CFA LogoCFA Logo Computer
Новости Статьи Магазин Прайс-лист Драйвера Контакты
Новости
RSS канал новостей
В конце марта компания ASRock анонсировала фирменную линейку графических ускорителей Phantom Gaming. ...
Компания Huawei продолжает заниматься расширением фирменной линейки смартфонов Y Series. Очередное ...
Компания Antec в своем очередном пресс-релизе анонсировала поставки фирменной серии блоков питания ...
Компания Thermalright отчиталась о готовности нового высокопроизводительного процессорного кулера ...
Компания Biostar сообщает в официальном пресс-релизе о готовности флагманской материнской платы ...
Самое интересное
Программаторы 25 SPI FLASH Адаптеры Optibay HDD Caddy Драйвера nVidia GeForce Драйвера AMD Radeon HD Игры на DVD Сравнение видеокарт Сравнение процессоров

АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

Систематика пингвинов

Сергей А.ЯРЕМЧУК grinder@ua.fm

Окончание, начало см. в МК № 32-34, 36-37 (255-257, 259-260).
Итак, в прошлой части мы с мелочью покончили. Но не хотелось бы, чтобы поклонники BSD-систем были обижены в обзоре, а потому предлагаю пару систем на их вкус и цвет.

Первой из мелких BSD, несомненно, следует поставить PicoBSD (http://www.freebsd.org/~picobsd, Рис. 1) представляющую собой «one-floppy» версию FreeBSD 3.0-current. Имеется три варианта этой системы: Dialup Version, Networking Version и Router Version, в последнем случае имеем полноценную систему, которую можно использовать как в качестве маленького маршрутизатора, так и для повседневного безопасного хождения по Интернету. Единственное — в угоду маленькому размеру, как и в большинстве описываемых дистрибутивов, в PicoBSD практически нет документации, кроме отдельных man-страниц специфических для него приложений. Поэтому советую скачать и файл README, ссылкой на который снабжен каждый вывешенный для скачивания дистрибутив. Диалап-версия, которая может пригодиться в домашнем хозяйстве, имеет все необходимое для консольного хождения по Интернету (lynx, ftp, ping, telnet, route), поддерживаются как модемное соединение (со скриптом автоматической настройки, названым довольно нехитро —dialup), так и Ethernet, все настройки при выходе сохраняются. Наличие исходников дает прекрасную возможность самому собрать PicoBSD под свои нужды. Дополнительно на сайте Константина Никоненко (http://www.kot.dp.ua) можно найти скрипты для учета трафика, некоторую переведенную информацию и другие полезные программы.

Рис. 1.

Следующий проект нашел чисто случайно. Просто однажды подумалось: если есть OpenBSD, то почему бы и не быть ClosedBSD. Набрал в строке браузера: http://www.closedbsd.org, ба-бах! — и уже знакомлюсь с новым для себя дистрибутивом. При помощи этого дистрибутива, основанного на FreeBSD и использующего некоторые специфические для этой системы приложения вроде ipfw, также можно создать firewall или NAT. Причем, в отличие от того же PicoBSD, большинство основных настроек сетевых устройств можно произвести при помощи вполне понятной системы меню (Рис. 2, ). Естественно, для более тонкого конфигурирования в любом случае придется лезть в командную строку, всех пунктов ведь не предусмотришь. Но чтобы новичкам не пришлось самим разбираться с опциями firewall, имеется предустановленный (Basic) набор правил для типичной системы и режим Advanced для добавления своего правила (надо отметить, тоже с шаблонами, что существенно облегчает работу). Дополнительно имеется пункт меню monitor для отображения статистик проходящих через систему пакетов. В данный момент не поддерживается модемы и, что мне не очень нравится, удаленное управление (надеюсь, ненадолго). Распространяется в двух вариантах: для записи на дискету и более навороченный СD-ROM вариант (12.8 Мб), не требует установки на жесткий диск, все настройки во втором варианте можно сбросить на дискету. Системные требования опять же невысоки: любой процессор от i386 с 8 Мб ОЗУ в флоппи-варианте и с 32 Мб в сидишном. По удобству настройки (но не использования, ДУ-то нет) это прямой конкурент FreeSCO.

Рис. 2а.   Рис. 2а.

Потихоньку речь пошла о дистрибутивах, требующих уже СD-ROM'a для своей установки или работы. Появление их вполне закономерно и понятно: не все необходимые функции можно запихнуть на дискету. К тому же очевидно постепенное вымирание этого девайса и все большая распространенность СD-RW. Да и мощность «устаревшего» оборудования постепенно растет: если года три назад это были i386, то теперь попробуйте заставить кого то работать за i586-компьютером — обидится. Впрочем, для СD-ROM дистрибутивов предусмотрены свои нюансы и компромиссы: поскольку записать пользовательскую конфигурацию обратно на СD-ROM не получится, в большинстве дистрибутивов имеется опция сохранения их на дискету, или же для работы необходим жесткий диск, хотя в этом случае возможны варианты.

Keeper Linux (http://www.keeper.org.uk) разрабатывается в двух вариантах: floppy, требующий две дискеты, компьютер с процессором i386 и 4 Мб ОЗУ, и СD-ROM (13.4 Мб) — последний загружается и работает только с СD-ROM, т.е. не требует установки на жесткий диск. Кроме спасательных функций, оба предоставляют возможность использовать их в качестве gateway/firewall и dialup gateway. Дискетный вариант имеет шесть различных ревизий, каждая из которых направлена на решение одной конкретной задачи (Internet Dialup Gateway, Full Rescue disk with ssh client support, Local and Remote admin system with ssh support, Firewall Gateway, Firewall/routing Gateway и companion disk с основными утилитами). СD-ROM вариант, естественно, имеет все эти возможности, плюс некоторые дополнительные: VPN (Virtual Private Network), DHCP server и поддержка PPPoA xDSL; Zebra Router, RIP, OSPF, BGP; клиент и сервер SSH2; Full Rescue Disk Facilities; syslogd; PPP Dial-on-demand Internet Gateway (модемный Интернет по-требованию). Все это построено на ядре 2.4.18, поддерживающем большинство устройств. Интересно, что в целях повышения безопасности файловая система монтируется только в режиме read-only и не позволяет сохранить настройки на дискету. Чтобы иметь возможность работать со своими настройками, первоначально необходимо внести свои данные в скачанный образ и затем уже записывать его на болванку или дискету. Как это все проделать и в какие файлы вносить изменения, очень подробно рассказано в двух документах: CDROM Distribution Howto и Floppy Distribution Howto, которые не грех и просто почитать как пример разделки подобных дистрибутивов. Теперь при попытке записи в ОЗУ система обнаруживает это и просто перезагружается, восстанавливая настройки по умолчанию. Несмотря на первоначальную возню с образами, дистрибутив полностью соответствует своему девизу: «Powerful, Reliable and Secure».

SmoothWall (http://www.smoothwall.org) — первый дистрибутив этого проекта увидел свет в июле 2000 года, создается он администраторами и специалистами по безопасности. Причем, самое бурное развитие приходится на последний, 2003 год. Если в конце прошлого, 2002 года мне пришлось экспериментировать с версией 0.9.9, то сейчас уже доступна бета 5 версии 2.0 «Orient». Данный дистрибутив построен на современном ядре серии 2.4.21, имеет низкие системные требования (рекомендуется 486i, 16 Мб ОЗУ), поддерживает, кроме разнообразных сетевых устройств (Ethernet 10/100, ISDN, USB ADSL и обычные аналоговые модемы), также и IDE CD-ROM (с которого, собственно, производится инсталляция дистрибутива) и, конечно же, дисковод. ISO-образ дистрибутива занимает чуть более 20 Мб. Установка особой сложностью не отличается. Программа установки сама автоматически разбивает диск /dev/hda на 4 раздела (/boot, swap, /var/log и корневой), хотя в дальнейшем разбивку можно изменить; в комплект входят все необходимые утилиты для создания и обслуживания файловой системы ext2fs/3fs. Дальше необходимо просто честно ответить на вопросы об IP-адресах (поддерживается три сетевых интерфейса — GREEN, RED, ORANGE, доступ к которым можно настроить в различных вариациях), выбрать раскладку клавиатуры, временной пояс и при необходимости ввести телефонный номер провайдера — к сожалению, только один. Сетевые устройства программа установки находит сама, при неудаче можно попробовать выбрать вручную из довольно объемистого списка. После всего следует запрос трех паролей для пользователей: root, setup (для запуска программы изменения первичных настроек /usr/local/sbin/setup) и admin. После окончания процесса установки можно, предварительно достав выехавший диск, запихать компьютер под стол. Все дальнейшие действия по настройке теперь можно производить через удобный web- интерфейс (Рис. 3, ), для чего нужно зайти по адресу http://smoothwall:81 или https://smoothwall:445 для работы по защищенному протоколу.

Рис. 3.   Рис. 3а.

Теперь можно узнать статистику о работе роутера (uptime, учет количества пакетов и скорость передачи по интерфейсам, использование диска, пользователи), получить справку о настройке тех или иных параметров, войти в shell, изменить работу некоторых сервисов, остановить (или перезагрузить) роутер или отключить один из интерфейсов. Теперь о некоторых фичах. SmootWall выполняет роль кэширующего web-сервера (по умолчанию время обновления 15 мин, кэш 4 Мб), при необходимости в setup DHCP-сервиса нужно просто указать в соответствующей вкладке диапазон IP-адресов и включить сервис. Помимо web-интерфейса, доступен вход с помощью SSH. В лог-файлах (которые можно импортировать нажатием одной кнопки) можно найти подробные данные сетевой системы, предупреждения о вторжении (NIDS), snort (имя, адрес, дата, степень опасности и т.д.), подробности работы firewall и отчеты всех остальных запущенных сервисов и ядра. Имеется возможность создания VPN используя IPSEC, устанавливающуюся вместе с системой (трафик при этом шифруется при помощи алгоритма 3DES). Единственная неприятность при установке SmoothWall, о которой довелось пока слышать, проявляется на очень старых компьютерах (скорее всего из-за BIOS):

Т.е. система не может создать раздел ext3.

Решается она, как ни странно, выбором типа установки при помощи HTTP, а не с CD-ROM (если канал позволяет). А в остальном — просто супер.

Viper, являющийся частью Coyote Linux (см. выше) содержит систему обнаружения вторжения Viper Intrusion Detection System и является расширением к платному Wolverine Firewall, ссылки на который можно найти на сайте. Позволяет в реальном времени обнаруживать потенциальные угрозы и своевременно реагировать на них, в том числе и динамически изменяя правила межсетевого экрана; все данные при этом заносятся в базу данных MySQL, параметры которой (IP-адрес сервера, имя базы данных, пароль) необходимо указать при настройке. Дистрибутив весит 14.1 Мб, требует установки на жесткий диск.

Надежность старых жестких дисков тоже вызывает сомнение: чтобы установить маршрутизатор на одно из устройств DiskOnChip, использующих NFTL (NAND Flash Translation Layer), необходимо обратиться к проекту Routerlinux (http://www.routerlinux.com/). Установив эту систему, помимо стандартных функций firewall/router/NAT (модем и Ethernet) получаем VPN-туннель (при помощи IPSEC), имеется SSH-, SNMP- и DHCP-сервер, кэширующий DNS-сервер, zebra RIP, OSPF и BGP, crond и, что приятно, почему то редко встречающийся nmap.

Хотя это немного и не соответствует специфике журнала, но просто не могу умолчать о тяжелой артиллерии — специальных security-дистрибутивах.

Compledge Sentinel (http://compledge.com/sentinel) — дистрибутив, предназначенный для мониторинга, аудита и детектирования вторжения в компьютерные сети. Скачал и установил чисто из любопытства, т.к. композиция Judas Priest «The Sentinel» относится к моим любимым. И вот теперь вынужден разбираться с его возможностями. Представьте себе отдельный компьютер с установленной Linux, который только тем и занимается, что отслеживает происходящее в контролируемой сети и в случае чего сигнализирует, принимает меры и пр. И самое главное, что возни с настройкой — минимум. Sentinel представляет собой законченное решение. Для осуществления задуманного имеется полный комплект необходимых приложений, о каждом из которых можно написать отдельную статью: Nagios (http://www.nagios.org) — удаленный системный монитор, позволяющий отслеживать ошибки в работе серверов и сервисов и выдавать собранную информацию через web-интерфейс, в том числе и на пейжер или сотовый телефон посредством SMS и WAP; Nagat (http://nagat.sourceforge.net) — утилита web-администрирования Nagios, использующая PHP; Nessus (http://www.nessus.org) — remote security scanner (в комплекте имеется также Windows-клиент NessusWX, Рис. 4); Snort (http://www.snort.org) — сетевая система детектирования вторжения (NIDS), проверяющая сеть и выявляющая попытки атак и сканирования; ACID (http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html) — инструмент визуализации для Snort; openMosix (http://openmosix.sourceforge.net) — приложение кластеризации для Linux, заставляющее несколько компьютеров работать как один (в комплекте имеется четыре прекомпилированых ядра — для систем с одним процессором и для многопроцессорных систем, каждое с поддержкой openMosix или без таковой; необходимый вариант указывается при установке системы); Apache c OpenSSL, PHP и MySQL. Все интересные для системы события заносятся в базу данных, и затем можно получить через web-интерфейс (Рис. 4а) подробнейшую информацию по дням, протоколам, узлам, портам, сигнатурам и пр. Для работы нужен любой Intel-совместимый процессор и жесткий диск. Программа установки вполне понятна, хоть и сделана без особых излишеств. Размер дистрибутива — 147 Мб. К сожалению, испытать в боевой обстановке Compledge Sentinel пока не удалось, и пока он находится, так сказать, в стадии тестирования. Как и следующие два довольно интересных дистрибутива.

Рис. 4.   Рис. 4а.

Astaro Security Linux (http://www.astaro.com). Еще один дистрибутив, основное назначение которого — организация совместного доступа в Интернет. Но размер его (после распаковки получается 216 Мб) выдает серьезность подхода, а название — основную направленность. После установки на жесткий диск, кроме firewall и контекстного фильтра, защищающего в том числе и от вирусов, можно организовать DMZ, proxy server, SNAT, DNAT, Masquerading и VPN, которые делают этот дистрибутив идеальным решением для защиты сети. Интересно, что при инсталляции можно лишь настроить дистрибутив в общих чертах (указывается только IP-адрес самого сервера), основные же настройки можно производить, либо непосредственно редактируя конфигурационные файлы, либо более наглядно, через WebAdmin (Рис. 5, ). При помощи сервиса Up2Date можно автоматически обновлять компоненты, полюс некоторые патчи доступны на сайте. Рекомендуется процессор класса Intel Pentium II, 128 Мб ОЗУ, СD-ROM, жесткий диск, две или более сетевые карточки. Система поддерживает множество разнообразных устройств, в том числе знает о беспроводных. А документацию, которой полно как на сайте, так и в самом дистрибутиве, не грех почитать и для общего развития.

Рис. 5.   Рис. 5а.

Дистрибутив CensorNet (http://www.intrago.co.uk/products/censornet.php?sc=0) предназначен для тотального контроля и управления доступа пользователей к ресурсам Интернет и локальной сети. Этот специализированный сервер осматривает все входящие и исходящие транзакции и решает на основании правил с перестраиваемой конфигурацией, имеют ли некий индивидуум или определенное рабочее место необходимую конфигурацию доступа к запрашиваемому ресурсу, чтобы позволить закончить запрос. Кроме того, система позволяет ограничить ресурсы (трафик) каждому пользователю/машине, автоматически генерирует подробные отчеты с информацией, кто там и чем занимался, подтверждает при необходимости полномочия для NT PDC, Active Directory и SAMBA, имеет встроенный web-кэш и firewall, фильтрует трафик по ключевым словам, типам MIME, URL и расширениям, имеет «белый» и «черный» списки, удобную настройку через web-интерфейс (Рис. 6)… Дистрибутив размером 161 Мб и подробную документацию можно найти на сайте. Мечта сисадмина, в общем.

И наконец, так как часть моей жизни напрямую связана с радио, просто не могу не упомянуть об еще одном дистрибутивчике. Как вы знаете, одним из требований при создании военного ARPANET, родителя нынешнего Интернета, была устойчивость связи даже при ядерном ударе. Достигалась эта самая устойчивость в том числе путем использования различных радиоканалов (о всяких там космических и оптоволоконных тогда только мечтали). Так как условия распространения сигналов по проводам и радио отличались, то для каждого вида был придуман свой протокол. Для радио это был АХ25, который поддерживается ядром Linux. Со временем появление множества спутников решила проблему передачи информации на большие расстояния без организации «точек доступа», но радио используется и по сей день, так как является наиболее дешевым видом связи. Подключив к компьютеру приемник, можно получать новости, карты погоды, сигналы точного времени (может, напишу об этом как-нибудь), а имея еще и передатчик, можно просто обмениваться информацией друг с другом — т.н. ham-radio (ham — это не грубиян, а просто радиолюбитель, имеющий передатчик, хотя хамы и среди них попадаются :-)). Программы для работы с ham-радио имеются в большинстве дистрибутивов, но ZipHam и LoopHam (http://zipham.free.fr, Рис. 7) в своем наборе имеют программы, предназначенные только для этой цели, и практически ничего лишнего. Но зато с настройкой возиться особо не надо, размеры невелики — 16.1 Мб, а системные требования подходят под большинство компьютеров — 386sx и 4 Mб ОЗУ (ZipHam), 486dx33 с 8 или 16 Mб (LoopHam), последний можно заставить работать прямо из Windows. А родственность со Slackware позволяет без проблем доустановить все необходимое.

Рис. 6.   Рис. 7.

На этом пока и остановимся. Как видите, популяция пингвинов довольно большая и, что особенно радует, очень разнообразная. Надеюсь, вы уже смогли подобрать что-то и себе, ведь всегда можно найти себе дистрибутивчик по зубам (в смысле, ресурсам) и по вкусу (в смысле, конкретным задачам). Наверное, именно модульность, делающая возможным переделать или собрать Linux по своему усмотрению, привлекает широкие массы поклонников. И именно такое многообразие так пугает Мелкософт — ведь если конкурента невозможно побороть, то его можно попробовать купить, а купить все GNU нельзя. Соответственно, и все вышеперечисленное, и то многое, что осталось за кадром, все совершенно бесплатно. Вот так-то.

Linux forever!

Рекомендуем ещё прочитать:






Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:

RSS
Комментарий:
Введите символы или вычислите пример: *
captcha
Обновить





Хостинг на серверах в Украине, США и Германии. © www.sector.biz.ua 2006-2015 design by Vadim Popov