Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 33_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

11.69 Mб

Скачать

☆

<<< < Предыдущая 1 2 34 / 124 5 6 7 8 9 10 11 12 > Следующая >>>

hang

NOW!

HOWTO/СЕТЕВЫЕ ПРЯТКИ

w Click

BUY

w Click

BUY

gБОЧКА МЕДА

-xcha

Если ты уже решил для себя вотк-

-x cha

нуть в сетку NAT, дабы избавиться

от лишнего геморроя, то всем юз-

верям (как, впрочем, и начальству)

нужно еще рассказать, на кой,

собственно, оно им надо.

Во-первых, это простота установ-

ки. Достаточно поставить клиента

и все, нигде ничего прописывать

ÎÑè

больше не надо. Все проги под

мастдаем, как правило, пользуют

winsock, а следовательно, они даже

4work

не поймут, что их круто обвели. Во-

вторых, не надо заморачиваться

открытием входящего порта, напри-

мер, в icq или в ftp клиентах. В обо-

их случаях все за тебя сделает сер-

вак, достаточно его один раз наст-

роить и на всякий случай сделать

Åñëè òû íå àä-

бакап всех настроек.

ìèí, òî áóäü

В-третьих, поскольку все завязано

нет интернета. Для исправления

производительности даже на инва-

уверен, на тебя

можно пове-

на домен, не надо прописывать от-

этого мини-бага надо пройтись по

лида в коляске не похож.

сить трафика

дельно пользователей, пароль вво-

машинам и нажать update в наст-

на весь отдел.

РЕШЕНИЕ ПРОБЛЕМ

дить нужно только при загрузке Вин-

ройках клиента MSP. Самое инте-

ды, далее все пойдет на автопилоте.

ресное, что клиент может вообще

Есть решение, хоть и кривоватое,

Также не надо мучиться с написани-

отказаться апдейтиться, придется

но оно работает. Для линуховых

ем клиент-серверного софта, пос-

его сносить, перегружаться и ста-

юзверей имеется обычный проксик,

кольку коннект с серваком в твоей

вить с нуля. Иногда, при невыяснен-

который втыкается одновременно с

сетке и за ее пределами будет прохо-

ных пока обстоятельствах, клиент

winsock-ом. Он умеет кэшировать и

дить по одному и тому же сценарию.

слетает сам по себе. Кроме того,

обрезать урлы по имени. Плюс ты

Ну и жирный плюс: если ты админ,

никто не писал, да и не думает пи-

можешь не заморачиваться, если у

у тебя есть все вентили по управле-

сать клиента под ось Unix-платфор-

тебя большинство юзеров пользу-

нию трафиком. Кроме того, все кон-

мы; если у тебя есть продвинутые

ется IE; как только ты воткнешь

некты пойдут через одну единствен-

юзвери, пользующие эту ось, то

MSP клиента, он сам пропишет

ную точку в сети. Ставь туда снифак

инета им не видать как своих ушей.

настройки проксятника в браузере.

или файрволл, оба они будут рабо-

Также придется ставить отдельно

Для урезания баннеров очень хо-

тать как надо. Но как всегда, в лю-

файрволл, потому что средствами

рошо подходит OutPost, установ-

бой дискете есть пара бэд-блоков.

Винды много не отрежешь. Придет-

ленный на серваке (читай статью в

ся ставить отдельный отлов банне-

этом же номере). Он отлавливает

ЛОЖКА ДЕГТЯ

ров. Если хочешь перекрыть кисло-

трафик и потрошит все пакеты. По

Пора узнать, с какими трудностями

род на порно-сайты, то и тут придет-

скорости разница неощутима, зато

тебе придется столкнуться. При пе-

ся поставить дополнительный софт,

по надежности ему пока нет рав-

ремене чего-либо на серваке при-

потому как winsock не различает и

ных. Кроме того, кэш поможет тебе

дется апдейтить все клиентские

не умеет глушить отдельный тра-

сэкономить не только трафик, но и

части. Так, например, тебе вздума-

фик. Кроме того, если какой-нибудь

нервы. Так, если у тебя пользова-

лось поменять внутреннюю адреса-

умник подсядет на жирный канал и

тели найдут все-таки лазейку и

Åñëè ó òåáÿ

цию сети. Ты зашел на сервак и ска-

будет тянуть фильмец, то вся сеть

пойдут качать порнушку, ты, мирно

зал, что IP такие-то теперь наша ло-

просто встанет без инета, пока этот

просматривая кэш сервера, смо-

есть домен, то

ты можешь

калка и нечего слать все это через

ухарь не докачает. В общем, нет по-

жешь определить, откуда именно

назначить ма-

весь и-нет. Но это не все, приго-

ка идеального решения от этих

была скачана вся эта прелесть.

øèíû èëè

пользовате-

товься к наплыву пользователей,

граблей. Все это обещалось испра-

После того как скинешь наиболее

лей, которым

которые будут кричать, что у них

виться в ISA сервере, но он пока по

полюбившиеся картинки к себе на

можно пользо-

ваться инетом.

винт, можешь смело резать URL на

серваке.

Помимо стандартного проксика,

ты можешь воткнуть еще и допол-

нительные навески, например,

проксомитрон. Причем ставь его

перед проксиком, дабы он резал

странички еще до того, как они скэ-

шируются. Тогда пользователи,

благодаря твоей доброй душе и от-

цовской опеке, не увидят всех этих

пошлых картинок и баннеров.

А если это кому-то не понравится,

можешь смело посылать его... ну,

например, к шефу, пусть он ему до-

кажет, что порно и баннеры необ-

ходимы для рабочего процесса как

воздух.

Настройка лог-монитора


08(33) 2003	page	029

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P

					HOWTO/ГОРЯЧИЙ ПРОКСИ-СЕРВЕР
w Click				to	BUY
w Click											m
w								ГОРЯЧИЙ ПРОКСИ-СЕРВЕР
	w									o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ÎÑè 4work

УСТАНОВКА СЕРВИСОВ НА СТАРЫЙ КОМПЬЮТЕР

Докучаев Дмитрий aka Forb С каждым годом цифровые технологии сильно совершенствуются. Пользуются спросом (forb@real.xakep.ru) лишь компьютеры последних поколений, вытесняя своих “предков”, которые были

популярны с десяток лет назад. Но, несмотря на это, старый комп может сыграть большую роль в твоей работе. Мы не будем причислять себя к категории “мазохистов” и ставить на него Windows 95, чтобы насладиться тормозной работой (хотя иногда и продуктивной ;)). Как люди нового поколения, мы остановимся на Linux, потому как знаем, что правильная ось будет работать как на старых, так и на новых машинах.

Psybnc имеет довольно мощный язык скриптов, ознакомиться с ним можно в gjxtrfd мануал SCRIPTING, который находится в рабочем каталоге.

Ïредставим ситуацию: ты работаешь админом в небольшой ло-

калке. Руководствуясь правилом “мухи отдельно, котлеты отдельно”, хороший админ грамотно распределяет задачи между серверами в сети. К примеру, он никогда не поставит на почтовую машину Quakeсервер и наоборот. Рано или поздно он захочет использовать proxy для своей работы (или посадить на него своих клиентов). Для этой задачи вовсе необязательно ставить крутой Pentium4 с гигабайтными мозгами. Proxy-сервер не требователен к ресурсам, поэтому он будет прекрасно жить и на 486 процессоре. Вот и отлично! Сегодня мы поупражняемся в создании проксибоекомплекта, состоящего из трех важных сервисов, которые очень любят использовать в работе.

После выполнения скрипта psybnc не завершает thread должным образом, и в итоге

получается

симпатичный zombie-про- цесс. Причем при активной работе проксика число таких процессов может достигать сотни штук.

SQUID - ПРОСТО И УДОБНО

Не будем мудрить с настройкой экзотических серверов, в которых полно багов, а остановимся на стандартном Squid, версии которого регулярно обновляются. Вообще, про Squid можно написать отдельную книгу, потому как его возможности не знают границ (различные методы авторизации, разграничение по скорости, подсчет трафика, настройка кеширования данных, администрирование через web и т.д. и т.п.). Поэтому я раскрою лишь общие принципы настройки этого демона.

Первым делом скачиваем свежую версию Squid по ссылке http:// www.squid-cache.org/Versions/ v2/2.5/squid-2.5.STABLE3.tar.gz. Распаковываем и идем пить пиво, так как процесс распаковки на слабом проце может занять от одной до трех минут. Далее по порядку: ./configure, make, make install. Все должно пройти без осложнений и ошибок. Можешь не заморачиваться опциями конфигуратора, если желаешь обыч- ной работы proxy-server’а (для вклю-

Последние версии Squid

чения pool и т.п. необходимо уделить этому особое внимание).

МУТИМ КОНФИГ

После того как инсталляция Squid завершилась (естественно, успешно ;)), перейдем к самой интересной и увлекательной процедуре - настройке squid.conf (который по умол- чанию находится в /usr/local/squid/ etc/squid.conf). Конфу следует уделить особое внимание, чтобы гарантировать правильную работу сервера, а также разграничить доступ к нему (иначе придут злобные хакеры и прокачают 10 гигабайт че- рез твой проксик ;)). Ниже ты увидишь, какие опции можно выкинуть, а какие имеют огромное зна- чение. Итак, поехали!

http_port 3128

## Порт, на котором будет висеть squid. По умолчанию 3128.

icon_directory /usr/local/squid/share/icons error_directory /usr/local/squid/share/errors

## Пути к иконкам и сообщениям об ошибках демона.

acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY

## Запрещение кеширования файлов в каталоге /cgi-bin.

cache_dir ufs /usr/local/squid/cache 100 16 256

cache_access_log /usr/local/squid/logs/access.log cache_log /dev/null cache_store_log /dev/null

## Директория для кеша, а также пути к логам. В моем случае логируются только входящие запросы к проксику.

pid_filename /usr/local/squid/logs/squid.pid ## Путь к pid демона.

ftp_user anonymous@mail.ru

## E-mail адрес, который будет при анонимном ftp-соединении.

unlinkd_program /usr/local/squid/libexec/unlinkd

## Путь к внешней программе unlinkd - нужна для отключения ненужных cacheфайлов.

# ACCESS CONTROLS

## Самое интересное - настройка доступа к демону по ip-адресам.

acl all src 0.0.0.0/0.0.0.0

## Добавим запись all, которая имеет сорц, равный произвольному ip-адресу.

acl password src 192.168.0.0/24 192.168.1.0/24 ## А также две локальные подсетки (допустим, на этих адресах будут находиться клиенты и работники твоей локалки).

acl CONNECT method CONNECT

## Добавим поддержку метода CONNECT (куда современному проксику без него?).


page	030	08(33) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.								http_access allow password
	.								.c
		p					g
			df			n		e
				-xcha					## Разрешим юзать прокси-сервер клиен-
									## Разрешим юзать прокси-сервер клиен-

там (смотри acl password).

http_access deny CONNECT !password

## Использовать SSL CONNECT разрешаем только password-группе.

http_access deny all

##Остальные пусть идут лесом ;).

##С ACL разобрались. Мы еще вернемся к контролю при разборе полетов. Идем дальше.

cache_mgr admin@localnet.ru

cache_effective_user admin cache_effective_group root

## Задаем мыло владельца проксика, а также его права (Squid при запуске сделает setuid() и будет работать с кешем с этими правами).

forwarded_for off

## Мутим прозрачный прокси-сервер. Благодаря этой опции ip-адрес, с которого осуществлялся коннект на демон, отображаться не будет.

dns_testnames ns.localnet.ru as_whois_server whois.ripn.net

## Напоследок задаем два параметра: nsсервер локалки и whois-сервер (нужны для корректной работы проксика).

Вот, собственно, и весь конфиг, который схиляет для нормальной работы Squid. Разумеется, если ты хочешь большего, этих опций мало - полный перечень параметров демона, а также описание к ним ты можешь найти, например, на www.opennet.ru.

Следующим шагом для тебя будет создание кеш-директорий. Перед этим необходимо поставить владельца и группу на каталог /usr/local/squid/cache. В нашем случае команда будет выглядеть следующим образом:

# chown admin:root /usr/local/squid/cache

Теперь переходим в /usr/local/ squid/sbin и запускаем бинарник squid с параметром -z. Демон поп-

Грамотно составляем конфиг

hang

NOW!

HOWTO/ГОРЯЧИЙ ПРОКСИ-СЕРВЕР

w Click

BUY

росит подождать и высветит над-

Остается запихнуть Squid в авто-

пись, которая дает понять, что соз-

загрузку, чтобы не запускать про-

-x cha

дание директорий в процессе. На

цесс вручную после каждого ребута.

486dx эта операция выполняется

Это ты должен уметь делать сам ;).

около 10-15 минут, так что потерпи

Вот и все. Админ доволен, юзеры

и ни в коем случае не прерывай ра-

довольны, и сервер зря не пропадает.

áîòó Squid.

На досуге можешь почитать

/usr/local/squid/logs/access.log è ïî-

ДОВЕРЯЙ, НО ПРОВЕРЯЙ!

фильтровать acl’ом ссылки на порно-

Создали? Замечательно! Настало

сайты, которые почему-то так любят

время проверить работу проксика.

посещать сотрудники сети в рабочее

ÎÑè

Первым делом запустим его (без

время... Но это совсем другая история.

параметров). Если конф настроен

4work

правильно, то ошибок при запуске

НОСКИ - ПРОКСИ

не будет. Телнетимся на порт 3128

НОВОГО ПОКОЛЕНИЯ

и видим connection refused. Поторо-

Прочитав название, ты, наверное, до-

пились... Но как узнать, в чем дело

гадался, что речь пойдет о настройке

и почему прокси не работает? От-

Socks. “Зачем устанавливать Squid и

вет прост - запустить squid с пара-

Socks на одном сервере?” - спросишь

метром -v 2 (полный дебаг). После

ты. “А почему бы и нет?” - отвечу я.

старта картина становится ясной -

Дело в том, что пользователи любят

Squid не может подгрузить файлы

пользоваться аськой, которая очень

с сообщениями об ошибках. На са-

хорошо взаимодействует с проксиком

мом деле, в каталоге /usr/local/

Socks5. В HTTPS-режиме случаются

Часто возни-

squid/share/errors содержится мно-

частые беспричинные дисконнекты.

кает задача

перенаправить

го подкаталогов, которые имеют

Первую часть установки особо

клиента

названия стран. Являясь патрио-

комментировать не стоит. Сливаем

ñ 80-ãî íà

том, выбираем Россию, кодировку

3128 ïîðò

(принудитель-

cp-1251 (или koi8, на твой выбор).

íûé ðåäè-

Копируем внутренности этого ката-

ðåêò). Ýòî

можно сделать

ëîãà â /usr/local/squid/share/

при помощи

errors, например, командой

iptables

следующей

# cp /usr/local/squid/share/errors/Russian-

записью:

iptables -t nat

cp1251/* /usr/local/squid/share/errors/

-A PREROUT-

ING -p tcp —

После этого попробуем запустить

dport 80 -j

REDIRECT —

Squid еще раз. Запуск, телнет, ви-

to-port 3128

дим, что порт успешно слушается.

Отлично! Заодно проверим конт-

роль. Пишем в сокет:

Всем спасибо, все свободны =)

Админ доволен, юзеры тоже, и сервер зря не пропадает. На досуге можешь почитать /usr/local/squid/logs/access.log и пофильтровать acl’ом ссылки на порносайты, которые почему-то так любят посещать сотрудники сети в рабочее время...

HEAD http://www.ya.ru HTTP/1.1

Если ты увидишь приветствующий хеадер HTTP 200 OK, то радоваться не стоит. Да, конечно, есть смысл, ведь ты только что довел Squid до рабочего состояния... Но если ты был внимательным, то заметил, что локальному src не разрешается юзать проксик. Поэтому сервер будет работать правильно только в том случае, если header будет начи- наться с запрещающих слов: HTTP 403 ERROR. Затем должна последовать проверка с src 192.168.0.0/24, и если все работает - нет повода для беспокойства. В противном слу- чае пересмотри squid.conf, возможно ты в чем-то ошибся.

соксы по адресу: http://ahriman. bucharest.roedu.net/pub/linux/net/ proxy/socks5-v1.0r10.tar.gz (на странице производителя для скачивания носков необходима регистрация), а также небольшой патч к нему (потом расскажу - зачем): http:// ahriman.bucharest.roedu.net/pub/ linux/net/proxy/socks5-v1.0r10.patch1.txt. После этого распаковываем архив, конфигурим. Затем немного пропат- чим сырцы соксов. Дело в том, что проксик плодит зомби-процессы при определенных условиях. Нам это не нужно :), поэтому переименуем расширение патча на .patch и выполним команду:

# patch < socks5-v1.0r10.patch

Конфу следует уделить особое внимание, чтобы гарантировать правильную работу сервера, а также разграничить доступ к нему (иначе придут злобные хакеры и прокача- ют 10 гигабайт через твой проксик ;)).


08(33) 2003	page	031

hang

NOW!

HOWTO/ГОРЯЧИЙ ПРОКСИ-СЕРВЕР

w Click

BUY

РАДОСТИ В IRC - PSYBNC

-xcha

При верном раскладе мы пропат-

НА ТВОЕМ СЕРВЕРЕ

÷èì ôàéë socks5/lib/hostname.c è

Как гласит старинная поговорка,

предотвратим порождение ненуж-

“Делу время - потехе час”, поэтому

ных зомби-процессов.

я думаю, что IRC для тебя играет

далеко не последнюю роль. Как ты,

АВТОРИЗУЕМСЯ

наверное, знаешь, для IRC сущест-

Далее идут команды make и make

вуют свои прокси. Более того, ты

install. После успешной установки

будешь всегда он-лайн, а чтобы

4work

необходимо создать конфиг-файл.

присоединиться к беседе, необхо-

По дефолту он будет находиться в

димо лишь сконнектится с прокси-

/usr/local/etc/socks5.conf. Â socks5

ком. Особую популярность завое-

существует несколько методов ав-

вал прокси (или баунсер, как его

ÎÑè

торизации. Для разнообразия сде-

еще называют) PsyBnc, написанный

лаем авторизу не по хостам, а по

командой tCl. Окунемся в увлека-

паролю. Для этого создадим кон-

тельный процесс его установки :).

фиг со следующими параметрами:

Чтобы перечи- тать squid.conf, достаточно запустить squid с параметром -k reconfigure. Эта команда дает преимущество перед killall -1 squid, так как ты сразу узнаешь об ошибках, которые могут иметь место в конфе.

При первом появлении на psybnc тебе необходимо добавить сервер. Делается это командой /addserver host :port. Чтобы сменить сервак, выполни /jump. Для полного понимания всех команд - набери /bhelp ;).

auth - - u permit u - - - - - -

Что будет означать авторизацию по паролю от всех хостов. В этой же папке должен находиться файл socks5.passwd, в котором записаны пароли пользователей (к сожалению, в plain-text). Этот конф может иметь вид:

icq:icqpassw0rd

root:letmeinsocks5

user:userpass

Все! Мы выполнили минимальную настройку socks5-демона. Остается лишь запустить его, вызвав /usr/local/bin/socks5. После этого будет слушаться порт 1080, к которому можно законнектиться любым приложением :). Логи пишутся в стандартный /var/log/messages, но ты можешь перенастроить это, немного помучив syslogd.

Вообще, socks5 может многое: коннектиться к другому сокс-серве- ру, авторизовать по хостам и еще какими-то непонятными методами и т.д. Рекомендую почитать man socks5.conf для общего развития.

Заштопаем старые носки ;)

Проверить работу сокса не составит особого труда. Запускаем тот же самый mIRC, заходим в опции, Connect->Firewall, вписываем хост машины, порт 1080, тип SOCKS5 и аккаунт (например, root:letmeinsocks). Затем соединяемся с IRC-сервером. Если пошел коннект - носки встали, как положено ;), если коннекта нет - уходим в /var/log/messages и разбираемся, в чем дело.

ДОСТАВКА, УСТАНОВКА...

НЕДОРОГО

Первым делом скачиваем баунсер с сайта разработчика: http://www. psychoid.lam3rz.de/psyBNC2.3.1.tar.gz.

Также рекомендуется скачать небольшой патч с моего сайта: http:// kamensk.net.ru/forb/1/psybnc.patch (позже я скажу, зачем он нужен). Распакуем архив и немного удивимся отсутствию configure в пакете. С одной стороны, это хорошо - пользователю меньше заботы при установке софта, но с другой - уход от стандарта может плохо закончиться. С этим я столкнулся, когда устанавливал Псю на Mandrake 9.0. Бинарник никак не хотел собираться в static-режиме, а чтобы найти ключи к make, исправить Makefile оказалось недостаточно. На самом деле, все вызовы компилятора были записаны в tools/autoconf.c и исполнялись обычной функцией system(). В этих вызовах и были нужные ключи. На самом деле, это довольно глупое решение - наличие стандартного configure было бы намного удобнее для пользователя.

Но вернемся к нашим баранам. Раз configure не оказалось, время собрать бинарник psybnc. Но перед этим вернусь к патчу, который я тебя просил скачать. Дело в том, что psybnc поддерживает такую фичу, как скриптинг. То есть ты можешь автоматически идентифицировать свой ник, канал, выполнять различные команды и т.п. Но в каждой бочке меда есть своя ложка дегтя: разработчики поторопились и сделали досадную багу в баунсере. После выполнения скрипта psybnc не завершает thread должным образом, и в итоге получа- ется симпатичный zombie-процесс. Причем при активной работе проксика число таких процессов может дос-

Процессы как на ладони!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w									o
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Сажаем Мирк на соксы

тигать сотни штук. Согласись, что расходовать ресурсы старенького компа на порождение зомбей глупо и бессмысленно. Для решения этой проблемы и был написан патч (greets to BetaTEST :)), который немного видоизменяет сишник src/p_script.c. Поэтому, если ты будешь использовать скриптинг в psybnc (а, скорее всего, так и будет), выполни команду patch < psybnc.patch. После этого можно смело собирать баунсер командой make.

РИСУЕМ PSYBNC.CONF

Далее необходимо создать нового пользователя в psybnc. Выполни make menuconfig, и перед тобой появится симпатичная графическая оболочка, где ты можешь за несколько минут добавить нового пользователя с правами администратора. Но для жизни этой тулзы обязательно нужны ncurses (которые, ты, наверное, не ставил в целях экономии места). Если так случилось, что система заругалась матом на отсутствие керсесов, создадим конфиг вруч- ную. При отсутствии пользователей в конфиге баунсер автоматически создает администратора по иденту первого входящего в IRC. Пароль будет передан командой /PASS, который автоматически зашифруется в psybnc.conf.

Итак, создаем в рабочем каталоге файл psybnc.conf следующего содержания.

PSYBNC.SYSTEM.PORT1=31337

PSYBNC.SYSTEM.LANGUAGE=russian

PSYBNC.SYSTEM.HOST1=*

Этих трех строк вполне достаточно. Теперь можно запустить psybnc и попытаться его заюзать. Если при запуске высветится строка Listener created :0.0.0.0 port 31337, значит все нормально и баунсер готов к работе.

Заделаемся админом баунсера. Для этого коннектимся к серверу IRC-кли- ентом (переданный пароль запоминается автоматически). Если все прошло успешно, ты получишь полный help от psybnc (который ты, впрочем, можешь вызвать и сам командой /bhelp) и сообщение об автоматическом статусе администратора.

НЕМНОГО О СКРИПТАХ

Раз я заговорил о скриптинге, то продолжу тему (не зря же мы пат-



page	032	08(33) 2003

hang

NOW!

wClick

o m

BUY

МАГАЗИНwClick

С ДОСТАВКОЙ НА ДОМ

-xcha

-x cha

БЫСТРО

УДОБНО

ДОСТУПНО

PC Accessories

Массовый ликбез - читаем SCRIPTING

чили баунсер ;)). Как было написано выше, скриптинг

нужен для автоматического выполнения команд, а так-

же для “реакции” на какое-либо событие.

К примеру, нам нужно заидентифицировать ник, как толь-

ко сервисы попросят пароля (кстати, очень удобный скрипт

- теперь тебя никогда не выкинет из ирки за плохую иден-

тификацию). Для этого создаем файл USER1.SCRIPT в пап-

ке scripts/ (разумеется, ты должен быть USER1, проверить

это можно в psybnc.conf). В нем пишем следующий скрипт:

server NOTICE *!Services@* * “*registered and protected*” echo

“IDENTIFY coolpassword”

server NOTICE *!Services@* * “*зарегистрирован и защищен*” echo

“IDENTIFY coolpassword”

Маска сервисов сети должна совпадать с написанной

в скрипте. Как ты понял, при запросе пароля от серви-

сов баунсер быстро его предоставит ;).

Еще один пример. Возникла необходимость отослать

CTCP-запрос на PING даже в случае, когда тебя нет в

сети. Проще простого, дозаписываем в этот же файл

строку:

ctcp PING *!*@* * * echo “NOTICE $NICK :pong!”

$32.99

$179.99

$73.99

Ответ придет в качестве нотайса нику, который послал

запрос. Вообще, psybnc имеет довольно мощный язык

скриптов, ознакомиться с ним можно, почекав мануал

SCRIPTING, который находится в рабочем каталоге. Пе-

резагрузить скрипт-файл можно командой /sreload.

Клавиатура/ Microsoft

È ÝÒÎ ÂÑÅ?!

Wireless Optical Desktop

Наушники/

Pro, Keyboard-Mouse Combo

Джойстик/ 2.4GHz

Поздравляю! Только что ты создал свою прокси-маши-

Nady QH-460

Logitech Cordless

ну, включающую в себя целых три полезных демона,

Controller

которые способны облегчить жизнь не только тебе, но

$779.99

$209.99

и твоим клиентам и коллегам по работе. При написании

материала преследовались две цели: в первую оче-

редь, научить тебя устанавливать и настраивать прок-

си-сервисы, а во-вторых, намекнуть, что для старого

компа лучше правильной оси ничего не существует,

ибо мелкософтовские операционки безбожно жрут ре-

Джойстик/ Flight

сурсы, а Linux не особо требователен к ним.

Педали/CH Pro

Джойстик/ CH Flight

Control System III

Pedals USB

Sim Yoke USB

(AFCS III)

Заказы по интернету – круглосуточно!

e-mail: sales@e-shop.ru

Заказы по телефону можно сделать

ñс 10.00 до 21.00 с понедельника по пятницу

с 10.00 до 19.00 с субботы по воскресенье

СУПЕРПРЕДЛОЖЕНИЕ ДЛЯ ИНОГОРОДНИХ ПОКУПАТЕЛЕЙ:

стоимость доставки

снижена на 10%!

(095) 928-6089 (095) 928-0360 (095) 928-3574

#8(33)

Дружественная среда menuconfig

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P

					HOWTO/АДМИНИМ ПРАВИЛЬНО!
w Click				to	BUY
w Click											m
w								АДМИНИМ ПРАВИЛЬНО!
	w									o
	.								.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ÎÑè 4work

РУКОВОДСТВО ОФИСНОГО ПИНГВИНИСТРАТОРА

Докучаев Дмитрий aka Forb Далеко не каждый представляет себе тяжелую жизнь админа. Не работает сервер - (forb@real.xakep.ru) виноват админ, проблемы с Инетом - виноват админ. И даже в типичном случае, когда

у клиента или офисного коллеги кривые руки, виноват, как ни странно, тоже админ :). К тому же, кому как ни системщику надо следить за своими серверами и работниками, своевременно обновлять софт и внедрять новые технологии. Если администратор набил руку в своей профессии, то особых сложностей у него не возникнет.

Ты, наверное, в курсе, что узнать пароль у служащего в компании намного легче, чем сломать его самостоятельно.

Íо если человек только адаптируется к рабочей обстановке, перед ним могут встать

некоторые вопросы и проблемы. В этой статье я обрисую наиболее типичные траблы, с которыми может столкнуться системщик, и расскажу, как их решить под пингвином. Разумеется, что безопасность в твоей работе будет превыше всего. Поэтому на сервере должен нахо-

диться лишь софт, проверенный временем. Админить работников, которые не разбираются в Linux, тоже не всегда приятно. Ты, наверное, в курсе, что узнать пароль у служащего в компании намного легче, чем сломать систему вруч- ную. Попробуем реализовать ситуацию следующим образом: установим на сервере софт, который поддерживает внешнюю аутентификацию (минуя системный /etc/shadow). После этого можно будет зало- чить пользователям пароли, обезопасив систему от хакеров.

СТАВИМ FTPD

Âхорошем офисе никуда без Ftpсервера. Оно понятно, пользователям постоянно требуется файлохранилище, на котором находятся разного рода документы и программы.

Âпринципе, поднять сервис особого труда не представляет, но нужно четко знать устройство и работу демона перед тем как ставить его на сервер. Для нас необходимо добиться соблюдения двух условий: безопасности и поддержки внешней аутентификации. Я выбрал два демона, которые сочетают в себе эти фичи. Это ProFTPD и PureFTPD. Ввиду сложности установки и настройки второго сервера, я ограни- чусь описанием работы ProFTPD, но в PureFTPD намного больше возможностей: интеграция с mySQL, умная реализация прав и т.д. и т.п.

H O W T O

Анонимный вход на сервер ProFTPD

Предлагаю установить его самостоятельно, предварительно скачав с сайта производителей по адресу: ftp://ftp.pureftpd.org/pub/pure- ftpd/releases/pure-ftpd-1.0.15.tgz.

Мы же займемся установкой надежного и безглючного ProFTPD. Снача- ла сгрузим сорцы этого сервера (ftp://ftp.proftpd.org/distrib/source/ proftpd-1.2.8.tar.gz). Далее все стандартно: распаковываем, конфигурим, инсталлируем. С этим проблем возникнуть не должно. После того как бинарники будут на своих местах, займемся редактированием конфига /etc/proftpd.conf. Вот как выглядит правильный файл, который как раз подходит для нашей ситуации.

ServerName “ProFTPD on office.localnet.ru”

##Здесь необходимо указать баннер сервиса, который будет отображаться пользователю при коннекте.

ServerType inetd

##Тип работы сервиса. Если будет standalone, то демон будет запускаться отдельным потоком, не вовлекая inetd в свои проблемы ;). Иначе будет режим inetd. О том, как прописать сервер в конфиг inetd, я скажу немного позже.

DefaultServer on

##Установка флага Default. Должно быть в положении on, если на машине один ftpd DefaultRoot ~ !root

##Установка chroot() для определенных групп. Chroot() это так называемая “скор-

ССЫЛКИ НА СОФТ, КОТОРЫЙ УПОМИНАЛСЯ В ЭТОЙ СТАТЬЕ: ProFTPD: ftp://ftp.proftpd.org/distrib/source/proftpd-1.2.8.tar.gz.

Pure-FTPD: ftp://ftp.pureftpd.org/pub/pure-ftpd/releases/pure-ftpd-1.0.15.tgz. TeaPOP: http://www.toontown.org/pub/teapop/teapop-latest.tar.gz. IServerd: http://iserverd.khstu.ru/download/IServerd-stable.tar.gz.

лупа”, когда сервер будет запущен относительно какой-либо корневой директории. В этом режиме посмотреть каталоги ниже нее невозможно.

В нашем примере chroot() выставляется всем пользователям, не имеющим root группу. Разумеется, что админам такой режим не нужен, поэтому, если у пользователя нулевой gid, сервер запустится относительно / каталога.

Port 21

##Порт, на котором будет находиться сервис. По умолчанию - 21.

Umask 022

##Параметр, отвечающий за расстановку прав на новые каталоги и файлы. MaxInstances 30

##Бесполезный параметр для режима inetd :). Актуален лишь в standalone и указывает на количество подпроцессов сервиса.

User ftp Group guest

##Права, под которыми будет запущен сервер. Разумеется, перед запуском необходимо создать юзера ftp и группу guest. TimeoutNoTransfer 600

TimeoutIdle 1200

##Дефолтовая расстановка таймаутов. <Global>

PassivePorts 2000 2500 AuthUserFile /etc/passwd.ftpd RootLogin off

AllowOverwrite yes AllowRetrieveRestart yes AllowStoreRestart yes DisplayLogin .message </Global>

##Раздача прав на перезапись и дозапись в обе стороны. А также явное задание портов для передачи данных и отдельного файла с паролями. Не забудем про запрет рутового входа (для нашей же безопасности).

<Directory /*> AllowOverwrite on </Directory>

##Разрешаем дозапись на все директории. <Anonymous ~ftp>

User ftp Group ftp

##Для анонимной поддержки устанавливаем соответствующие права.

UserAlias anonymous ftp

##И делаем алиасинг логина anonymous. MaxClients 10


page	034	08(33) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.								## Пускаем лишь 10 клиентов.
	.								.c
		p					g
			df			n		e
				-xcha					DisplayLogin welcome.msg
									DisplayLogin welcome.msg

DisplayFirstChdir .message

## Укажем пути к сообщениям. <Limit WRITE>

DenyAll </Limit>

## Запрещаем анонимным юзерам дозаписывать файлы.

</Anonymous>

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
HOWTO/АДМИНИМ ПРАВИЛЬНО!
	w Click				to	BUY					m
	w Click										m
	w									o
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

	Вот, собственно, и все важные па-
	раметры, которые необходимо пра-
	вильно проставить. Далее создаем
	файл /etc/passwd.ftpd, формат ко-
	торого в точности совпадает с
	/etc/shadow. Туда прописываем
	всех, кому необходимо иметь дос-	Конфигурация Teapop
	туп к ftpd. Затем вставляем в	Конфигурация Teapop
	туп к ftpd. Затем вставляем в

/etc/inetd.conf следующую строку:	Скачиваем teapop по ссылке:	личными БД (например, mysql,
	http://www.toontown.org/pub/teapop/	postgresql). Мы не будем залезать в
ftp stream tcp nowait root	teapop-latest.tar.gz. Распаковываем,	дебри баз данных - предлагаю ос-
/usr/sbin/in.proftpd in.proftpd,	конфигурим, инсталлируем. После	воить это самостоятельно :).
	этого немного поковыряем файл /etc/	Последним штрихом будет редак-
которая запустит сервис ftp через	teapop.passwd, в котором указывает-	тирование /etc/inetd.conf, в кото-
inetd, после следующей команды	ся, кому можно снимать почту. Для	рый добавляется строчка для
killall -1 inetd, заставляющей пере-	обычной настройки сервиса достаточ-	teapop. Надеюсь, ты разберешься с
читать конфигурационный файл.	но вписать пару строк в этот файл.	этим по аналогии с Ftpd, настройка
С настройкой закончено! Пользо-		которого была описана выше.
ватели, которые прописаны в	empty:*:/etc/poppasswd:/var/mail::
/etc/passwd.ftpd, будут иметь дос-	default:*:reject	БЕЗОПАСНЫЙ SSHD
туп к сервису. Права на этот файл		Как я уже говорил, мы стремимся к
должны совпадать с правами, под	Смысл этих строк довольно прос-	закрытию системных паролей
которыми запущен ftpd, то есть	той. Параметр empty означает аб-	офисных работников. Но бывают
владельцем passwd.ftpd должен	солютную маску для пользовате-	ситуации, когда необходимо дать
быть пользователь ftp.	лей. В /etc/poppasswd будут содер-	работнику ssh-доступ. В этом слу-
	жаться шифрованные пароли юзе-	чае залочить пароль не удастся.
ПОЧТОВЫЕ ЗАМОРОЧКИ	ров, директория с почтовыми сооб-	Если ты знаком с основными мето-
В любой офисной локалке сущест-	щениями /var/mail. Затем идет	дами авторизации, то знаешь, что
вует почта, которую необходимо	строка default, которая запрещает	пароль - не единственный метод
правильно настроить. Я не буду ак-	посторонним пользователям ис-	получить доступ на сервер. Суще-
центировать твое внимание на ус-	пользовать teapop-авторизацию.	ствует такое понятие, как ssh-клю-
тановку smtpd, это не очень инте-	Файл /etc/poppasswd будет выгля-	чи. Это очень удобно, и сейчас мы
ресно. Поговорим о проблеме вы-	деть примерно следующим образом:	попробуем создать индивидуаль-
бора pop3d, поддерживающего		ные ключики для нужного нам
внешнюю аутентификацию. Имеет-	postmaster:2de/DwBdsap2R	пользователя.
ся два самых популярных сервера -	user:veMNdwYe287.D	В комплекте пакета OpenSSH пос-
qpopper и teapop. Первый мы уста-		тавляется бинарник ssh-keygen, ко-
навливать не будем, так как коли-	Как ты догадался, он содержит	торый, собственно, и занимается
чество багов в нем превышает все	всего два поля - имя пользователя	генерацией ключей. От тебя требу-
возможные пределы :). Teapop же	и его пароль.	ется указать в параметре -t тип
отличается многофункциональ-	К слову, в дефолтовом	ключа. Их 3 - rsa1, rsa и dsa. После
ностью и безопасностью, поэтому	teapop.passwd имеется значитель-	запуска ssh-keygen ты увидишь
рассмотрим его подробнее.	ный мануал, судя по которому поч-	примерно следующее:
	товый сервис умеет работать с раз-
		[forb@ruhost4 forb]$ ssh-keygen -t rsa1 -C
		[forb@ruhost4 forb]$ ssh-keygen -t rsa1 -C
		‘mykey’
		Generating public/private rsa1 key pair.
		Enter file in which to save the key
		(/home/users/forb/.ssh/identity): testkey
		Enter passphrase (empty for no
		passphrase):
		Enter same passphrase again:
		Your identification has been saved in
		testkey.
		Your public key has been saved in
		testkey.pub.
		The key fingerprint is:
		8c:b3:1f:67:ab:01:8c:ae:60:a1:98:39:32:a5:6c:61
		mykey
		После этих действий будут созданы
		файлы testkey и testkey.pub (приват-
		ный и публичный ключ, соответ-
Правильный конфиг для ProFTPD		ный и публичный ключ, соответ-

4work ÎÑè

Два самых популярных pop3 сервера под Линь - qpopper и teapop. Количество багов

âпервом превышает все возможные пределы :).

Teapop же отличается многофункциональностью и безопасностью.

Если ты знаком с основными методами авторизации, то знаешь, что пароль - не единственный метод полу- чить доступ на сервер. Существует такое понятие, как ssh-клю- чи. Это очень удобно.


08(33) 2003	page	035

hang

HOWTO/NOW! АДМИНИМ ПРАВИЛЬНО!

w Click

BUY

ственно). Затем скопируй публичный

Чтобы в сервере была поддержка

-xcha

ключ в папку .ssh под именем author-

русских сообщений, укажем соотве-

ized_keys, а приватный транспорти-

тствующую опцию конфигуратора.

руй на машину работника офиса, ко-

Следующим шагом будет настройка

торому необходимо предоставить

iserv.conf. Этому файлу нужно уде-

шелл. Этот ключ должен находиться

лить особое внимание, потому как

в папке .ssh под именем identity.

каждая опция в нем включает или

Что-то не работает? Запускай

запрещает какую-нибудь важную

/usr/bin/ssh с параметром -v (де-

фичу. Берем дефолтовый конфиг из

4work

баг), после этого ты увидишь пол-

каталога data/etc, переименовываем

ный логинг пакетов и быстро раз-

åãî â /etc/iserverd/iserv.conf è âíè-

берешься, в чем дело.

мательно смотрим на его параметры.

Теперь можешь залочить пользо-

ÎÑè

вателям пароли, потому как мы пос-

[Globals]

тавили основные сервисы, которые

Bind on all interfaces = No

не привязываются к /etc/shadow. Это

можно сделать как вручную (прямым

Bind interface = 0.0.0.0/32

редактированием теневого файла),

Listen port = 4000

так и командой passwd -l username.

## Указываем, на какой интерфейс и порт

сажать iserverd. Если хочешь прослуши-

СВОЙ ICQ-СЕРВЕР

вать порт на всех интерфейсах машины,

В ОФИСНОЙ СЕТИ

проставь параметру Bind all значение Yes.

Как показывает практика, все офис-

Pid file path = @VAR_DIR@/iserverd.pid

ные работники активно общаются в

Translate path = @ETC_DIR@/translate

ICQ. Общаются, несмотря на предуп-

Translate table = RUSSIAN_WIN

реждения и фаерволлы, поставлен-

Var dir path = @VAR_DIR@

Если сервер

ные админами. Хотя у Аськи и мини-

## Убедись в наличии файлов перекоди-

защищен фа-

мальный трафик, но в сумме это мо-

ровки и pid, иначе сервер не запустится.

ерволлом, то

жет вылететь в значительное число

По умолчанию RUSSIAN_WIN расположен в

ты можешь

мегабайт ;). Если порыться на Фреш-

etc/data, поэтому придется перетащить его

выделить пор-

ты, которые

мите, можно найти софт, который поз-

вручную.

будут исполь-

воляет юзать собственный ICQ-сер-

Server mode = daemon

зоваться для

передачи дан-

вер в локальной сети. Это и полезно,

Min childs = 4

ных, предвари-

и удобно одновременно: посуди сам,

Max childs = 100

тельно сняв с

них фильтр.

работники могут быстро передать

Default ping time = 120

Интервал пор-

нужный файл по Аське и обменяться

Externals number = 0

тов задается

парой фраз. Кроме того, для удобства

## Эти значения не меняй. Они подобраны

опцией Passi-

vePorts â

грамотными разработчиками ;).

/etc/proftpd.conf

Admin email = root@localhost

Info Password = DEFAULT

## Здесь впиши свой e-mail и пароль для

использования тулз администрирования

iserverd.

Создаем пару ключей dsa

database user = iserverd

можно раздавать уины по какому-ли-

database password = sicq

бо критерию - например, по номеру

## Смени эти данные. Они необходимы

кабинета, рабочей станции и т.п.

для корректного входа в PostgreSQL со

Теперь о сложностях. Сервер, ко-

стороны iserverd.

торый я бы рекомендовал устано-

database addr =

вить, носит название IServerd. У не-

database port = 5432

го достаточно много зависимостей,

users db name = users_db

одна из которых PostgreSQL (а так-

## Данные о датабазе. Работают по умол-

же ncurses, но они устанавливают-

чанию :).

Ñâîé ICQ-ñåð-

ся по умолчанию ;)). На многих сер-

Log level = 10

вер очень удо-

верах в качестве БД присутствует

Debug level = 10

бен: работники

лишь mySQL, но IServerd нужен

## Если не хочешь мусора, занули эти

могут быстро

передать нуж-

только Postgres. Автор мотивирует

íûé ôàéë ïî

это тем, что Постгрес содержит все

Аське и обме-

необходимое для правильной рабо-

няться парой

ôðàç, ê òîìó

ты сервера (поддержка транзакции

æå äëÿ óäîá-

с блокировкой на уровне строк, би-

ства можно

раздавать уи-

нарных объектов до 1 кб и тригге-

ны по какому-

ров), чего не скажешь о mySQL.

либо критерию

- например, по

Ознакомившись и устранив все за-

номеру каби-

висимости, выкачиваем IServerd по

нета, рабочей

ссылке: http://iserverd.khstu.ru/down-

станции и т.п.

load/IServerd-stable.tar.gz. После этого

выполним следующий список команд.

tar xzvf ./IServerd-stable.tar.gz

cd IServerd-stable

./configure —with-russian

make all

make install

Полный дебаг от ssh

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w									o
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Конфигурация IServerd

значения.

V3 registration enabled = Yes

V3 auto registration = Yes

V3 post-register info = etc/texts/post_reg_auto.txt

## Если тебе влом самостоятельно добавлять юзеров и ты хочешь поддержки авторегистрации, включи эти параметры. Обязательно убедись в наличии файла etc/texts/post_reg_auto.txt, иначе авторег не будет работать.

С настройкой конфа закончили. Теперь перейдем в папку scripts. Там ты найдешь файл db_manage.sh. Подредактируй в нем имя пользователя и пароль для входа в базу. Затем запускай с параметром create users_db. Будут созданы важные таблицы для работы сервера. Там же есть скрипт icquser, с помощью которого ты можешь вручную добавить, удалить icq-пользователей, а также просмотреть данные по ним. Это делается запуском icquser с параметром add, del и info, например:

./icquser add 140

Добавит пользователя с уином 140 (перед этим скрипт интерактивно попросит ввести пароль и базовые данные).

Последним шагом будет добавление iserverd в inetd.conf. Это мы делали уже два раза, поэтому не буду заострять на конфе внимание ;).

Хотелось бы обратить внимание на логи IServerd. Я рекомендую подредактировать /etc/syslogd.conf, чтобы отделить записи ICQ-сервера от общего /var/log/messages. Для этого дозапишем в конфиг следующие строки.

!IServer

*.* /var/log/IServer.log

После этого пошлем процессу syslogd сигнал 1, и iserverd будет писать логи в IServer.log. Кстати, в папке /etc/iserverd ты обнаружишь файл debug.log, который предназначен для отлова багов ;). Если вдруг найдешь там инфу о неизвестных пакетах, пошли их создателю демона, чтобы устранить ошибки в следующих релизах.

Вот, собственно, и все. Установкой IServerd ты убьешь двух зай-


page	036	08(33) 2003

hang

NOW!

w Click

BUY

МАГАЗИНw Click

BUY

f-xchan

С ДОСТАВКОЙ НА

ÄÎÌf-x chan

БЫСТРО

УДОБНО

ДОСТУПНО

PC Games

Внутренности скрипта icquser.sh

$79.99

$69,99

цев: теперь работники сети могут общаться между со-

бой и обмениваться файлами, а ты забудешь о пробле-

ме оплаты трафика за ICQ :).

КЛИЕНТСКАЯ ЧАСТЬ

Настройка рабочего сервера дело благородное. Но сто-

ит упомянуть и о клиентской стороне. Поэтому в перс-

пективе ты можешь заставить работников перейти на

Grand Theft Auto:

Star Wars

Tomb Raider: The

Dark Age of

Linux. Да, я не спорю, Linux может юзаться как в каче-

Vice City

Galaxies: An

Angel of Darkness

Camelot: Gold

Empire Divided

Edition

стве сервера, так и в роли рабочей станции. Но заста-

$39,99

$15.99

$79,99

вить кого-то променять любимый Мастдай на сложный

Linux очень трудно. Хотя в Linux есть практически все

для работы (в этом ты лишний раз убедишься, дочитав

этот номер до конца). Для бухгалтера существуют пор-

ты 1C, для программера удобные редакторы кода и сре-

ды программирования (Kylix, например), для дизайнера

- удобные редакторы HTML, PHP и CGI скриптов, а так-

же любимый Gimp :). Если юзеры локалки поверят в су-

Silent Hill 2

The Sims:

WarCraft III: The

The Matrix :

пербезопасность и возможности Линя, то у тебя есть

реальный шанс подсадить их на правильную ось.

Superstar

Frozen Throne

Enter The Matrix

Итак, я надеюсь, ты понял: чтобы тебя считали луч-

$55.99

$73,99

$79.99

$75.99

шим админом, необходимо сочетать установку безо-

пасного софта с удовлетворением (насколько это воз-

можно) извращенных запросов твоих клиентов, подни-

мая для них хороший софт. Если ты раньше думал, что

работать админом сложно и неинтересно, надеюсь,

этот материал тебя переубедил ;).

Neverwinter

Metal Gear

Deus Ex 2:

Republic:

Nights: Shadows

Solid 2: Substance

Invisible War

The Revolution

of Undrentide

(DX2)

Заказы по интернету – круглосуточно! e-mail: sales@e-shop.ru

Заказы по телефону можно сделать

с 10.00 до 21.00 с понедельника по пятницу

с 10.00 до 19.00 с субботы по воскресенье

СУПЕРПРЕДЛОЖЕНИЕ ДЛЯ ИНОГОРОДНИХ ПОКУПАТЕЛЕЙ:

стоимость доставки

снижена на 10%!

(095) 928-6089 (095) 928-0360 (095) 928-3574

#8 (33)

Редактор Anjuta - рай для офисного программера!

hang

NOW!

HOWTO/СТАРАЯ СКРИПУЧАЯ ФОРТОЧКА

BUY

w Click

СТАРАЯ СКРИПУЧАЯ

-xcha

-x cha

ФОРТОЧКА

СТАВИМ NT’ВЫЙ ГЕЙТ НА СТАРЫЙ МЕТАЛЛ

4work

Vint (vint@townnet.ru)

Прива! Скажу сразу, я не идиот, даже не псих и не маниакально-шизоидный

почитатель Дани. Я знаю, что Линух - рулезз, знаю и о глюках, дырах, багах

ÎÑè

виндавоза, причем знаю не понаслышке. Но мне выпала нелегкая судьба поставить и

настроить гейт на творениях дяди Билла.

Если IP, присвоенный юзеру осью сервера удаленного доступа, при соединении окажется дублем IP, уже занятого в сети, то оба компа-конку- рента начнут жутко тормозить, а потом и вовсе могу упасть в даун.

NTFS по определению имеет более высокую устойчи- вость, может поддерживать шифрование и архивацию на уровне файловой системы.

Íе веришь, что так бывает? Вот тебе правдивая история о том,

как я докатился до установки мастдая на сервак. Началось все неплохо. Я с помощью знакомого админа инета, команды man (для тех, кто в пингвинах только startx знает, man вызывает встроенную помощь о данной команде или программе) поставил у себя на четверке линуховый гейт. Вся локалка ликовала - экономия + скорость реально стали заметны. Я же спокойно готовился к сдаче ненавистных экзаменов, периодически собирая денежки на новый дистр Линуха. И вот отсыпаюсь я после экзаменов, когда раздается телефонный звонок. С трудом продрав глаза, я смутно понимаю, что мне предлагают поставить и настроить им нечто подобное моему гейту, но только с одним разли- чием: сервак должен крутиться исключительно на NT системе. Так как им проще, и они больше доверяют “серьезной организации МикрОсофт”, чем “кучке компьютерных хулиганов” (кто в танке, это так обозвали линух тим). Я повелся на обещание фришного инета и быстренько взялся за дело. Взялся-то быстро, а вот делал... Короче, дали мне вот такую машинку: чистокровный пень второй с 266 мегагерцами, памяти 64 метра да идешный винт на 4 гига, видюшка ноунэйм - серверу она только на первой вре-

Попался!

мя и нужна. Да строгий наказ ста-	СТАДА КЛАСТЕРОВ
вить “исключительно” Винды.	Следующим кандидатом стал Вин-
	довс 2000 сервер, и я уже было
ДЕРЕВЯННЫЕ РАМЫ	собрался его ставить, но предстоял
ИЛИ ПЛАСТИК?	еще один выбор: брать NTFS или
Сначала встал вопрос выбора ОС:	старую добрую FAT32. NTFS по оп-
брать NT4 или сразу 2К (про 2003	ределению имеет более высокую
не говорю - ограничивает железо,	устойчивость, может поддерживать
не запустить его на такой конфигу-	шифрование и архивацию на уров-
рации)? Блуждания по инету меня	не файловой системы, у него более
не привели ни к одному решению.	развитая структура разделения
Тогда я решил поставить сначала,	прав, но при этом он работает мед-
для пробы, NT4 SP6, чтобы самому	ленней FAT32, требует больше опе-
потестить этого прародителя NT5.	ративы для работы и поддержива-
Встала она на ура - железо для нее	ется исключительно NT ядром (Ли-
рульное. Но возникли гемы с наст-	нукс и различные драйвера для 9x
ройкой сетевух (ну не хотела она	я не учитываю). У FAT32 устойчи-
верить, что карты висят не на ISA, и	вость ниже, отсутствует поддержка
все тут!), на которые ушло полдня.	шифрования и архивирования
Проблемо я решин, но остался воп-	средствами самой файловой систе-
рос безопасности - это ведь сервак	мы, но зато скорость работы выше
как-никак. Ровно полчаса понадо-	и совместимость с другими ОС есть.
билось на изучение багтрака и	Я выбрал NTFS, так как мне нужны
столько же на секьюритизоне, пос-	стабильность и шифрование, а сов-
ле чего стало ясно, что я очень по-	местимость не нужна, ведь комп бу-
торопился с выбором - в сети полно	дет работать серваком, а не прос-
разных эксплоитов дыр данной сис-	той рабочей лошадкой с пятью раз-
темы, даже патченной шестым па-	ными системами на борту.
ком. Так что после испытания одно-	Дальше необходимо грамотно
го из них в действии я окончатель-	разбить винт, ведь и от этого зави-
но снес NT4 - за десятиминутную	сит многое - начиная с производи-
атаку была получена удаленная	тельности (за которой я так гонюсь
консоль с правами админа.	на слабой машинке) и заканчивая


page	038	08(33) 2003

<<< < Предыдущая 1 2 34 / 124 5 6 7 8 9 10 11 12 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202413.68 Mб17Специальный выпуск 28_Optimized.pdf
#
20.04.202414.61 Mб16Специальный выпуск 29_Optimized.pdf
#
20.04.202411.82 Mб16Специальный выпуск 30_Optimized.pdf
#
20.04.202411.84 Mб16Специальный выпуск 31_Optimized.pdf
#
20.04.202411.87 Mб15Специальный выпуск 32_Optimized.pdf
#
20.04.202411.69 Mб15Специальный выпуск 33_Optimized.pdf
#
20.04.202411.64 Mб16Специальный выпуск 34_Optimized.pdf
#
20.04.202412.09 Mб15Специальный выпуск 35_Optimized.pdf
#
20.04.202414.14 Mб15Специальный выпуск 36_Optimized.pdf
#
20.04.202413.53 Mб16Специальный выпуск 37_Optimized.pdf
#
20.04.202412.58 Mб15Специальный выпуск 38_Optimized.pdf