Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

098_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

56.87 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1516 / 1716 17 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
ХАКЕР.PRO					BUY
ХАКЕР.PRO				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Окно Configuration Wizard

насерверв сети,накоторомбудетработать внутренняяслужбаобновлений.Призадании этойполитикитребуетсявбитьдвапараметра: сервер,накоторомклиентскаяпрограмма будетискатьобновления,и сервер,кудабудет отправлятьсястатистика.Можноназначить дляобеихзадачодини тотжесервер,указавего адресв видеhttp://WSUS_server/.

Основныенастройкивыполнены.Локальные политикивступаютв силунемедленно,и примерночерез20минуткомпьютерпоявится

в спискеUnassignedComputer.Политикина основеActiveDirectoryобновляютсяприблизительнокаждые90минут.Ускоритьэтотпроцесс можно,введяв консолинаклиентскомкомпьютерекомандуgpupdate/forceи запустивпоиск сервераWSUSвручную:wuauclt.exe/detectnow.

Созданиегрупп компьютеровдляобновления

ЕсликонсольуправленияWSUSещенеоткры-

та,выбираем«WindowsServerUpdateServices»

в«ПрограммыАдминистрирование».ВажнойчастьюнастройкиработыWSUSявляется созданиегруппкомпьютеров.Группыкомпьютеровпозволяютопределитьустанавливаемые обновлениядляоднородныхсистем.Хорошим тономявляетсяпредварительноетестирование устанавливаемыхобновленийнанебольшой группетипичных(нонекритичных)систем, а в случаенормальногоихфункционирования

втечениеопределенногопромежуткавремени, распространенияи наостальныекомпьютеры.По умолчаниюв спискеприсутствуетдве группы—AllComputersи Unassigned.Можно добавитьлюбоеколичествогрупп,каких-либо ограниченийнесуществует.

Возможныдваспособадобавлениякомпьютеровв группыWSUS.Первый—установка именигруппыв пункте«Разрешитьклиенту присоединитьсяк целевойгруппеполитик безопасности».По умолчаниюиспользуется

Пример отчета WSUS

второйболеегибкийи удобныйвариант. Изменитьповедениесервераможно,перейдя

в«OptionsComputers».Положениепереключателя«UsetheUpdatesServiceconsole»

свидетельствуетобиспользованииименно этоговарианта.Еслипереключитьегов «Use GroupPolicyorregistrysettingoncomputers»,

принадлежностьк группамзадаетсяв реестре илив групповыхполитиках.

Теперьпереходимнепосредственнок созданию групп.Этотакжепросто.Щелкнувмышкойпо

«ComputersandGroups»,выбираемв меню«Add ComputerGroup»и в появившемсядиалоговом окневводимназваниегруппы.Тем временем

вUnassignedначинаютпоявлятьсякомпьютеры.Для перемещениякомпьютерав группу выделяемкомпьютерилигруппукомпьютеров, затемв контекстномменювыбираем«Change Membership»и в появившемсясписке—нуж- нуюгруппу.Все.

Обновлениесистем

Теперьосталосьтолькообновитьвыбранныесистемы.Но сначаланеобходимоэтиобновления загрузить,еслиэтоещенесделано.Выбираем

«ActionSynchronizeNow».Теперьв Updates

можнопросмотретьдоступныеобновления. По умолчаниюздесьнесколькопунктов:All Updates,CriticalUpdates,SecurityUpdatesи WSUS Updates.Для быстрогопоискаобновлений выбираем«ActionSearch»,послечеговводим необходимыекритериипоиска.Чтобынеповторятьэтупроцедурукаждыйраз,выбираем«New UpdateView»и формируемпостоянныйзапрос к базе,которыйпосленажатияна«ОК»будет виденв папкеUpdate.Такжеобративнимание нафильтрыApprovalи Status—используяих, можнобыстроотобратьобновленияещепо несколькимкритериям.Нассейчасинтересуют

AllUpdates,Approval—Unapprovedи Status

—Any.Еслищелкнутьпозаголовкуобновления, можнополучитьподробнуюинформациюо его

назначении:критичность,продукты,возможностьудаленияобновленияи необходимость принятиялицензионногосоглашения,ссылку настраницусайтаMicrosoft,содержащуюболее подробнуюинформацию.

Впоявившемсяспискевыбираемнеобходимыеобновленияпоодиночкеилиудерживая клавишу«Ctrl».Затемв контекстномменю выбираем«Approve»,появляетсядиалоговое окноApproveUpdates,в которомпредставлены группыкомпьютеров,дляразрешенияихустановкинеобходимовыбрать«ApprovetoInstall». Еслижеобновления,наоборот,нужноудалить, топоступаеманалогичнымобразом,только

в менювыбираемуже«ApprovedforRemoval».

Чтобыполучитьотчето произведенныхобновлениях,приблизительночерезсуткивыбираем

«ReportsUpdateStatusSummary»и,указав критерииотбора,нажимаем«RunReport». Следуетотметить,чтоотчетыявляютсяодной изсильныхсторонWSUSверсии3.0. Возможнои автоматическоеодобрениеобновлений.Для этогоследует,выбравкомпьютер, нажатьна«Options»и напоявившейсястра-

нице—«AutomaticApprovals».Затемв зависи-

мостиоттого,чтотребуетсясделать,выбираем

«NewRule»или«InstallAutoDeploymentRule»

и нажимаем«Edit».В диалоговомокнеопределяемпараметрыи указываемимяправила, автоматическаяустановкаилиодобрение выбираетсяв Advanced.

Заключение

ПервоначальнуюнастройкуWSUSможно считатьзаконченной.Послепроизведенных действийсерверWSUSбудетпериодически получатьобновленияс MicrosoftUpdate,а клиентскиекомпьютерыавтоматическиполучать одобренныеобновления.Но WSUSимеетеще многоинтересныхфункцийи возможностей, таких,например,какформированиеотчетов и отсылкаe-mail-сообщений.Успехов.z

xàêåð 02 /98/ 07	/ 149

hang

NOW!

to BUY

>> ХАКЕР.PRO

to BUY

w Click

-xcha

-x cha

Сергей «grinder» Яремчук

/ grinder@ua.fm /

IDS

настраже

периметра

Snort: мощный инструмент обнаружения сетевых атак

Защита компьютерных сетей, как обычных, так и беспроводных, - тема острая и злобод-

невная. Сегодня информацию с описаниями взломов, а также готовых программ,

реализующих их, найти легко, и любой может испытать на тебе весь доступный

арсенал. Чтобы обезопасить себя от неожиданных сюрпризов, следует реализовать

защиту в комплексе: межсетевой экран, фильтрация MAC-адресов и шифрование

трафика. Особое место в этом списке занимают системы обнаружения атак, своевре-

менно сигнализирующие о появлении хакера. К таким средствам относится сетевая

СОА Snort — мощный инструмент с открытым исходным кодом.

ВозможностиSnort

к такомуустройствусможетинтерпретировать

сайтедоступенпатчдляSnort2.4.3(требующий

Snortявляетсясетевойсистемойобнаружения

полученнуюинформацию.СегодняшнийSnort,

прикомпиляцииопции'--enable-wireless'),

атак(IDS)с открытымисходнымкодом,кото-

в принципе,неделаетразличияв том,с каким

такжеимеетсяи ужепатченаяверсияSnort.

раяспособнавыполнитьв реальномвремени

типомсетионимеетдело,никакихспецифи-

ФункциональноSnort-Wirelessмалоотличается

анализIP-пакетов,передаваемыхнаконтро-

ческихопцийприустановкетакжезадавать

отSnort,дополнительнов егосоставвключен

лируемыхинтерфейсах.Snortобнаруживает

ненадо.Как обычно,указываеминтерфейс'-i',

наборправилwifi.rules,содержащийописание

атаки,комбинируядваметода:сигнатурный

и Snortначинаетанализпакетовв режимеraw

специфическихуязвимостейи рядпрепроцес-

и анализпротоколов.

monitoring(RFMON),безпривязкик специфи-

соров.В настоящеевремяреализованопять

ВсюсобраннуюинформациюдетекторSnort

ческойсети,собираявсепакеты,попадающие-

препроцессоров:

позволяетсохранитьв файлахжурналов,кото-

сяв радиоэфире.Чтобыконтролироватьтолько

1. AntiStumbler(spp_antistumbler)—распоз-

рыемогутиметьразличныйформат:обычный

своюсеть,необходимосоответствующим

наетрассылкубольшогоколичестванулевых

текстовыйASCIIилибинарный,совместимый

образомнастроитьWi-Fiустройствоилисисте-

SSIDс одногоMAC-адреса,чтоиспользуют

с tcpdump. Кроме того, для удобства

муфильтров.СетиIEEE802.11используюттри

NetStumblerи MacStumblerдляобнаружения

анализаинформациюможнозанестив базу

видапакетов:управления,контроляи данных.

точекдоступа;

данных:Postgresql,MySQL,unixODBCи некото-

Чтобыотслеживатьпервыедватипа,необходи-

2. DeauthFlood(spp_deauth_flood)—подсчи-

рыедругие.

модобавитьв строкузапускапараметр'-w'.

тываетколичествокадровдеаутентификации

Система,построеннаянаSnort,способнасоби-

Для болееэффективнойзащитыможно

и припревышениипорогаподнимаеттревогу;

ратьи обрабатыватьинформациюс несколь-

использоватьорудиенападения—Kismet

3. AuthFlood(spp_auth_flood)—определяетко-

кихразнесенныхдатчиков.Всев делов произ-

(www.kismetwireless.net),которыйумеет

личествопопытокаутентификации,чтоможет

водительностикомпьютеров,используемых

отличносканироватьэфир,а значит,егоможно

свидетельствоватьо возможнойDOS-атаке;

в качествесенсоров.Для тогочтобыулучшить

применятьдляпоискапостороннихустройств.

4. MacSpoof(spp_macspoof)—отслеживает

производительность,разделяябыструюработу

Анализируяданныес различныхточекдоступа

попыткиподменыМАС-адреса;

IDSпозахватупакетови относительномедлен-

и Wi-Fiкартв связкес Snort,можнодатьотпор

5. RogueAP(spp_rogue_ap)—егозадачасооб-

нуюпозанесениюинформации,необходимо

дажеопытномухакеру.

щатьо присутствиидругихточекдоступа.

использоватьBarnyard,которыйдоступенна

СуществуетспециальноеответвлениеSnort

ВSnortтакихпрепроцессоровнет,поэтому

страницезакачкипроектаSnort.В этомслучае

—Snort-Wireless(snort-wireless.org),какраз

длязащитыбеспроводнойсетиимеетсмысл

Snortсоздаетспециальныйдвоичныйвыход-

предназначенноедляобнаруженияатак,направ-

использоватьименноSnort-Wireless.

ной«унифицированный»формат,с которым

ленныхнасетистандарта802.11.Snort-Wireless

в дальнейшеми работаетBarnyard.

обратносовместимс Snort2.0,приэтомсодержит

УстановкаSnort

некоторыеспецифическиеправилаобработки

Намоментнаписаниястатьиактуальнойбыла

SnortandWireless

пакетов,настроенныхнауязвимостии типич-

версия2.6.1.2.В репозитарииUbuntu,который

Snortнепосредственнонеумеетработатьс бес-

ныеатакибеспроводныхсетей.Последние

использовалсяпринаписаниистатьи,—2.3.3.

проводнымисетями802.11,ноподключенный

обновлениядатированыноябрем2005 года,на

Хотелось быотметить,чтоподкаталогcontrib,

/ 150

xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
ХАКЕР.PRO					BUY
ХАКЕР.PRO				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Веб-интерфейс к Snort — BASE

содержащийразличныедополненияк Snort, начинаяс версии2.2.0,пустует.Скриптыдля созданиябазданныхпереместилисьв подкаталогschemas,а длясозданияrpm-пакетов

—в одноименныйподкаталог.Остальные же расширенияможнонайтинастранице www.snort.org / dl / contrib.Итак,всеосновное сказано,можноначинатьустановку. Распаковываемархив:

# tar -xzvf snort-2.6.1.2.tar.gz

Конфигурируем.В самомпростомслучае скриптуненужнопередаватьникакихпараметров.Если женеобходимоиспользоватьбазу данных,то,например,дляMySQLдобавляем опцию'--with-mysql'.С версии2.3.0RC1в Snort

включенкодпроектаSnort-inline,темсамымон получилвозможностьнетольковыявлять,но и останавливатьначавшуюсяатаку,перестраиваяправилаiptables.И теперьSnortявляется полноценнойсистемойпредотвращенияатак. Для включенияэтогорежимадобавляем

'--enable-inline'.

#. / configure --with-mysql

#make

#make install

НастройкаSnort

Незнаю,с чемэтосвязано,новсекаталоги, необходимыедляработыSnort,досихпор приходитсясоздаватьвручную.Сюдамы будемскладыватьконфигурационныефайлы

иправила:

#mkdir / etc / snort

Аздесьбудетвестисьжурналработы:

# mkdir / var / log / snort

Теперьв каталог/ etc / snortкопируемвсе,что лежитв подкаталогеetcдистрибутива:

www.snort.org

# cp -R . / etc / * / etc / snort /

Далеераспаковываемфайлправили помещаем ихв / etc / snort / rules.В принципе,местодля правилможновыбратьлюбое,нотакудобнее, даи считаетсятрадиционным:

#tar -xzvf snortrules-snapshot- CURRENT.tar.gz

#mv rules / etc / snort

Играемпоправилам

Дляописаниясобытий,которыемогутсчитатьсязлонамереннымиилианомальными,используетсягибкийязыкправилплюсмодульная системаанализа.Сегоднясуществуетдватипа правил.Первыйтип—официальныесерти- фицированныеи строгопротестированные

SourcefireVRTCertifiedRules,распространяющиесяполицензииVRTCertifiedRulesLicense Agreement,ограничивающейихкоммерческое использование.Этиправиладоступныв двух вариантах:длязарегистрированныхи незарегистрированныхпользователей.Регистрация абсолютнобесплатна.Всеизмененияв первую очередьраспространяютсясредиподписчиков

(subscriptionreleaseс буквой«s»в названии пакета),затемстановятсядоступнымидля зарегистрированныхпользователей(без буквы«s»).Те же,ктонезарегистрировался, довольствуютсястатистическимиправилами, обновляемымилишьк каждомурелизуSnort и,естественно,отстающимиотжизни(они имеютпрефикс«pr»в названии).Второйтип правилназываетсяCommunityRules.Эти правиласоздаютсядобровольцами,ониеще непрошлипроверкуи распространяютсяпод лицензиейGPL.Для загрузкиCertifiedRules необходимозайтинастраницуDownloadRules, выбратьнужноеправилои изменитьссылку.

Например,ссылканаVRTCertifiedRulesfor SnortCURRENTвыглядиттак:www.snort. org / pub-bin / downloads.cgi / Download / vrt_ os / snortrules-snapshot-CURRENT.tar.gz.

Но,нажавнанее,файлнеполучишь.Сначалаее необходимопривестик такомувиду: www.snort.org / pub-bin /oinkmaster. cgi / код_полученный_при_регистрации / vrt_ os / snortrules-snapshot-CURRENT.tar.gz.

Учти,чтоприошибкевводаповторнаязакачка будетвозможналишьчерез15минут,также нельзяпользоватьсянекоторымименеджерамизакачки.

Давайрассмотримодноправило,длятого чтобыбылоясно,каконипишутся.Вдругтебе понадобитсяписатьихсамомуилизахочется разобратьсяв том,чтоконкретноделаеттоили иноеправило.Возьмемодноправилоизфайла community-smtp.rule:

alert tcp!$SMTP_SERVERS any - > any 25 (msg:"COMMUNITY SMTP Mytob MAIL FROM Attempt"; flow: established, to_server;

content:"MAIL FROM|3A|"; nocase; pcre:" / MAIL \ s+FROM \ s* \ x3A \ s* \ x3C?

(spm| fcnz|www|secur| abuse)@ / i"; reference: url,www.symantec. com / avcenter / venc / data / w32.mytob@ mm.html; classtype: misc-attack; sid:100000689; rev:1;)

Несмотрянадовольносерьезныйвид,правилодовольнопростое,и еслиразобратьегопо частям,товсестановитсянасвоиместа.Первая строкаговорито том,чтовсесообщенияпо протоколуTCP,направленныес любогопорта напорт25(тоестьпочтовыйтрафик),с определеннымадресомв полеотправителяпринадле- жатвирусу-червюW32.Mytob@mm.Нижедан комментарий(reference),позволяющийнайти болееподробнуюинформациюобуязвимостина сайтеSymantec.Некоторыеправилазанимаютнесколькоэкрановмонитора.Директива alertуказываетнадействия,которыедолжен производитьSnortприобнаружениипакета, попадающегоподэтоправило.По умолчанию

xàêåð 02 /98/ 07	/ 151

				hang	e
			C		e		E
		X					E
	-							d
	F								t
	D								i
	D								r
P				NOW!					o
P

w Click				to BUY		>>
w Click										m
w
	w								o
	.							.c
		p					g
			df		n			e
				-xcha

ХАКЕР.PRO

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Веб-интерфейс к Snort — SnortCon

Мастер настройки пакетов Ubuntu поможет настроить Snort

имеетсяпятьдействий:alert,log,pass,activate

и dynamic.Крометого,в режимеinlineдоступны ещетри:drop,rejectи sdrop.Правиломожетбыть односторонним()и двусторонним(),когда направлениедвиженияпакетаролинеиграет.

Можнооставитькакесть,а можноуказать болеелогично,чтовсе,неявляющеесядомом, будетвнешним:

var EXTERNAL_NET!$HOME_NET

сменуболеестаромуFrag2.Крометого,некоторыепрепроцессорынаправленынаопределениеаномалийв работеопределенныхсервисов. Так,X Link2Stateпредназначендляопределения уязвимостив ExchangeServer,а HTTPInspect

изучаетаномалиив http-трафике.

Файлконфигурацииsnort.conf

Последнийшаг,которыйостаетсясделать,

—этоотредактироватьконфигурационный файл / etc / snort / snort.conf.В дистрибутиве ужеимеетсяготовыйшаблон,поэтомус нуля егописатьнепридется.В файлеиспользуютсяпеременные,в томчислевстречающиеся в правилах.Этодовольноудобно:присмене какого либопараметразатемнепридется егопереписыватьнесколькораз.Крометого,

некоторыеопциивынесенывовнешниефайлы, которыеподключаютсядирективойinclude

с именемфайла.Всепараметрыснабженыкомментариями,начинающимисятрадиционносо знакарешетки.Для удобствавосприятияфайл разбитнашестьчастей:

1.установкапеременныхсети;

2.указаниединамическиподгружаемых библиотек;

3.настройкапрепроцессоров;

4.настройкавыводаинформации;

5.установкадополнительныхдиректив;

6.модификацияправил.

Примечание:втораяи пятаясекциинепредставляютдлянасособогоинтереса. ПеременнаяHOME_NETопределяетIP-адре- са,которыеSnortбудетсчитатьдомашними. Возможнозаданиеотдельногоадресаили диапазона.Еслитребуетсяуказатьнесколько адресов,тоониперечисляютсячереззапятую. Ключевоеслово«any»означаетлюбойадрес. Например:

var HOME_NET 192.168.1.0 / 24

var HOME_NET [10.1.1.0 / 24,192.168

.1.0 / 24]

ПеременнаяEXTERNAL_NETуказываетна внешниеузлы.По умолчаниюстоитany.

Нижев файлеидетсписоксерверов(DNS, SMTP,web,sql,telnetи snmp),используемых в сети.Можнооставитькакесть,тоесть

$HOME_NET,илиуказатьконкретныйIP-адрес. С другойстороны,еслиу наснетweb сервера, тои незачемотслеживатьспецифическиедля негоатаки.Поэтомулишнееможносмело отключить.

Далеезадаютсяномерапортов,используемых серверами.ЭтопозволяетSnortнераспылять ресурсы,а искатьатакуболееконкретно (прицельно).Принциптот же:еслинетOracle, тосоответствующуюстрокулучшезакомментировать.Обративнимание,чтономерпорта можетбытьзаданкакединичный(80)и как непрерывный(80:8080).Перечислениепортов череззапятуюработатьнебудет(уженескольколетобещаютисправитьэтотмомент). Поэтомуеслиweb сервериспользуетдвапорта, тописатьнеобходимотак:

var HTTP_PORTS 80 var HTTP_PORTS 8080

Препроцессоры,подключаемыев третьей секции«Configurepreprocessors»,—штукадо-

вольносерьезнаяи в хозяйстве,какговорится, полезная,нотребующаянекотороговремени длятого,чтобыразобратьсяс назначением

иособенностямиработы.Обративнимание, чтонекоторыепрепроцессорыдублируютдруг друга,поэтомувключатьвсесразутакжене имеетсмысла.Так,вместоPortscanи FlowPortscanразработчикирекомендуютисполь-

зоватьsfPortscan,разработанныйв Sourcefire

ипредназначенныйдлятех жецелей,тоесть дляопределениясканированияпортов.Более быстрыйв работемодульFrag3,используемый длядефрагментацииIP-пакетов,пришелна

Настройкавыводаданных

Вчетвертойсекции«Configureoutputplugins»,

какужеговорилось,настраиваютсявыходные параметры.В общемслучаестрокапараметров имееттакойвид:

output <name_of_plugin>: <configuration_options>

ВнастоящеевремяSnortможетиспользовать 10плагиновдлявыводаинформации(каждый изкоторыхимеетдополнительныеопции):

1.alert_syslog—длявыводаинформации используетсядемонsyslog;модульпозволяет настроитьприоритетысообщенийи уровень;

2.alert_fast—информацияо возможнойатаке выводитсяв указанныйв качестведополнительногопараметрафайлв сокращенном форматебезподробностей;

3.alert_full—модуль,подходящийдлянеболь- шихсетей,таккаксильнотормозитработу Snort;заголовокпакетавыводитсяполностью; в лог каталогебудетсозданподкаталог,покаждомуIPв которыйбудутзаписыватьсяпакеты, вызвавшиепредупреждение;

4.alert_unixsock—схожс предыдущимзаисключениемтого,чтоинформацияв реальном временипередаетсяв Unix сокет,откудаможет бытьсчитаналюбойдругойпрограммой;

5.log_tcpdump—записываетв указанный файлперехваченныепакетыв форматеутилитыtcpdump(к именифайлабудетдобавляться меткавремени,поэтомузатеретьегопри перезапускенеполучится);

6.database—модуль,позволяющийзаносить информациюв базуданных;

7.csv—выводв файлформатаcsv,который можетбытьиспользовандлязанесения

/ 152	xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang	e
				C		e	E
			X				E
		-						d
		F							t
		D							i
		D							r
	P					NOW!			o
>>	ХАКЕР>> I-T.PRO				to BUY	NOW!
>>	ХАКЕР>> I-T.PRO				to BUY
	w Click									m
	w
		w							o
		.						.c
			p				g
				df		n		e
					-x cha

Snort в режиме захвата пакетов

информациив базуданных.Кромеимени файла,необходимоперечислитьпараметры, которыев негозаносятся;

8. unified—выводитданныев специальном формате,оптимизированномдляобработки внешнимиутилитами,которыезатембудут заниматьсярегистрациейсобытия;

9. alert_prelude—доступенприконфигуриро- ваниис опцией'-–enable-prelude',в этомслучае SnortиспользуетсякакдатчикгибриднойIDS Prelude(www.prelude-ids.org);

10.log_null—в этомслучаеSnortспособен реагироватьнауказанныепредупреждениябез регистрациипакетов.

И,наконец,в концефайлатынайдешьшестую секцию«Customizeyourruleset»,в которойне-

обходимоубратькомментарии,указывающие нафайлыс правилами:

include $RULE_PATH / local.rules include $RULE_PATH / bad-traffic. rules

…

#include $RULE_PATH / multimedia. rules

#include $RULE_PATH / p2p.rules include $RULE_PATH / experimental. rules

Названияправилговорятсамизасебя.Оставь то,чтотебедействительнонужно(хотяесли сомневаешься,лучшевключивсе).По умолчаниюфайлlocal.rulesпуст,в негозаноситсвои правиласампользователь.

ЗапускSnort

После того как все будет готово, можно запускать Snort. Для работы в режиме снифера Snort запускается с флагом '– v'. При этом на экран выводятся заголовки пакетов. Если же есть желание просмотреть и передаваемую информацию, используй следующую команду:

Держись, хакер!

# snort -vd

Еслив системеодининтерфейс,топрограмма самаразберется,с чемейработать.В противномслучаееготребуетсяуказатьc помощью'–i':

# snort -vd -i eth0

Можноуказатьнаконкретнуюинформацию, которуютребуетсязахватить.Например, устанавливаемв качестведомашнейсети 192.168.1.0и захватываемпакетыс узла

192.168.1.1:

# snort -h 192.168.1.0 / 24 d -v host 192.168.1.1

Длярегистрациипакетовв общемслучае указываемкаталог,кудаследуетзаписывать информацию:

# snort -l . / log

Еслинавыходетребуетсяфайлв формате tcpdump,тодобавляемпараметр'–b'.

И,наконец,работав режимесистемыобнаруженияатак.Таккакфайлsnort.confужесоздан, топоступаемпросто:

# snort -c / etc / snort / snort.conf

Длятестированиянабираем«ping-s 65507 ip_адрес».Послечего,есливыбрансоответствующийрежимведенияжурнала,в каталоге / var / log / snortпоявитсяфайлс предупреждениемо потенциальноопасномпакете:

[**] [1:499:3] ICMP Large ICMP Packet [**]

[Classification: Potentially Bad Traffic] [Priority: 2] 15 / 11 18:21:2.1131991802 192.168.0

.1 -> 192.168.0.20

ICMP TTL:255 TOS:0x0 ID:18479 IpLen:20 DgmLen:63028

Type:0 Code:0 ID:512 Seq:19456 ECHO REPLY

[Xref => arachnids 246]

ПривсестороннемтестированииработыSnort следуетиспользоватьспециальныеутилиты вродеIDSwakeup(www.hsc.fr / ressources / outils / idswakeup / download).

ДляавтоматическогозапускаSnortпризагрузке системынеобходимоиспользоватьскрипт snortd,которыйлежитв подкаталогеrpm дистрибутива.Копируемегов / etc / rc.d / init.

d и даемкоманду:

# chkconfig snortd on

Анализаторыфайлови веб-морды

Snortсоздандлятого,чтобывыполнятьодну задачу—определениеатак,и выполняетон еехорошо.Анализфайловжурналовотданна откупстороннихразработчиков.Некоторые утилиты,предназначенныедляэтихцелей,ты найдешьнасайтепроекта.Например,c помо-

щьюPerl скриптаSnortALog(jeremy.chartier. free.fr / snortalog)можноотобратьнеобходи-

муюинформациюи вывестиеев удобномдля чтениявиде.Воттакможновывеститопатак, сгруппированныхповремени,и отослатьего попочте:

# cat / var / log / snort / snort. log.1164559498 | . / snortalog.pl -hour_attack | / usr / sbin / sendmail -f admin@domain.com

Такжеимеетсянескольковеб-интерфейсов,поз- воляющихпроанализироватьсобраннуюин-

формацию:ACID(AnalysisConsoleforIntrusion Databases,acidlab.sf.net),BASE(BasicAnalysis andSecurityEngine,base.secureideas.net), SnortCon(snortcon.sf.net).z

xàêåð 02 /98/ 07	/ 153

				hang	e
			C		e		E
		X					E
	-							d
	F								t
	D								i
	D								r
P				NOW!					o
P

w Click				to BUY		>>
w Click										m
w
	w								o
	.							.c
		p					g
			df		n			e
				-xcha

ХАКЕР.PRO

Сергей Супрунов

/ amsand@rambler.ru /

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Скулынаринге

Сравнительное описание процесса установки и настройки двух популярных СУБД

В мире свободных программ так повелось: мы говорим «база данных» — подразумеваем мускуль». А чем нам, спрашивается, не угодила Postgre SQL, открытая (даже более открытая, чем MySQL), свободная, с мощнейшей функциональностью? Кто-то скажет — сложная; кто-то — тяжелая; кто-то — что тормозит. Но всегда ли высокая скорость — самое главное? И правда ли то, что поставить ее сложнее, чем совладать с «дельфинчиком»? Вот в этом мы и попытаемся сегодня разобраться…

Инсталляция

ДлячистотыэкспериментаобеСУБДставить будемизисходников. Еслиприложениеесть

вменеджерепакетовтвоейсистемы(мне покаещене попадалисьтакие, гдене было быMySQLилиPostgreSQL), толучшеус-

танавливатьоттуда. Таки с обновлением меньшепроблем, и отслеживатьзависимости проще—а топопробуйпотомкакому-нибудь RoundCubeдокажи, чтоСУБДу тебяуже есть. Но поскольку«официальная» инсталляцияникакихпроблемвызватьне должна(ско-

мандовать«aptitudeinstallmysql-server-5.0» или «portinstallpostgresql-server» особоготруда

не составит), томыпойдемпо путинаибольшегосопротивления.

Итак, разжившись архивами с исходным кодом свежих версий (сразу бросается

вглаза соотношение их размеров — 24 Мб

MySQL5.0.27против10МбPostgreSQL 8.2.0; а еще говорят, что постгрес

тяжелый), потратимнесколькоминутнаизучениеопцийконфигурации, чтобыне былопотом мучительнобольно… Как обычно, полныйсписокдоступныхопцийможнопросмотреть, введяв полученномпослераспаковкитарбола каталогеследующуюкоманду:

$./configure --help

Вслучаес MySQLпервое, начтоследуетобратитьвнимание, —это кодировка, которую СУБДбудетиспользоватьпо умолчанию.

Посколькуlatin1насврядлиустроит, нужно будетуказатьопцию'--with-charset'в соответствиис твоейкодировкой(скореевсего, это будетkoi8r, cp1251илиutf8). Еслиты планируешь работатьв дальнейшемс несколькимикодовымистраницами, тодополнительныекодировки укажив опции'--with-extra-charsets'. Чтобы себяни в чемне ограничивать, можешьзадать сразу'--with-extra-charsets=all'.

Втораявещь, не совсемпривычнаядля пользователей, работавшихранеес другимиСУБД, —возможностьвыбратьтип таблиц. MySQLподдерживаетцелуювереницуразличныхдвижковнавсеслучаи жизни: BDB, InnoDB, MyISAM, HEAP... Первые два—BerkeleyDB(разработчик—Sleepycat Software, нынепринадлежащийOracle)

и InnoDB(опять-такикупленныйOracle)—яв- ляютсятранзакционными. Это обеспечивает высокуюнадежностьработыс данными(БД не потеряетсогласованностьв случаевозникновенияпрограммногоилиаппаратного сбоя, и существуетвозможностьвосстановить илиоткатитьнезавершенныеоперации)и позволяетобъединятьлогическисвязанныеизмененияв БДв атомарные(транзакционные) блоки, фиксирующиесяв базепо принципу «всеилиничего». ТаблицыMyISAMне поддер живаюттранзакции, чтообеспечиваетим болеевысокуюскоростьработы, но меньшую надежность. ТаблицыHEAPразмещаются

в оперативнойпамяти, благодарячемуработаюточеньбыстро, но, естественно, не

сохраняютданныепри сбоях. С учетомряда другихограниченийHEAP-таблицыудобно использоватьдлявременныхданных, но для «нормальной» работыонималопригодны.

Еслиты точнознаешь, какойтиптаблицтебе нужен, томожнопри сборкеСУБДуказатьтолькоих. Обычнов такихслучаяхрекомендуют использоватьMyISAMтам, гдерадискорости можнопожертвоватьвсемиданными, и InnoDB дляостальныхзадач.

Перейдемк PostgreSQL. С языкамиздесьчутьпро- ще—этаСУБДне будетнапрягатьтебяпо поводу дефолтныхкодировоки т.д. Единственное, что можносделать, —это указатьв '--enable-nls' переченьязыков, накоторыхсистемабудет с тобойобщаться.

Авотнадчемможнозадуматься,такэто над спискомязыковпрограммирования. Их можно использоватьдляразработкитриггеров, хранимыхпроцедури прочихпрелестей. PostgreSQL поддерживаетнесколькоязыковнатвойвыбор

—«изкоробки» можновключитьподдержку

PL/Tcl, PL/Perlи PL/Python, вдогонкук стан-

дартномуPL/pgSQL; такжеподдерживаются

PHPи Java.

Опции'--with-krb5', '--with-pam'и '--with-ldap'

позволяютвключитьподдержкудополнительныхспособовавторизации, чтоможет бытьоченьполезнодляработыв локальной сети, когдатребуетсяобеспечитьпредельную гибкостьи прозрачностьпри работепользователейс базой. Такжеподумайсразу, нужнали тебеподдержкабезопасныхсоединений

/ 154	xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
ХАКЕР.PRO					BUY
ХАКЕР.PRO				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

pgAdmin: до PL/SQL Developer от Oracle пока явно не дотягивает, но работать приятно

('--with-openssl')и протоколаавтоматическойнастройки сетиBonjour('--with-bonjour').

Побольшомусчету, параметры, предлагаемыепо умолчанию, достаточнохороши, и еслиты ставишьсебеСУБД«общего назначения», товполнеможешьничегоне менять. Только дляMySQLлучшебыне забытьуказатькодировку, чтобы потомне удивляться, чтокак-токривоработаетсортировка по отечественномуалфавиту.

Итак, послетогокакты наметилдлясебя, с какимипараметрамиследуетсобиратьприложения, сборкаи инсталляциятрадиционныи просты:

$ sudo addgroup mysql

$ sudo adduser -g mysql mysql

$ ./configure --prefix=/usr/local/mysql -- with-charset=utf8

$ make

$ sudo make install

Возможно, придетсясамуюмалостьповозитьсяс зависимостями(разужмыпошлипо путисборкииз исходников, тоизбежатьэтоготрудно). Например, потребуетсябиблиотекаcurses(илиncurses), причемнужны будути заголовочныефайлы, которыеобычновынесены в отдельный dev-пакет и по умолчанию редко устанавливаются.

ДляPostgreSQL:

$ sudo adduser postgres

$ ./configure --prefix=/usr/local/pgsql -- with-python --with-perl

$ make

$ sudo make install

Здесьиззависимостеймогутвстретитьсябиблиотеки readlineи zlib(тожес dev-пакетами). ЕслиPostgreSQLсоби-

рается с поддержкой процедурных языков PL/Perl

и PL/Python(какв примере), топонадобятсятакжеdevпакеты для Libperl и Python. Для других

опций, естественно, будут выплывать свои зависимости. Главное—не забудьсоздатьнужныхдля работыпользователейи группы.

С установкойнаэтомвсе, переходимк настройкам.

initdb: должно быть все OК

Инициализацияи настройка

Итак, установкапозади. Преждечемприступатьк

работе, нужновыполнитьинициализациюбаз, а так-		i
жесверитьнастройкипо умолчаниюсосвоими
желаниями. По традиции, начнемс MySQL.
Дляинициализациибазыразработчикиподготовили		Вечныйспор«MySQL
специальныйскриптmysql_install_db, которыйможно		vsPostgreSQL» можно
найтив каталогеbin. Запускатьегоследуетс правами		найтипрактически
root, чтобыонмогсоздатьнеобходимыекаталоги, но же-		налюбом«админс-
лательносразууказатьпараметр'--user', чтобызадать		ком»сайте.Главное
пользователя, которыйстанетвладельцемсозданного		—не доверяйслепо
каталога. Можно, конечно, потомпоменятьправа		первымпопавшимся
и вручную, но лучшесразу:		аргументам.

$ sudo ./mysql_install_db --user=mysql --
datadir=/var/db/mysql		http://

Вконцеработыэтогосценариянаэкранбудутвыведены
инструкциипо дальнейшимдействиям. В частности, нуж-		www.mysql.com
нобудетзадатьпарольпользователюroot(не путайегос		—сайткомпании
системнымрутом):		MySQLAB;
		www.mysql.org
$ /usr/local/mysql/bin/mysqladmin -u root		—почтитоже
password 'jabubntkmysq'		самое, но ориентиро-
		ванноена

Кстати, почитайдокументациюк mysqladmin—это очень		сообщество;
мощнаяутилитадляадминистрированияСУБД. Базаtest,		www.postgresql.org
с которойбудемэкспериментировать, создастсяав-		—официальныйсайт
томатическинаэтапеинициализации. Рабочиебазы		СУБДPostgreSQL;
можносоздатьлибоизклиентаmysqlкомандойCREATE		www.mysql.ru—рус-
DATABASE, либос помощьютойжеmysqladmin. При необ-		скоязычныйсайт
ходимостисоздайпользователя(CREATEUSER), и можно		почитателейMySQL;
работать.		www.postgresql.ru
Но прежде чем запускать сервер, желательно		—страницарусско-
сначала создать конфигурационный файл (по умол-		язычнойдокумента-
чанию /etc/my.cnf). Разработчики любезно заго-		циипо PostgreSQL.
товили несколько шаблонов конфигурации для
различных случаев, смотри каталог support-files
в исходниках. Шаблоны my-large.cnf, my-medium.cnf

иmy-small.cnf отличаются по большей части значениями, заданными для различных влияющих на потребление памяти переменных (буферов, кэшей

ит.д.). Если интересно, можно выполнить

xàêåð 02 /98/ 07	/ 155

				hang	e
			C		e		E
		X					E
	-							d
	F								t
	D								i
	D								r
P				NOW!					o
P

w Click				to BUY		>>
w Click										m
w
	w								o
	.							.c
		p					g
			df		n			e
				-xcha

ХАКЕР.PRO

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Графическиеинструментыдляработыс СУБД

ИMySQL, и PostgreSQLне обделенысредствамидляболеекомфортнойработыс СУБД. Преждевсего, следуетотметить вездесущийPHP-инструментарий: phpPgAdminи phpMyAdmin. ТакжедляPostgreSQLнужновыделитьутилитуpgAdmin

—простой, но в тожевремядостаточноудобныйспособадминистрироватьбазу.

«diff -u my-large.cnf my-small.cnf». Для не-

большой домашней машины вполне подойдет шаблон my-small.cnf, который следует скопировать в /etc под именем my.cnf. Для более крупных инсталляций лучше просмотреть самому один из выбранных шаблонов и подогнать параметры под оптимальные значения в зависимости от объема имеющейся в наличии памяти. Если ты планируешь использовать таблицы типа InnoDB, то my.cnf нужно будет обязательно подредактировать — по умолчанию все, что касается этих таблиц, в нем закомментировано.

Отыщи в конфигурационном файле в секции [mysqld] следующие строки, сними комментарии и приведи в соответствие со своими потребностями:

#Путь к каталогу, где будут размещены InnoDB-таблицы: innodb_data_home_dir = /var/db/ mysql/innodb/db/

#Имя файла хранилища, его первоначальный размер (10 Мб)

#и разрешение на автоматическое расширение при необходимости: innodb_data_file_path = ibdata1:10M:autoextend

#Каталог хранения журналов и архивов

#(если есть возможность, лучше выносить на отдельный винт): innodb_log_group_home_dir = /var/ db/mysql/innodb/log/ innodb_log_arch_dir = /var/db/ mysql/innodb/log/

#Память, отводимая под буферы

(если на машине работает что-то,

#кроме mysql, лучше не поднимать выше 30-70% от объема ОЗУ): innodb_buffer_pool_size = 16M innodb_additional_mem_pool_size = 2M

#Размеры журнальных файлов (рекомендуется держать на уровне

#20-25% от размера буферов): innodb_log_file_size = 5M innodb_log_buffer_size = 8M innodb_flush_log_at_trx_commit = 1 innodb_lock_wait_timeout = 50

Приведенные цифры, естественно, можно менять в зависимости от конкретной ситуации — от ресурсопотребления других процессов, работающих на этой же машине, объема памяти и т.д. Каталоги, указанные в конфигурации, должны существовать (в том смысле, что их придется создать вручную до того, как сервер будет перезапу-

щен с новыми параметрами) и принадлежать пользователю mysql:

$ sudo -u mysql mkdir -p /var/db/ mysql/innodb/{db,log}

Вопцииinnodb_data_file_pathможноуказы-

ватьнесколькофайлов. При первомзапуске серверапослевнесенияизмененийв конфигурациюбудетвыполненаинициализация указанныххранилищ:

$ sudo /usr/local/mysql/bin/ mysqld_safe --user=mysql -- datadir=/var/db/mysql Starting mysqld daemon with databases from /var/db/mysql

Сразузамечу, чтоостановитьзапущенный серверможнотакойкомандой:

$ sudo kill `sudo cat /var/db/ mysql/toshiba.pid`

Для удобства команды запуска и останова можно оформить в виде стартового сценария. Еще одна причина воспользоваться дистрибутивной установкой — там все это уже сделано.

ТаблицыформатаMyISAMбудутразмещаться в указанномкаталоге«пофайлово», в товремя кактаблицыInnoDBразмещаютсяв одном илинесколькихфайлах-хранилищах, согласно конфигурационномуфайлу.

ВPostgreSQLподдерживаетсяодинтипхранилищаданных, поэтомувсенесколькопроще

—нужносоздатькаталог, гдебудетрасполагатьсяхранилище, сделатьеговладельцем пользователя postgres и выполнить инициализацию:

$ sudo mkdir -p /var/db/pgsql/data $ sudo chown postgres /var/db/

pgsql/data

$ sudo su postgres

$ cd /usr/local/pgsql/bin

$ ./initdb -D /var/db/pgsql/data $ exit

Послеинициализациибудетвыведено предупреждение, чтодлялокальныхподклю- ченийразрешенатакназываемаяtrust-аутен- тификация(обэтом—чутьпозже), и показаны дваспособазапуститьсервер. В первомслучае

—«postgres-D/var/db/pgsql/data» —сервер запуститсяв интерактивномрежиме, тоесть информацияо егоработебудетотображаться в окнетерминала, а при закрытиитерминала сервербудетостановлен. Безусловно, работающийпроцессвсегдаможноперевестив фоновыйрежим, либосразууказавсимвол«&» после команды, либов дальнейшемприостановив егоработукомбинациейклавиш<Ctrl-Z>и затемвозобновивв фонес помощьюутилитыbg:

$ sudo -u postgres ./postgres -D /var/db/pgsql/data

LOG: database system was shut down at 2006-12-16 13:58:54 MSK

...

LOG: database system is ready // здесь нажали <Ctrl-Z>

[1]+ Stopped sudo -u postgres ./ postgres -D /var/db/pgsql/data $ bg

[1]+ sudo -u postgres ./postgres -D /var/db/pgsql/data &

Управление сервером с помощью pg_ctl, на мой взгляд, более удобно, и в этом случае сервер будет сразу запущен как фоновый процесс. Только нужно не забывать, что обе команды должны быть выполнены от

имени пользователя postgres. В приведенном выше примере это выполняется с помощью утилиты sudo. Если запуск сервера прошел без ошибок, значит, для работы все готово.

А если возникнут какие-либо проблемы, то они достаточно подробно будут расписаны

всообщениях, выводимых на экран или

влог. Чаще всего они бывают связаны с правами доступа: либо не того пользователя сделали владельцем хранилища, либо от именинеправильногопользователязапускается

/ 156	xàêåð 02 /98/ 07

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
ХАКЕР.PRO					BUY
ХАКЕР.PRO				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

mysql_install_db: читаем все внимательно

сервер. Но перед началом работы хорошо бы посмотреть, а что же у нас творится в настройках. Конфигурация PostgreSQL запрятана в каталоге хранилища, которое создается во время инициализации. В нашем случае это будут файлы postgresql.conf, pg_hba.conf и pg_ident.conf в каталоге /var/db/pgsql/data. В первом из них сосредоточены основные опции, управляющие работой сервера. По умолчанию они работают достаточно хорошо, но в случае проблем с производительностью имеет смысл попробовать их подкрутить под конкретные условия. Оставшиеся два файла отвечают за доступ к серверу. Они снабжены предельно подробными комментариями, так что разобраться с ними не составит труда. Кстати, предупреждение о trust-аутентификации, полученное при инициализации базы, связано со следующими строками в pg_hba.conf:

# "local" is for Unix domain socket connections only

local all all trust

# IPv4 local connections:

host	all	all	127.0.0.1/32 trust
# IPv6 local connections:
host	all	all	::1/128 trust

Они означают, что любой локальный пользователь, подключающийся к любой базе, сможет соединяться с сервером без указания пароля. В некоторых дистрибутивах вместо второго all (означающего «все пользователи») ставят более жесткое ограничение — sameuser, при котором пользователь может подключиться к базе только в том случае, если его имя в PostgreSQL совпадает с системным именем. Если тебе нужен доступ к БД «снаружи», добавь соответствующие строки. Например, так можно разрешить доступ к серверу всем пользователям к базе common из указанной подсети с аутентификацией через PAM или LDAP (поддержка соот-

phpMyAdmin: все, что нужно для комфортной работы, — браузер и кусочек Апача

ветствующих типов аутентификации должна быть добавлена на этапе компиляции):

host common

all 10.0.0.0/8 pam,ldap

Отрегулировавправа, можноподключаться к базеtemplate1(онасоздаетсяпри инициализациии служитшаблономдлявсехсоздаваемыхвпоследствиибаз, еслиявноне указана база-«родитель»):

$ bin/psql -U postgres template1 template1=# create user test; CREATE ROLE

template1=# create database test owner test;

CREATE DATABASE template1=# \c test test

You are now connected to database «test» as user «test».

test=> create table test (fnum numeric, fstr varchar); CREATE TABLE

test=> \q

Здесьмысоздалипользователяtestи одноименнуюбазудляэкспериментов. Развсе получилось, значит, установкапрошлабез эксцессов.

Кое-чтопрофункциональность

К сожалению, рамки этой статьи не позволяют подробно остановиться на работе с базами, но это, как говорится, уже дело

техники. Пару слов скажу о возможностях, которые предоставляют эти СУБД. Начиная с версии 5.0, функциональные возможности MySQL существенно расширились: появилась поддержка триггеров, хранимых процедур, представлений (view), курсоров. Поддержка

нескольких типов таблиц позволяет гибко лавировать между надежностью и скоростью. В общем, MySQL сейчас вплотную приближается по своим возможностям

к таким «монстрам», как Oracle, DB2 и

MS SQL, хотя на данном этапе ей пока недостает зрелости.

АчтожеPostgreSQL? Всеперечисленныевыше функциональныевозможностив нейбыли давно, и ихможносчитатьвполнезрелыми и провереннымивременем. Огромным

плюсом, намойвзгляд, являетсявозможность использованияразличныхязыковдляразработки«сервернойлогики».

К тому же PostgreSQL всегда славилась своей поддержкой стандартов — в отличие от других СУБД, включая MySQL, в PostgreSQL стандарты SQL-92 и SQL-99 поддерживаются наиболее полно и последовательно, в последних версиях появилась частичная поддержка SQL-2003. Хотя, как показывает практика, стандарты, к сожалению, не пользуются должной популярностью.

О производительности говорить не буду, поскольку этот вопрос требует проведения серьезного исследования и, по возможности, на различном железе. Небольшие тесты, которые я проводил «на коленке», не продемонстрировали явного преимущества MySQL, даже с таблицами MyISAM, и если верить сторонним исследованиям, PostgreSQL гораздо лучше держит нагрузку, в то время как MySQL проваливается при большом числе одновременных запросов (смотри tweakers. net/reviews/657/2).

Итоги

Итак, получается, чтоMySQLи PostgreSQL сейчасдовольноблизкифункционально, хотя MySQL по-прежнему в роли догоняющего. То, чтооднасложнеедругой в установке или в работе, тоже не ска-

жешь, —это, скорее, делопривычкии личных предпочтений. Скоростьработы—вопрос сложный, и ответ на него зависит отцелогорядаусловий(режимиспользования,

железо, размеры и структура базы и т.д.). Выбирать, конечно, тебе, но советуюобратить вниманиенаPostgreSQL, еслиты ещес ней не работаешь. Онатогозаслуживает. z

xàêåð 02 /98/ 07	/ 157

				hang	e
			C		e		E
		X					E
	-							d
	F								t
	D								i
	D								r
P				NOW!					o
P

w Click				to BUY		>>
w Click										m
w
	w								o
	.							.c
		p					g
			df		n			e
				-xcha

ХАКЕР.PRO

Крис Касперски

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Королевство кривыхRAID-зеркал

Все, чтоС ты хотел знать о RAID-массивах, но боялся спросить

Лет десять назад RAID-массивы были экзотикой, встречающейся только на серверах и крутых рабочих станциях. Сейчас же RAID-контроллеры настолько подешевели, что массово встраиваются в материнские платы, соблазняя юзеров объединить несколько дисков в один массив, но за это искушение приходится дорого платить.

СмачнаяаббревиатураRAIDрасшиф-

ровываетсякакRedundantArray Independent/InexpensiveDisks

массивнедорогих/независимых

дисков).ДэвидПеттерсонон,ГартГибсони РэндиКатцпредложилидляборьбыс отказами винчестеров(тогдаонислучалисьнамного чаще,чемсейчас)использоватьизбыточный массивнедорогихдисков.Идеяполучиларазвитие,и оченьскоров RAID'ысталиобъединять дорогиедиски,поэтомуслово«inexpensive» («дешевый»)заменилисловом«independent» («независимый»)—сейчасRAIDприняторас- шифровыватьименнотак.

ТипыRAID'ов

НокакRAID-массивомможнораспорядиться? Еслиобъединитьнесколькофизическихдисков

водинвиртуальныйи поблочнописать/читать совсехдисковсразу,мыполучимRAIDуровня0 (StripedSet),значительноувеличивающийскоростьоперацийввода/вывода(а,какизвестно,

вбольшинствеслучаевввод/вывод—самое узкоеместов системе).В грубомприближении скоростьобменапрямопропорциональнаколичествудисков,тоестьдвадискаувеличивают производительностьпрактическивдвое. Однакоздесьестьодно«но».Времяпоиска секторов(особеннопри«далеких»позициони рованиях)непостоянно,и винчестернещадно гоняетмагнитнуюголовку,отыскиваянужный секторметодомвилки.Приработес одним жесткимдискомвремяпоискасектораравно X+/-n,гдеn —максимальноеотклонениеот среднеговременипоиска,обусловленного

конструктивнымиособенностямипривода. Приработес массивомдисковвремяпоиска увеличиваетсядоX+n,посколькуконтроллер вынуждендожидатьсязавершенияоперации обменас самыммедленнымиздисков.

Такимобразом,чембольшеу насдисков,тем меньшийприростпроизводительностиони дают.Переходс одногодисканадвачувствуется сразу,а добавлениеещедвухдисковужепрактическинеощущается.Тем болеечтоприработе с мелкимифайламиожидаемогоускорения вообщененаступает,посколькуневозможно обеспечитьперекрывающеесячтение/запись несколькихнебольшихсегментовинформации Ктомужечембольшедисков,темвышевероятностьотказакаждогоизних,а поскольку записьведетсяблочнымобразом(тоестьблок 1записываетсянадиск1,блок2—надиск2, блок3—надиск3и т.д.),топривыходеодного дискаизстрояизданныхобразуется«решето», своеобразныйреквиемпохранящейсянаRAID'е информации.RAID0—этокрайнененадежная штука,и пользоватьсяейможнотолько,например,длярабочейстанции,предназначеннойдля обработкицифровоговидео,нонив коемслу-

СхемахраненияданныхнаRAID0

\|диск1 \| диск2 \|	диск3 \|	диск4 \| диск5\|
\|Сегмент1\| Сегмент2\|	Сегмент3\|	Сегмент4\| Сегмент5\|
\|Сегмент6\| Сегмент7\|	Сегмент8\|	Сегмент9\| Сегмент10\|

данныенавседискисразу,дублируяинформа-

цию,чтобыпривыходеодногожесткогодиска изстрояеебыловозможноавтоматическивосстановитьс другого.Такоймассивназывается «зеркальным»(MirroredSet)и соответствует RAID-уровню1.Приэтомнадежностьрезко возрастает,а времяпоискасекторовпо прежнемуравняетсяX+n,тоестьRAID1нетолько неускоряет,нодажезамедляетобменданными

СхемахраненияданныхнаRAID 1

\|Сегмент1\|	Сегмент1\|	Сегмент2\|	Сегмент2\|	\|
\|Сегмент3\|	Сегмент3\|	Сегмент4\|	Сегмент4\|	\|

с пятьюдисками,хранянанихнетолькополезныеданные,нои байтычетности,позволяющиевосстановитьвышедшийизстроядискза счетостальных.Покажем,какэтопроисходит напримеребитов(темболеечтовосстановле- ниеданных—этобитоваяоперация).Пусть начетыредискапишется:1011.Складывая битыдругс другом,получаем3,а 3помодулю2 равно1,вотэтотсамый1мыи пишемнапятый диск.Теперьпредставимсебе,чтовторойдиск вышелизстроя:1x 111.Мывновьскладываем биты,делимполученныйрезультатпомодулю2

получаем0,чтои требовалосьдоказать! Дисковнеобязательнодолжнобытьпять, некоторыеконтроллерыработаюти с тремя,но этоневажно.Важно,чтомыполучаеми производительность,и надежность.Разницамежду

/ 158	xàêåð 02 /98/ 07

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1516 / 1716 17 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202436.82 Mб12093_Optimized.pdf
#
20.04.202422.64 Mб12094_Optimized.pdf
#
20.04.202463.61 Mб12095_Optimized.pdf
#
20.04.202448.08 Mб12096_Optimized.pdf
#
20.04.202435.47 Mб13097_Optimized.pdf
#
20.04.202456.87 Mб12098_Optimized.pdf
#
20.04.202439.74 Mб12099_Optimized.pdf
#
20.04.202430.69 Mб12100_Optimized.pdf
#
20.04.202427.33 Mб12101_Optimized.pdf
#
20.04.202420.99 Mб12102_Optimized.pdf
#
20.04.202419.26 Mб12103_Optimized.pdf

\|диск1 \| диск2 \|	диск3 \|	диск4 \| диск5\|
\|Сегмент1\| Сегмент2\|	Сегмент3\|	Сегмент4\| Сегмент5\|
\|Сегмент6\| Сегмент7\|	Сегмент8\|	Сегмент9\| Сегмент10\|

\|Сегмент1\|	Сегмент1\|	Сегмент2\|	Сегмент2\|	\|
\|Сегмент3\|	Сегмент3\|	Сегмент4\|	Сегмент4\|	\|