyx 3000) изначально нацели-
вала её как на работу с чипами MIPS,
так и с Itanium. Однако, если семейс-
тво Onyx 3000, как и его предшествен-
ники, работало на базе операционной
системы IRIX, то для Altix SGI решила
использовать Linux.
Почему именно Linux? Перенос
операционной системы IRIX на новую
платформу оказался задачей трудно-
выполнимой: объём кода, написанного
за более чем десяток лет, был слишком
велик. Конечно, ходили слухи, что этот
проект всё же стартовал в недрах SGI,
однако по прошествии короткого про-
межутка времени был отменён.
В то же время такие компании как
RedHat и SUSE уже располагали дист-
90
мира, достигнув показателя 42,7 Тфлоп/с,
или 42,7 триллиона операций с плавающей
запятой в секунду. Однако спустя корот-
кий промежуток времени, Project Columbia
был свергнут новым суперкомпьютером
BlueGene/L корпорации IBM, обладаю-
щим производительностью 280,6 Тфлоп/с.
На сегодняшний день первую тройку мест
в списке занимают системы «голубого ги-
ганта», тогда как суперкомпьютер SGI опус-
тился на четвёртую позицию.
Кстати, на данный момент SGI являет-
ся чуть ли не единственным клиентом Intel,
приобретающим процессоры Itanium в ко-
личествах больше десяти тысяч.
рибутивами Linux для новой платфор-
мы от Intel. По словам вице-президента
по продажам компьютерных систем Биу
Вролика: «Использование Linux в на-
ших новых системах позволит вдвое
увеличить производительность, в три
раза снизив при этом стоимость».
Август 2003 года ознаменовался
долгожданным выходом первого сер-
вера из нового семейства Altix на базе
процессоров Itanium 2. Перед анонсом
компания объявила об увольнении 600
человек, которое позволило «наскрес-
ти» ей дополнительные 20 млн. долла-
ров на запуск новой линейки.
Архитектурно сервер Altix является
полной копией Origin 3000 с той лишь
разницей, что в процессорных модулях
вместо чипов MIPS стояли процессоры
Intel. На момент выхода новые серве-
ра являлись единственными система-
ми, способными нести «на борту» 256
процессоров Itanium 2 и 24 Тб ОЗУ. Бла-
годаря этому за первые пару месяцев
Сервер визуализации SGI Onyx4
SGI объявила о 110 клиентах, поже-
лавших заполучить новинку. К сожале-
нию, за квартал компания смогла реа-
лизовать лишь 29 готовых систем, ко-
торые, тем не менее, принесли компа-
нии 12 млн. долларов прибыли.
На протяжении 2004 года SGI ти-
хо «варилась в собственном соку»,
лишь единожды вынырнув на поверх-
ность, чтобы представить Prizm – пер-
вую «родную» рабочую станцию ком-
пании на базе процессоров Itanium 2,
впрочем, основанную, как и большинс-
тво продукции компании, на базе сер-
верной архитектуры (в данном случае
Altix). Два процессора, поддержка до
24 Гб ОЗУ, возможность установки не-
скольких графических карт ATI FireGL
обойдутся пользователю от 8,5 до 39
тыс. долларов.
Представленная в 2004 году стан-
ция Prizm устанавливалась в сервер-
ную стойку, тогда как в 2005 году поя-
вилась модель в стандартном настоль-
ном исполнении.
Объявленный в апреле 2005 г. оче-
редной финансовый квартал выдался,
как всегда, убыточным для SGI. Потери
составили 45 млн. долларов, годовой
доход – 240 млн. долларов. Для сравне-
ния: четыре года назад эта цифра со-
ставляла 500 млн., шесть лет назад –
760 млн. доллвроа.
Эта новость, впрочем, заранее
ожидаемая, спровоцировала падение
курса акций SGI. Их цена, ранее до-
стигавшая почти 50 долл., опустилась
ниже долларовой отметки, в резуль-
тате чего акции компании были сня-
ты с основных торгов фондовой бир-
жи New York Stock Exchange. Несмот-
ря на то что акции SGI и раньше попа-
дали в категорию «ниже одного дол-
лара», в течение месяца-двух их цена
поднималась на своё прежнее место.
Однако теперь компанию ничто не мог-
ло спасти от краха – на момент написа-
ния статьи стоимость одной акции упа-
ла до поистине смешных 6,8 центов!
В поисках средств для существо-
вания компания совершала довольно
отчаянные поступки. Поскольку коли-
чество персонала SGI за последние
несколько лет значительно сократи-
лось, компания приняла решение пере-
ехать на другое место, в здание мень-
шей площади. А оставшийся пустым
корпус SGI в ноябре 2005 года сдала
в аренду компании Google, согласив-
 ретроспектива
шейся каждый год выплачивать ей
17 млн. долларов. Попытка реабилитации ных матриц (FPGA). Такой модуль, подклю-
Вместе с этим заявлением SGI объ- Последняя на данный момент новая разра- чённый при помощи шины NUMAlink к сер-
явила о выпуске сервера Altix 4000, ос- ботка от SGI – «революционная» техноло- веру Altix, программируется под выполнение
новное отличие которого от её пред- гия RASC (Reconfigurable Application-Specific конкретной задачи и, по словам компании,
шественников заключается в подде- Computing – вычисления, реконфигурируе- ускоряет её выполнение на порядок. На дан-
ржке 128 Тбайт оперативной памяти. мые под конкретное приложение), реали- ный момент наиболее производительная мо-
На данный момент Altix 4000 являет- зация которой представляет собой blade- дель, RC100, содержит две FPGA-матрицы
ся последним обновлением в линейке модуль, предназначенный для установки Xilinx Virtex 4 LX200, 80 Мб сверхбыстрой ста-
серверов компании. в стандартную серверную стойку, и содержа- тичной памяти QDR SRAM, или же до 20 Гб
щий несколько программируемых вентиль- оперативной памяти типа DDR2 SDRAM.
Роковое 8 мая
1 февраля 2006 года, после объяв- чего на данный момент в компании ра- длежащую SGI. «Составляющие», пе-
ления результатов за очередной фи- ботают всего 1800 сотрудников. Кроме речисленные выше, являются целью
нансовый квартал, согласно кото- того, свои посты покинули: финансо- и других компаний, сумевших выжить
рым компания потеряла очередные вый директор Джеф Зельмер и испол- в условиях суровой реальности и по-
79 млн. долларов, совет акционеров нительный директор Уоррен Пратт. Ту- думывающих над покупкой SGI. Ана-
SGI не выдержал и принял решение чи над головой SGI сомкнулись, и гря- литики «бросаются» громкими имена-
снять Боба Бишопа с поста исполни- нул гром. ми: Sun, Hewlett-Packard, IBM. Некото-
тельного директора. Его место занял Ещё в феврале представители ком- рые пророчат в качестве потенциаль-
Денис МакКинна, ранее исполнявший пании «в тихую» предрекали о том, ного покупателя преуспевающую ны-
аналогичные обязанности в компа- что вполне возможно, в течение года не Apple Computer. В свете столь бур-
нии SCP Global Technologies. «Компа- SGI обанкротится. К сожалению, их но и непредсказуемо развивающихся
ния столкнулась с проблемами, одна- слова стали правдой. событий нам остаётся лишь пожелать
ко мы о них знаем», – заявлял тогда Во время написания этой статьи SGI удачи.
МакКинна. «Мои методы правления 8 мая компания публично объявила Ну а в заключение хотелось бы пе-
SGI будут заключаться в продолжении о том, что была вынуждена подать за- ресказать слова ещё одного посети-
того, что мы делаем, более эффектив- явление о банкротстве. Теперь в лю- теля сайта Osnews.com: «Мы пользу-
но и продуктивно, именно так мы смо- бой момент времени компания может емся персональными компьютерами,
жем расширяться и рапортовать о по- прекратить своё существование. Це- в которых установлены видеокарты,
вышении доходов». лый штат аналитиков и финансистов основанные на технологиях SGI; ком-
Результат работы нового исполни- пытается хоть немного исправить фи- пьютерами Macintosh, операционная
тельного директора не заставил себя нансовое положение компании, кото- система которого славится своими ви-
ждать: через месяц, в марте этого го- рое иначе, как плачевным, назвать не- зуальными эффектами, созданными
да, компания объявила об очередном льзя: при 369,4 млн. долларов, которые при помощи OpenGL; рабочими стан-
увольнении 250 человек, в результате являются оценочной стоимостью иму- циями на базе Linux, на которых рабо-
щества SGI, долг компании составля- тает графическое ПО, впервые появив-
ет 664,3 млн. долларов. Где взять де- шееся на платформе SGI. Однако мы
ньги на его погашение, пока, к сожа- больше никогда не увидим уровень ин-
лению, не ясно. новаций, подобный тому, что принес-
ла в мир SGI, от других компаний типа
Грустная лирическая нота Intel, AMD, Dell и иже с ними».
Что осталось от прежней SGI, компа- Несмотря на то, что на данный мо-
нии, ещё 10 лет назад будоражившей мент SGI «дышит на ладан», пользо-
ум каждого техника, художника либо ватели её систем продолжают холить
учёного? Совсем немного: несколько и лелеять свои компьютеры. Их ак-
первоклассных инженеров, пара-трой- тивность можно проверить, загля-
ка технологических ноу-хау и патентов нув по ниже перечисленным адресам:
на технологии, созданные компанией www.nekochan.net, www.siliconbunny.com,
за период её существования. Напри- www.sgizone.net.
мер, именно патенты на графические
технологии, часть из которых ещё на- Источники:
ходится в закромах SGI, интересуют 1. http://www.cnet.com
компанию nVidia, желающую, соглас- 2. http://www.eweek.com
но циркулирующим в Интернете слу- 3. http://www.osnews.com
хам, заполучить остатки этого бизне- 4. http://www.sgi.com
са компании. Скорее всего, компания 5. http://www.theregister.co.uk
хочет заполучить в свои владения тор- 6. http://www.wikipedia.com
Сервер SGI Altix 3000 говую марку OpenGL, всё ещё прина- 7. http://www.wsj.com

№6, июнь 2006 91

 книжная полка
Несмотря на то что технологии вирту-
альных машин достаточно популярны,
информации на русском языке по этой
теме очень немного. Эта книга помо-
жет вам освоить общие концепции вир-
туальных машин и программы, с помо-
щью которых вы сможете ознакомить-
ся с ними на практике.
Надо заметить, это издание –
единственная книга на русском язы-
Беспроводные технологии переда-
чи данных уже прочно вошли в на-
шу жизнь и продолжают развиваться
дальше. Освоив материал этой книги,
вы сможете приступить к проектиро-
ванию и построению собственной бес-
проводной сети.
Вопреки ожиданию в начале книги
авторы рассказывают о диаметраль-
ной противоположности беспроводных
92
Виртуальные машины:
несколько компьютеров в одном
Алексей Гультяев
ке, полностью посвященная виртуаль- сы сетевого взаимодействия с госте-
ным машинам. выми ОС.
Весь материал книги посвящен Описание всех трех программ
тройке наиболее популярных программ происходит по одной и той же схеме,
в этой отрасли, а именно Microsoft что в конечном итоге поможет читате-
Virtual PC 2004, VMWare Workstation лю выбрать для себя наиболее подхо-
и Parallels Workstation. дящий вариант.
Из первой главы вы узнаете, как ра- К книге прилагается CD, на кото-
ботают виртуальные машины, основ- ром вы найдете trial-версии всех опи-
ные способы их применения, а также санных в книге программ. Весь ма-
будут рассмотрены основные методы териал снабжен большим количест-
реализации технологий визуализации, вом иллюстраций и скриншотов. Кни-
а именно – виртуальные машины с эму- га рассчитана на широкий круг чита-
ляцией API гостевой ОС, полная эму- телей, в том числе и на тех, кто никог-
ляция гостевой ОС, и машины с ква- да раньше не работал с виртуальны-
зиэмуляцией. ми машинами.
Каждой из программ посвящена
отдельная глава, в которой последо-  Издательство: «Питер»
вательно рассказывается об общих  Год издания: 2006
характеристиках продукта, установ-  Количество страниц: 224
ке и первоначальной настройке, со-  ISBN: 5-469-01338-3
здании и управлении гостевой ОС.  Цена: ≈ 300 руб.
Не оставлены без внимания и вопро- Книга предоставлена издательством «Питер».
Основы построения беспроводных
локальных сетей стандарта 802.11
Педжман Рошан, Джонатан Лиэри
сетей, т.е. о сетях, построенных тради- диочастотный тракт» вы узнаете о том,
ционным образом. как вышеописанные технологии рабо-
Из второй главы вы узнаете общие тают на более низком уровне (основы
сведения о беспроводных сетях стан- ради- и антенной техники).
дарта 802.11. Обзор топологий WLAN, Практические советы из главы
механизмы доступа к среде стандар- «Развертывание беспроводных сетей»
та 802.11, нестандартные устройства, помогут вам построить более эффек-
операции, осуществляемые на уровне тивную сеть при меньших затратах.
MAC-стандарта 802.11. Далее подроб- В завершении авторы рассказыва-
но описаны стандарты беспроводных ют о последних технологиях беспро-
сетей, построенных с использованием водной передачи данных (bluetooth,
802.11 ; 802.11a ; 802.11b ; 802.11g. В гла- UWB, FSO). Хорошая и полезная книга,
ве, посвященной безопасности, авторы с материалом которой должен быть оз-
рассказывают о различных механиз- накомлен каждый сетевой инженер и
мах аутентификации, известных сла- администратор.
бых местах, и, что немаловажно, да-
ют рекомендации по усилению защиты  Издательство: «Вильямс»
(в частности, описаны алгоритмы ау-  Год издания: 2004
тентификации и защиты данных).  Количество страниц: 304
Достаточно подробно рассмотрен  ISBN: 5-8459-0701-2
материал, касающийся вопросов роу-  Цена: ≈ 325 руб.
минга в беспроводных сетях, а также Книга предоставлена Издательским домом
механизм QoS (802.11e). Из главы «Ра- «Вильямс».

Материал этой книги написан при учас-
тии 12 авторов, каждый из которых яв-
ляется специалистом в своей области.
Rational Application Developer является
одним из самых популярных средств
разработки, тестирования и отлад-
ки приложений J2EE на платформе
WebSphere. Книга построена таким об-
разом, чтобы даже при наличии мини-
мального опыта работы с IBM Rational
Это издание является переводом офи-
циального авторизованного издания
Oracle press. Сразу стоит отметить, что
эта книга подготовлена профессиона-
лами и для профессионалов. Традици-
онно для администраторов и разра-
ботчиков баз данных тема оптимиза-
ции является одной из основных сфер
деятельности. Весь изложенный мате-
риал в книге относится к Oracle 9i/8i.
№6, июнь 2006
Введение в IBM Rational Application
Developer
Джейн Фанг, Колин Йу, Кристина Лау и др.
Application Developer вы могли сразу
приступить к написанию какого-либо
проекта. Также следует отметить, что
каждая глава является самодостаточ-
ной частью материала, т.е. изложение
ведется непоследовательно. Весь ма-
териал носит сугубо практический ха-
рактер – каждый вопрос и тема объ-
ясняются на примере какого-либо уп-
ражнения. Спектр рассмотренных тем
очень широк: разработка Java-прило-
жений, Web-разработка, технологии
работы с базами данных, XML, ком-
поненты Enterprise JavaBeans, Java
Messaging Service и компоненты уп-
равляемые сообщениями, Web-служ-
бы, дополнительные вопросы, связан-
ные с J2EE (программирование на ос-
нове аннотаций, создание расширен-
ных EAR-файлов для WebSphere, бе-
зопасность J2EE). Подробно рассмот-
рены вопросы создания Java прило-
жений с графическим интерфейсом,
Oracle 9i. Оптимизация
производительности
Ричард Дж. Нимик
Несмотря на то что уже давно доступ-
на версия 10g, большинство баз дан-
ных, находящихся в промышленной
эксплуатации, до сих пор использу-
ют эти версии. Количество, и что са-
мое главное – качество изложенного
материала просто поражает. Среди
рассмотренных тем: новые свойства
Oracle 9i, основные принципы постро-
ения индексов, дисковый ввод/вывод
и фрагментация, оптимизация базы
данных с помощью параметров ини-
циализации, Enterprise manager, Oracle
SQL Scratchpad и SQL *Plus Worksheet
и tuning pack; использование explain,
trace, tkprof и stored outlines. Стандар-
тный синтаксис инструкций, оптими-
зация запросов, объединение таблиц
и другие продвинутые методы опти-
мизации, применение pl/sql для улуч-
шения производительности, использо-
Обзор книжных новинок подготовил Александр Байрак
книжная полка
коллективная разработка с использо-
ванием CVS (установка CVS, после-
довательная и параллельная разра-
ботка), профилирование и журналы
(анализ и решение проблем, связан-
ных с производительностью, методи-
ки поиска и устранения утечек памяти,
трассировка приложений). Завершает
книгу глава, посвященная визуально-
му моделированию (UML, анализ ар-
хитектуры и анализ приложений). За-
мечательная книга, рекомендую всем,
кто так или иначе занимается процес-
сом разработки при помощи Rational
Application Developer.
 Издательство: «Кудиц-Образ»
 Год издания: 2006
 Количество страниц: 592
 ISBN: 5-91136-010-1
 Цена: ≈ 511 руб.
Книга предоставлена издательством «Кудиц-
Образ».
вание параллелизма, V$-представле-
ния, X$-таблицы. Подробно рассмот-
рены вопросы использование пакета
Statpack для настройки ожиданий и за-
щелок, практические рекомендации
по быстрому анализу системы, мони-
торинг системы с помощью утилит из
ОС UNIX. Книга адресована прежде
всего профессиональным админист-
раторам и разработчикам баз данных
Oracle. Отличное и в своем роде уни-
кальное издание.
Рекомендую!
 Издательство: «Лори»
 Год издания: 2006
 Количество страниц: 726
 ISBN: 5-85582-250-8
 Цена: ≈ 450 руб.
Книга предоставлена Издательским домом
«Вильямс».
93

Российская Федерация
 Подписной индекс: годовой – 20780, полугодовой – 81655
Каталог агентства «Роспечать»
 Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
 Альтернативные подписные агентства:
Агентство «Интер-Почта» (495) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (495) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
ЛинуксЦентр www.linuxcenter.ru
 Подписка On-line
http://www.arzi.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенк-
латуры «АРЗИ»:
 Азербайджан – по объединенному каталогу россий-
ских изданий через предприятие по распространению
подписка на 2006 год
печати «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
 Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
 Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г. Минск, пр-т Ф. Скорины, 10)
 Узбекистан – по каталогу «Davriy nashrlar» российс-
кие издания через агентство по распространению пе-
чати «Davriy nashrlar» (7000029, г. Ташкент, пл. Муста-
киллик, 5/3, офис 33)
 Армения – по списку номенклатуры «АРЗИ» через
ГЗАО «Армпечать» (375005, г. Ереван, пл. Сасунци Да-
вида, д. 2) и ЗАО «Контакт-Мамул» (375002, г. Ереван,
ул. Сарьяна, 22)
 Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г. Тбилиси, ул. Хошараульская, 29)
и АО «Мацне» (380060, г. Тбилиси, пр-т Гамсахурдия, 42)
 Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г. Тирасполь, ул. Ленина, 17)
по прайс-листу через ООО Агентство «Editil Periodice»
(МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
 Подписка для Украины:
Киевский главпочтамт
Подписное агентство «KSS», тел./факс (044)464-0220

Подписные
индексы:

20780*
81655**
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»
*
годовой
**
полугодовой

№6, июнь 2006 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№6(43), Июнь, 2006 год

РЕДАКЦИЯ
ЧИТАЙТЕ
Исполнительный директор
Владимир Положевец В СЛЕДУЮЩЕМ
НОМЕРЕ:
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редактор
Алексей Коршунов Возможности технологии отбирает некоторое время и силы сис-
Внештатные редакторы MS Windows SharePoint темных администраторов, и особенно
Алексей Барабанов Services на первом этапе установки и настрой-
Сергей Супрунов WSS предоставляют удобный и прос- ки спам-фильтров. Вариантов реше-
той интерфейс для создания и изме- ния этой проблемы много, в Сети мож-
РЕКЛАМНАЯ СЛУЖБА нения веб-страниц. Однако, исполь- но найти многостраничные руководс-
тел./факс: (495) 628-8253 зуя совместимый с данной технологи- тва по настройке любой системы борь-
Евгения Тарабрина
ей редактор, например Microsoft Office бы со спамом. Осталось лишь выбрать
reсlama@samag.ru
FrontPage 2003, можно очень просто приемлемый вариант.
Верстка и оформление повысить функциональность и улуч-
maker_up@samag.ru шить внешний вид веб-узла. Как работает Sendmail?
Дизайн обложки Полезные подробности
Николай Петрочук Настраиваем (Часть 3)
Dr. Web Enterprise Suite В следующем номере поговорим о со-
По вопросам распространения Мало кто ставит под сомнение тот провождении работающего сервера
обращайтесь по телефону: факт, что на рабочем месте современ- Sendmail. Он должен не просто рабо-
(495) 628-8253 (доб. 120) ного человека должен стоять антиви- тать, а работать эффективно, надёжно
русный пакет. Сегодня вирусы берут не и безопасно. И для этого мы подроб-
107045, г. Москва,
умением, а числом. В основном, они не нее остановимся на некоторых вопро-
Ананьевский переулок, дом 4/2, стр. 1
разрушают информацию – они созда- сах мониторинга, оптимизации и повы-
тел./факс: (495) 628-8253
Сайт журнала: www.samag.ru ют условия для «утечки» коммерчес- шении защищённости сервера.
кой информации. Что именно выбрать
РУКОВОДИТЕЛЬ ПРОЕКТА в качестве основы, чтобы имелась воз- Устанавливаем Systems
Петр Положевец можность централизованного обнов- Management Server 2003
ления антивирусных агентов, имел- Установка программного обеспече-
УЧРЕДИТЕЛИ ся единый центр управления и велась ния, обновлений, а также проведение
Владимир Положевец оперативная статистика? Стоит обра- инвентаризации, по мере увеличения
Александр Михалев тить внимание на антивирусные реше- количества компьютеров в сети, ста-
ния масштаба предприятия (Enterprise новится постоянной головной болью
ИЗДАТЕЛЬ
Solutions). системного администратора. Мощным
ЗАО «Издательский дом
средством, способным превратить ру-
«Учительская газета»
Боремся со спамом тинную работу в удовольствие и сэ-
Отпечатано типографией Борьба с непрошенной коммерческой кономить массу времени, становится
ГП «Московская Типография №13» почтой – спамом, как и прочие задачи, Systems Management Server 2003.
Тираж 11000 экз.

Журнал зарегистрирован Уважаемые читатели!

в Министерстве РФ по делам печати,
телерадиовещания и средств массо- Спешите оформить подписку
вых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002 г.).
на второе полугодие 2006 года!
Приобрести новые и старые номера журнала
За содержание статьи ответственность
несет автор. За содержание рекламно- вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
го объявления ответственность несет
рекламодатель. Все права на опубли-
кованные материалы защищены.

Доставка почтой в любую точку России.

96