книги хакеры / журнал хакер / 101_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
Выбортипапубликации |
Установкарасписания |
Публикацияресурсов
Дляразрешениядоступаквнутренним ресурсамизвнеихнеобходимоопубликовать вISA.Публикуютсявеб-серверыиливеб-фер-
мы,сайтыSharePoint,веб-клиентыExchange,
почтовыесерверы;естьотдельныймастердля публикацииневеб-ресурсов.
Мыдляпримераопубликуемвеб-ресурс. Определяем,чтоименнотребуетсяопубликовать.Затемвыбираем«Политикамежсетевого экрана»инавкладке«Задачи»щелкаем«Опуб- ликоватьвеб-узлы».
Появляется мастер создания веб-публи- кации, в котором сначала указываем имя правила и действие. В следующем окне нам предлагают определиться с типом публикации. Это может быть один веб-узел или сервер балансировки нагрузки, ферма веб-узлов или публикация нескольких узлов. В последнем случае новое правило будет создано для каждого узла. В следующем окне указываем тип подключения ISA-сервера к опубликованному ресурсу. В случае выбора протокола SSL на каждом сервере необходимо установить SSL-сертификат. Далее вводим внутреннее имя веб-узла и в следующем поле опционально указываем каталог, к которому будет применено правило. Таким образом, можно разрешить доступ из внешней сети к строго указанным ресурсам, а пользователи внутренней сети будут подключаться к вебсерверу без ограничений.
Далееследуетстраница«Параметрывнешнегоимени»,накоторойопределяется,какие доменыилиIP-адресадолжныприменятьполь- зователидлясоединениясопубликованным ресурсомспомощьюправилапубликации.
Нестоитупрощатьзадачу,указывая«Любое доменноеимя»,посколькувэтомслучаевсе обращениянаопубликованныйпортбудутпересылатьсянаузел,которыйтеперьстановится
уязвимдлянекоторыхатак.Следуетвыбрать «Доменноеимя»иуказатьеговполе«Внешнее имя»,опциональновводитсяипуть.Вокне «Выбратьвеб-прослушиватель»определяет- сяпрослушиватель,которыйбудетожидать подключениянауказанномпортуипроверять подлинностьвходящихвеб-запросов.Нажима- емкнопку«Создать»иследуемуказаниямеще одногомастера,вкоторомопятьжевыясняетсянеобходимостьиспользованияSSL,сетей, длякоторыхбудутпрослушиватьсявходящие запросы,сжатиясодержимого.В«Параметры проверкиподлинности»выбираетсяспособ аутентификациипридоступексерверу.Предлагаетсянескольковариантов:ототсутствия проверкикактаковойдопровероксредства-
миActiveDirectory,RADIUS,втомчислеис применениемодноразовыхпаролей.При указанииварианта«Проверкаподлинностина основеHTML-форм»будетдоступнавозмож- ностьединоговхода,когдапользовательпри доступекресурсамрегистрируетсятолько одинраз.Еслисерверпубличный,выбираем «Безпроверкиподлинности»ивозвращаемся кмастерупубликации,вкоторомотмечаем созданныйпрослушиватель.Послепроверки учетныхданныхISAServer2006делегирует проверкуподлинностиопубликованнымсерверамнесколькимиспособами. В следующем окне указываем, будет ли разрешено сквозное делегирование. Наконец, определяем самих пользователей. Для публичного доступа оставляем значение, предлагаемое по умолчанию, — «Все пользователи». Итак, ресурс опубликован.
Вегосвойствахможнозадатьрасписание. Крометого,доступенвеб-фильтрпреобразо- ванияссылок,позволяющийсоздатьсловарь определенийвнутреннихименкомпьютеров исопоставитьихспубличнымиименами,то естьзаменятьоднисловавзапроседругими.Во
вкладке«Использованиемоста»можноуказать номерапортов,накоторыеISAбудетперенаправлятьзапросы.
Постскриптум
ЭтодалеконевсевозможностиISAServer 2006.Мынерассмотреливопросыработыс VPN,созданиеииспользованиесертификатов, кэшированиеимногоедругое.Каквидишь, этодовольномощныйпродукт,позволяющий надежнозащититьлюбуюсеть.z
ФильтрыприложенийвISAServer2006 Присутствуетещеодинмомент,окотором нельзянеупомянуть.Кромеправилдоступа, вISAServer2006используютсяфильтры приложений,которыеобеспечиваютдополнительныйуровеньзащитыивыполняют задания,специфическиедляконкретных протоколовилисистем(проверкаподлинностиипроверканавирусы).Встроенные фильтрыприложенийможнонастраиватьи применятькправиламполитикимежсетевогоэкрана(вкладка«Конфигурация Надстройки»).
Расширяемаяархитектурасерверапозволяет использоватьфильтры,созданныестороннимипроизводителями:
•большинствоантивирусныхкомпаний выпускаетфильтрыприложенийдляISA
•существуютфильтрывеб-содержимого
(например,www.collectivesoftware.com);
•программаInternetAccessMonitor (www.internetaccessmonitor.com/rus)позво-
ляетвестиучеттрафикаиконтролировать эффективностьиспользованияинтернетканалаорганизации(аналогичнуюфункцию выполняетProxyInspectorforISAServer, www.advsoft.ru/ru).
xàêåð 05 /101/ 07 |
/ 149 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
хакер.PRO
сеРгей «gRindeR» ЯРеМчук
/ grinder@ua.fm /
Школасамбы дляадминов
SAMbA: иНСтрУМеНт ДЛЯ рАбОты В СетЯХ WINDOWS
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Администрирование сравнительно небольшой сети, настроенной как рабочая группа, может замотать даже самого трудолюбивого администратора. Постоянно возникающие проблемы с доступом, пропавшими файлами и сетевыми ресурсами, бесконтрольность и некомпетентность пользователей, способные обесценить любую систему безопасности, и прочие хлопоты. Выход из такой ситуации только один
— взять все под свой контроль, установив контроллер домена. Решить эту задачу с минимальными финансовыми вложениями можно, используя Linux с пакетом Samba.
УстановкаSamba
ПакетSamba(www.samba.org)позволяет*nix- системамимитироватьработуWindows-сер- вера,обеспечиваяклиентамдоступкресурсам илипринтерампопротоколамSMB/CIFS. СервернабазеSambaможетработатьиндивидуальноиливходитьвдоменWindows.Также Sambaможетвыступатьвролипервичногоили резервногоконтроллерадомена.
РазработкаSambaведетсяс1992года.Актуальнойнамоментнаписаниястатьибыла стабильнаяверсия3.0.24.Крометого,уже доступендлятестированияследующийрелиз
—4.0.0-TP4(TechnologyPreview).Этаверсия болеетрехлетразвиваетсяпараллельнос основной.Внейполностьюпереписанкод,основнойупорсделаннаполнуюсовместимость спродуктамиMicrosoftиреализациюработыв качествеконтроллерадоменаActiveDirectory. ВариантовиспользованияSambaвкачестве PDCоченьмного,мырассмотримлишьодиниз них—авторизациюпользователейсредствами
LinuxбезLDAP.
Дляустановкиконтроллерадомена был выбран дистрибутив Ubuntu 6.06 LTS. В Debian, ALTLinux и других дистрибутивах,
использующихapt,процессустановкианалогичен.ИнсталляцияSambaвдругихдистрибутивахотличаетсятолькокомандамиустановки пакетов.Настройкажевездеодинакова.
$ sudo apt-get install samba
Все,серверныйпакетSambaустановлен. Дляинсталляциипакетасдокументацией можнодобавитьsamba-doc.Еслипотребуется ещеиклиент,тодобавляемпакетsmbclient. Единственное«но»:врепозитариинамомент написаниястатьибылаверсия3.0.22,но,
вероятно,кто-тозахочетиспользоватьпослед- нююдоступную.Длятогочтобыневозитьсяс зависимостями,вводим:
$ sudo apt-get build-dep sambacommon
Затемраспаковываемархив,заходимвнутрь каталогаиконфигурируем:
$ tar xzvf samba-3.0.24.tar.gz $ cd samba-3.0.24
$ ./autogen.sh
$ ./configure --prefix=/usr -- with-ads --enable-cups
Тоестьустанавливаемвкаталог/usr,включаем поддержкуActiveDirectoryиподсистемыпечати.Остальноебудетдобавленоавтоматически. Затемследуютстандартные«make;sudomake install».Вот,собственно,ивсепремудрости.
КонфигурационныйфайлSamba
Конфигурационныйфайлсервера(ичастично клиента)—традиционныйдля*nix-систем: длятогочтобызадействоватьбольшинство параметров,достаточнораскомментировать илиподправитьсоответствующуюстрочку.
Файл/etc/samba/smb.confнеисключение.Он состоитизименованныхразделов,начинающихсясострокисименемраздела,заключенноговквадратныескобки.Внутрикаждого разделанаходитсярядпараметровввиде «параметр=значение».Файлконфигурации содержитчетыреспециальныхраздела:global, homes,printersиотдельныересурсыshares.
Какследуетизназвания,секцияglobal содержитпеременные,которыеSambaбудет использоватьдляопределениядоступаковсем
/ 150 |
xàêåð 05 /101/ 07 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СинхронизацияпользователейвWebmin |
Работаtestparm |
|
|
||
ресурсам.Значениянекоторыхпеременных |
|
|
|
||
# Разрешаем доступ к Samba только с |
|
max log size = 1000 |
|
||
можнопереопределитьвсекцияхотдельныхре- |
определенных адресов |
|
syslog only = no |
|
|
сурсов.Параметровоченьмного,остановлюсь |
hosts allow = 192.168.1.0/24 |
|
syslog = 0 |
|
|
тольконасамыхинтересных. |
127.0.0.0/8 |
|
panic action = /usr/share/samba/ |
|
|
Итак,открываемsmb.confвлюбимомтексто- |
interfaces = eth0, lo |
|
panic-action %d |
|
|
вомредактореивносимизменения: |
bind interfaces only = yes |
|
|
|
|
|
|
|
|
# В этой секции описывается, где |
|
#vi/etc/samba/smb.conf |
|
# Чтобы сделать Samba PDC, обязатель- |
|
взять профиль по умолчанию для новых |
|
[global] |
|
но включаем следующие параметры: |
|
пользователей и где искать командный |
|
# Название рабочей группы в сети |
|
local master = yes |
|
файл |
|
Windows |
|
os level = 65 |
|
[netlogon] |
|
workgroup = WORKGROUP |
|
domain master = yes |
|
path = /home/samba/netlogon |
|
# Имя сервера в сети |
|
preferred master = yes |
|
read only = yes |
|
|
domain logons = yes |
|
browseable = no |
|
|
netbios name = server.com |
|
|
|
guest ok = no |
|
|
|
# Командный файл, который будет |
|
|
|
|
|
|
|
|
|
# Комментарий, который виден в окне |
|
выполнен при успешной регистрации |
|
Сетевыересурсыипринтеры |
|
свойств просмотра сети |
|
пользователя |
|
Создаемресурс,вкоторомбудутнаходиться |
|
server string = Samba Server %v |
|
logon script = login.bat |
|
документы: |
|
|
|
logon path = |
|
|
|
# Значения security могут быть следу- |
|
|
[docs] |
|
|
|
|
|
|
||
ющие: user — на уровне пользователя; |
|
# Включаем WINS |
|
# Комментарий, который виден в окне |
|
share — на уровне ресурсов; server |
|
wins support = yes |
|
свойств сети |
|
можно использовать при хранении базы |
|
name resolve order = wins lmhosts |
|
comment = Documentation |
|
паролей на другом SMB-сервере. Если |
|
host bcast |
|
path = /home/samba/docs |
|
сервер является членом домена, ис- |
|
dns proxy = no |
|
available = yes |
|
пользуется значение domain. В нашем |
|
|
|
# Определяет, выводить ли ресурс в |
|
случае тип домена — Active Directory: |
|
# Разрешаем Samba быть time-сервером |
|
списке просмотра |
|
|
|
для Windows-клиентов |
|
browseable = yes |
|
security = ads |
|
time server = yes |
|
# Разрешаем запись |
|
|
|
|
|
writable = yes |
|
# Этот параметр позволяет указать, |
|
# Указываем требуемую кодировку |
|
# Права доступа для вновь созданных |
|
кто и где будет хранить пароли; |
|
unix charset = utf8 |
|
файлов |
|
возможно использование нескольких |
|
dos charset = cp1251 |
|
create mode = 0750 |
|
систем (при этом они указываются |
|
display charset = cp1251 |
|
# Права доступа для вновь созданных |
|
через пробел). Через «:» указывает- |
|
|
|
каталогов |
|
ся место хранения, если оно отлично |
|
# Повышаем уровень безопасности |
|
directory mode = 0775 |
|
от используемого по умолчанию. Так, |
|
encrypt passwords = true |
|
|
|
|
|
Прижеланииможнорасшаритьи |
|
||
smbpasswd хранит пароли в файле |
|
null passwords = no |
|
|
|
/etc/samba/smbpasswd, поэтому его |
|
hide unreadable = yes |
|
CD/DVD-привод: |
|
можно опустить. Кроме того, воз- |
|
hide dot files = yes |
|
|
|
можны параметры: tdbsam, ldapsam, |
|
map to guest = Bad User |
|
[cdrom] |
|
nisplussam, xmlsam и mysql. |
|
invalid users = root guest admin @ |
|
comment = DVD-ROM |
|
|
|
wheel |
|
writable = no |
|
##auth methods = winbind |
|
|
|
locking = no |
|
passdb backend = smbpasswd:/etc/ |
|
# Журнальные записи |
|
path = /media/cdrom |
|
samba/smbpasswd |
|
log file = /var/log/samba/log.%m |
|
public = yes |
|
|
|
|
|
|
|
|
|
|
|
|
|
xàêåð 05 /101/ 07 |
/ 151 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
ХАКЕР.PRO
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
preexec = /bin/mount /media/cdrom postexec = /bin/umount /media/cdrom
Ив/etc/fstab:
/dev/scd0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0
СпомощьюSambaможноорганизоватьвозможностьсетевойпечати.Дляэтоговсекции globalнеобходимодописатьследующиестроки:
load printers = yes
#Описание принтеров printcap name = cups disable spoolss = Yes
show add printer wizard = No
#Подсистема печати printing = cups
Далеекаждыйпринтерописываетсяаналогичнодисковомуресурсусоднимисключением: вводитсяпараметр«printable=yes».Например:
[printers]
# Указывает на каталог, куда помещаются задания на печать
path = /tmp browseable = yes printable = yes read only = yes
После создания конфигурационного файла smb.conf необходимо протестировать его с помощью утилиты testparm. При тестировании будут выведены все установки, даже те, что по умолчанию, поэтому внимательно просмотри результат. Стоит помнить, что
с помощью testparm можно обнаружить синтаксические ошибки, а не логические. Поэтому нет никакой гарантии, что описанные в файле сервисы будут работать корректно. Но если программа не ругается, можно надеяться, что при запуске файл будет загружен без проблем. У меня были выданы следующие ошибки:
ERROR: pid directory /var/run/ samba does not exist
WARNING: passdb expand explicit = yes is deprecated
Впервомслучаесоздаемкаталогsudomkdir /var/run/samba,азаодноиостальныекаталоги,описанныевsmb.conf:
$ sudo mkdir -p /home/samba/ {netlogon,docs}
Чтобыубратьпредупреждение,добавляемв секциюglobalпараметр:
passdb expand explicit = no
Обративниманиеназапись«Serverrole: ROLE_DOMAIN_PDC».Онаозначает,чтоSamba
настроеннаработукакPDC,чего,собственно, мыихотелидобиться.
Теперьсоздаемфайлlogin.bat,которыйбудет выполненприрегистрациипользователей.В нашемпримеревнемсодержатсякомандыдля автоматическогомонтированиясетевогодиска исинхронизациичасов:
$sudomcedit/home/samba/ netlogon/login.bat
net time \\grinder.com /set /yes net use h: \\grinder.com\docs
Незабудь,чтоэтотфайлдолженбытьвстиле Windows,тоестьсВК/ПСвконцестроки. Лучшеегоподготовитьвблокноте,азатем скопироватьвLinux-систему.
ЕслиустановкаSambaпроизводиласьиз пакетов,тостартовыескриптыужеготовы. Запускаемсервер:
$ sudo /etc/init.d/samba start
Команда«psax|grepmbd»должнапоказать наличиепроцессов,авывод«nestat-a»—нали- чиеоткрытыхпортов(135,139),характерных дляWindows-систем.Cпомощьюследующей командыполучаемсписокресурсовсервера:
$ smbclient -L localhost -U user%password
Еслипослевсехперечисленныхдействийтакине удалосьорганизоватьдоступкресурсамSamba, топридальнейшейнастройкепотребуютсятакие утилиты,какping(дляпроверкидоступности узла),nmblookup(длязапросаименNetBIOS)или, уженакрайнийслучай,tcpdump,и,конечноже, журналы,расположенныев/vat/log/samba.Не стоитзабыватьипроправадоступа.Ведьприназначениидляпользователякаталога/gde/to/w/ glubineпользовательдолжензайтиивпредыдущиекаталоги(правонавыполнение).
Заводимпользователей
Установивнеобходимуюконфигурацию, надосоздатьучетныезаписипользователей. Внашемслучаеданныеобаутентификации пользователейSambaбудутзаписанывфайл
/etc/samba/smbpasswd,вкоторомсодержатся именаизашифрованныепаролипользователей.ПользователиWindowsобязательно должныиметьучетнуюзаписьнаLinux-ком- пьютере.Таккакмеханизмшифрованиявсетях Windows-машиннесовместимсостандарт- нымиUnix-механизмами,тодлязаполнения файлапаролейиспользуетсяотдельнаяутилита
—smbpasswd:
$ sudo useradd -s /bin/false -d /home/samba/sergej sergej
$ sudo smbpasswd -a sergej
$sudo smbpasswd -е sergej
Вэтомпримередобавляетсяновыйпользовательsergejсфиктивнойоболочкой(возможны варианты/sbin/nologin,/dev/null)идомашним каталогом/home/samba/sergej.Затемсоздается парольдляпользователяsergej.Последним шагомвключаемдоступпользователя,таккак поумолчаниюонотключен.Еслитеперьпосмот-
ретьвфайл/etc/samba/smbpasswd,можно увидетьновуюзапись.Весьмажелательноспомощьюcronсоздатьзадание,котороепериодическиделалобырезервнуюкопиюэтогофайла.
ВсистемахWindowsпоумолчаниюимеется несколькогруппсчеткозаданнойролью:Domain Admins,Administrators,Users,Guestsипрочие.
Чтобывсеэтоработало,необходимосопоставить группыWindowsиLinux.Дляпросмотраимеющихсявдоменегрупписпользуемкоманду:
$ sudo net groupmap list
System Operators (S-1-5-32-549) -> -1
...
Domain Admins (S-1-5-21- 497369389-3960344947-4188168368- 512) -> -1
Domain Guests (S-1-5-21- 497369389-3960344947-4188168368- 514) -> -1
Domain Users (S-1-5-21-497369389- 3960344947-4188168368-513) -> -1
Итакдалее.Знак«-1»указываетнато,что поканиоднагруппанесопоставлена.Обрати вниманиенацифры.Этоттакназываемые sambaPrimaryGroupSIDиsambaSID.SID
—securityidentifier,вWindowsявляетсянеким аналогомUIDвLinux,уникальнымдлявсей сети.Получитьегоможнокомандой:
$ sudo net getlocalsid
ПоследниетрицифрыDomainAdmins«512»
—этотакназываемыйRID(relativeidentifier),
уникальныйидентификаторпользователядоме-
/ 152 |
xàêåð 05 /101/ 07 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
на.Егорекомендуетсяуказыватьприсопоставлениипользователей.Чтобыуправлятьдоменом, намнужносопоставитьгруппуLinuxcDomain Admins.Можноиспользоватьужеимеющиеся группы,или создатьспециальнуюдляработыв домене,чтобызатембылолегчеразобраться:
$ sudo groupadd domain_admins $ sudo net groupmap modify
ntgroup="Domain Admins" unixgroup=domain_admins
Можноитак:
$ sudo net groupmap add sid=S- 1-5-21-497369389-3960344947- 4188168368-512 unixgroup=domain_ admins type=domain
Аналогичные команды вводим при сопоставлении других пользователей, только включаем их в Domain Users. Кстати, Windows не допустит, чтобы имя пользователя совпадало с именем группы. Можно сопоставить нескольких пользователей Windows с одним пользователем Linux, для этого создается файл /etc/smbusers.map. В нем отдельной строкой задается каждое сопоставление:
пользователь_ Linux = user_win1 user_win2 user_winN
Авсекцииglobalдобавьстроку«usernamemap =/etc/smbusers.map».Командадлясоздания новойдоменнойгруппыпрактически аналогична:
$ sudo net groupmap add ntgroup="Sales" unixgroup=domain_ sales type=d
Параметрtypeопределяеттипгруппыиможет приниматьдвазначения:d(domainglobal)иl (domainlocal).Дляудалениядоменнойгруппы вводим«netgroupmapdelete»суказанием названиягруппы.
При использовании Samba (в отличие от Windows 2003) компьютеры также следует заносить вручную. Для этого стоит создать еще одну группу (например, domain_computers),
пользователи, входящие в которую, и будут компьютерами:
$ sudo groupadd domain_computers $ sudo useradd -G domain_computers
-s /bin/false -d /dev/null comp1$ $ sudo passwd -l comp1$
$ sudo smbpasswd -a -m comp1
Придобавлениисистемногопользователязначок«$»вконцеимениобязателен.Добавляем пользователяsergejвгруппуDomainAdminsи проверяем:
$ sudo net rpc group members "Domain Admins" -U sergej%password
Теперьдобавляемкомпьютервдомен:
$ sudo net rpc join - Usergej%password
Проверить подключение можно командой net rpc testjoin. Итак, пользователи созданы. По умолчанию группа Domain Admins имеет права только на раздачу привилегий. Список всех предоставленных привилегий можно просмотреть командой:
$ sudo net rpc rights list accounts -U sergej%password
Асписоквозможныхпривилегийтак:
$ sudo net rpc rights list -U sergej%password
SeMachineAccountPrivilege Add machines to domain
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeRemoteShutdownPrivilege Force shutdown from a remote system
SeDiskOperatorPrivilege Manage disk shares
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeTakeOwnershipPrivilege Take ownership of files or other objects
Чтобыиметьвозможностьполноценноработать, сначаланужнодароватьсамимсебевсеправа:
$ sudo net rpc rights grant "server.com\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeRemoteShutdow nPrivilege SeDiskOperatorPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege -U sergej%password
Successfully granted rights.
Вот,собственно,ивсе.ТеперьунасестьконтроллердоменаподуправлениемLinux,пользователи,обладающиенеобходимымиправами,идоступныесетевыересурсы.Стоиттакжеотметить, чтоимеютсяграфическиеинструменты,позволяющиеупроститьнастройкуSamba.ЭтоSWAT, входящийвсоставSamba(требуетсяустановить пакетswat),иуниверсальныйWebmin.Последний,кромеконтроляиосновныхнастроек,имеет ещерядполезныхвозможностей,напримеравтоматическоеконвертированиепользователейи группLinuxвWindows.Успехов.z
ПеременныевSamba
Всекцииglobalвозможноиспользование различныхпеременныхдляболеегибкой настройкиработысервера.Послеустановкисоединениявместонихподставляются реальныезначения.Например,вдирективе
«logfile=/var/log/samba/%m.log»пара-
метр%mпомогаетопределитьотдельный лог-файлдлякаждойклиентскоймашины. Приведунаиболеечастоиспользуемыепеременныесекцииglobal:
%a—архитектураОСнаклиентскоймашине (возможныезначения:Win95,WinNT, UNKNOWNит.д.);
%m—NetBIOS-имякомпьютераклиента; %L—NetBIOS-имясервераSamba;
%v—версияSamba;
%I—IP-адрескомпьютераклиента; %T—датаивремя;
%u—имяпользователя,использующего сервис;
%H—домашняядиректория пользователя%u.
Дляболеегибкойнастройкиприменяется директиваinclude,использующаяприведенныевышепеременные.Например,«include =/etc/samba/smb.conf.%m»—теперьпри запросескомпьютераsalesприналичиифай-
ла/etc/samba/smb.conf.salesконфигурация будетвзятаизэтогофайла.
Такжеимеетсяинтереснаявозможность созданиявиртуальногосервера.Дляэтого используетсяпараметрnetbiosaliases:
netbios aliases = sales accounting admin
Такжеуказываемсерверуиспользоватьдля каждоговиртуальногосерверасвойконфигурационныйфайл:
include = /etc/samba/smb.conf.%L
Теперьвокнеобозревателясетибудетвидны трисервера:sales,accounting,admin.
xàêåð 05 /101/ 07 |
/ 153 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
хакер.PRO
Денис колисниченко
/ dhSilabS@mail.ru /
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Меняемокна наконсоль
АДМиНиСтрирОВАНие WINDOWS 2003 иЗ КОМАНДНОй СтрОКи
Парадоксально, но факт: утилиты командной строки в Windows никогда не привлекали внимания ни пользователей, ни администраторов, но в тоже время состав и возможности этих утилит обогащаются каждый год.
Отом,какработатьвкоманднойстроке
Наиболеечастоиспользуемойутилитойкоманднойстрокиявляетсясамкомандныйинтер- претатор—cmd.exe.Именноегомызапускаем, когданамнужнопоработатьскомандной строкой. Интерпретатор cmd пришел на смену command.com из мира DOS и Windows 9x.
Когда торопишься или просто не хочешь ждать завершения первой команды, можно ввести сразу несколько команд, разделив их амперсандом:
команда1 & команда2 & ... & командаN
Еслиэтупоследовательностькомандприходитсявыполнятьчасто,целесообразносоздать командныйфайл—обычныйтекстовыйфайлс расширениемcmd.Каждаякомандазаписываетсявотдельнойстроке,номожноииспользоватьамперсанды.
Иногданужнопроанализироватьрезультат первойкоманды,атолькопотом,еслирезультатуспешен,выполнитьвторуюкоманду. Этоможнореализоватьспомощьюдвойного амперсанда:
команда1 && команда2
Втораякомандабудетвыполнена,есликод завершенияпервойкомандыравеннулю(успешноезавершение).
Неуспелпрочитать,чтонаписалатебепрограмма?Тогдавыводможнопередатьпрограммеmoreдляпостраничногопросмотра(листать нужнопробелом):
команда | more
Символ«|»используетсядляперенаправления стандартноговыводаоднойкомандынастандартныйвводдругой.Чтобудетделатьсэтим выводомдругаяпрограмма,зависиттолько отнее.
Дляперенаправлениявыводакомандывфайл используютсясимволы«>»и«>>»:
команда > файл команда >> файл
Впервомслучаефайл,еслионсуществует, будетперезаписан,авовтороминформация будетдобавленавконецфайла.Дляподавления
выводакомандыможноперенаправитьвыводв пустоеустройство:
команда > NUL
Дляочисткиэкранакоманднойстрокиудобно использоватькомандуcls.
Командыбываютвнутреннимиивнешними. Внутренниекомандывыполняетсамcmd.exe. Внешниекоманды—обычныеисполняемые exe-файлынадиске.Когдамывводимкоманду, cmdопределяет,чтоэтозакоманда.Есливнутренняя,тоонвыполняетеесам,есливнешняя, тогдаcmdпроизводитпоискисполняемого файлавтекущемкаталогеипопутипоиска программ(переменнаяокруженияPATH). ПросмотретьсодержимоепеременнойPATH можнотак:
echo %PATH%
Командыдляуправления операционнойсистемой
ВUnixестьоченьполезнаяпрограмма shutdown.Сеепомощьюможнонетолько завершитьработусистемы(илиперезагрузить
/ 154 |
xàêåð 05 /101/ 07 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
Использованиеpathping |
Списокзадач |
|
||
ее),ноиуказатьвремязавершения.Аналог |
ping6—версияpingдляпротоколаIPv6; |
send—отправляеткороткоесообщениеполь- |
||
этойкомандыестьивWindows.Сеепомощью |
tracert—трассировкамаршрутакуказанному |
зователям(иликонкретномупользователю) |
||
можнопростовыключитьсистему,выполнить |
узлу; |
сети; |
||
перезагрузку,убитьактивныхпользователей, |
tracert6—версияtracertдляпротоколаIPv6; |
session—управляетсеансамисвязиэтогоком- |
||
перейтиврежимпониженногоэнергопот- |
pathping—усовершенствованнаяверсия |
пьютерасдругимикомпьютерами; |
||
ребленияизакончитьсеансбезотключения |
tracert; |
share—разрешает/запрещаетиспользовать |
||
компьютера.Оченьполезенпараметр'-t', |
net—управениесетьюизкоманднойстроки; |
ресурсыэтогокомпьютерадругимкомпьюте- |
||
позволяющийзадатьвсекундахтайм-аут |
nskookup—просмотрзаписейDNS-сервера; |
рамсети; |
||
операции. |
netstat—выводинформацииосети; |
start—запускаетостановленнуюсетевую |
||
Ккомандамэтойгруппытакжеотносится |
ipconfig—выводинформациионастройках |
службу; |
||
программаtaskkill,котораяиспользуетсядля |
протоколаIP; |
stop—останавливаетслужбу; |
||
завершения/убийстваработыодногоили |
route—выводиизменениетаблицы |
statistics—выводитжурналстатистикидляло- |
||
несколькихпроцессов.Задатьпроцессможно |
маршрутизации; |
кальнойслужбырабочейстанцииилисервера; |
||
поимениобраза(имениисполняемогофайла |
netsh(routemon)—управление |
time—синхронизируетвремяэтогокомпьюте- |
||
—ключ‘/IM’)илипоидентификаторупроцесса |
маршрутизатором. |
расвременемдругогокомпьютерасети; |
||
(ключ‘/pid’).Например: |
Особоговниманиязаслуживаюткомандыnetи |
use—используетсядляподключенияобщих |
||
|
|
netstat.Спомощьюпервойможнопроизвести |
ресурсовдругогокомпьютерасети; |
|
taskkill /IM notepad.exe |
|
многоразличныхопераций.Введикоманду |
user—создаетиизменяетучетныезаписи |
|
|
|
netбезпараметров—вответполучишьсписок |
пользователя,используетсятольконасервере; |
|
Вообщеговоря,возможностейуэтойкоманды |
||||
команд: |
view—выводитсписокобщихресурсовэтого |
|||
оченьмного.Кпримеру,можнозавершитьвсе |
accounts—используетсядляобновлениябазы |
компьютера. |
||
процессы,которыеиспользуютопределенную |
данныхрегистрационныхзаписейиизменения |
Получитьсправкупоконкретнойкоманде |
||
DLL. |
параметроввходавсеть; |
можнотак: |
||
Командымониторинга |
computer—добавляетилиудаляеткомпьюте- |
|
||
|
||||
рыизбазыданныхдоменаNT; |
net help имя_команды |
|||
Какбылоотмечено,командеtaskkillнужнопе- |
config—выводитинформациюослужбах |
|
||
|
||||
редатьимяобразаилиPIDпроцесса.УзнатьPID |
сервераилирабочейстанции; |
Теперьпоговоримокомандеnetstat.Онавы- |
||
процессаможноспомощьюкомандыtasklist. |
continue—активизируетслужбу,ранееприос- |
водитстатистикуиспользованиясетииотоб- |
||
Такжеккомандаммониторингаможноотнес- |
тановленнуюспомощьюкомандыnetpause; |
ражаетинформациюотекущихсоединениях. |
||
ти:mem(выводинформацииобиспользовании |
file—используетсядляустановкииснятия |
Представим,чтонатвоемкомпьютерезакрыты |
||
памяти),systeminfo(полнаяинформацияо |
блокировкиссовместноиспользуемогофайла, |
всеприложения,которыемогутобращатьсяк |
||
системе)иtracerpt(отслеживаниежурнала |
атакжедлявыводаспискаблокировок; |
сети,аобращениекнейвсеравнопроисходит, |
||
событийсвозможностьювыводаотчетав |
group—выводитинформациюоглобальных |
очемсвидетельствуютиндикаторывsystem |
||
форматеCSV). |
группахсервера,такжеиспользуетсядляизме- |
tray.Введикоманду«netstat-o»иузнаешь,какая |
||
|
|
ненияглобальныхгрупп; |
программаэтоделает(параметр'-o'использу- |
|
Сетевыекоманды |
localgroup—управляетлокальнымигруппами |
етсядлявыводаPIDпроцесса). |
||
ВWindowsдовольномногопрограммдля |
налокальномкомпьютере; |
|
||
диагностикиимониторингасети,причемнеко- |
name—управляетпсевдонимамиэтого |
Командыобслуживанияжесткихдисков |
||
торыеадминистраторыдаженеподозревают |
компьютера; |
Дляпроверкидисковиспользуютсякоманды |
||
обихсуществовании: |
pause—приостанавливаетвыполнениезадан- |
chkdsk(проверкаFAT-разделов)иchkntfs(про- |
||
arp—управлениеARP-таблицей; |
нойслужбы,продолжитьработуслужбыможно |
веркаNTFS-разделов),длядефрагментации |
||
ping—отправкаICMP-пакетовнауказанный |
спомощьюкомандыnetcontinue; |
—defrag.recoverприменяетсядлявосстанов- |
||
узелдляпроверкиегодоступности; |
print—управляеточередьюпечати; |
ленияфайловсповрежденныхразделов,авсем |
||
xàêåð 05 /101/ 07 |
/ 155 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
ХАКЕР.PRO
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
известнаякомандаformat—дляформатированиядисков. |
|
http:// |
Вместокомандыfdisk,котораябылавWindows9x,в |
|
современныхверсияхWindowsиспользуетсяdiskpart.Эта |
||
|
||
|
программапозволяетразбитьдискнаразделы,создать/уда- |
|
www.thevista.ru/ |
литьлогическиедиски,выбратьактивныйразделит.д.Если |
|
page.php?id=865 |
командаfdiskработалавинтерактивномрежиме,тоdiskpart |
|
www.microsoft.com/ |
восновномориентировананаиспользованиевсценариях. |
|
technet/scriptcenter/ |
Сценарии—этотекстовыефайлысинструкциями,которые |
|
scripts/msh/default. |
должнавыполнитьdiskpart.Вызватьdiskpartможнотак: |
mspx |
|
||
www.microsoft.com/ |
|
diskpart /s <имя_сценария> |
|
|
|
|
|
windowsserver2003/ |
|
||
Примерсценарияdiskpart |
|||
technologies/ |
|||
management/ |
select disk 0 |
||
powershell/default. |
clean |
||
mspx |
create partition primary |
||
www.networkdoc.ru/ |
select partition 1 |
||
files/insop/win2003/ |
assign letter=c: |
||
read.html?command. |
active |
||
html |
format |
||
http://offline. |
exit |
||
computerra. |
|
||
|
|||
ru/2006/625/251407/ |
Обративнимание,какздесьосуществляетсяработасобъ- |
||
www.cyberguru. |
ектами.Сначаласпомощьюкомандыselectмывыбираем |
||
ru/operating- |
диск(selectdisk).Затеммыпроизводимдвеоперации(clean |
||
systems/windows/ |
иcreatepartition).Далеевыбираемдругойобъект—раздел |
||
windows2003 cmd. |
(selectpartition)ипроизводимоперациисним(делаем |
||
html |
разделактивнымиформатируемего). |
||
|
|
Можноуказатьразмерсоздаваемогораздела(вданном |
|
|
|
случае5Гб),например: |
|
|
|
|
|
|
|
create partition primary size=5000 |
|
|
|
|
|
|
|
К этому разделу можно отнести еще две команды: |
|
|
|
diskperf, которая управляет счетчиками произво- |
|
|
|
дительности жесткого диска, и fsutil, управляющую |
|
|
|
поведением файловой системы. Например, с помощью |
|
|
|
fsutil можно сбросить или установить флаг тома «гряз- |
|
|
|
ный» (dirty), а также получить информацию о файловой |
|
|
|
системе. |
|
|
|
Командыдляподдержки |
|
|
|
идиагностикиActiveDirectory |
|
|
|
ВWindows2003дляуправленияслужбойкаталогаиспользу- |
|
|
|
ютсятакназываемыеDS-утилиты: |
|
|
|
dsquery—выводитсписокобъектовActiveDirectoryпо |
|
|
|
заданнымпараметрампоиска; |
|
|
|
dsget—возвращаетатрибутызаданногообъектаActive |
|
|
|
Directory,можетприниматьнастандартныйвводстандарт- |
|
|
|
ныйвыводкомандыdsquery; |
|
|
|
dsadd—добавляетодинилинесколькообъектовActive |
|
|
|
Directory; |
|
|
|
dsmod—модифицируетатрибутысуществующегообъекта; |
|
|
|
dsmove—перемещаетобъектизодногодоменавдругой; |
|
|
|
dsrm—удаляетодинилинесколькообъектов; |
|
|
|
СинтаксисвсехDS-командпохож,используй«/?»дляполу- |
|
|
|
чениясправки. |
|
Длядиагностикиконтроллерадомена(DC)используется утилитаDcDiagизкомплектаSupportTools.Еслизапустить еебезпараметров,тозапустится27тестовDC(кслову,в Windows2000было22теста).
Другиекоманды
Длявыполнениязаданнойкомандывстрогоопределенное времяможноиспользоватьпланировщикat.Естьвозможностьзадатьдатузапускакоманды,время,интервал (например,каждыйдень).Программаможетработатьв интерактивномрежиме(параметр/interactive).
Еслибоишьсяредактироватьфайлboot.iniвблокноте,воспользуйсяпрограммойbootcfg,котораяпозволяетизбежать ошибокприредактированииэтогофайла.
Иногдаполезноопроситьдрайверыустройств.Дляэтого используетсякомандаdriverquery.
WindowsPowerShell
Возможностистандартногокомандногоинтерпретатора cmdвWindowsдовольноскудны,особеннопосравнению скоманднымиинтерпретаторамиUnix:ksh,bash,zsh.В Microsoftэтотожепонимают,поэтомубыларазработанаоболочкаMonad,онажеMSH,котораявпоследствии былапереименованавWindowsPowerShell.Установить MSHможнонаследующихплатформах:WindowsXP SP2,WindowsVista,WindowsServer2003иWindows ServerLonghorn.СкачатьPowerShellможнопоадресу www.microsoft.com/windowsserver2003/technologies/
management/powershell/default.mspx.Тамжетынайдешьи полноеруководствопоней.
ОболочкаPowerShell—этоинтерактивныйкомандный интерпретатор.Сегопомощьюможносоздаватьсценарии,позволяющиеадминистраторамавтоматизировать управлениесистемнымизадачамикакнасервере,такина другихкомпьютерахсети.PowerShell,вотличиеотcmd, предоставляющегодоступтолькокфайловойсистеме, позволяетуправлятьвсейоперационнойсистемойиее приложениями.Например,мыможемработатьсреестром Windowsкаксобычнойфайловойсистемой.Вотнекоторые полезныекоманды,которыенужнознатьдляначалаработы вPowerShell:
Get-Command—получитьсписокдоступныхкоманд; Get-Help—получитьсправкупоуказаннойкоманде; Get-Drive—получитьсписокдисков;
Set-Location—изменитьтекущееместоположение(аналог командыcdвcmd);
Set-Alias—создатьпсевдонимдлякоманды; Get-Date—вывестидату.
Какивcmd,поддерживаетсяперенаправлениеввода/вывода,например:
Get-Date > current-date.txt
ПризапускеPowerShellавтоматическизапускаютсяследующиесценарии(еслионинайдены):
•DocumentsandSettings\AllUsers\Documents\Msh\profile.msh; •DocumentsandSettings\AllUsers\Documents\Msh\Microsoft.
/ 156 |
xàêåð 05 /101/ 07 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
>>
ХАКЕР
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
||||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
||||||
w Click |
to |
|
|
|
|
m |
||||
|
|
|
|
|
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
d |
f |
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Активныесоединения—netstat |
Операторысравнения |
Management.Automation.msh_profile.msh;
•$HOME\MyDocuments\msh\profile.msh;
•$HOME\MyDocuments\msh\Microsoft. Management.Automation.msh_profile.msh.
Сценарий—этообычныйтекстовыйфайл,содер- жащийкомандыPowerShell.Расширениеуфайла сценариядолжнобытьmsh.СинтаксисPowerShell похожнасинтаксислюбогодругогоязыкавысокогоуровня.Рассмотримнесколькопримеров:
MSH> 5*5 25
MSH> "Конкатенация" + "строк" Конкатенация строк
MSH> (Get-Date).year * 5 10035
Можноработатьспеременными,причемподдерживаютсямассивы:
MSH> $t = 10 MSH> $t
10
MSH> $arr = 1,2 MSH> $arr
1
2
MSH> $arr[1] = 3 MSH> $arr
3
2
Передименемпеременнойнужнообязательно указыватьзнакдоллара—такPowerShellпой- мет,чтопереднимпеременная,анезначение. Нумерацияэлементовмассиваначинается сединицы.Длядоступакэлементумассива
используютсяквадратныескобки,длядобавле- нияновогоэлементавмассив—оператор«+»:
MSH> $arr += 7 MSH> $arr
3
2
7
Кромепростыхмассивов,поддерживаются ассоциативныемассивы:
MSH> $assoc = @{ one = 1; two = 2; three = 3}
MSH> $assoc['one'] 1
Длядобавленияэлементавассоциативный массивиспользуетсявоттакаяконструкция:
$assoc += @{ four = 4 }
Типпеременнойвыбираетсяавтоматически,но можноустановитьлюбойтип.NET:array,bool, byte,char,char[],decimal,double,float,int,int[], long,long[],regex,single,scriptblock,string,type, xml.Онопределяетсявквадратныхскобкахв моментприсваивания:
MSH> $var = [int]10;
Всценарияхможноиспользоватьусловныеопе-
раторыif-elseif-else,switch,атакжеоператоры цикловwhile,do-while,do-until,foreach.
Мырассмотримтолькооператорif-elseif-elseи
циклыwhileиforeach.Конструкцияif-elseif-else
следующая:
if (условие) {операторы
}elseif (условие) {операторы
...
}elseif (условие) {операторы
}else {операторы}
Условиезадаетсятак:
переменная оператор_сравнения переменная_или_значение
Циклwhileвыглядиттак:
while {условие} {операторы}
Пример:
$i = 0; while($i -lt 10) { $i; $i++ }
Этотциклвыведетчислаот0до9. Теперьрассмотримсинтаксисforeach:
foreach (переменная in ассоциативный_массив) {операторы}
Циклforeachудобноиспользоватьдляперебора значенийассоциативногомассива,например:
foreach ($v in Get-Process |SortObject Name) { $v.Name }
Асейчаспоговоримоработесреестром.
Перейтивнужныйразделможноспомощью всемзнакомойкомандыcd:
MSH> cd hkcu:
МыпопаливразделHKEY_CURRENT_USER.
Можноперейтивдругойраздел,например
HKEY_LOCAL_MACHINE,задавегоимяили сокращение(hklm).Вывестисодержимое разделаможноспомощьюкомандыdir.Чтобы просмотретьего,используетсякоманда get-property:
MSH> cd hkcu:
SoftwareMicrosoftNotepad
MSH> get-property .
Вданномслучаемывыводимнастройкиблокнота.Значениепеременнойвразделеустанав- ливаетсяпосредствомset-property(следующая командаизменитшрифтблокнота):
MSH> set-property . — property lfFaceName -value "Arial" z
Командыдляработысфайловой системой
type—просмотрфайла;
more—постраничныйвыводфайла;
copy—копированиеодногоилинескольких файлов;
move—перемещениеодногоилинесколь- кихфайлов(илипереименованиекаталога); del—удалениеодногоилинескольких файлов;
ren—переименованиефайла;
attrib—изменениеатрибутовфайла/ката- лога(скрытый,системный,толькочтение, архивный);
fc—сравнениефайлов;
find—поиск текстовой строкиводномили несколькихфайлах;
grep—поисктекстовойстроки(можноис- пользоватьрегулярныевыражения)вфайле иливспискефайлов;
cd—сменакаталога;
dir—выводсодержимогокаталога; tree—выводдеревакаталогов;
md(илиmkdir)—созданиекаталога; rd—удалениекаталогаилидерева каталогов.
xàêåð 05 /101/ 07 |
/ 157 |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
хакер.PRO
кРис кАспеРски
Чудеса
селекционной
работы
СтрАтеГиЯ ВыбОрА МАтериНСКОй ПЛАты и жеСтКиХ ДиСКОВ ДЛЯ СерВерА
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Как среди тысяч материнских плат и сотен наименований жестких дисков выбрать модели, наилучшим образом подходящие для сервера? Да еще при достаточно скудном бюджете? Промышленные серверы от крупных производителей не предлагать — они просто не стоят тех денег, которые за них просят. При
достаточном опыте общения с железом надежный сервер можно собрать и самостоятельно. Вот об этом самом опыте (удачных находках, досадных ошибках и неожиданных разочарованиях) мыщъх и собирается рассказать.
Посуществу,сервер—этообыкновенныйПКс операционнойсистемойWindows/Linux/BSD
инаборомпрограммногообеспечениятипа
IIS/Abyss/War-FTP/Apache/Sendmail.Несек-
рет,чтобольшинствосерверов,стоящихнавитринахкомпьютерныхмагазинов,собираются местнымиумельцамиприпомощимолотка
имата.Естественно,качествотакойпродукцииоставляетжелатьлучшего,анастоящие серверыотSun,DellиHPдалеконекаждомупо карману,особенноеслиэтоприватныйftp,не приносящийникакойвыгодыиподпитываемыйоднимлишьэнтузиазмом.
Собратьнормальныйсерверизширпотребныхкомпонентоввполнереально.Главноене забывать,что,вотличиеотобычныхкомпьютеров,серверориентированнакруглосуточную работу,поэтомутребованиякнадежности комплектующихнамноговыше.Широко
распространенноезаблуждениегласит,что брендовоеимянастикереавтоматически гарантируетнадежность,избавляянасот проблем,присущихдешевыммоделям.Однако дажееслимыимеемделосподлиннымбрендом (анесегогрубойподделкой),надеятьсяна«магическиесвойства»громкогоимени,правоже, слишкомнаивно.Чтобынепопастьвпросак, потребительдолжензнать,чемхорошаяматеринскаяплатавизуальноотличаетсяотплохой. Другойважнейшийкомпонентсистемы—жес- ткиедиски,откоторыхзависитбуквально все.Нооценить,сколькопроработаеттотили инойвинчестер,нетак-топросто!Остается либослеповеритьрекламе,либообратиться засоветомкспециалистам,любезнопредоставившимжурналуэксклюзивнуюинформацию, которойнерасполагаетниктодругой.Ноне будемзабегатьвперед.Дожесткихдисков
мыещедоберемся,нотолькопослетого,как разберемсясматеринскимиплатами,разнеся ихвпухипрах.
Электроннаяоснастка
Беремматеринскуюпалатуврукиисмотрим: еслинасеверноммосте(большаямикросхема, соседствующаяспроцессором)установлен вентилятор,посылаемеев/dev/null,не дожидаясьпокавентиляторвыйдетизстроя (аонобязательновыйдет,причемдостаточно скоро),вызываяперегревсеверногомостаи дикиеглюки,зачастуюсопровождающиеся потерейданных.Причемвсвязистенденцией производителейиспользоватьнестандартные вентиляторыреанимацияплатыизтривиальнойоперациипопересадке«карлсона» превращаетсявсерьезнуюинженернуюзадачу,
требующуюнавыковработысметаллом.Лучше
/ 158 |
xàêåð 05 /101/ 07 |
|