Системный администратор 73 PDF

Так видит журнал читатель, который забыл оформить подписку:
ЛИ
С
ЛИ
ТЯ Е
Ж ПИ
ЗА ДНИ
НУ
РА КУ
ЛЫ ГО
ТИ РАС
К У ВО
О
№12(73) декабрь 2008
НИ НО
ТР
С
БЫ
подписной индекс 20780
КА
www.samag.ru
Новые возможности
№12(73) декабрь 2008

мониторинга событий
И
ЬГ
ЬД О
БО А
К
ИС НН
ЕН
РА СК
ТЕ
УС
в Windows Server 2008
ИЛ ДА
У
ТП
НА П
Л ОТ
НЧ ЖИ
ВО
РА ЛЕ
КО НЕО
Л
АВ ОС
ХА
УЕ
Меры безопасности
ЗА
для защиты информации IT-службы
Так видит журнал читатель, оформивший подписку: Тестируем программы для работы
с разделами жестких дисков
Мониторинг активности хостов
Решаем проблемы
в Outlook Express
Три способа организации VPN
Белые списки в DSPAM
Сетевое сканирование
с помощью МФУ от HP
ПОДПИШИТЕСЬ И ЧИТАЙТЕ!
Безопасность в сетях,
Роспечать – 20780, 81655 построенных
Пресса России – 88099, 87836 на Layer2-коммутаторах Найди в журнале код.
Интер-почта – тел. (495) 500-00-60 Следуй инструкциям.
На кону настоящий
«АДМИНСКИЙ ПРИЗ»
Реклама
Реклама
в номере
3 ТЕНДЕНЦИИ БЕЗОПАСНОСТЬ
РЕПОРТАЖ 56 Меры безопасности для защиты
информации IT-службы
6 Запуск проекта Russian Fedora Существует огромное количество статей, книг и дру-
20 ноября в МИФИ состоялись мероприятия, посвящен- гих публикаций о защите важной бизнес-информации.
ные запуску проекта Russian Fedora. Но ситуация сильно осложняется, когда речь идет о за-
Андрей Маркелов щите информации самой IT-структуры.
Лев Мышкин
АДМИНИСТРИРОВАНИЕ
60 Безопасность в сетях, построенных
8 Тестируем программы для работы на Layer2-коммутаторах
с разделами жестких дисков Рассмотрим, как можно произвести атаки на Layer2-се-
Участники обзора: Norton PartitionMagic, Paragon ти и как защитить такую сеть от нападения с помощью
Partition Manager, Acronis Disk Director Suite, EASEUS оборудования Cisco Systems.
Partition Manager и GParted. Александр Неупокоев
Сергей Яремчук
ЧЕЛОВЕК НОМЕРА
14 Новые возможности мониторинга
событий в Windows Server 2008 66 Цель: стать лучшими разработчиками ПО
Рассмотрим, какие функции для решения задачи пред- в сегменте туристического бизнеса
лагает операционная система Windows Server 2008. Интервью с Антоном Россихиным, директором компа-
Андрей Бирюков нии «САМО-Софт».
Наталия Тарасенко
18 Мониторинг активности хостов
Часто возникают ситуации, когда необходимо произ- 69 ЗАКОН ЕСТЬ ЗАКОН
водить мониторинг серверов или рабочих станций.
И не просто иметь сведение о том, что конкретный хост WEB
выключен в данный момент, а иметь на руках статисти-
ческие данные за определенный период. 70 WSGI – протокол связи веб-сервера
Антон Борисов с Python-приложением
Если вы разрабатываете веб-приложение, каркас
26 Решаем проблемы в Outlook Express для разработки веб-приложений, или даже веб-сер-
Наиболее частые причины сбоев, возникающие вер на Python, вам необходимо знание основ прото-
при работе с e-mail через клиент Outlook Express. кола WSGI – стандартного способа связи веб-серве-
Дмитрий Нестеркин ра и веб-приложения.
Дмитрий Васильев
28 Белые списки в DSPAM
Как позволить пользователям настраивать индивиду- ОБРАЗОВАНИЕ
альные белые списки в DSPAM?
Михаил Кондрин 74 Обзор учебных центров
Куда пойти учиться, какие сертификаты можно получить
36 OpenBSD: особенности организации VPN в учебных центрах, как наиболее выгодно потратить
на основе набора протоколов IPsec свои или корпоративные деньги, а главное, как не по-
Три способа организации VPN. жалеть о потраченном.
Максим Гришков Алексей Коршунов
44 Сетевое сканирование с помощью МФУ РЕТРОСПЕКТИВА

от HP
Процедура инсталляции драйверов и необходимого 82 Через тернии к звёздам:
программного обеспечения сетевых МФУ – длительный история создания плеера Apple iPod
процесс, в результате которого на компьютер клиента В октябре исполнилось семь лет с момента выхода
устанавливается лишнее ПО и устройства. Давайте вы- в свет портативного плеера iPod от Apple. За этот про-
членим из дистрибутива необходимые компоненты. межуток времени устройство стало поистине культо-
Иван Коробко вым, завоевав сердца свыше ста миллионов человек.
Дмитрий Мороз
50 Работаем с данными Active Directory
из скриптов. 87 СИСАДМИН ТОЖЕ ЧЕЛОВЕК
Часть вторая. Применение Perl и PHP
В предыдущей статье мы рассмотрели вопрос, как мож- 88 КНИЖНАЯ ПОЛКА
но обработать данные, полученные из Actve Directory
с использованием языка Bourne Shell и остались 90 СОДЕРЖАНИЕ ЖУРНАЛА ЗА 2008 ГОД
не очень довольны громоздкостью конструкций. Поп-
робуем то же самое сделать на языках Perl и PHP. 25, 65, 73 BUGTRAQ
Рашид Ачилов
АДМИНИСТРИРОВАНИЕ «1С»
Код для участия в розыгрыше призов.
55 Варианты очистки базы данных Следуйте инструкциям на стр. 4.
Продолжаем тему перехода на новую базу данных.
Андрей Луконькин
№12, декабрь 2008

колонка главного редактора
Г
од подходит к концу и само собой напрашивается подведение итогов.
А я все никак не могу отделаться от ощущения, что именно этот год
оставил вопросов больше, чем дал ответов и в любом случае итоги
будут какие-то череcчур уж промежуточные.
События последних месяцев настолько затмили собой все то, что про-
исходило в первой половине 2008 года, и уже с трудом вспоминается, с че-
го же он начинался. Лично я вспоминаю только то, как с трудом создава-
лись, а потом неумолимо разрушались деловые связи. Как создавались
новые проекты, а следом приходило понимание, что их неизбежно придет-
ся отложить до лучших времен, которых пока еще неизвестно когда сто-
ит ожидать.
Но я предлагаю не впадать в черную апатию и просто подождать янва-
ря-февраля 2009 года, когда станет примерно понятно, чего ожидать от бу-
дущего года в целом. По мнению многих аналитиков (и прочих «предсказа-
телей»), именно в этот период станет понятно, как мы будем жить дальше
и какие задачи перед нами будут стоять.
Мне же хочется до последнего оставаться оптимистом и верить, что уже
будущим летом-осенью мы сможем воплотить все свои планы и реализо-
вать большую часть проектов. Разумеется, делать это придется с оглядкой
на происходящее в мире, но разве когда-то было иначе?
Радует то, что хорошенько обдумав перспективы (насколько это воз-
можно сейчас), как компании, так и люди пришли к выводу, что трудности
надо переживать вместе. И это внушает неподдельный оптимизм, потому
что означает – не все «опустили руки, закупили рис и принялись ждать кон-
ца света». Раз есть желание преодолевать трудности, а не судачить по до-
мам и офисам о тяжелой обстановке на финансовом рынке, значит, бес-
покоиться не о чем.
В любом случае, в новый год хочется войти не «аккуратно бочком», с сом-
нением пробуя почву под ногами, а твердой походкой, глядя только вперед,
с уверенностью в собственных силах. Поэтому хочу пожелать всем чита-
телям успешности исполнения их собственных планов, крепкого здоровья
и поменьше волнений. В наших силах решить любые проблемы и справить-
ся с любыми трудностями. С наступающим Новым 2009 годом вас!
Алексей Коршунов

тенденции
Компании развивают свои ного дистрибутива Debian GNU/Linux на T-Mobile G1 с ори-
Open Source-драйверы для Linux гинальной Linux-платформой Android. В своем блоге он уже
В середине ноября VIA обнародовала пресс-релиз, в кото- опубликовал подробные инструкции, с помощью которых
ром сообщалось, что компания «активно сотрудничает с ко- любой обладатель G1 может повторить успех автора, за-
мандой разработчиков OpenChrome, занимающихся графи- пустив Debian на своем смартфоне. С помощью файловой
ческим драйвером с открытым исходным кодом, помогая системы unionfs энтузиасту удалось «совместить» Debian
им с поддержкой multi-head и с функцией RandR». Заявле- с родной для G1 платформой и фактически он добился воз-
ние вызвало заметный интерес Open Source-сообщества, можности работать с приложениями для Debian в самом
поскольку еще в августе VIA выпустила свой драйвер с от- Android. Очевидно, в Google подобные инициативы не одоб-
крытым кодом. По всей видимости, VIA сместила акценты ряют и будут им препятствовать (в последних прошивках
в пользу поддержки разработок сообщества (OpenChrome). G1 устранена возможность получения пользователем root-
Одновременно с этим, VIA опубликовала (на веб-сайте X.org) привилегий). Вскоре компания Koolu Inc объявила о перено-
четыре гида по своим видеокартам для программистов, об- се сроков выхода Android для Open Source-смартфона Neo
щий объем которых составил около 450 страниц. В конце FreeRunner, заявив, что бета-релиз этого порта состоится
месяца Сэм Леффлер (Sam Leffler), занимающийся под- в первую неделю декабря. Koolu надеется продавать свой
держкой HAL, используемого в релизах Linux-драйверов телефонный стек Android и телефоны для разработчиков,
для беспроводных карт Open Source-проекта MadWifi, объ- конечных пользователей, дистрибьюторов и реселлеров.
явил о выпуске исходного кода его реализации HAL для карт Первым объявленным VAR-партнером является компания
Atheros под лицензией ISC. Автор так анонсировал событие: SDG Systems, которая имеет долгую историю распростране-
«Этим релизом я выполнил соглашение с Atheros, по кото- ния защищённых Linux-КПК. Стивен Мошер (Steven Mosher),
рому имел доступ к информации об их устройствах. Сие оз- вице-президент по маркетингу Openmoko, благосклонно от-
начает, что в будущем все исправления, обновления для но- несся к инициативе: «Openmoko приветствует усилия Koolu
вых чипов и прочее нуждается в поддержке сообществом. по оптимизации сообщества для портирования платформы
Atheros заявляет, что Linux-платформа будет исходной пуб- Google Android на FreeRunner. В этом преимущества откры-
личной кодовой базой, поэтому желающим добавить под- той платформы. Их сфера деятельности дополняет нашу».
держку устройств для других платформ потребуется обра- Выход финального релиза Android для FreeRunner ожида-
щаться к информации, почерпнутой из этой базы». ется в начале первого квартала 2009 года.
Novell заинтересовалась клиентами Подготовил Дмитрий Шурупов

по материалам www.nixp.ru
Red Hat
Компания Novell объявила о старте программы, нацелен-
ной на плавный перевод пользователей Linux-дистрибути-
вов Red Hat и CentOS на свое корпоративное решение SUSE
Linux Enterprise Server (SLES). С новой инициативой Novell
предлагает обладателям серверов, работающих под управ-
лением систем Red Hat Enterprise Linux (RHEL) или CentOS,
поддержку на 2 года, в течение которых клиент должен миг-
рировать на SLES. Предложение действительно для RHEL
версий 3, 4, 5 и соответствующих им релизам CentOS. При
этом срок поддержки ограничивается не только двумя го-
дами, но и концом жизненного цикла продуктов (если пос-
ледний наступит раньше, чем через 2 года, то и поддержка
Novell перестанет действовать). В рамках новой программы
Novell будет выпускать для своих клиентов бинарные пат-
чи и обновления, самостоятельно собранные из исходно-
го кода, распространяемого Red Hat. Компания гарантиру-
ет бинарную совместимость с RHEL и CentOS. В Novell обе-
щают круглосуточную техническую поддержку по телефо-
ну и электронной почте. Конечная цель такой «поддержки»
пользователей RHEL/CentOS – миграция на решения Novell
(самостоятельно клиентами или через сторонних консуль-
тантов), компания запустит веб-сайт с исчерпывающей ин-
формацией о переходе на SLES.
Android пытаются «подружить»

с миром Open Source
В начале ноября Джей Фримэн (Jay Freeman), прославив-
шийся благодаря своим разработкам для iPhone, сообщил
об успешном запуске популярного свободного и бесплат-

ризов
ыш п
зыг р
ро
рши лся из ж у
в
рн ала,
Заве
н ы х кодо
ь –
с п е ц иа л ы г р ыш а
ю о з
в в е де н и е р в ого р
по п
«к в ест» и м итоги с т ран и
це
ы й о д й
е н пер в и е м подв с о с ед н
е
и з ер ов
д в а п р
Пр о й д о воль
ст
А З »! те лей.
Н
п е р вых
с у Р д и е м
и мы и й п р из и л а по бе з д р ав л я
инс к ел П о
«Адм н а о п р ед в ч и ков.
м а ши ч астли РА З»,
т р а с тна я
с те р ых с
к и й при з
т у ч астие
рис е е
Бе с п и м ена ш «А д минс к то пр им
м ,
в ля е эта п а и всех
жид а
ет
объя ! в т р и
Р И » , , о .
з ы г р ыш
а
р о х оди т
й п р из Т
т ь к одо в
– н оу тбук
ро п и ес T
о з ы г р ыш д м ин ск е т в се ш и и S ecurI
А
з н а ете, р ДВА» и « г и с тр ир
у
т ко м п ан
ы е о
Как В и й п р из ш а и з ар п е р пр из о д в ед е н
ы
инс к ыгр ы нс у т п
«Адм тапах роз а з ы г ра А » буду
т р В
хэ буде из Д
в дву п, гд е и й п р
т и й эта д м ин ск я только
тр е в« А ит с
а п р и зо п о н а до б
ш в ам
р о з ыгр ы од а . р ы ш е
Итог
и
л я 20 09 г е м р оз ыг
е в ра осле
дн
25 ф я в п
л я у части
Д
и м а ние!
Вн дать.
и е ж
умен
А З»!
риз Р
к ий п
минс
«А д
р из
г ра л п
лей! ск) в
ы и
3700
.
о б е дите ж е в n d P т
в л яем п о в и ч (г. И c h D iamo р т и ф и ка
р а ти н Tou йс е ний
По з д В а ле н р HTC р и зо в о п р ав л е
и й ка то ает П н а
в Д м итр к о м муни ) п олуч в ы б ор из
пан о T – с кв а на
Коре и S ecurI ч (г. Мо С и с тем» .
ко м п ан
и
и м иров
и
а т и вных A , C CNP)
о т д по р CN
Вл а я Кор мм C
кс а нд р е м и о г р а
ле ад пр пр из
р и к ов А н т р е «Ак C is c o (из г р а л
Гав вц е ли ыи
б у ч е ни е re e B SD и а я о бл.) в
на о x, F ск я: 8;
o f t, Linu ч (К у р ган с п е ч е ни u s ; Nero
s и о бе R
Micro икол
ае в
м ного n 360
v2
11 plu
s;
й Н а м o r to d io
се огр antec
N Stu
к о в А ле к п а к ет п р S ym a d V ideo
а y, .2; le
Ка н д и Sofke a g IT 8 C orel U т
м па н и
tion S n
a n d a ;
т и ф и ка й
от ко
C o rp o ra
te 4 . 2 + P
в о й с е р
р а в л е ни
и зо п
Smith р Use
r Ga
ет Пр р из
на
Tech р в е у ч а в ы б о
си- се пол ем» н
а
пр о к v o 12. М о с ква) и с т
Y Lin
g (г. ых С P).
ABBY о л а евич о р а тивн N A , CCN
ик рп CC
и к о лай Н д е м ия Ко р о г р ам м
s onyx
–
в Н А к а з п R u
нико ре « co (и нии
Скот е в це н т и л и Cis о т к о мпа
у чен
и SD з
на об u x , FreeB р ь ) – пр и
Lin з ы
soft, (г. Мо
Micro л е го
в и ч
из
И л ья О е р в ер. у ч а ет п р
ич йс пол
т р а шкев д е л е нны л г о г ра д) ер.
Пе
л ь н ый вы в н а (г. Во н ы й с ер в
уа о ен
вирт а д имир й в ыдел
аВ л ьн ы
Л ю д м ил – в и ртуал
ова uson
yx
Битк и и R
м п ан
от ко
у ра!
ип,
Гип-г
Более подробную информацию о сроках и правилах проведения розыгрышей призов смотрите на сайте журнала – www.samag.ru
репортаж
Запуск проекта Russian Fedora

Двадцатого ноября в МИФИ
состоялись пресс-конференция
и мероприятия, посвященные
запуску проекта Russian
Fedora (http://russianfedora.ru).
Начало проекту было
положено еще в марте этого
года во время обсуждения
программы по развитию
открытого программного
обеспечения в Министерстве
информационных технологий
и связи РФ, когда Москву
с визитом посетил президент
и CEO компании Red Hat Джим
Вайтхёрст.
Основные цели проекта n Помочь российским разработчикам ределенных шагов развития проек-
n Объединить российских разра- более активно влиять на основные та, это:
ботчиков и пользователей СПО, СПО-проекты. n Проведение различных меропри-
сформировать «центр притяжения» n Укрепить имидж российского со- ятий в российских вузах, вклю-
для новых пользователей. общества разработки СПО на гло- чая технические семинары и Install
n Сделать Fedora «коробочным» бальном мировом рынке. Party.
дистрибутивом, ориентирован- n Бесплатная рассылка DVD-дисков
ным на российских пользователей. Проект стартовал при непосредст- с дистрибутивом Fedora.
Что касается выходящей десятой венной поддержке Red Hat, и, помимо n Координация действий по лока-
версии Fedora, это будет реализо- руководства европейского представи- лизации как самого дистрибутива,
вано как respin (установочный об- тельства лидера Linux-индустрии и ру- так и ряда дистрибутивнонезави-
раз, основанный на оригинальном, ководства компании VDEL, представ- симых компонентов GNU/Linix.
но с рядом изменений и дополне- ляющей Red Hat на территории Рос- n Создание сети локальных репози-
ний). В дальнейшем рассматри- сии, в мероприятии принял участие ториев по регионам России для то-
вается возможность модифика- Макс Спевак – лидер Fedora Project го, чтобы можно было использо-
ции компонентов дистрибутива – с 2006 по 2008 год, который в настоя- вать региональный интернет-тра-
Anaconda или firstboot «большой» щее время отвечает в Red Hat за стра- фик. (В настоящее время в России
Fedora на предмет облегчения ин- тегию работы с сообществом. Помимо два зеркала репозитория Fedora,
теграции стороннего ПО. За основу англоязычных спикеров собравшему- оба территориально расположены
respin взята известная среди рос- ся в актовом зале МИФИ сообществу в Москве.)
сийских пользователей сборка под был представлен «костяк» российской
названием Tedora, а ее создатель команды Russian Fedora. За организацию программы Russian
Аркадий Шейн – один из активных Кстати, выбор МИФИ в качест- Fedora, в частности за инфраструктуру,
участников проекта. ве площадки проведения мероприя- отвечает компания VDEL. Технологи-
тия далеко не случаен. На сегодняш- ческим ядром проекта Russian Fedora
ний день университет одним из пер- станет Лаборатория Linux ВНИИНС
вых подк лючился к ака демичес - им. В.В. Соломатина.
кой программе Russian Open Source Нужно отметить, что в случае ус-
Educational Program (ROSEP), что поз- пеха проекта в дальнейшем предпо-
воляет студентам изучать курсы по от- лагается создание аналогичных ко-
крытому программному обеспечению манд разработки в других заинтере-
компании Red Hat. Также необходимо сованных странах.
отметить, что встреча в МИФИ прошла
при поддержке LUG MEPhI. Текст: Андрей Маркелов,
Что касается конкретных, уже оп- фото: Дмитрий Астахов
Какой «день рождения» без торта

Реклама
администрирование
Тестируем программы
для работы с разделами
жестких дисков
Сергей Яремчук
Емкости современных жестких дисков давно уже перешагнули все мыслимые рубежи,
а производители, похоже, на достигнутом останавливаться не хотят. Поэтому программы
для работы с разделами жесткого диска являются средствами первой необходимости
как в арсенале администратора, так и обычного пользователя.
Р
азмещать все данные на одном В результе пользователю для рабо- Описания выбранных менеджеров
разделе жесткого диска, неудоб- ты может понадобиться два или более разделов на первый взгляд кажут-
но, небезопасно и нецелесооб- раздела, отформатированных в раз- ся абсолютно идентичными, поэтому
разно. Иначе через некоторое время ные типы файловых систем. Выбран- одной из задач теста было выяснить,
вы рискуете утонуть в свалке файлов, ная первоначально схема разметки в чем отличия программ.
а то и все потерять. диска может корректироваться в про- Обычными при работе с жесткими
Создание нескольких разделов цессе работы системы. Могут добав- дисками являются шесть задач:
на диске может преследовать одну или ляться новые или, наоборот, удаляться n Увеличение системного раздела
несколько целей: уже ненужные разделы и объединять- (диска C:, корневой *nix) – изна-
n отделить установленную систему ся с уже имеющимися. Внешне задача чально выбран системный раздел
от данных пользователя – это упро- выглядит просто, но она очень тяжела недостаточного объема, после ус-
щает операции по восстановлению в решении, ведь все операции необ- тановки всех программ свободного
операционной системы, а также ре- ходимо производить в рабочей среде, места осталось мало. Задача уве-
зервное копирование и восстанов- избежав потери информации и жела- личить его за счет свободного мес-
ление пользовательской информа- тельно за минимальное время. Вероят- та на соседнем разделе (диск «D:»,
ции; но, поэтому сегодня список программ «E:» и так далее).
n разделение информации по кате- для работы с разделами можно пере- n Уменьшение системного разде-
гориям – для ценных данных отво- числить буквально по пальцам одной ла (диск C:, корневой) и созда-
дится один раздел, который систе- руки. В обзор включены как известные ние нового раздела на высво-
матически резервируется, к нему у нас – Norton PartitionMagic, Paragon бодившемся месте – изначаль-
может быть ограничен доступ и так Partition Manager и Acronis Disk Director но была выбраная неудачная схе-
далее, в прочие разделы пользо- Suite, так и менее известный EASEUS ма, все данные находятся на одном
ватель может поместить данные, Partition Manager, не забыт и свобод- разделе, пользователю необходим
не нуждающиеся в тщательном ный аналог GParted. отдельный раздел жесткого диска
уходе (например, аудиоколлек- В обзор не вошла программа под определенные нужды.
цию); Partition Logic (http://partitionlogic.org.uk), n Слияние находящихся рядом
n раздел может быть выделен для ди- распространяющаяся бесплатно. Она разделов жесткого диска – от-
намических данных, чтобы неожи- не требует установки и запускается дельный раздел уже не нужен, при-
данный их рост не помешал рабо- с загрузочного диска, но по качест- нято решение объединить два раз-
те остальных приложений. ву явно уступает GParted. Возможно, дела, сохранив данные.
n установка нескольких операцион- в дальнейшем разработчики устранят n Установка еще одной операци-
ных систем для работы и тестиро- все ошибки и можно будет говорить онной системы на компьютер –
вания на реальном оборудовании. об этой программе серьезно. возникла необходимость работы

в двух системах (98-XP, XP-Vista,
Windows-*nix). Штатные возможности Windows можно лишь создавать, удалять и фор-
n Конвертация файловой систе- В операционных системах Windows Vista матировать разделы в файловые систе-
мы без потери информации – из- и Windows 2008 Server имеется програм- мы FAT16, FAT32 и NTFS (в Windows 2008
менились требования у использу- ма, позволяющая выполнить разбивку Server только NTFS), а также конверти-
емых программ, например, ранее жесткого диска на разделы без примене- ровать раздел с файловой системой FAT
было достаточно FAT, теперь про- ния сторонних утилит. Но с ее помощью в NTFS.
грамма требует, чтобы данные хра-
нились на разделе NTFS. образом, NTFS поддерживается только версий до v.5.1 вклю-
n Копирование раздела диска, в том числе и систем- чительно (Windows 2003 Server). Программа корректно счи-
ного или всего жесткого диска – необходимо клони- тывает данные только с разделов FAT и NTFS. Для разделов
ровать систему или безболезнено перейти на новое с этими типами файловых систем поддерживается слияние,
«железо». копирование и перемещение. Естественно, что объединя-
емые разделы должны иметь один тип файловой системы.
Norton PartitionMagic 8.05 Перед объединением разделов FAT и NTFS один из них вна-
Пожалуй, самая известная утилита, предназначенная для чале следует преобразовать в другой тип. Для ext2/3 пока-
решения описываемых задач. Задав вопрос на любом фо-
руме о поиске необходимой утилиты, с вероятностью 100% Реклама
получим в ответ – PowerQuest PartitionMagic. В свое время
компания-разработчик PowerQuest создала утилиту, ко-
торая быстро преобрела широкую популярность и стала
фактически стандартом в этой области. Но после выпуска
восьмой версии компания была выкуплена Symantec, а про-
грамма переименована в Norton PartitionMagic. К сожале-
нию, после получения такого громкого имени стремитель-
ного рывка в развитии не произошло, и даже наоборот, об
утилите начали забывать. Текущая версия 8.05 датирова-
на 2004 годом, а значит, можно отметить, что развитие ути-
литы фактически прекращено. Найти ссылку на описание
нужного продукта в меню русскоязычного зеркала сайта
Symantec невозможно. Удалось выйти на нее, только вос-
пользовавшись поиском. Скачать ознакомительную версию
нельзя, чтобы увидеть ее в действии, вначале программу
предлагают приобрести.
«Заморозка» продукта сразу же высвечивает главный
ее минус – поддерживаются только известные на тот мо-
мент операционные системы семейства Windows от 98
до XP. И хотя в списке совместимости указана Windows NT
Workstation, есть вероятность того, что при запуске будет по-
лучена ошибка. Не работает PartitionMagic в Windows 2000
и новых Vista или Windows 2008 Server. Все это по мере об-
новления версий Windows весьма сужает области приме-
нения PartitionMagic.
При помощи удобного интерфейса, ставшего стандар-
том и понятного даже новичку, можно разделить жесткий
диск на несколько разделов. Поддерживается форматиро-
вание разделов в файловые системы FAT16, FAT32, NTFS,
Ext2 и Ext3 и Linux Swap. При создании раздела автомати-
чески устанавливается оптимальный размер кластера, хо-
тя есть возможность задать его вручную.
Возможно преобразование разделов без потери дан-
ных из FAT в NTFS и наоборот, а также первичный раздел
в логический и обратно. Но при попытке доступа из другой
операционной системы к разделу, созданному инсталлято-
ром Vista или Windows 2008 (отформатирован в NTFS V6.0),
получаем ошибку: «Init failed: Error 117. Partition’s drive letter
cannot be identified.». Метка, выставленная такому разделу,
отображается некорректно, свойства недоступны, а функции
преобразования и изменения размера блокированы. Таким

Если новый раздел добавлен пе-
ред уже имеющимся, то, естественно,
будут изменены названия дисков. Так,
диск D может стать E, а привод из E –
F. И так далее. Некоторые программы
после этого перестанут запускаться.
Специальная программа DriveMapper,
входящая в комплект, позволяет изме-
нить всю системную информацию, ука-
зав новые пути к файлам. В комплект
входит и программа BootMagic которая
позволяет переключаться между раз-
личными операционными системами.
Для вывода информации о разделах
с последующей распечаткой отчета
предложена утилита PartitionInfo.
Из меню PartitionMagic можно соз-
дать дискету восстановления (Rescue
Diskettes), но при отсутствии дисковода
на большинстве современных компью-
теров смысла в этом пункте уже нет.
Norton PartitionMagic является своего рода стандартом, но, к сожалению, давно
не развивается
Paragon Partition
Manager 9.0
В отличие от предыдущей, информа-
цию о Paragon Partition Manager ис-
кать на сайте Paragon Software Group
не приходится. Для загрузки предлага-
ются две версии продукта: Professional
и Server, ориентированные для при-
менения на рабочих столах и серве-
рах соответственно. Список поддер-
живаемых операционных систем ши-
ре – от Windows 2000 Professional
до Windows Server 2008, заявлена пол-
ная поддержка 64-битной архитектуры.
Список файловых систем аналогичен
предыдущему FAT, NTFS (в том числе
и ко всем пяти типам динамических
дисков), HPFS, ext2, ext3 и Linux swap.
Хотя программа корректно показыва-
ет информацию о разделе ReiserFS,
но работать с ним практически не уме-
Paragon Partition Manager – удобная программа, позволяющая выполнить основные
операции как вручную, так и при помощи мастеров ет. Контекстное меню для ReiserFS
предлагает лишь форматирование,
зывается только его геометрия. Раздел Из дополнительных функций сле- удаление раздела, тест поверхнос-
ReiserFS обозначается как ext2. дует отметить возможность провер- ти и даже такая интересная функция,
Все действия могут производить- ки раздела на ошибки (только FAT как показ и редактирование секторов.
ся вручную при помощи меню, пунктов и NTFS) (встроенный и CheckDisk) Вряд ли последняя будет задейство-
«Операции над разделами» или выбо- и запуск дефрагментатора Windows, ваться большинством пользователей,
ром соответствующей задачи. В пос- установки другой буквы разделу, со- но все же любое дополнение лишним
леднем случае вызывается понятный крытия раздела (он не будет виден не бывает. Отмечу наличие в файло-
пошаговый мастер. Доступно несколь- в Windows). Файловый браузер, вызы- вого менеджера Partition Manager, кото-
ко готовых задач: «Создать новый раз- ваемый из меню, позволяет просмат- рый позволяет получить доступ к под-
дел», «Создать резервный раздел», ривать список, а также копировать держиваемым файловым системам
«Установка другой ОС», «Размеры раз- и добавлять файлы и каталоги в раз- (в том числе и ReiserFS) с возможно-
делов», «Распределение свободного делы Windows и Linux. Заявлена под- стью экспорта данных в другой раз-
места», «Слияние разделов» и «Копи- держка внешних накопителей с интер- дел (только в FAT и NTFS).
ровать раздел». фейсами USB 1.1/2.0 и FireWire. В документации заявленна под-
10
держка NTFS до версии 3.1, но про- пройти все этапы. Наверняка это оце- ным в ReiserFS, с которым он не уме-
грамма позволяет уменьшить или нят новички, для опытных пользова- ет работать. Результат такой операции
увеличить размер раздела сделан- телей некоторые мастера предлагают предсказать проблематично.
ного в Vista. Однако объединить два соответствующий режим. Каждый вы- Программа умеет работать с жест-
стоящих рядом раздела NTFS, один бор сопровождается подсказкой о воз- кими дисками большого объема (про-
из которых создан Vista, а другой – можных дальнейших действиях. На- тестировано до 500 Гб). Кроме IDE-,
в XP, отказывается. Еще одним из ос- пример «Мастер перераспределения SCSI- и SATA-жестких дисков, поддер-
новных отличий Partition Manager свободного места» сразу показыва- живаются FireWire, USB 1.0/2.0, а так-
от PartitionMagic является его умение ет, на сколько можно увеличить про- же флеш-карты.
изменять размеры разделов ext 2/3. странство выбранного раздела за счет Из дополнительных функций можно
Возможности по настройке разде- свободного места на других разделах- отметить наличие менеджера загруз-
лов жесткого диска в Partition Manager донорах. Далее пользователь флаж- ки и возможность создания аварийно-
совпадают с PartitionMagic – формати- ками отмечает разделы, за счет ко- го CD/DVD диска или дискеты, который
рование, удаление, изменение, объ- торых будет увеличено пространство, используется для восстановления ра-
единение, перераспределение сво- и вводит новое значение размера це- ботоспособности.
бодного места, копирование разделов левого раздела. Мастер покажет, как
и клонирование системы. Дополни- будет выглядеть диск после актива- Acronis Disk Director
тельно следует отметить возможность ции изменений. Всю дальнейшую за- Suite 10.0
сохранения резервной копии данных боту берет на себя мастер. В обыч- Для управления разделами жестко-
с любой поддерживаемой файловой ном режиме (пункт «Полный арсенал го диска компания Acronis предлага-
системы на локальный или сетевой средств для эффективного управле- ет комплексное решение Acronis Disk
диск, в скрытый раздел или на CD/DVD- ния жестким диском») пользователю Director Suite, которое включает пять
диск (в том числе и двухслойный). пришлось бы самостоятельно разме- решений, ориентированных на выпол-
После запуска программы появит- чать диск, вручную перераспределяя нение разных задач:
ся окно, в котором предстоит выбрать пространство. Интересно, что мастер n Acronis Partition Expert – собст-
задачу. Основной упор сделан на на- «берется» увеличить размер раздела венно менеджер разделов, поз-
стройку при помощи мастеров, ко- за счет разделов-доноров, располо- воляющий осуществлять копиро-
торые в пошаговом режиме помогут женных за разделом отформатирован- вание, перемещение и изменение
EASEUS Partition ManagerHome – бесплатная программа с минимумом возможностей
№12, декабрь 2008 11

размеров разделов без риска по- сителей, содержащих продукты ющий под управлением Windows 98
тери данных; от Acronis, которые можно исполь-до Vista включительно. Поддержива-
n Acronis Disk Editor – программа зовать в том случае, если системается работа с файловыми система-
для вывода информации из секто- не загружается; ми FAT16, FAT32, NTFS, HPFS, еxt2,
ров диска в удобном виде и редак- n Acronis Acronis OS Selector – ме-ext3, ReiserFS и Linux swap. Нет проб-
тирования содержимого; неджер, позволяющий управлять лем у программы при работе с новы-
n Acronis Recovery Expert – про- загрузкой нескольких операцион- ми версиями NTFS, хотя при попытке
грамма для восстанавления слу- ных систем, установленных на од- объединения NTFS разделов Vista и XP
чайно удаленных или «потерянных» ном компьютер. программа завершила работу с ошиб-
разделов; кой. Работает со всеми типами дис-
n Acronis Media Builder – програм- Возможна установка Acronis Disk ков, включая дисковые массивы RAID
ма для создания загрузочных но- Director Suite на компьютер, работа- и флеш-карты.
При помощи Acronis Partition Expert
можно выполнять все стандартные
для такого рода программ операции:
создание, удаление, копирование и пе-
ремещение, объединение и разделе-
ние разделов. Последний режим ре-
ализован весьма интересно. При раз-
делении раздела можно указать ка-
талоги и файлы, которые будут пе-
ренесены в новый раздел. Объеди-
нение двух разделов без потери дан-
ных возможно даже в том случае, ес-
ли на этих разделах используются раз-
личные файловые системы. При объ-
единениии NTFS автоматически пре-
образовывается в FAT32. Преобразо-
вание из FAT32 в NTFS невозможно.
Интересно, что программа также бе-
рется объединять разделы, созданные
в Windows и Linux. Реализован фай-
ловый менеджер, позволяющий по-
лучить доступ к файлам на разделах
любого типа.
Кроме возможностей Acronis Disk Director Suite, впечатляет и поставка При первом запуске Acronis Disk
Director будет запрошен режим интер-
фейса пользователя. Предлагается
«Автоматический режим», в котором
часть настроек будет скрыта и при ра-
боте будут использованы рекомендо-
ванные разработчиками параметры,
ориентирован такой режим впервую
очередь на малоопытного пользова-
теля. Ручной режим дает полный кон-
троль над работой утилиты. Доступно
четыре мастера, которые помогут осу-
ществить некоторые настройки: «Соз-
дания разделов», «Увеличения свобод-
ного пространства, копирования и вос-
становления разделов». Для файло-
вых систем Ext2/Ext3 возможно изме-
нить размер таблицы INODE.
EASEUS Partition
Manager V2.1
Программа EASEUS Partition Manager
(EPM), позиционируемая разработ-
По количеству поддерживаемых файловых систем GParted впереди чиками как а льтернатива Nor ton
12
Сравнительные возможности менеджеров разделов
Norton PartitionMagic 8.05 Paragon Partition Manager 9.0 Acronis Disk Director EASEUS Partition Manager GParted
Suite 10.0 Home/Professional
Лицензия Shareware Shareware Shareware Free/Shareware GNU GPL
Стоимость 69,99 $ 790 руб 499 руб 31,96 $ –
Сайт http://www.symantec.com/ http://www.paragon.ru/pm.htm http://www.acronis.ru http://www.partition-tool.com http://gparted.sourceforge.net
ru/ru/norton/partitionmagic
Файловые системы FAT16, FAT32, NTFS FAT16, FAT32, NTFS, ext2, FAT16, FAT32, NTFS FAT12, FAT16, FAT32 Полностью - ext2, ext3,
(до v6.0), ext2, ext3, Linux ext3, Linux swap (до v6.0), ext2, ext3, и NTFS FAT16, FAT32, NTFS, Linux
swap ReiserFS, Linux swap swap, ReiserFS. Частично:
HFS, HFS+, JFS, Reiser4,
UFS, XFS
Увеличение раздела + + + + +
Уменьшение раздела + + + + +
Слияние разделов + + + – –
Конвертация + + – – –
файловой системы
FAT и NTFS без потери
информации
Копирование раздела + + + – +
диска
Поддержка ОС Windows от 98 до XP Windows 2000-2008 Windows 98 до Vista Версия Home – 32-битные Linux
Windows 2000 Professional
SP4, XP или Vista
Плюсы Наличие большого Наличие большого Хорошая поставка Версия Home бесплатна Поддержка большого
количества документации, количества мастеров, количества файловых
DriveMapper редактирование секторов, систем
файловый менеджер,
сохранение информации
с дисков на любой носитель
Минусы Развитие прекращено Нет Отсутствие возможности Интерфейс не локализован, За такую цену – нет
преобразования FAT небольшое количество
в NTFS функций
PartitionMagic, распространяется в нес- тельный просмотр изменений с воз- ния). Кроме указанных операций, под-
кольких версиях, отличающихся лицен- можностью их отмены. Из дополни- держивается преобразование файло-
зией и возможностями. Версия Home тельных функций можно отметить воз- вых систем с потерей информации
Edition для индивидуального использо- можность «спрятать» раздел, изменить и копирование разделов.
вания бесплатна, для ее установки по- букву раздела и наличие программы Для удобства пользователей про-
требуется компьютер с 32-битной вер- проверки диска. Коммерческие версии ект предоставляет специализирован-
сией Windows 2000 Professional SP4, позволяют создавать загрузочный CD/ ные загрузочные мини-дистрибутивы
XP или Vista. Для 64 битных или сер- DVD-диск, с которого можно управлять в LiveCD, LiveUSB и PXE вариантах.
верных версий ОС следует выби- разделами без загрузки системы.
рать соответственно Professional или Итоги
Server Edition. Список поддерживае- GParted 0.3.9 Все программы, принимавшие учас-
мых файловых систем самый малень- Редактор дисковых разделов GParted тие в тестировании, «умеют» созда-
кий из программ обзора FAT12, FAT16, (GNOME Partition Editor) хорошо из- вать, удалять и изменять размеры раз-
FAT32 и NTFS. Разделы, отформатиро- вестен пользователям свободных ОС. делов, но возможности по копирова-
ванные в остальные типы, помечают- Это была, наверное, первая подоб- нию разделов и конвертации файло-
ся в окне программы как «Other». Воз- ная программа для *nix, которая име- вой системы без потерь данных реа-
можна работа с IDE-, SATA-, SCSI-жест- ла графический интерфейс. Для рабо- лизованы далеко не у всех. И как по-
ких дисков, а также Firewire- и USB-уст- ты с различными файловыми систе- казывают эксперименты, новая вер-
ройствами. Старшие версии поддер- мами используются соответсвующие сия файловой системы NTFS v6, по-
живают и RAID. библиотеки и утилиты, поэтому спи- явившаяся, начиная с Vista, пока мо-
Интерфейс не локализован, его сок поддерживаемых файловых сис- жет вызвать проблемы в работе про-
внешний вид и принцип работы пол- тем самый большой из всех программ грамм. Скорость выполнения операций
ностью скопированы с PartitionMagic. обзора. Полностью поддерживаются: у всех участников примерно одинакова,
Но количество реализованных функ- ext2, ext3, FAT16, FAT32, NTFS, Linux и выделить здесь явного лидера нель-
ций на порядок меньше. Она может swap, ReiserFS. И частично: HFS и HFS+ зя. Так как оперции по работе с разде-
создавать, удалять и форматировать (кроме расширения, проверки, метки), лами относятся к числу рискованных,
разделы. Операции конвертирования JFS (кроме уменьшения), Reiser4 (кро- то возможность создания восстано-
из FAT в NTFS и обратно без потери ме расширения и уменьшения), UFS вительного компакт-диска в Paragon
информации не предусмотрено. Как и (кроме чтения, создания, расширения Partition Manager и Acronis Disk Director
в PartitionMagic реализован предвари- и уменьшения) и XFS (кроме уменьше- Suite не является лишней.
№12, декабрь 2008 13

Новые возможности
мониторинга событий
в Windows Server 2008
Андрей Бирюков
Анализ различных журналов событий является неотъемлемой задачей для любого
системного администратора. Рассмотрим, какие функции для решения этой задачи предлагает
операционная система Windows Server 2008.
Как было раньше существенно переделаны и дополнены На основе данных свойств событий
Мощные производственные серверы новыми возможностями. Но обо всем можно осуществлять выборку и филь-
требуют постоянного контроля за тем, по порядку. Для начала рассмотрим, трацию, выполнять поиск.
какие события на них происходят. Не- как новшества были внесены в сред-
верный ввод паролей, попытки дос- ства получения и обработки событий Внешний вид
тупа к административным ресурсам, Event Viewer. Интерфейс утилиты Event Viewer также
внезапные остановки служб, отсутс- По определению Microsoft [1], со- существенно изменился. Информация,
твие свободного места на жестких дис- бытие – это любое значительное про- содержащаяся в системных собщени-
ках – информация обо всех этих и дру- явление в операционной системе или ях, во многом осталась прежней, пе-
гих событиях необходима системному приложении, требующее отслежива- реработанный интерфейс теперь поз-
администратору для обеспечения ра- ния информации. Событие не всегда воляет более эффективно работать
бочего функционирования промыш- негативно, поскольку успешный вход с событиями, осуществлять их поиск,
ленных серверов. в сеть, успешная передача сообще- фильтрацию и другие функциональные
Операционная система Windows ний или репликация данных также мо- возможности. Внешний вид утилиты
Server 2003 содержит по умолча- гут генерировать события в Windows. аналогичен реализации MMC 3.0. На-
нию три журнала событий: Application, В каждом журнале с его событиями вигационное дерево на левой панели
Security и System. В эти журналы попа- связаны общие свойства. окна утилиты просмотра событий отоб-
дают сообщения от различных прило- n Level (уровень) – это свойство оп- ражает список системных собщений
жений, сервисов и самой операцион- ределяет важность события; и журналов, доступных для просмотра,
ной системы. Однако в Windows 2003 n Date and Time (дата и время) – а также содержит новые папки, пред-
не было средств для обработки и ре- это свойство содержит информа- назначенные для создания настраива-
акции на данные события. Для реше- цию о дате и времени возникнове- емых представлений событий и подпи-
ния этих проблем приходилось ис- ния события; сок с удаленных систем. Подробнее об
пользовать специальные сценарии n Source (источник) – это свойство этих и других новых функциях мы пого-
на языке VBScript. О разработке неко- указывает источник события: при- ворим чуть позже (см. рис. 1).
торых из этих средств я писал в №11 ложение, удаленный доступ, служ- Центральная панель сведений, на-
за 2005 год. ба и т. д.; ходящаяся в центре консоли, отобра-
Теперь настало время поговорить n Event ID (код события) – каждо- жает важную информацию о событии
о том, как реализованы средства му событию назначен идентифи- в зависимости от папки, выбранной
сбора сообщений о событиях в но- катор события ID, число, сгенери- в навигационном дереве. И, наконец,
вой операционной системе Windows рованное источником и уникаль- крайняя справа панель задач содержит
Server 2008. ное для всех типов событий; контекстно зависимые действия в за-
n Task Category (категория зада- висимости от события, просматрива-
Нововведения чи) – это свойство определяет кате- емого в оснастке просмотра событий.
Как и многие другие функции Windows горию события, например Security Расположенные на левой панели пап-
Server 2008, журналы событий были или System. ки сгруппированы по следующим эле-
14
ментам: Custom Views (настраиваемые панели утилиты просмотра событий. Logged выберите диапазон дат. Затем
представления), Windows Logs (журна- Если в этой папке щелкнуть правой необходимо указать критерий Event
лы Windows), Applications and Services кнопкой мыши по Administrative Events Level (уровень событий) для включе-
Logs (журналы приложений и служб), и затем указать Properties, то после ния в настраиваемое представление.
Subscriptions (подписки). нажатия Edit Filter получаем набор от- Возможные значения:
Рассмотрим более подробно эти фильтрованных по критерию сооб- n Critical –критическое;
папки. щений. n Error – ошибка;
Настраиваемые представления ос- n Warning – предупреждение;
Фильтры настки Administrative Events фиксиру- n Information – информация;
Настраиваемые представления – ют все критические события, а собы- n Verbose – подробности.
это специальные фильтры, созданные тия ошибок и предупреждений фик-
либо автоматически системой Windows сируются для всех журналов собы- После указания уровня событий не-
Server 2008 во время добавления тий (в отличие от предыдущих версий обходимо перейти к разделам By Log
в систему новых ролей сервера или Windows). Таким образом, с помощью и By Source. Используя соответствую-
приложений, таких как Active Directory данного фильтра администратор мо- щие раскрывающиеся списки, укажи-
Certificate Services (cлужбы сертифи- жет обращаться к единственному ис- те журнал события и источники жур-
катов каталогов), сервер DHCP, либо точнику для быстрой проверки потен- нала событий, которые должны быть
администраторами вручную. Для ад- циальных проблем, присутствующих включены в данный настраиваемый
министраторов одной из важнейших в системе. фильтр.
функций при работе с журналами со- Теперь в качестве примера попро- При необходимости вы также мо-
бытий является возможность созда- буем создать собственное представле- жете указать конкретные коды собы-
вать фильтры, позволяющие просмат- ние. Для этого щелкнем правой кноп- тий, категории задач и другие парамет-
ривать только интересующие собы- кой мыши на папке Custom View и в кон- ры. Но помните, что включение слиш-
тия, чтобы можно было быстро диа- текстном меню выберем пункт Create ком большого числа событий в на-
гностировать и устранять проблемы Custom View (создать настраиваемое страиваемое представление может
в системе. представление). отрицательно сказаться на произво-
В качестве примера рассмотрим Если требуемые события необхо- дительности и использовании ресур-
папку Custom Views в навигационной димо фильтровать по дате, то в списке сов системы.
Реклама
№12, декабрь 2008 15

Рисунок 1. Внешний вид журнала событий Рисунок 2. Настройка Debug
Созданные настраиваемые пред- на всю систему. Эти журналы вклю- все события в одной консоли. Это поз-
ставления можно экспортировать чают четыре подтипа: волит сэкономить время и облегчить
в XML-файл для последующего рас- n Admin – события, предназначен- процесс решения проблем.
пространения на другие машины. ные для конечных пользователей В качестве примера настроим под-
и администраторов; писку событий. Для этого нам потребу-
Журналы n Operational – рабочий журнал со- ются два компьютера: один будет вы-
Теперь рассмотрим типы журналов, бытий, также предназначенный ступать в качестве источника событий,
появившиеся в Windows Server 2008. для администраторов; второй будет получать события от пер-
Здесь тоже произошли некоторые из- n Analytic – журнал позволяет от- вого. Зайдите на сервер-источник под
менения. В папке журналов Windows слеживать цепочку возникнове- учетной записью, обладающей адми-
Logs находятся как традиционные жур- ния проблемы и часто содержит нистративными правами. Введите в ок-
налы безопасности, приложений и сис- большое количество записанных не командной строки:
темы, так и два новых журнала – Setup событий;
(настройка) и Forwarded Events (пере- n Debug – используется для отладки winrm quickconfig
сланные события). приложений.
Первые три типа событий уже при- Добавьте компьютер, собирающий
сутствовали в предыдущих версиях По умолчанию журналы Analytic сообщения о событиях, в группу ло-
системы, поэтому рассказывать о них и Debug скрыты и отключены. Для то- кальных администраторов на источ-
нет смысла. А о последних двух следу- го чтобы их просмотреть, щелкни- нике. Затем войдите на компьютер,
ет рассказать подробнее. те правой кнопкой мыши на папке собирающий сообщения, и также вы-
Журнал Setup фиксирует информа- Applications and Services Logs, а затем полните:
цию, связанную с установкой прило- в контекстном меню выберите пункт
жений, ролями сервера и их характе- View, Show Analytic and Debug Logs winrm quickconfig
ристиками. Так, например, сообщения (см. рис. 2).
о добавлении на сервере роли DHCP После этого выполните на нем же
будет отражены в этом журнале. Подписки на события следующую команду:
В журнале Forwarded Events соби- Рас с м от р и м е ще од н о н о в о в в е -
раются сообщения, присланные с дру- дение в Windows Server 2008. Это wecutil qc
гих машин в сети. Наличие такой функ- Subscriptions (подписки). Эта долгож-
ции позволяет облегчить решение данная функция аналогична службе При необходимости вы можете из-
проблем, возникших сразу на несколь- Syslog в UNIX. Данная функциональ- менять параметры оптимизации до-
ких машинах в сети. ная возможность позволяет удален- ставки событий. Например, вы можете
Папка Applications and Services Logs ным компьютерам пересылать сооб- изменить параметр Minimize Bandwidth
(журналы приложений и служб) пред- щения о событиях, в результате чего (минимизация пропускной способнос-
ставляют собой новый способ логичес- их можно просматривать централи- ти) для удаленных серверов с ненадеж-
кой организации, представления и со- зованно. Например, если у вас имеет- ным каналом связи.
хранения событий, связанных с конк- ся несколько серверов и вам необхо- Теперь необходимо собственно соз-
ретным приложением, компонентом димо следить за состоянием каждого дать подписку, указав события, кото-
или службой Windows, вместо исполь- из них. Теперь вместо того чтобы пе- рые должны извлекаться из компью-
зовавшейся ранее регистрации со- реключаться из одной консоли Event тера-источника. Для этого на собира-
бытий, которые оказывают влияние Viewer в другую, вы можете наблюдать ющем компьютере запустите утилиту
16
просмотра событий с учетной записью, ление администратору по электронной ге поставьте галочку в соответствую-
обладающей правами администрато- почте или смс. Данная функция явля- щем поле, для того чтобы после созда-
ра. Затем щелкните мышью на папке ется долгожданным решением проб- ния задачи открылось окно с ее свойс-
Subscriptions в дереве консоли и выбе- лем с автоматизацией работы серве- твами (см. рис. 4).
рите команду Create Subscription (соз- ров, так как раньше требовалось уста-
дать подписку). В поле Subscription навливать дополнительное програм- Свойства задач
Name нужно указать имя подписки. мное обеспечение или писать сцена- Окно свойств задачи аналогично ин-
При необходимости в поле Description рии, для того чтобы заставить сервер терфейсу Scheduled Tasks для зада-
можно привести описание. Затем в по- автоматически реагировать на опре- ний, выполняющихся по расписанию.
ле Destination Log (журнал назначе- деленные события. Здесь можно указать учетную за-
ния) выберите файл журнала, в кото- В качестве примера настроим от- пись, под которой выполняется зада-
ром будут храниться собранные собы- правку сообщения администратору ча, при необходимости ее можно вы-
тия. По умолчанию эти события будут в случае неудачного входа пользова- полнять только когда пользователь ра-
храниться в журнале перенаправлен- теля в систему. Обратите внимание ботает на машине.
ных событий в папке Windows Logs де- на то, что теперь это событие имеет В закладке Triggers вы можете до-
рева консоли. После этого щелкните другой ID, отличный от использовав- бавлять или изменять условия выпол-
на кнопке Select Computers, чтобы вы- шегося в Windows 2003 ID 528. нения задачи. В Actions вы можете до-
брать исходные компьютеры, которые Для этого необходимо зайти в жур- бавлять различные действия. В за-
будут перенаправлять системные со- нал событий Event Viewer, открыть раз- кладке Conditions прописаны усло-
общения. Данные компьютеры долж- дел Windows Logs, затем Security, вы- вия, при которых выполняется зада-
ны находиться в домене. Затем выбе- брать нужное событие, нажать пра- ча. В Settings можно прописать, ка-
рите события, нажав на кнопке Select вую кнопку мыши и указать Attach кие действия должны быть выполне-
Events. Сконфигурируйте журналы и Task To This Event… (прикрепить зада- ны при различных условиях. Напри-
типы событий, предназначенные для чу к этому событию) (см. рис. 3). мер, что нужно делать в случае, если
сбора. Щелкните ОК, чтобы сохранить В открывшемся окне необходимо такая задача уже выполняется. Нако-
подписку. выбрать название события и его опи- нец, в закладке History вы можете на-
сание. На следующем шаге указыва- блюдать все события, которые вызва-
Реагируем на события ются используемый журнал, источник ли выполнение задачи.
Еще одной интересной функцией, о ко- и номер события. Содержимое этого
торой хотелось бы упомянуть, явля- журнала нельзя изменить. Потом вы- Заключение
ется возможность ответной реакции бирается тип ответного действия. Это Вот мы и рассмотрели новый функци-
на события. Другими словами, если может быть выполнение какого-либо онал Windows Server 2008, связанный
в журнал событий поступило сообще- приложения, отправка электронного с мониторингом событий. Новые функ-
ние о том, что на жестком диске оста- письма или вывод сообщения на экран. ции позволят вам автоматизировать
лось слишком мало свободного мес- Выберем отправку письма. На сле- процесс управления сбором событий
та, вы можете автоматически запус- дующем шаге нужно указать, от кого и более эффективно управлять кор-
тить сценарий, выполняющий архива- и на чей адрес отправлять письмо, те- поративной сетью.
цию данных. Аналогично в случае по- му письма, его текст. Можно также при-
лучения сообщения об ошибке како- крепить какой-либо файл к данному 1. Р. Моримото, М. Ноэл, О. Драуби.
го-либо критически важного прило- сообщению. Не забудьте указать IP‑ад- Microsoft Windows Server 2008. Полное
жения, вы можете отправить уведом- рес SMTP-сервера. На следующем ша- руководство.
Рисунок 3. Настройка ответной реакции на событие Рисунок 4. Свойства задач
№12, декабрь 2008 17

Мониторинг активности
хостов
Антон Борисов
Довольно часто возникают ситуации, когда необходимо производить мониторинг серверов
или рабочих станций. И не просто иметь сведение о том, что конкретный хост выключен
в данный момент, а иметь на руках статистические данные за определенный период.
Б
ыстро узнать, включен ли определенный хост в на- <title>Welcome to nginx!</title>
шей локальной сети, очень просто – достаточно за- </head>
<body bgcolor="white" text="black">
пустить команду ping до этого хоста и посмотреть ре- <center><h1>Welcome to nginx!</h1></center>
зультат. Как правило, машина бывает включена и охотно </body>
</html>
откликается на запросы. Connection closed by foreign host.
$ ping 10.66.2.1
PING 10.66.2.1 (10.66.2.1) 56(84) bytes of data. Впрочем, это прописные истины. Проблемы возника-
64 bytes from 10.66.2.1: icmp_seq=1 ttl=61 time=0.227 ms ют при необходимости не только контролировать большой
64 bytes from 10.66.2.1: icmp_seq=2 ttl=61 time=0.228 ms
64 bytes from 10.66.2.1: icmp_seq=3 ttl=61 time=0.225 ms парк ЭВМ и серверов, но и определять, а правильно ли ра-
64 bytes from 10.66.2.1: icmp_seq=4 ttl=61 time=0.230 ms ботает сервис. Что если хост откликается на ping, Apache,
работающий на этом же хосту правильно отдает докумен-
64 bytes from 10.66.2.1: icmp_seq=7 ttl=61 time=0.229 ms ты, а вот зайти, например, по протоколу SSH нельзя? Мож-
но ли отслеживать в автоматическом режиме указанные
--- 10.66.2.1 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 5997ms сбои? Оказывается, можно.
rtt min/avg/max/mdev = 0.225/0.230/0.244/0.005 ms
«Свистать всех наверх!» –
Естественно, что мы доверяем всем рабочим хостам Mila NetWhistler
в нашей локальной сети, и firewall пропускает ICMP Echo- Элегантной и в то же время простой кажется разработ-
запросы, на которые опирается при своей работе команда ка Александра Еремина под названием Mila NetWhistler.
ping. Проверить определенный сервис, «висящий» на оп- Это Java-приложение с обвязкой в виде fping (fast ping),
ределенном порту, также не составляет труда. traceroute, nmap и SNMP-утилит. В последней выпущен-
ной версии 2.10 также есть возможность взаимодействия
$ telnet 10.66.2.1 22 с MRTG.
Trying 10.66.2.1... На данный момент NetWhistler может функционировать
Connected to 10.66.2.1. на следующих платформах: Linux, *BSD, Solaris, OpenVMS.
Escape character is '^]'.
SSH-2.0-dropbear_0.49 Поддержка для Windows также задекларирована, но пос-
ледняя рабочая версия, которую удалось найти под эту плат-
$ telnet 10.66.2.1 80 форму, – это 2.6. Она вполне работоспособна, единствен-
Trying 10.66.2.1... ное, что в ней отсутствует, поддержкаMRTG и вместо fping
Connected to 10.66.2.1.
используется обычный, привычный ping.
GET / HTTP/1.0 Давайте рассмотрим на примере openSUSE 10.3, Sun
HTTP/1.1 200 OK
JRE 1.5 и NetWhistler 2.10 [1], как построить карту сети.
Server: nginx/0.7.13 Установим пакет от имени суперпользователя:
Date: Thu, 30 Oct 2008 16:06:50 GMT
Content-Type: text/html
Content-Length: 151 # chmod +x ./netwhistler2.10.bin
Last-Modified: Mon, 01 Sep 2008 13:04:23 GMT # ./netwhistler2.10.bin
Connection: close
Accept-Ranges: bytes И запускаем с правами обычного пользователя:
<html>
<head> $ /usr/local/netwhistler/netwhistler.sh
18
Создаем описание новой сети, в данном случае подсеть
класса A – 10.66.2.0/24 (см. рис. 1). И разрешаем программе
самостоятельно определить количество хостов, работаю-
щих в данной сети, – нажимаем кнопку Discover. И убежда-
емся, что ничего не обнаружено. Странно, но мы точно зна-
ем, что рабочие машины есть. Что делать в этом случае?
Запустить NetWhistler с администраторскими правами,
просканировать сеть и сохранить карту в нужный каталог.
Далее загружать уже готовую карту, но с правами обычно-
го пользователя.
По всей видимости, запуск fping происходит из готового
java-класса с параметрами, которые могут быть использо-
ваны только суперпользователем.При дальнейшей эксплу-
атации, когда явно возникает проблема, что хост включен,
но NetWhistler не «признает» его в рабочем состоянии, не-
обходимо будет отредактировать внешний скрипт fping.py
из подкаталога scripts, который непосредственно запускает
fping со следующими параметрами: «‑a -r 1 -e -t 1», где: Рисунок 1. Определяем подсеть класса A
n -a – показывать хосты, которые активны в настоящий
момент; и включаем мониторинг – «Monitoring → Start Monitoring».
n -r 1 – количество отправленных пакетов к определен- Опрашиваются все машины, а также контролируемые
ному хосту; сервисы. И видим, что у нас происходит в локальной сети.
n -e – показывать затраченное время при получении па- В частности, все узлы включены и работают нормально,
кета от хоста; кроме 10.66.2.250 и 10.66.2.2. Причем первый выключен,
n -t 1 – используемый тайм-аут при отправке пакета а на втором не работает веб-сервер (см. рис. 2).
(в миллисекундах). Просмотреть произошедшие события можно, переклю-
чаясь между режимами просмотра: Topology View, Status
Пользователь с обычными (не суперпользовательски- View, Interface View, Events View и Graph View. В частности,
ми правами) не может использовать время тайм-аута мень- в последнем режиме можно наглядно убедиться, каков про-
ше 50 мс. цент «выживаемости» на текущий момент (см. рис. 3).
Итак, карта готова. Теперь нужно определиться, какие По мере возникновения ошибки существует возмож-
сервисы мы хотим контролировать на хосте. ность просигнализировать оператору об аварии. Либо ви-
Щелкаем на пиктограмме хоста, затем «Properties → зуально, показав окно предупреждения с проблемным хос-
Services». Из списка выбираем нужную для контроля служ- том, либо отправив email или же запустив внешнюю коман-
бу: FTP, SSH, SMTP, POP3, IMAP, SAMBA или CITRIX. К со- ду. Настройки параметров в закладке «Edit → Options →
жалению, добавить другую службу, помимо указанных, Alerts» (см. рис. 4).
не представляется возможным. Какие присутствуют концептуальные особенности у
Аналогично выставляем параметры для всех хостов данного решения? Во-первых, необходимость держать
Реклама
№12, декабрь 2008 19

1) RootDir "/var/netmon"
2) Polling 60
3) Timeout 2
4) Retries 3
5) Saving 300
6) TimeFmt "%H:%M:%S"
В строке 1 объявляем директорию,

где будут храниться логи программы.
Опрос хостов производится каждые 60
секунд (строка 2), но не чаще, чем че-
рез 30 секунд. Будет произведено 3 оп-
роса (строка 4) с тайм-аутом в 2 се-
кунды (строка 3) для каждого объек-
та, который мы укажем чуть позднее.
Сброс статистики, т.е. сохранение лог-
файлов, происходит раз в 300 секунд
(строка 5). Формат времени для запи-
си события указан в строке 6.
Рисунок 2. Проблемные хосты или службы выделяются красным цветом
7) Group "local" {
# Разрешить хосту с DNS-именем
# localhost
8) Permit "^localhost$"
# Рарешить хосту по IP-адресу
9) Permit "^127\\.0\\.0\\.1$"
# запретить всем – по умолчанию
10) Deny ".*"
11)}
В строках 7-11 объявляется группа

доступа local для просмотра событий:
12) Group "remote" {

13) Permit "^192\\.168\\.1\\.*"
14)}
И объявляется также группа remote,

владельцы которой (а именно, сеть
192.168.1.0/24), смогут также подклю-
чаться к консоли управления и про-
сматривать события.
Рисунок 3. Визуальная карта позволяет оценить масштабы аварии 15) NetState {

# NetState server port number
# (mandatory)
приложение в активном состоянии. предлагаю обратить ваше внимание 16) Port 3333
# Client timeout (optional)
Из‑за того, что нет разбиения на сер- на netmond – Network Monitor Dealer. 17) Timeout 30
верную часть (в виде демона или служ- Программа предназначена для запус- # The number of Group references
# is unlimited
бы) и графическую часть, которая не- ка в UNIX-средах, в частности в линей- 18) Group "local"
посредственно занимается отобра- ке FreeBSD, где с 2006 года находится # Match is done from top to bottom
19) Group "remote"
жением. в дереве портов – /usr/ports/net‑mgmt/ 20)}
Во-вторых, необходимость уста- netmond.
новленной Java-машины. И в-треть-
их, нет возможности контролиро- # cd /usr/ports/net-mgmt/netmond
# make && make install && make clean
вать произвольные порты, т.к. пред-
лагаются к использованию только те, Организуем автоматический старт
что «зашиты» в программу. А так, впе- netmond при загрузке системы – добав-
чатление производит достойное. ляем в /etc/rc.conf строчку:
На поле действия выходит netmond_enable="YES"

дилер. Сетевой
Так как желание увидеть решение И займемся теперь составлени-
в классическом варианте, когда про- ем конфигурации – файл /usr/local/etc/
грамма разбита на 2 части, сервер- netmond.conf.
Рисунок 4. Сообщить об аварии можно
ную и клиентскую, вполне логично, то Итак: несколькими способами
20
Собственно включаем консоль управления на порту 45) tcp port 5900
3333 и разрешаем членам групп local и remote подключать- 46) ChatScript { Send "" Expect "^RFB" Send ↵
"\r\n\r\n\r\n\r\n\r\n\r\n" }
ся для анализа событий. Затем мы производим объявление 47)}
различных методов контроля, по сути, мы создаем различ-
ные алгоритмы опроса портов. И затем мы делаем еще одно объявление, которое поз-
волит нам мониторить VNC-службу, строки 44-47.
21) Method "http" { Для сведения – чтобы осуществлять проверку работы
22) tcp port 80
23) ChatScript { сервисов, использующих SSL (например, HTTPS/SMTPS/
24) Send "GET $1 HTTP/1.0\r\n\r\n" IMAPS), вам придется отказаться от схемы с ChatScript.
25) Expect "^HTTP/1.1 200 OK$"
26) } И производить вызов внешней UNIX-утилиты (под назва-
27)} нием openssl), используя метод Exec (о нем расскажем чуть
позже) в netmond.
В строках 21-27 создаем метод с названием http для оп- После этого мы должны организовать обработку со-
роса порта 80. Фактически при вызове метода происходит бытий, т.е. что делать с данными сигнализации. Отсылать
следующее: хосту на порт 80 отправляется запрос в виде по почте, сохранять в файл или что-то еще.
«GET $1 HTTP/1.0», где вместо параметра $1 будет высту-
пать адрес документа. Например, /index.html. Если хост от- 48) Save "change-state-alarm" {
49) Pipe "mail -s \"$0\" root"
вечает «HTTP/1.1 200 OK», т.е. документ /index.html найден 50) State "$time $1 $name $state"
и ошибок при его получении нет (статус ответа 200), то будет 51)}
считаться, что сервис веб-службы работает без ошибок.
В строках 48-51 объявляем обработчик change-state-
28) Method "pop3" { alarm, который при наступлении события будет отсылать
29) tcp port 110
30) ChatScript { Send "" Expect "^\\+OK " Send ↵ почту абоненту root, с темой письма, взятого из парамет-
"QUIT\r\n" Expect "" } ра $0. В письме будет содержаться строка вида: «10:23:45
31)}
icmp-echo-alarm "DHCP-Server1" "UP"».
Аналогичная ситуация для проверки POP3-серви-
са (строки 28-31). Хосту на порт 110 ничего не отсылает- 52) Save "icmp-echo-alarm" {
53) File "%Y.%m.%d"
ся, но проверяется, чтобы при подключении была выдана 54) State "$time $0 $name $state"
строка «+OK», что означало бы, что POP3-сервис работает. 55) }
Затем отсылается комнада QUIT, сигнализирующая POP3-
службе об отключении клиента, т.е. нашего запроса. Обработчик icmp-echo-alarm будет сохранять изменения
в файл, в отличие от рассмотренного выше. Формат фай-
32) Method "smtp" { ла – год, месяц, день. Например, так – 2008.10.29.
33) tcp port 25
34) ChatScript { Send "" Expect "^220-" Send ↵ Чтобы определить, активен ли сервис DHCP как таковой,
"QUIT\r\n" Expect "" } стоит вызывать утилиту dhcping, например, так:
35)}
Строки 32-35 объявляют метод smtp, для проверки dhcping -s 192.168.0.203 -c 192.168.0.201 -v -i
SMTP-службы. Got answer from: 192.168.0.203
36) Method "ftp" { где, 192.168.0.203 – DHCP-сервер, а 192.168.0.201 – адрес

37) tcp port 21
38) ChatScript { Send "" Expect "^220 " Send ↵ сервера, откуда происходит мониторинг. Сам вызов утили-
"QUIT\r\n" Expect "" } ты «завернуть» в обертку метода Exec.
39)}
И наконец приступаем к определению объектов, кото-
И затем идет объявление метода для проверки уже FTP- рые будем мониторить.
службы. Проверяется, выдает ли хост на порту 21 строку, В строке 56 указываем название объекта – DHCP-
например «220 (vsFTPd 2.0.5)». Что означало бы, что FTP- Server1. Именно с таким названием в /var/netmon будет
служба активна. создана поддиректория, хранящая записи о событиях
с хоста.
40) Method "ssh" { В строке 57 прописываем IP-адрес хоста и вызываем
41) tcp port 22
42) ChatScript { Send "" Expect "^SSH-" Send ↵ встроенный метод ping (строка 58). Это необходимо сделать
"QUIT\r\n" Expect "" } для того, чтобы netmond определил для своих внутренних
43)}
целей первоначальное состояние объекта – либо он вклю-
Вы можете проследить аналогию также и для проверки чен (состояние UP), либо выключен (DOWN).
SSH в методе ssh. Ожидается, что хост на порту 22 будет В строке 59 указываем, что будет вызываться обработ-
отдавать нечто похожее на «SSH-2.0-OpenSSH_4.6». На са- чик «icmp-echo-alarm» для всего объекта. И в строках 60‑63,
мом деле нас не интересует, как полностью выглядит стро- 64-67 используем 2 метода контроля хоста – соответствен-
ка ответа, главное, чтобы она начиналась на «SSH-». но для POP3-службы и веб-сервера.
44) Method "vnc" { 56) Object "DHCP-Server1" {
№12, декабрь 2008 21

57) Address "192.168.0.201" соли управления (мы ее активизировали для групп local
58) Method Ping
59) Save "icmp-echo-alarm" "DHCP-Server1 ping" и remote на порту 3333) и вводим название объекта, кото-
60) Service "pop3" { рый нам интересен.
61) Method "pop3"
62) Save "icmp-echo-alarm" "DHCP-Server1 pop3"
63) } $ telnet 127.00.00.1 3333
64) Service "http" {
65) Method "http" "/index.html" Trying 127.0.0.1...
66) Save "icmp-echo-alarm" "DHCP-Server1 http" Connected to localhost.lib.
67) } Escape character is '^]'.
68)} NetState server ready (timeout 30 sec.)
Compress: ZLIB 1.2.3
!
В качестве проверки работоспособности веб-службы Object Host-51
будем проверерять доступность файла /index.html на объ- !OBJECT
екте DHCP-Server1. Host-51!NAME = "Host-51"
Host-51!ADDRESS = "192.168.0.51"
Добавим еще один объект – Unit1. Его проверка будет Host-51!POLLING = 60
заключаться в получении отклика по ICMP-протоколу. Host-51!TIMEOUT = 2
Host-51!RETRIES = 3
Host-51!SAVING = 300
69) Object "Unit1" {
Host-51!DATADIR = "/var/netmon/Host-51"
70) Address "192.168.0.101"
71) Method Ping Host-51!STATE = "UP"
72) Save "icmp-echo-alarm" "Unit1 ping" Host-51!QUERYTIME = 1225454401
73)} Host-51!REPLYTIME = 1225454401
Host-51!LASTCHANGE = 1225433058
И добавляем рабочую станцию (Host-51), где помимо ин- Host-51!HOPCOUNT = 1
Host-51!PING = 14
формации, включена она или нет, нас еще будет интересо- Host-51!PING.ok = 1
вать, а запущен ли на ней VNC-сервер. Host-51!PING.send = 1
Host-51!PING.recv = 1
74) Object "Host-51" { Так, эта рабочая станция включена. Проверим объект
75) Address "192.168.0.51"
76) Method Ping Unit1. Набираем в консоли Object Unit1 для просмотра ин-
77) Save "icmp-echo-alarm" "Host-51 ping" формации.
78) Service "vnc" {
79) Method "vnc"
80) Save "icmp-echo-alarm" "Host-51 vnc" Unit1!NAME = "Unit1"
81) } Unit1!ADDRESS = "192.168.0.101"
82)} Unit1!POLLING = 60
Unit1!TIMEOUT = 2
Unit1!RETRIES = 3
Теперь запускаем сервер netmond и ждем, пока не на- Unit1!SAVING = 300
копится статистика. Которая, как вы помните, складирует- Unit1!DATADIR = "/var/netmon/Unit1"
ся в /var/netmon/. Unit1!STATE = "DOWN"
Unit1!QUERYTIME = 1225454852
Посмотрим, что у нас получилось: Unit1!LASTCHANGE = 1225454852
Unit1!PING = "Host is down"
# tail -f /var/netmon/Host-51/2008.10.31 Unit1!PING.ok = 0
Unit1!PING.send = 0
08:59:35 icmp-echo-alarm "Host-51" "DOWN" Unit1!PING.recv = 0
09:00:05 icmp-echo-alarm "Host-51" "DOWN"
09:01:05 icmp-echo-alarm "Host-51" "DOWN" Вывод – указанный объект выключен.
09:01:35 icmp-echo-alarm "Host-51" "DOWN" Чтобы просмотреть всю информацию, включая пара-
метры объектов, текущее время и внутренние переменные,
09:03:11 icmp-echo-alarm "Host-51" "DOWN" можно воспользоваться командой:
09:04:17 icmp-echo-alarm "Host-51" "UP"
any :*
Рабочая станция включена в 09:04:17. И до сих пор не вы-
ключена. Как только произойдет перезагрузка либо выклю- Так же, как и в NetWhistler, есть возможность реагиро-
чение, то в лог-файле появится отметка – DOWN. вать на события, т.е. не только выдавать сообщения в лог-
Так как для этого объекта мы заказывали получение ста- файл, а также отсылать email, но и запустить исполнение
тистики еще и по предоставляемому сервису VNC, то най- собственного скрипта. Посмотрим на пример:
ти его вы можете в директории /var/netmon/Host-51/vnc/
[ДатаФайла]. Структура лог-файла такая же, что и для все- Save "down-alarm" {
Exec "/root/system/pager.sh"
го объекта Host-51: When "$state == \"DOWN\"" 300 "$1 $name $state ↵
5 minutes"
09:34:29 icmp-echo-alarm "vnc" "UP" }
09:39:00 icmp-echo-alarm "vnc" "DOWN"
09:40:00 icmp-echo-alarm "vnc" "UP" Если хост будет в нерабочем состоянии более 5 минут,
09:58:00 icmp-echo-alarm "vnc" "DOWN" то сигнализация запустит скрипт /root/system/pager.sh с па-
09:59:00 icmp-echo-alarm "vnc" "UP"
раметрами даты, имени объекта и его состояния.
Просмотреть состояние мониторинга в реальном вре- Сравните со строками 48-51, которые мы рассмотре-
мени можно следующим образом – подключаемся к кон- ли выше.
22
Организуем авторестарт узла 1) #!/usr/local/bin/expect -f
Предположим, что у нас есть DSL-модем, который необхо- 2) set host 192.168.1.1
димо мониторить, в силу его не всегда правильного пове- 3) set user username_to_login
4) set pass password_to_login
дения, т.е. отслеживать ситуации, когда он на самом деле-
то работает, только вот из внешней сети до него не досту- 5) spawn telnet "$host"
6) expect "login:"
чаться. В качестве такого оригинального прибора пусть бу- 7) send "$user\r"
дет выступать D-Link 2500U. Чем он характерен? Тем, что 8) expect "word:"
9) send "$pass\r"
у него есть веб-интерфейс управления и возможность зай-
ти на него с помощью telnet. 10) expect "#"
11) send "ifconfig\r"
$ telnet 192.168.1.1 12) send "exit\r"
13) interact
Trying 192.168.1.1...
Connected to 192.168.1.1. В строке 1 указываем название командного интерпре-
BCM96338 ADSL Router татора, в нашем случае expect.
(none) login: admin Выставляем значения переменных host, user, pass для
Password:
доступа к D-Link (строки 2-4). Запускается внешнее прило-
BusyBox v1.00 (2005.04.12-18:11+0000) Built-in shell (msh) жение telnet (строка 5), программа ждет, пока не появится
Enter 'help' for a list of built-in commands. приглашение от D-Link в виде строки «login:» (строка 6), за-
тем будет передано имя пользователя (строка 7). Аналогич-
Выясняется, что это Linux-система, подобная тем, что но реализовано для передачи пароля (строки 8‑9). Ждем
у многих используется в качестве сервера. приглашения операционной системы D-Link и запрашива-
ем статистику по внутренним интерфейсам (строки 10-11).
# cat /proc/uptime Затем завершаем сеанс и выходим из программы (стро-
12501.58 12042.20 ки 12-13).
Просто и понятно. Если нас интересует все-таки воз-
Даже узнать uptime не составляет большого труда. можность перезагрузки модема, то вместо получения ста-
Впрочем, как и запущенные процессы. тистики (строка 11) логично запустить D-Link через коман-
ду reboot. Новая строка выглядит как:
# ps afx
PID Uid VmSize Stat Command send "reboot\r"
1 admin 220 S init
2 admin SW< [ksoftirqd/0]
3 admin SW< [events/0] На этом можно было бы успокоиться, настроить мони-
4 admin SW< [khelper]
5 admin SW< [kblockd/0] торинг какого-либо хоста на стороне провайдера и в слу-
6 admin SW [pdflush]
7 admin SW [pdflush] чае пропадания связи запускать pager.sh.
8 admin SW [kswapd0] Оказалось, что в данном конкретном случае reboot
9 admin SW< [aio/0]
10 admin SW [mtdblockd] не работает для D-Link 2500U и необходимо перезапус-
17 admin 292 S -sh
120 admin 164 S pvc2684d кать через веб-интерфейс, что, как понимаете, возмож-
166 admin 188 S igmp lo но лишь из локальной сети этого модема. Либо вручную.
225 admin 408 S telnetd
229 admin 144 S bftpd Но последнее условие мы и хотели обойти автоматизаци-
233 admin 212 S tftpd
237 admin 608 S snmp ей процесса.
258 admin 680 S httpd Тупик? Вовсе нет. Несмотря на то, что в этом D-Link ис-
263 admin 264 S pppd -c 1.32.1 -i nas_1_32 -u 100101 -p ******* -f 0
2405 admin 188 S /bin/dnsprobe пользуется веб-сервер с авторизацией, есть все же воз-
2409 admin 240 S upnp -L br0 -W ppp_1_32_1 -D
15441 admin 300 S -sh можность его перезагрузки.
15448 admin 256 R ps afx Не будем ходить вокруг да около, приступаем.
Казалось бы, UNIX-система обязана работать долго # cat /root/system/pager2.sh

#!/bin/sh
и не требовать к себе особенного внимания. Однако прак-
тика доказывает (в данном конкретном случае) обратное, REBOOT_TEXT=/root/system/modem_reboot.txt
NC=/usr/bin/nc
и выяснять, кто прав, а кто виноват – изготовитель моде- CAT=/bin/cat
ма или провайдер услуг – в случае потери связи не особен-
но хочется. Решение, как всегда, кроется на поверхности – $CAT $REBOOT_TEXT | $NC 192.168.1.1 80
нужно перезапустить модем. Сказано – сделано. Если ря-
дом находится оператор, то никаких сложностей нажать С помощью netcat присоединяемся к 80-му порту моде-
на кнопку нет. Теперь представьте, что это автоматизиро- ма. И передаем текст:
ванный комплекс, лишних рук просто нет. Что делать? По-
пытаться зайти автоматически в модем. # cat /root/system/modem_reboot.txt
Есть замечательная утилита под названием expect. GET /rebootinfo.cgi HTTP/1.1
Её помощью и воспользуемся. Host: localhost
Authorization: Basic aGVsbG86dGhlcmUK
Составляем скрипт pager.sh:
№12, декабрь 2008 23

ню Edit и нажимаете Discover NetState
Server. Пара мгновений – и карта за-
полнена (см. рис. 5).
Можно подписать узлы, для кото-
рых требуется расшифровка и при-
ступить к следующему шагу. А имен-
но: включить визуализацию – кнопку
«Monitoring → Update».
Теперь все узлы, что активны, обоз-
начены зеленым цветом, проблемные –
красным (см. рис. 6).
Карту можно загрузить и из файла
конфигурации netmond, если он будет
соответствовать «стилю» TkNetmon.
«Стиль» состоит в том, что все дирек-
тивы должны быть в «правильном» ви-
де – для программы Object и OBJECT –
Рисунок 5. Узлы импортированы из работающего сервера netmond разные команды. Первую он пой-
мет и исполнит, вторую – не поймет.
Который на самом-то деле запускает скрипт rebootinfo.cgi Ка должны выглядеть «правильные» директивы – можно
на стороне веб-сервера D-Link. Этот скрипт и перезапус- посмотреть в файле lib/LoadFile.tcl. Там все директивы –
тит сам модем. А чтобы обойти интерактивный ввод дан- это названия подпрограмм.
ных авторизации для веб-сервера, мы добавили строку: Что делать, если запускать TkNetmon вы хотите с ра-
«Authorization: Basic aGVsbG86dGhlcmUK», где строка пос- бочего места, а не с сервера *BSD, ситуацию с котрым мы
ле слова Basic является mime64-кодировкой имени поль- только что рассмотрели? Установить указанные выше па-
зователя и пароля. Чтобы получить ваш собственный ко- кеты! С единственным исключением – пакет sql-tcl вы, ско-
дированный текст, делайте так: рее всего, не сможете скомпилировать из-за очевидной его
древности (последнее его обновление – 2001 год). С теку-
$ echo «username_to_login:password_to_login» | base64
щей, распространенной версией MySQL 5 он просто-на-
просто не соберется.
Проверяете – работает как часы. Теперь, как только В этом случае стоит убрать возможность хранения ло-
перестает отвечать хост провайдера, например, в течение гов в SQL-базе. Закомментируйте строчки вызова проце-
5 минут DNS-сервер, это будет означать, что модем «спот- дуры EventsLog в файле TkNetmon.tcl (строки 681, 1598),
кнулся» на ровном месте и требуется его перезагрузка, ко- lib/EventsLog.tcl (строка 809) и вызов пакета sql в lib/Sql.tcl
торую мы и можем организовать, используя возможность (строка 10) и в lib/EventsLog.tcl (строка 31).
запуска внешних скриптов – вызов Exec в netmond. Серверная часть этого решения, т.е. непосредственно
Отлично, вручную мы знаем, как получить данные. Те- сборщик данных, портированы в следующие ОС: FreeBSD,
перь хотелось бы пощелкать мышкой, чтобы получить те же Linux, Solaris. Насчет Win32/Win64-окружения текущий раз-
данные в красивом виде. Как вы догадались, мы перехо- работчик дал такой ответ – «вероятность портирования
дим к клиентской части «сетевого дилера». близка к 0». Что касается клиентской части под Windows,
Визуализация происходит с помощью пакетов Tcl/Tk, то все «комплектующие» под эту систему есть: Tcl/Tk,
TkTables, BLT и, если требуется, пакетов tcl-sql и snack. Пос- TkTables, BLT. Так что вероятность запуска в последнем
ледние два нужны прежде всего для возможности сохранять случае будет значительно выше 0.
логи в SQL-базу и звукового оповещения статуса узлов. В заключение хотелось бы поблагодарить Виктора Фоми-
чева, текущего разработчика проекта netmond и TkNetmod
# cd /usr/ports/net-mgmt/tknetmon/
# make && make install && make clean з а п о м о щ ь п р и
подготовке мате-
Так получается, что и сам сервер netmond, и его клиент- риала.
скую часть (TkNetmond) мы собрали на одном и том же уз-
ле управления. Но картинку мы хотим наблюдать на своем 1. http://netwhistler.
рабочем месте. Сделаем перенаправление экрана на свою sourceforge.net/
машину и запустим визуализатор: downloads.shtml.
2. http://vfom.narod.
$ export DISPLAY=myIP:0
$ wish8.4 /usr/local/lib/TkNetmon-2.0.7a/TkNetmon.tcl ru/ TkNetmon/
index.html.
Получили незаполненную карту. Дальше можно вруч- 3. h t t p : / / n e o n .
ную внести необходимые для контроля узлы на карту либо h e ave n n e t . r u /
импортировать все узлы, что хранятся в работающем сер- netmond_rrdtool. Рисунок 6. Хост на момент проверки
вере netmond. Для последнего случая отправляетесь в ме- html. выключен
24
bugtraq
Выполнение произвольного кода Ошибка завышения на единицу в ClamAV

в SAP GUI MDrmSap ActiveX-компоненте Программа: ClamAV версии до 0.94.1.
Программа: SAP GUI версии 6.x, 7.x. Опасность: Средняя.
Опасность: Высокая. Описание: Уязвимость существует из-за ошибки завы-
Описание: Уязвимость существует из-за неизвестной шения на единицу в функции get_unicode_name() в фай-
ошибки во встроенном MDrmSap ActiveX-компоненте ле libclamav/vba_extract.c. Удаленный пользователь может
(mdrmsap.dll). Удаленный пользователь может с помощью с помощью специально сформированного VBA-проекта вы-
специально сформированного веб-сайта выполнить про- звать переполнение динамической памяти с нулевым бай-
извольный код на целевой системе. том и выполнить произвольный код на целевой системе.
URL производителя: www.sap.com. URL производителя: www.clamav.net.
Решение: Установите исправление с сайта производителя. Решение: Установите последнюю версию 0.94.1 с сайта
производителя.
Множественные уязвимости в Libxml2
Программа: Libxml2 2.7.2, возможно, другие версии. Переполнение буфера в imlib2
Опасность: Высокая. Программа: imlib2 1.4.2, возможно, другие версии.
Описание: 1. Целочисленное переполнение существует из- Опасность: Высокая.
за ошибки в функции xmlSAX2Characters(). Удаленный поль- Описание: Уязвимость существует из-за ошибки в функ-
зователь может с помощью специально сформированного ции load() в XPM-загрузчике. Удаленный пользователь мо-
XML-файла вызвать повреждение памяти и выполнить про- жет с помощью специально сформированного XPM-файла
извольный код на целевой системе. вызвать переполнение динамической памяти и выполнить
2. Целочисленное переполнение обнаружено в функ- произвольный код на целевой системе.
ции xmlBufferResize(). Удаленный пользователь может вы- URL производителя: enlightenment.org.
звать зацикливание приложения. Решение: В настоящее время способов устранения уязви-
URL производителя: www.xmlsoft.org. мости не существует.
Решение: В настоящее время способов устранения уязви-
мости не существует. Выполнение произвольного кода
в Ubuntu webkit
Выполнение произвольного кода Программа: Ubuntu Linux 8.10.
в Exodus Опасность: Высокая.
Программа: Exodus 0.10, возможно, другие версии. Описание: Уязвимость существует из-за ошибки повторно-
Опасность: Высокая. го использования памяти при обработке импорта каскадных
Описание: Уязвимость существует из-за того, что прило- стилей. Удаленный пользователь может с помощью специ-
жение доверяет аргументам, полученным через «im:// URI». ально сформированного веб-сайта выполнить произволь-
Удаленный пользователь может с помощью специально ный код на целевой системе.
сформированного URI перезаписать произвольные фай- URL производителя: www.ubuntu.com.
лы на системе. Пример: Решение: Установите исправление с сайта производителя.
im:///'%20-l%20c:\boot.ini%20-v
Несколько уязвимостей в Openfire
URL производителя: exodus.jabberstudio.org. Программа: Openfire 3.6.0a, возможно, другие версии.
Решение: В настоящее время способов устранения уязви- Опасность: Средняя.
мости не существует. Описание: 1. Уязвимость существует из-за ошибки в филь-
тре AuthCheck при наложении ограничений доступа. Уда-
Повреждение памяти в BitDefender ленный неавторизованный пользователь может с помощью
Antivirus специально сформированного URL, содержащего строку
Программа: BitDefender Antivirus Standard 10.x; BitDefender «setup/setup-» и символы обхода каталога, получить дос-
Free Edition 10.x. туп к административным ресурсам. Пример:
Опасность: Высокая. http://www.foo.bar:9090/setup/setup-/../../ ↵
Описание: Уязвимость существует из-за ошибки про- log.jsp?log=info&mode=asc&lines=All
верки границ данных в модуле pdf.xmd при обработке за- 2. Уязвимость существует из-за ошибки проверки вход-
шифрованных данных с помощью фильтров FlateDecode ных данных в плагине SIP. Удаленный пользователь мо-
и ASCIIHexDecode. Удаленный пользователь может с по- жет выполнить произвольные SQL-команды в базе дан-
мощью специально сформированного PDF-файла вызвать ных приложения.
повреждение памяти и выполнить произвольный код на це- URL производителя: www.igniterealtime.org/projects/openfire/
левой системе. index.jsp.
URL производителя: www.bitdefender.com. Решение: В настоящее время способов устранения уязви-
Решение: В настоящее время способов устранения уязви- мости не существует.
мости не существует.
Составил Александр Антипов
№12, декабрь 2008 25

Решаем проблемы в Outlook Express
Дмитрий Нестеркин
Проблемы с электронной почтой – пожалуй, одна из наиболее частых причин обращения
пользователей в службы технической поддержки и к системным администраторам.
Несмотря на кажущуюся простоту задачи, найти причину сбоя и быстро устранить её
получается не всегда. Рассмотрим наиболее частые проблемы, возникающие при работе
с электронной почтой через клиент Outlook Express.
Э
тот стандартный почтовый кли- лов с расширением .dbx, каждый из ко- дует создать упомянутую выше струк-
ент операционной системы торых соответствует одной из пользо- туру подпапок и либо переносить все
Windows не отличается гибкос- вательских папок. Имена этих файлов письма вручную (причем небольшими
тью и надежностью. Тем не менее на- в точности повторяют названия папок порциями, а в идеале – по одному), ли-
равне с Internet Explorer данный про- в окне почтового клиента. Также име- бо воспользоваться функцией импорта
граммный продукт зачастую выбира- ются служебные dbx-фалы, в которых какой-либо другой почтовой програм-
ется в качестве корпоративного стан- хранятся лог принятых сообщений мы (например, Microsoft Office Outlook).
дарта в целях экономии и простоты и иерархия подпапок. Учтите, что не все почтовые програм-
конфигурации. мы позволяют экспортировать письма
В отличие от «старшего брата» – Переполнение почты обратно в Outlook Express. Переполнен-
программы Outlook из комплекта Случается, что программа выдает со- ные файлы баз корректно не сжима-
Microsoft Office, где, впрочем, иногда общение с кодом ошибки и крайне рас- ются и не подлежат восстановлению –
также случаются некоторые из проб- плывчатым пояснением «неопознанная их придется удалить. После перезапус-
лем, о которых мы сегодня поговорим, ошибка» без дополнительных коммен- ка Outlook Express создаст пустые dbx-
в Outlook Express используется упро- тариев при проверке почты, и новые файлы взамен удаленных, и вы получи-
щенный формат почтовых баз (.dbx), ко- письма не поступают. Также может воз- те пустые соответствующие папки.
торый менее устойчив к повреждени- никнуть обратная ситуация, когда пись-
ям. Данная особенность является при- ма не перемещаются из папки «Исхо- Восстановление
чиной многих сбоев в работе почтово- дящие» в папку «Отправленные», и их структуры папок
го клиента, а зачастую и потери дан- отправка повторяется снова и снова. и базы писем
ных. В отличие от «офисной версии» В большинстве случаев это свидетель- Иногда происходит случайное удале-
Outlook, к которой Microsoft предостав- ствует о переполнении одного или нес- ние либо повреждение одного из фа-
ляет встроенные средства восстанов- кольких файлов почтовой базы. Причи- лов почтовой базы. В данном слу-
ления почтовых баз и архивов – утили- на подобного заключается в том, что чае восстановление возможно только
ты scanpst и scanost (найти их обычно программа не может работать с файла- с сервера или из бэкапа. Тем не менее
можно в папке C:\Program files\Common ми более 1,99 Гб. Решение – регуляр- и здесь есть «подводные камни». Про-
files\system\msmapi\1033, если у вас ус- ное сжатие папок. В случае если этого грамма, скорее всего, не примет заново
тановлен Outlook 2003, или C:\Program мало, следует создать структуру под- удаленные письма с сервера, так как
Files\Microsoft Office\Office12, если у вас папок (например, по месяцам или квар- «знает», что они уже были получены.
используется Outlook 2007), в Express- талам) и перенести письма в соответс- Заставить «забыть» ее о них доволь-
версии подобных инструментов нет. твующие подпапки. В результате вмес- но просто – достаточно найти в про-
По умолчанию банк сообщений то одного большого файла вы полу- филе пользователя файл pop3uidl.dbx
Outlook Express располагается в лич- чите несколько маленьких. Но что же и удалить его. Также встречается пов-
ном профиле пользователя (в каталоге делать, если неприятность уже слу- реждение файла Folders.dbx, приводя-
C:\Documents and Settings\<имя пользо- чилась? Во-первых, следует прекра- щее к нарушению структуры подпапок
вателя>\Local Settings\Application Data\ тить все попытки получения или от- либо исчезновению некоторых из них
Identities\{уникальный идентификатор}\ правки почты до момента полного ус- из списка доступных. После удаления
Microsoft\Outlook Express). При необхо- транения сбоя. Это предотвратит воз- или перемещения данного файла и пе-
димости его расположение может быть можное повреждение файлов почто- резапуска Outlook Express все подпап-
изменено в параметрах программы на вой базы и потерю всех писем в про- ки переносятся на самый верхний уро-
вкладке «Обслуживание». База пи- блемной папке при приеме или отправ- вень и теряют свою иерархию. Одна-
сем представляет собой набор фай- ке небольших писем. После этого сле- ко «потерянные» подпапки после та-
26
кой операции появляются и после ручного восстановления через стандартную утилиту «Адресная книга». К сожале-
иерархии продолжают быть доступны. нию, в отличие от данной утилиты Outlook Express не мо-
жет отображать более 999 контактов. Поэтому для возоб-
Самопроизвольное удаление писем новления работы данной функции вам потребуется удалить
с сервера один или несколько контактов.
При использовании общего почтового ящика письма уда-
ляются с сервера после получения их первым пользовате- Печать писем в неверной кодировке
лем, несмотря на наличие флажка «оставлять копии пи- Несмотря на то что решение кажется очевидным, оно мо-
сем на сервере». Данная проблема, к примеру, наблюда- жет оказаться безрезультатным. Многие пользователи по-
лась при получении писем с сервера Communigate Pro пос- лагают, что Outlook Express имеет свой интерпретатор HTML
ле изменения адреса электронной почты в настройках учет- для создания и обработки писем в HTML-формате. На са-
ной записи Outlook Express. Устранить данный сбой можно, мом деле для этой задачи в некоторых случаях использу-
удалив и создав учетную запись заново. При этом можно ется интерпретатор Internet Explorer, которому при печати
ее предварительно экспортировать в файл, а после удале- и передается письмо в неизменном виде. Если в Internet
ния импортировать обратно. Explorer вместо варианта «Автовыбор» выбрана какая-то
конкретная кодировка по умолчанию, то при несоответс-
Потеря писем твии кодировки письма установленному в Internet Explorer
Иногда происходит исчезновение большого количества пи- варианту может возникнуть подобная проблема. Устранить
сем, как правило, за непрерывный промежуток времени (на- ее можно путем включения опции «Автовыбор» через ме-
пример, с 3 марта по 7 апреля). Обычно причиной подоб- ню «Вид → Кодировка» в Internet Explorer.
ного исчезновения писем является сбой при сжатии почто- В Windows Vista на смену Outlook Express пришел новый
вой базы, в результате которого часть писем маркируется клиент – Windows Mail («Почта Windows»). В нем изменился
как удаленные. Восстановить письма в таком случае мож- формат почтовых баз, и теперь все письма хранятся инди-
но лишь с помощью ПО сторонних разработчиков. Конечно, видуально. В результате некоторые описанные здесь про-
если вы понимаете структуру dbx-файлов, можно попробо- блемы были устранены. Однако, разумеется, не обошлось
вать восстановить письма вручную, но это весьма трудоем- и без новых проблем.
кий и сложный процесс. Чтобы подобного не происходило, Я надеюсь, что описанные здесь способы решения
следует постоянно следить за объемом свободного диско- проблем помогут вам справиться с трудностями при рабо-
вого пространства и не прерывать процесс сжатия папок. те с электронной почтой.
Обрывки писем
Корпоративным пользователям множество неудобств так-
же доставляет неверная обработка разбитых на части пи-
сем, если на стороне отправителя и получателя использу-
ются разные почтовые программы, например, письмо раз-
бито Outlook Express, а у получателя Lotus Notes либо у от-
правителя Mozilla Thunderbird, а у адресата Outlook Express.
В идеале функция разбивки больших писем позволяет в не-
которых случаях обойти ограничение на максимальный раз-
мер письма, но очень часто это порождает лишние трудно-
сти. В случае несовместимости получатель видит множес-
тво пронумерованных нечитаемых писем. Самым прос-
тым способом было бы попросить отправителя отключить
функцию разбивки сообщений и переслать письмо зано-
во. Но как быть, если это по какой-то причине невозможно?
В таком случае придется «собирать» письмо вручную. Со-
здайте в «блокноте» новый текстовый файл и скопируйте
в него из окна почтовой программы содержимое всех час-
тей письма. Делать это нужно последовательно, не нару-
шая порядка частей сообщения и не делая пробелов. Пос-
ле этого файл следует сохранить с расширением .eml и от-
крыть программой Outlook Express либо импортировать
в стороннюю почтовую программу.
Исчезновение списка контактов

Если у вас включено отображение контактов из Адресной
книги, но в какой-то момент после добавления очередно-
го контакта программа выдала сообщение, что нет кон-
тактов для отображения, проверьте количество контактов Реклама
№12, декабрь 2008 27

Белые списки
в DSPAM
Михаил Кондрин
Как позволить пользователям настраивать индивидуальные белые списки в DSPAM?
Белые списки списках, для конечного пользователя независимо от выставляемых оценок,
и статистические этот вариант оказывается вполне удоб- что гарантирует сохранность писем
спам‑фильтры ным. Использование статистических даже в случае ошибок, допускаемых
Использование статистических спам- фильтров на стороне сервера в отли- фильтром. По сравнению с greylisting,
фильтров на почтовом сервере в пос- чие от клиентских (например, встроен- когда разные почтовые серверы до-
леднее время завоевало большую по- ных в почтовую программу) позволяет статочно гибко подходят к интерпрета-
пулярность среди системных админис- повысить точность оценок, выставляе- ции ошибок 4xx, что зачастую (при не-
траторов. Несмотря на то что такое ре- мых фильтром, за счёт использования настроенных белых списках) приво-
шение оказывает серьёзную нагрузку большего объёма данных в силу зако- дит к потере писем, этот вариант да-
на вычислительные ресурсы сервера на больших чисел. Кроме того, как пра- же предпочтительнее для пользовате-
и не даёт снижения паразитного (спа- вило, статистические фильтры обычно лей, которые параноидально относят-
мерского) трафика в отличие от реше- конфигурируются таким образом, что ся к вероятности пропажи своей кор-
ний основанных, к примеру, на серых письма доставляются пользователю респонденции. Безусловно, статисти-
28
ческие фильтры не являются панацеей, но в комбинации с users), но достучаться через него до сотрудников Sensory
другими средствами они серьёзно снижают привлекатель- Networks (если таковые существуют) бесполезно.
ность вашей почтовой системы для спамеров. Вообще говоря, давно уже назрела необходимость фор-
На страницах журнала [1] подробно описывались функ- ка проекта (тем более что юридических препятствий к это-
циональность и особенности настройки одного из популяр- му нет, так как DSPAM по-прежнему остаётся под лицензи-
ных серверных спам-фильтров DSPAM [2], так что на этом ей GPL), к чему, кстати, призывал и сам автор, оговорив-
вопросе можно не останавливаться. Вместе с тем многих шись, однако, что сам он этого делать не хочет и не может,
пользователей и администраторов смущает отсутствие будучи связанным контрактом. Вопрос заключается только
в DSPAM принудительных белых списков (whitelisting), при- в отсутствии желающих, и хотя бурные дискуссии на эту те-
чём это ограничение для некоторых является весомым ар- му время от времени возникают в списке рассылки, но пока
гументом, чтобы отказываться от DSPAM в пользу самоде- нового лидера проекта найти не удалось. Это ещё не поз-
льных решений [3]. Хотя в качестве опции в DSPAM есть воз- дно сделать, пока у пользователей ещё не пропал инте-
можность вести автоматические белые списки, когда адре- рес к проекту. Понятно также, что время тут играет против,
сат заносится в белый список после получения от него оп- и сроки уже, честно говоря, поджимают.
ределённого количества неспамных писем (обычно 10), при Так что дальнейший текст предназначен в основном для
том что пользователи ни разу не заносили его корреспон- тех администраторов, у которых уже имеется установлен-
денцию в спам. Но обычно под белыми списками подразу- ный DSPAM и у которых даже после прочтения предыдуще-
меваются списки, создаваемые заранее вручную пользо- го абзаца не появилось желания срочно снести его и уста-
вателем, со списком корреспондентов по умолчанию «хоро- новить SpamAssassin (для свежих инсталляций в данный
ших». В этом смысле действительно DSPAM такую функци- момент это наиболее предпочтительный вариант). Пред-
ональность не предоставляет, и (более того) есть несколь- полагается, что используется версия DSPAM из CVS, кото-
ко вполне весомых аргументов, почему whitelisting, выпол- рая в разных дистрибутивах обозначается как 3.8.1-3.8.4.
ненный в таком стиле, вреден. Например, как разрешить Анонимный доступ к CVS открыт, поэтому при отсутствии
конфликт с письмом, которое при разборе идентифициро- подходящей бинарной версии в дистрибутиве можно ска-
вано как спам, но его отправитель в белом списке (ситуа- чать исходный код:
ция, которая в автоматическом whitelisting крайне малове-
роятна)? Может быть, специалисты по статистическому ана- cvs -z3 -d :pserver:cvs@cvs.nuclearelephant.com: ↵
/usr/local/cvsroot login
лизу и могут предложить хороший вариант решения этой cvs -z3 -d :pserver:cvs@cvs.nuclearelephant.com: ↵
проблемы, но, вообще говоря, искусственное вмешатель- /usr/local/cvsroot co dspam
ство в процесс тренировки спам-фильтра может серьёзно
сказаться на его точности. Так что, по мнению противников и скомпилировать dspam используя скрипт configure:
белых списков, к числу которых относится и автор DSPAM
Jonathan Zdziarski, эта функциональность представляет со- ./configure --sysconfdir=/etc \
--prefix=/usr \
бой tick-feature, т.е. нечто, что пользователи хотят видеть в --with-dspam-home=/var/dspam \
системе, но чем они реально не пользуются (или пользуют- --with-storage-driver=mysql_drv \
--with-mysql-includes=/usr/include/mysql \
ся, но без особой выгоды для себя). --with-mysql-libraries=/usr/lib/mysql \
Вместе с тем, белые списки легко могут быть реализо- --enable-preferences-extension \
--enable-virtual-users \
ваны в DSPAM, так почему бы не предоставить пользовате- --enable-debug \
лям то, чего они добиваются, постаравшись при этом мини- --enable-verbose-debug \
--enable-daemon
мизировать вред, который они могут себе нанести.
Но сначала о грустном. К сожалению, перспективы
дальнейшего развития DSPAM представляются достаточ- DSPAM в качестве LMTP-фильтра
но туманными. В мае 2007 года автор продал все права Реализация белых списков в DSPAM не является универ-
на DSPAM (вместе с домашним сайтом проекта) компании сальным решением, а привязана к конкретной системе,
Sensory Networks. Перед самой продажей был выпущен но- так что мне придётся вначале описать способ установки
вый (последний официальный на сегодняшний день) релиз DSPAM, тем более что он в моем случае существенно отли-
3.8.0, но поскольку, по всей видимости, он делался в спеш- чается от описанного, например, в статье [1]. «Общеприня-
ке, то результат получился не слишком удачным. Как впос- тый способ» состоит во встраивании DSPAM в виде филь-
ледствии сам автор жаловался в списке рассылки, он был тра в MailTransferAgent, а его тренировка пользователем за-
введён в заблуждение относительно намерений этой ком- ключается в пересылке писем на специальные адреса ли-
пании и рассчитывал, что она будет продолжать развитие бо же использовании веб-интерфейса. Однако мне боль-
проекта. Однако этого не случилось. Проект фактически за- ше нравится способ, предложенный в [4], когда DSPAM ус-
морожен. Сама компания разработкой не занимается, лишь танавливается между MTA и IMAP4-сервером, что позволя-
в начале 2008 в CVS проекта были внесены патчи, создан- ет как бы «приблизить» DSPAM к конечному пользователю,
ные сообществом пользователей DSPAM, но с тех пор вся- делая, с одной стороны, тренировку фильтра более удобной,
кая активность прекратилась, несмотря на то, что в насто- а с другой, не привязывая пользователя к конкретному поч-
ящее время снова образовалась разрозненная масса за- товому клиенту. Фактически тренировка DSPAM сводится
платок, которую стоило бы добавить в проект. На страни- к перемещению писем между IMAP-каталогами, что может
це [2] работает пользовательский список рассылки (dspam- быть выполнено в любом мало-мальски продвинутом поч-
№12, декабрь 2008 29

Так что, как видно из р и сун -
ка cо снимком почтового клиента
Thunderbird, для очистки каталога
Junk достаточно будет нажать кнопку
Compact (которая выполняет IMAP‑ко-
манду expunge в соответствующем ка-
талоге на сервере). Очень удобно! Хотя
пользователь может сам выбрать, ка-
ким образом ему помечать спам, на-
пример, не перемещая его и не удаляя,
а просто используя стандартную пик-
тограмму Thunderbird «Junk» (addflag
«Junk»;). Стоит ещё упомянуть в этой
связи, что для Thunderbird есть хоро-
шее расширение, позволяющее ре-
дактировать sieve-скрипты [7], прав-
да, и в этом случае лучше всё же ис-
Результат работы статистического фильтра в окне Thunderbird пользовать версию из CVS.
Таким образом два звена цепочки –
товом клиенте. К его недостатку можно отнести тот факт, Cyrus-IMAP и Postfix уже подготовлены для фильтрации спа-
что он работает только для протокола IMAP4. ма. Осталось только соединить их с помощью демона dspam.
В руководстве [4] разобран способ установки DSPAM Его настройка приведена в листинге, который я комменти-
в качестве LMTP-фильтра между Sendmail и Cyrus-IMAP, ровать не буду, отсылая читателя к статье [1]:
т.е. полученное письмо передаётся по LMTP-протоколу
от MTA к DSPAM, который проверяет письмо и в зависи- Home /var/dspam
мости от выставляемых оценок пересылает его по LMTP- Trust root
протоколу в один из пользовательских почтовых ящиков Trust mail
Trust cyrus
Cyrus-IMAP (с помощью «+» адресации). Эта схема была
несколько модифицирована мною, во-первых, Sendmail за- StorageDriver /usr/lib/libmysql_drv.so
менён на Postfix. При этом конфигурация, описанная в ста- # --- Cyrus-IMAP ---
тье [5], применима в данном случае практически без из- DeliveryHost /var/imap/socket/lmtp
DeliveryProto LMTP
менений. Единственный параметр, который требуется из-
менить в конфигурационном файле /etc/postfix/main.cf, – # --- MySQL ---
MySQLServer /var/run/mysql/mysql.sock
это замена стандартного транспорта, по которому отсы- MySQLPort 3306
лаются письма: MySQLUser dspam
MySQLPass _dont_use_this_pass_
MySQLDb dspam
mailbox_transport = lmtp:unix:/var/dspam/dspam.sock
# --- DSPAM daemon/client ---
ServerMode auto
Это, как вы понимаете, просто название именованного ServerParameters "--deliver=innocent,spam"
ServerDomainSocketPath "/var/dspam/dspam.sock"
сокета, прослушиваемого демоном dspam.
Во-вторых, вместо использования «+» адресации при ClientHost /var/dspam/dspam.sock
отсылке проверенных писем в моем варианте DSPAM прос- # --- Preferences ---
то вставлял оценки в письма в виде нескольких заголовков, ...
Preference "spamAction=deliver"
в расчёте на то, что пользователь сможет либо отфильтро- Preference "signatureLocation=message"
вать спамные письма в почтовом клиенте, либо использо- Feature whitelist
...
вать sieve-shell в Cyrus-IMAP. Эта группа заголовков име-
ет такой вид: Ничего сложного, каждый из блоков отвечает за на-
X-DSPAM-Result: Spam
стройку именованных сокетов, с одного из которых dspam
X-DSPAM-Processed: Sun Sep 7 17:56:35 2008 получает письма на проверку от Postfix, а на другой пе-
X-DSPAM-Confidence: 0.9158 редаёт уже проверенные письма серверу Cyrus-IMAP.
X-DSPAM-Probability: 1.0000
Свои данные DSPAM хранит в базе данных MySQL, что от-
Таким образом, для перехвата такого рода писем, пе- личается от случая, рассмотренного в статье [1], где был
ремещения их в специальный Junk-каталог и маркирова- использован сервер PostgresSQL, но различия в их нас-
ния их как «удалённых» можно воспользоваться следую- тройке применительно к DSPAM минимальны и несущес-
щим sieve-скриптом [6]: твенны.
Также блок Preferences может быть дополнен в соответс-
require ["regex", "relational", "fileinto", "envelope", ↵ твии с вашими предпочтениями, я выделил только необхо-
"imapflags"];
if header :contains ["X-DSPAM-Result"] "Spam" димые опции. Как уже говорилось, независимо от выстав-
{addflag "\\Deleted"; fileinto "Junk"; stop;} ленных оценок письмо будет доставлено получателю.
30
Кроме того, разумеется, включена функция автомати- while 1 {
if { [::imap4::processline $imap] == "*" } {
ческого whitelisting, без которого нам не удастся реализо- lappend userslist [lindex [split [lindex ↵
вать принудительный whitelisting, и добавлена опция, ука- $::imap4::info($imap,lastline) end] "."] end-1]
} else {
зывающая, что метки/signature, которыми dspam помечает break
проверенные письма, располагаются в теле письма. Это }
}
связано с ошибкой в последних версиях DSPAM, которая
не позволяет правильно читать сигнатуры, вставленные в foreach user [lsort -unique $userslist] {
#Обработка ящиков spam и ham
заголовки писем. Сами же метки необходимы для того, что- foreach action [list "spam" "innocent"] {
бы DSPAM мог найти данные вычисления оценки для пись- if { $action == "spam" } {
set d ${otherpref}.${user}.${spambox}
ма в базе данных, если потребуется пересмотреть выстав- } else {
ленную оценку. set d ${otherpref}.${user}.${hambox}
}
Теперь запуск DSPAM в виде демона с помощью ко- ::imap4::select $imap \"$d\"
манды: set mn [::imap4::mboxinfo $imap exists]
for {set i 1} {$i <= $mn} {incr i} {
#извлекаем отдельные письма
/usr/bin/dspam --daemon & ::imap4::fetch $imap $i flags
if { [lsearch [::imap4::msginfo $imap $i flags] ↵
Deleted ] >= 0 } {
позволяет сортировать корреспонденцию на спам и неспам. continue
}
Но это ещё только полдела, поскольку нужно дать возмож- if { ([lsearch [::imap4::msginfo $imap ↵
ность пользователю обучать статистический фильтр. $i flags] Flagged ] >= 0)&($action == ↵
"innocent") } {
Это достигается с помощью создания двух IMAP-ката- whitelist_message $imap $i ${user}@${domain}
логов spam и ham в почтовых ящиках каждого из пользо- }
processmail [get_message $imap $i] ↵
вателей и периодической их проверкой скриптом, который ${user}@${domain} $action
запускает тренировку dspam. Идея состоит в том, что если ::imap4::request $imap "store $i +flags \\deleted"
::imap4::getresponse $imap
пользователь считает оценку, выставленную dspam пись- }
му неправильной, то он перемещает false-negatives (пись-
if { $action == "spam" } {
мо, ошибочно классифицированное как неспам) в папку #очистка ящика spam
spam, каковым оно и является, а false-positives (легальное ::imap4::request $imap "expunge"
::imap4::getresponse $imap
письмо, ошибочно классифицированное как спам) в папку }
ham. Для периодической проверки этих каталогов на сто- }
}
роне сервера я использую скрипт traindspam.tcl:
close $imap
#!/usr/bin/tclsh
set imapuser "dspam"
set imappasswd "_dont_use_this_pass_" Скрипт читает каталоги spam и ham, используя протокол
set dspam "/usr/bin/dspam" IMAP, для чего необходим файл imap4.tcl, который входит
set imaphost "mail.myrealm.ru"
set domain "myrealm.ru" в состав tcllib [8]. Кроме того, чтобы скрипт мог прочитать
эти каталоги, он должен каким-то образом зарегистриро-
set spambox "spam"
set hambox "ham" ваться на сервере Cyrus-IMAP (в данном скрипте – под име-
set otherpref "Other" нем пользователя dspam), и, вообще-то говоря, каталоги
#Пользовательские параметры оканчиваются здесь spam и ham должны быть, как минимум, доступны для чте-
ния этому пользователю. В конфигурации, рассмотренной
source /usr/local/bin/imap4.tcl
в статье [5], для этой цели достаточно создать принципала
proc processmail { message username spam } { dspam в базе данных Kerberos. Необходимо также отредак-
#Обучение dspam
global dspam тировать начальную часть скрипта, указав там имя этого
set f [open "| $dspam --client --user $username ↵ принципала и его пароль, и остальные параметры, чьё на-
--source=error --class=$spam --process" WRONLY]
fconfigure $f -encoding binary -buffering none ↵ значение понятно из названий переменных. Единственный
-blocking 0 неочевидный параметр – это otherpref, который соответству-
puts $f $message
flush $f ет параметру userprefix: Other из конфигурационного фай-
close $f ла /etc/imapd.conf и означает префикс, добавляемый к на-
}
званиям каталогов других пользователей, с точки зрения
proc get_message { stream num } { пользователя dspam (т.е. каталог ham пользователя johndoe
#формируем письмо из заголовков и тела письма
::imap4::fetch $stream $num header для dspam будет виден как Other.johndoe.ham).
set h [::imap4::msginfo $stream $num header] Принцип работы скрипта состоит в следующем. Подклю-
::imap4::fetch $stream $num text
set h2 [::imap4::msginfo $stream $num text] чившись к IMAP-серверу, он собирает список всех пользо-
return ${h}${h2} вателей, чьи подкаталоги доступны пользователю dspam.
}
Затем последовательно проверяется каждый из катало-
set imap [::imap4::open $imaphost] гов. Если в них обнаруживаются письма без флага \deleted,
::imap4::login $imap $imapuser $imappasswd
то такое письмо передается на вход программе dspam
#Собираем ящики, доступные $imapuser (см. функцию process_message), запущенной как клиент
::imap4::request $imap {list "" "*"}
демона dspam (ключ --client), в режиме исправления оши-
№12, декабрь 2008 31

бок (ключ ‑‑source=error), и тип исправляемой ошибки оче- на сервере, тем самым уменьшив нагрузку на линию между
видным образом связан с каталогом, в котором это письмо клиентом и сервером. Однако преимущества DSPAM начи-
было обнаружено (--class=spam или --class=innocent). Потом нают сказываться, когда пользователи получают возмож-
письмо удаляется, т.е. просто помечается флагом \deleted, ность обмениваться накопленными данными и координи-
а каталог spam в итоге ещё и очищается, поскольку содер- ровать свои усилия в борьбе со спамом. В DSPAM это до-
жащиеся там письма для пользователя уж точно никакой стигается за счёт создания пользовательских групп (кон-
ценности не представляют. Заметьте, что в самом скрип- фигурационный файл /var/dspam/group). При этом сущест-
те содержится вызов функции whitelist_message, которая вуют два слабо пересекающихся способа.
как раз и заносит корреспондента в белый список, но об- Первый из них состоит в создании merged (смешанных)-
суждение этой темы я пока отложу. групп, когда статистика одного виртуального пользовате-
Массовое создание каталогов ham и spam можно вы- ля (т.е. этот пользователь должен присутствовать в табли-
полнить посредством приведённого ниже скрипта, кото- це dspam_virtual_uids), чьим именем названа группа, до-
рый использует диалоговый язык expect для вызова ин- бавляется к статистикам каждого из пользователей, вхо-
терактивной программы cyradm и с её помощью создаёт дящих в группу.
эти каталоги во всех зарегистрированных почтовых ящи-
ках, попутно выставляя подходящие права доступа к ним dummy:merged:user1@myrealm.ru,user2@myrealm@ru
пользователю dspam.
Синтаксис для всех групп выглядит однотипно – на-
package require Expect звание группы, разделитель-двоеточие, тип, снова разде-
spawn cyradm mail.myrealm.ru
set prompt "\.ru> $" литель и далее список пользователей, входящих в группу
expect { (можно использовать шаблон – «*», включающий всех поль-
-re $prompt
} зователей, и префикс-минус для исключения определён-
exp_send "lm user.*\r" ных пользователей), всё – без пробелов. В данном приме-
while 1 {
expect { ре статистика пользователя dummy даёт как бы базовый
-re {user\.([[:alnum:]]+)} { функционал, который позволяет любому новому пользо-
lappend users $expect_out(1,string)
} вателю, ещё не набравшему своей собственной статис-
-re $prompt { тики, после включения в группу достаточно эффективно
break
} фильтровать спам.
} Системный администратор может взять на себя под-
}
foreach v2 [lsort -unique $users] { держание данных пользователя dummy в актуальном со-
exp_send "cm user.${v2}.spam;cm user.${v2}.ham\r" стоянии, используя свою собственную статистику, напри-
expect {
-re $prompt мер с помощью утилиты dspam_merge:
}
exp_send "sam user.${v2}.spam dspam lrswd\r" dspam_merge mike@myrealm.ru -o dummy
expect {
-re $prompt
}
exp_send "sam user.${v2}.ham dspam lrsw\r" Другой вариант – включить пользователя dummy
expect { в inoculation (вакцинационную)-группу, которая позволяет
-re $prompt
} пользователям обмениваться результатами работы про-
} граммы dspam, запущенной в режиме вакцинации:
Что касается скрипта traindspam.tcl, то организовать его cat <vaccine-mail> | dspam --user dummy --class=spam ↵
--source=inoculation
периодический запуск можно, либо настроив crontab, либо
же непосредственно из Cyrus-IMAP (при этом скрипт будет В таком режиме информация заносится в базу дан-
работать под тем же пользователем и с теми же правами, ных с несколько иным статистическим весом, с тем чтобы
что и сам Cyrus-IMAP), отредактировав конфигурационный выработать у фильтра, если можно так сказать, «иммуни-
файл cyrus.conf файл и добавив в раздел EVENTS строчку, тет» на письма, подобные тем, что используются в качест-
которая вызывает этот скрипт раз в час: ве «прививки». Понятно, что такой режим следует исполь-
зовать, если вам попалcя в руки очень характерный образ-
EVENTS { чик спамерской почты и вас не смущает, что данные, по-
...
trainspam cmd="/usr/local/bin/traindspam.tcl" period=60 лученные в результате, будут продублированы в базе дан-
... ных для каждого пользователя, входящего в группу. При-
}
мер настройки вакцинационной группы:
Пользовательские группы в DSPAM vaccine:inoculation:dummy,johndoe@myrealm.ru, ↵

mike@myrealm.ru
Пока что статистический фильтр, сконфигурированный та-
ким образом как показано выше, не даёт никаких преиму- Обычно используется следующий популярный приём
ществ перед десктопными фильтрами, встроенными, на- (так называемая внешняя вакцинация – external inoculation)
пример, в такие почтовые клиенты, как Thunderbird. Раз- для полуавтоматической тренировки фильтров DSPAM
ве что с помощью Sieve можно организовать фильтрацию в своего рода двухтактном режиме. Фиктивный пользова-
32
тель johndoe@myrealm.ru подписывается на всевозможные этому для систем с небольшим объёмом дискового про-
спам-рассылки, при этом весь приходящий на его имя спам странства более приемлемым окажется альтернативный
передаётся (с помощью alias или transport_map) на вход вариант с shared (разделяемыми) группами:
скрипту с вызовом dspam в режиме вакцинации. Таким об-
разом статистика, набранная в результате вакцинации, ста- shared-user:shared:user1@myrealm.ru,user2@myrealm.ru
новится доступной пользователю dummy (через inoculation
группу), а затем от пользователя dummy через одноимённую Фактически в данном случае все пользователи соби-
merged-группу и всем пользователям этой группы. рают статистику для одного виртуального пользователя,
Дополнительного увеличения точности оценок, вы- чьим именем названа группа, и данные именно этого поль-
ставляемых dspam, можно добиться за счёт внедрения зователя используются при анализе почты каждого из учас-
classification (классификационных) – групп. Они использу- тников. Хотя этот тип групп можно использовать вместе
ются в том случае, если данные пользователя, на чьё имя с тремя видами групп, перечисленными ранее, но пользо-
пришло письмо, не позволяют сделать вывод: спам это или ватель из shared группы не может входить ни в какую дру-
нет. В таком случае письмо будет проверено, используя дан- гую. Таким образом следует выбирать между предоставле-
ные всех пользователей в классификационной группе, и ес- нием возможности пользователю вести собственную ста-
ли окажется, что хотя бы в одном случае оно признано спа- тистику или же экономией места на диске.
мом, то таковым оно и будет признано в итоге. У shared-групп есть ещё один недостаток – это борьба
Эти три типа групп можно комбинировать в любых вари- с «друзьями, которые оказываются хуже врагов», т.е. с поль-
антах (единственное требование, чтобы имена групп не сов- зователями, которые безответсвенно подходят к трениров-
падали), например, распределять пользователей по груп- ке фильтра и тем самым портят статистику для всей группы.
пам в соответствии с типом корреспонденции (условно го- Если для merged-групп эта проблема решается автомати-
воря, для бухгалтеров одна merged группа, для програм- чески, поскольку они выступают только в роли потребите-
мистов – другая), причём никаких ограничений для добав- лей, а «производителями» являются inoculation-группы и ад-
ления пользователей в любую из этих групп нет. При этом министраторы, имеющие доступ к dspam_merge, то любой
за подобную гибкость настроек приходится платить – в дан- пользователь из shared-группы имеет полную свободу обу-
ном случае дисковым пространством, поскольку для каж- чать dspam тем трюкам, каким ему захочется. Для предо-
дого из пользователей dspam ведёт отдельную статистику, твращения этого в DSPAM имеются управляемые (managed)
что существенно сказывается на объёме баз данных. По- разделяемые группы, где к тренировке фильтра допускает-
Реклама
№12, декабрь 2008 33

ся только администратор группы, чьим именем она назва- кого сорта тоже можно каким-то образом «украсить», чтобы
на. Согласно документации настроить такую группу мож- они выделялись во входящем ящике почтового клиента.
но следующим образом: Теперь решение задачи очевидно – для занесения отпра-
вителя в пользовательский белый список достаточно просто
group-admin:shared,managed:user1,user2 с помощью SQL-запроса найти соответствующий имени от-
правителя токен в базе данных и исправить в найденной за-
Кроме того, к ещё одному недостатку shared-групп мож- писи поля innocent_hits и spam_hits! Остальное – техничес-
но отнести ещё и тот факт, что для них не будет работать кие детали. Во-первых, токены хранятся в таблице не в ви-
рецепт создания белых списков, к рассмотрению которого де строки, а в виде числа, представляющего собой её конт-
(после такого долгого вступления) мы сейчас и перейдём. рольную сумму, вычисленную по алгоритму CRC‑64‑ISO [9].
Это упрощает поиск в таблице (поле token является также
Организация белых списков в DSPAM первичным индексом), и кроме того даёт несколько боль-
Идея метода состоит в обмане автоматического фильтра шую приватность, поскольку обратное восстановление
и маскировки писем, чей отправитель вручную помечен строки по контрольной сумме невозможно. Алгоритм CRC –
пользователем как легальный, под письма занесённые это, конечно же, не хэш-функция, но для слов естественно-
фильтром в автоматический белый список. В общем-то, го языка вероятность коллизий невелика, зато его гораз-
именно поэтому для метода необходим параметр Feature до легче реализовать даже на скриптовом языке, вроде ис-
«whitelist» в конфигурационном файле, без него он рабо- пользуемого нами tcl. Но даже этого нам делать не потре-
тать не будет. буется, поскольку в состав пакета DSPAM входит утилита
Рассмотрим поподробнее, как происходит занесение dspam_crc, которая как раз и вычисляет требуемую конт-
письма в белый список. При обработке письма его тело рольную сумму. Во-вторых, поскольку потребуется выпол-
и заголовки разбиваются по словам (токенам), которые за- нять непосредственное редактирование баз данных (сер-
носятся в базу данных DSPAM в таблицу dspam_token_data. вером которых, напомню, у нас служит MySQL), то нам по-
Её структура достаточно очевидна, она содержит колонки требуется какой-нибудь интерфейс доступа к этим базам
uid, token, innocent_hits, spam_hits, last – которые обознача- данных. Можно было бы воспользоваться соответствующей
ют идентификатор получателя письма, сам токен, сколько библиотекой для tcl [10], но для наших целей, поскольку за-
раз он встречался в легальных и спамных письмах, а так- прос будет не очень сложным, это слишком мощное сред-
же дату, когда он последний раз попадался. Идентифика- ство, и можно будет обойтись вызовом консольной програм-
тор связан с именем получателя письма согласно таблице мы mysql из скрипта. Так что теперь можно привести упо-
dspam_virtual_uids, которая как раз состоит из всего двух ко- мянутую выше функцию whitelist_message, которую нужно
лонок – uid и username. Данные, касающиеся всего письма будет вставить в скрипт traindspam.tcl:
целиком, и результаты вычислений оценки для этого пись-
ма собраны в отдельной таблице – dspam_signature_data, proc whitelist_message { stream num user } {
#Добавление отправителя в белый список
которая обычно используется для пересчёта вероятностей ::imap4::fetch $stream $num from:
и тренировки фильтра, но нам она не понадобится. set h From*[string trim [::imap4::msginfo $stream ↵
$num from:]]
Когда включён автоматический whitelisting, то в табли- set h1 [lindex [regexp -inline {CRC: ([[:digit:]]*)} ↵
цу dspam_token_data заносится ещё один токен – это заго- [exec /usr/bin/dspam_crc $h]] 1]
exec mysql -u dspam -p privet_dont_use -h post ↵
ловок письма с именем отправителя и приставкой From*. dspam -e \\
При этом следует учитывать, что используется заголо- 'update dspam_token_data natural left join ↵
dspam_virtual_uids set innocent_hits=10000, ↵
вок полностью, а не только адрес отправителя, например, spam_hits=0 where token=$h1 and username=$user'
для моих писем он будет выглядеть как From*M.Kondrin }
<mkondrin@hppi.troitsk.ru>. Хотя это уменьшает вероятность
подделки «подписи» спамерами, но при отправке разными Запрос заключается в склейке таблиц dspam_virtual_uids
почтовыми программами это поле может меняться в зави- и dspam_token_data по общему индексу (uids), поиске в по-
симости от настроек клиента. Так что следует учитывать, лучившейся таблице нужной пары пользователь-токен и мо-
что один и тот же отправитель может фигурировать в спис- дификации колонок innocent_hits и spam_hits. Эта конструк-
ках под разными именами. ция «update-join» работает в 5-й версии MySQL, относитель-
Отправитель автоматически добавляется в белый спи- но более ранних я не уверен. В качестве innocent_hits вы-
сок, если от него получено 10 (зависит от настроек dspam) брано достаточно большое значение для того, чтобы потом
легальных писем и не одного спамного. Подсчёт этой ста- при необходимости можно было бы легко найти в базе дан-
тистики ведётся в полях innocent_hits и spam_hits. При этом ных записи, составляющие пользовательский белый спи-
получатель письма может заметить, что отправитель вне- сок. Поскольку поиск происходит одновременно по имени
сен в белый список, по изменившимся заголовкам, допи- пользователя и токену, то именно из-за этого нельзя ис-
сываемым к письму фильтром: пользовать этот трюк для пользователей, входящих в shared-
X-DSPAM-Result: Whitelisted
группу. Действительно, имя пользователя скрипт получает
X-DSPAM-Processed: Wed Oct 22 16:08:08 2008 из названия обрабатываемого почтового ящика и передает
X-DSPAM-Confidence: 0.5203 его в виде параметра user функции whitelist_message. Вы-
X-DSPAM-Probability: 0.0000
яснить, принадлежит ли этот пользователь shared-группе
Так что с помощью изменения sieve-фильтра письма та- и узнать имя этой группы, чтобы использовать его для по-
34
иска в таблице, можно только с помощью синтаксическо- ["X-DSPAM-Probability"] "0.5", ↵
header :contains ["X-DSPAM-Result"] "Whitelisted")
го разбора файла /var/dspam/groups, что сложно и не всег- {fileinto "ham"; addflag "\\Flagged"; keep;}
да реализуемо, хотя бы из-за несовместимых прав досту- if header :contains ["X-DSPAM-Result"] "Whitelisted"
{addflag "\\Flagged"; stop;}
па. Хотя, конечно же, если отказаться от поддержки белых
списков, индивидуальных для каждого из пользователей, Тут нужно только уточнить, что модуль, обеспечиваю-
то это ограничение на shared-группы нетрудно обойти. щий операции сравнения (relational [12]), является не впол-
Теперь остается придумать способ, как разрешить поль- не стандартным, хотя он присутствует в Cyrus-IMAP, но он
зователю заносить адресатов в белый список. Можно было может не поддерживаться другими реализациями sieve.
бы создать ещё один IMAP-каталог для этой цели, но в при- Кроме того, сравнение в данном случае – это не сравне-
веденном выше скрипте traindspam.tcl используется другой ние действительных чисел (sieve – слишком ограниченный
способ. Процедура занесения отправителя письма в бе- язык, и понятия действительного числа там нет), а алфавит-
лый список запускается после того, как получатель письма ное упорядочение, но поскольку DSPAM выставляет оцен-
скопирует это письмо в ящик ham и пометит его флажком ки в фиксированном формате, то результат в обоих случа-
\Flagged, с тем чтобы отличать эти письма от false-negatives, ях получается одинаковым.
не требующих помещения в белый список. Наличие этого Таким образом, с помощью нескольких скриптов и од-
флага требуется по стандарту IMAP4 [11] и, следовательно, ного SQL-запроса нам удалось добавить недостающую
должно поддерживаться всеми IMAP-серверами и почто- функциональность DSPAM, реализовав там индивидуаль-
выми клиентами. Единственная сложность – определить, ные белые списки, пополнение которых находится в веде-
как он называется в почтовом клиенте. Например, в ранних нии пользователей. Можно было бы ещё продолжать усо-
версиях Thunderbird письма, помеченные таким флажком, вершенствование нашего фильтра и, например, отредак-
бесхитростно назывались flagged и отображались с соот- тировать скрипт traindspam.tcl, так чтобы письма из катало-
ветствующей пиктограммой. Однако в версиях начиная c 2.0 га spam, помеченные флажком, использовались для в

Язык

Системный администратор 73 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Системный администратор 73 PDF

Загружено:

Авторское право:

Доступные форматы

Так видит журнал читатель, который забыл оформить подписку:

№12(73) декабрь 2008

в Windows Server 2008

Мониторинг активности хостов

Три способа организации VPN

Белые списки в DSPAM

44 Сетевое сканирование с помощью МФУ РЕТРОСПЕКТИВА

№12, декабрь 2008 

Novell заинтересовалась клиентами Подготовил Дмитрий Шурупов

Android пытаются «подружить»

№12, декабрь 2008 

Запуск проекта Russian Fedora

№12, декабрь 2008 

EASEUS Partition ManagerHome – бесплатная программа с минимумом возможностей

№12, декабрь 2008 11

№12, декабрь 2008 13

№12, декабрь 2008 15

Рисунок 1. Внешний вид журнала событий Рисунок 2. Настройка Debug

Рисунок 3. Настройка ответной реакции на событие Рисунок 4. Свойства задач

№12, декабрь 2008 17

№12, декабрь 2008 19

В строке 1 объявляем директорию,

В строках 7-11 объявляется группа

12) Group "remote" {

И объявляется также группа remote,

Рисунок 3. Визуальная карта позволяет оценить масштабы аварии 15) NetState {

На поле действия выходит netmond_enable="YES"

36) Method "ftp" { где, 192.168.0.203 – DHCP-сервер, а 192.168.0.201 – адрес

44) Method "vnc" { 56) Object "DHCP-Server1" {

№12, декабрь 2008 21

Казалось бы, UNIX-система обязана работать долго # cat /root/system/pager2.sh

№12, декабрь 2008 23

Выполнение произвольного кода Ошибка завышения на единицу в ClamAV

№12, декабрь 2008 25

Решаем проблемы в Outlook Express

Исчезновение списка контактов

№12, декабрь 2008 27

№12, декабрь 2008 29

№12, декабрь 2008 31

Пользовательские группы в DSPAM vaccine:inoculation:dummy,johndoe@myrealm.ru, ↵

№12, декабрь 2008 33

№12, декабрь 2008

№12, декабрь 2008

№12, декабрь 2008