1.1. Вступительное слово

Цель данной книги состоит в том, чтобы развеять миф о «неподъемности» UNIX или Linux-систем, заложить прочный фундамент для построения вашего Интернет-сервера. Излагая материал, я старался объяснять все как можно более понятным языком. Все примеры, приведенные в книге, являются на 100% рабочими. Поэтому эта книга окажется полезной тем, кому нужно в сжатые сроки освоить Linux или настроить Linux-сервер. Я следовал одному простому правилу: не излагать те факты, которые заведомо окажутся невостребованными. Я наоборот, я старался приводить как можно больше примеров из реальной жизни, а в гл. 17 я полностью описал настройку шлюза и сервера для входящих звонков, а также довольно интересную вещь — настройку «обратного звонка». Вам может показаться, что сведения в этой главе повторяются, но с ее помощью читатель сможет настроить шлюз и сервер для входящих звонков «с нуля», не читая предыдущих глав, при условии, что он обладает хоть какими-нибудь навыками работы в ОС Linux.

Данная книга предназначена как для начинающих, так и для опытных системных администраторов. В книге рассматриваются все этапы настройки Linux-сервера, особое внимание уделено вопросам безопасности. Читатель также найдет подробное описание настройки сетевых служб, включая DNS, HTTP, FTP, IpChains, SQUID. В книге собраны самые актуальные, на мой взгляд, темы.

1.2. О Linux

История операционной системы Linux началась, естественно, с создания операционной системы Unix. В конце 60-х годов завершился проект Multics, над которым работали сотрудники компаний General Electrics, AT&T Bell Laboratories и Массачусетского института. Результатом этого проекта стала одноименная операционная система. Операционная система Multics была многозадачной, имела высокоэффективную на то время файловую систему, а также предоставляла пользователям относительно удобный интерфейс.

В 1969 году Кен Томпсон разработал операционную систему Unix, в основе которой были принципы, которых придерживались разработчики операционной системы Multics. Новая операционная система, в отличие от Multics, могла работать на мини-ЭВМ. При этом с самого начала новая система была многозадачной и многопользовательской.

Вскоре операционная система Unix стала настолько популярной, что Кен Томпсон и Деннис Ритчи решили переписать код системы на языке С. До этого операционная система была написана на ассемблере. Это обеспечило огромною мобильность операционной системы — ОС Unix могла быть перенесена практически на любую платформу без перепрограммирования. Нужно было только модифицировать небольшую часть ядра, написанную на ассемблере.

Через определенное время операционная система Unix стала стандартным программным продуктом, который распространялся многими компаниями, включая IBM и Novell.

В 1972 году началась массовая продажа лицензий на эту операционную систему различным пользователям. С этого момента ОС Unix неофициально стала коммерческим программным продуктом.

Калифорнийский университет в Беркли также приобрел лицензию на ОС Unix. Специалисты этого университета внесли много изменений, которые вскоре стали стандартными. В 1975 году Калифорнийский университет выпустил свою версию Unix — Berkeley Software Distribution (BSD). Эта операционная система стала основным конкурентом операционной системы, разработанной компанией AT&T.

Постепенно другие компании, последовав примеру Калифорнийского университета, начали выпускать свои версии Unix. Например, в 1980 году компания Microsoft выпустила ОС Xenix. Правда, данная операционная система не могла составить конкуренцию Unix, так как не поддерживала многопользовательский режим, а была предназначена для одного пользователя.

В 1982 году компания AT&T выпустила версию Unix System3.Это была первая официальная коммерческая версия ОС Unix. Следующей версией стала Unix System V. Помимо различных нововведений, эта версия отличалась серьезной технической поддержкой.

Разработчики BSD Unix также не сидели сложа руки и в 1983 году Калифорнийский университет выпустил версию Unix BSD 4.2. Эта операционная система содержала довольно мощные средства управления памятью, файлами, печатью, а также в ней был реализован протокол TCP/IP, который сейчас во всю применяется в сети Интернет. Многие фирмы-производители выбрали именно Unix BSD 4.2.

Широкое распространение различных версий Unix привело к необходимости создания стандарта на эту операционную систему. В середине 80-х годов выделились два основных стандарта — Unix System V и BSD Unix. Компания AT&T Labs передала права на разработку версии Unix System V компании Unix System Labs. Эта компания в 1991 году представила операционную систему System V 4, в которой были реализованы практически все возможности операционных систем System V 3, BSD 4.2, Xenix.

Четыре компании, в том числе IBM и Hewlett-Packard, создали фонд открытого программного обеспечения (Open Software Foundation, OSF). Целью этого фонда было создание собственной версии Unix. В результате появился еще один стандарт — OSF Unix.

В 1993 году компания AT&T продала свою часть прав на ОС Unix компании Novell. После этого были выпущены версии Unix компании Novell, которые были основаны на версии System V 4. Новая операционная система была названа UnixWare.

Параллельно с развитием операционных систем развивались графические интерфейсы. До начала 90-х годов выделились два основных графических интерфейса пользователя: Motiff и OpenLook. Впоследствии эти два интерфейса были определены в один, получивший название Common Desktop Environment (CDE).

Операционная система Unix с самого начала была требовательна к аппаратным ресурсам компьютера. Для нормальной работы нужна была довольно мощная рабочая станция. Некоторые версии были рассчитаны только на определенные платформы. Например, SunOS была предназначена только для рабочих станций Sun, AIX — для рабочих станций IBM, a AUX — для компьютеров Macintosh.

Прообразом Linux стала операционная система Minix, разработанная Эндрю Таннебаумом. ОС Minix являлась небольшой UNIX-системой, которая была предназначена даже не для реального использования, а для демонстрации возможностей системы Unix. Вдохновленный идеей создать собственную Minix, Линус Торвальдс начал работу над операционной системой Linux. Впервые ОС Linux обсуждалась в конференции USENET comp.os.minix.

5-го октября 1991 года Линус Торвальдс объявил о выходе первой «официальной» версии Linux 0.02. Тогда в этой операционной системе работали только интерпретатор bash (Bourne Again Shell) и gcc (GNU С compiler). Основное внимание уделялось созданию ядра. Никакие вопросы поддержки пользователей, тиражирования и документирования даже не обсуждались.

Постепенно к разработке ядра и другого программного обеспечения присоединились тысячи других разработчиков со всего мира. На сегодняшний день Linux считается единственным примером столь масштабного сотрудничества программистов. Linux сегодня — это полноценная операционная система семейства UNIX, поддерживающая широкий спектр аппаратных средств, протокол TCP/IP, графический интерфейс пользователя, что позволяет использовать ее не только как сервер, но и как высокопродуктивную рабочую станцию.

С самого начала ОС Linux разрабатывалась для персональных компьютеров на платформе Intel. Co временем некоторые компании начали разрабатывать версии Linux для своей платформы, например, Sun Microsystems. Многие компании, в том числе и отечественные, разработали свои версии Linux.

Прочитав много книг, посвященных Linux, я заметил, что практически во всех, особенно в книгах зарубежных авторов, есть раздел «Где достать Linux?». В этой книге такого раздела не будет благодаря самой ОС Linux.

Повсеместное распространение этой операционной системы привело к тому, что дистрибутив Linux можно купить практически в любом магазине, торгующем компакт-дисками, а на рынке даже появились полиэтиленовые пакеты с изображением пингвина и надписью «Linux».

1.3. Почему именно Linux?

Каждая операционная система имеет свое «призвание». Операционную систему Windows NT Server предпочтительнее использовать как сервер рабочих групп сетей Microsoft. Система Novell Netware лучше «смотрится» в роли файлового сервера и сервера печати. ОС UNIX первоначально разрабатывалась как Интернет-сервер. Средства для работы с Сетью встроены непосредственно в ядро этой операционной системы, а все необходимое программное обеспечение для организации сервера входит в состав дистрибутива. UNIX-система работает со всеми сетевыми протоколами (особенно с TCP/IP) лучше, чем любая другая операционная система для платформы Intel. Все перечисленные выше качества касаются также и ОС Linux.

Устанавливая Linux, вы получаете также множество других преимуществ. Во-первых, вам становятся доступны исходные тексты ядра и вы можете модифицировать систему так, как вам нужно. Такое можно встретить далеко не в каждой операционной системе, особенно в ОС семейства Microsoft. Вы видели где-нибудь исходные тексты хотя бы Блокнота Windows? Мне, например, очень не хватает функции замены текста в этом редакторе. Для решения этой проблемы я написал собственный редактор, в котором и реализовал эту функцию. А если мне нужно сделать небольшое изменение в ядре? Не буду же я полностью переписывать Windows? Или ожидать новую версию «монстра», пожирающего системные ресурсы, в котором есть всего одна нужная мне функция?

Во-вторых, ОС Linux абсолютно бесплатна. Конечно, существуют коммерческие версии Linux, но в этом случае вы платите за некоторые дополнительные функции и техническую поддержку. Купив однажды компакт-диск с Linux, вы можете установить эту операционную систему на неограниченном числе компьютеров. Вам не нужно ничего доплачивать, вам не нужно платить за каждый дополнительный процессор — ОС Linux поддерживает SMP и при этом тоже бесплатно. Кроме того, поскольку Linux является UNIX-подобной системой, в состав ее дистрибутива входит все программное обеспечение, необходимое для организации сервера.

В последнее время появилась тенденция выпускать многодисковые дистрибутивы или дистрибутивы, содержащие программное обеспечение отдельно для рабочей станции и отдельно для сервера. В этом случае вам нужно купить только первый и, возможно, второй компакт-диск. Если дистрибутивы разделены на категории «сервер» и «рабочая станция», как это сделали разработчики ASP Linux, покупайте, естественно, серверную версию.

В любом случае стоимость всего программного обеспечения составит несколько долларов. Я не буду сравнивать стоимость построения Linux-сервера со стоимостью аналогичного сервера на платформе Microsoft. Вы сами это можете сделать на сайте компании Microsoft. К тому же, если вам необходим сервер Windows NT(2000) Server, вы можете спокойно заменить его SMB-сервером на базе Linux. Кстати, решению именно этого вопроса посвящена глава 9 данной книги.

В-третьих, ОС Linux легка в освоении и сопровождении. Для облегчения перехода с ОС Windows NT(2000) Server, где вы для настройки сервисов в основном используете графический интерфейс, создано множество графических конфигураторов. Эти конфигураторы значительно упрощают процесс настройки системы. Для большего понимания я старался в книге излагать материал, не прибегая к помощи конфигураторов. Зная расположение и формат системных файлов, вы сможете настроить практически любой дистрибутив, в котором нет графических конфигураторов или они недоступны. Что касается самих конфигураторов, то работа с ними интуитивно понятна и, если вы будете представлять себе суть дела, не должна вызвать затруднений.

В-четвертых, операционная система Linux не так требовательна к системным ресурсам как другие операционные системы. Например, для организации Интернет-сервера вам вполне хватит старенького компьютера с процессором Intel 80486DX и 32 мегабайтами ОЗУ. Конечно, системные требования зависят от версии ядра и выбранного вами дистрибутива. Организовать сервер на вышеупомянутой машине можно, используя дистрибутив Red Hat Linux версии 5.2. Возможно, он не будет удовлетворять всем требованиям безопасности, но при правильной настройке вам подойдет и этот дистрибутив. И в самом деле, вы же не собираетесь строить систему электронных платежей, основанную на процессоре Intel 80486.

ОС Linux, как и большинство программного обеспечения для этой операционной системы, распространяется по лицензии GPL. В двух словах лицензия GPL означает, что вы можете свободно использовать и распространять программное обеспечение, лицензируемое GPL, а также использовать его для создания другого свободно распространяемого программного обеспечения.

1.4. Область применения Linux-серверов

Операционная система Linux получает все большее распространение. В настоящее время Linux все чаще можно увидеть установленной на компьютерах домашних пользователей. Этому способствует дружественный интерфейс, надежность и быстродействие ОС Linux. Определенную роль, конечно, сыграла и лицензионная политика корпорации Microsoft — домашнему пользователю дешевле купить ОС Linux, чем покупать новый компьютер за $400 и Windows 98 за $60.

В этой главе мы не будем обсуждать преимущества Linux в качестве настольной системы, а поговорим о Linux-серверах. Microsoft Windows NT Server (и Windows 2000 Server), на мой взгляд, больше подходит как сервер для небольшой рабочей группы. По своим параметрам Windows NT(2000) Server довольно надежна и быстра, но все же ей не хватает масштабируемости, несмотря на заявления Microsoft о своих серверах.

Чтобы понять, почему Linux целесообразно использовать именно в качестве Интернет-сервера, немного вспомним историю. Давайте сначала обратимся к тем далеким 80-м годам прошлого столетия, когда в кабинетах стояли «калькуляторы» под управлением DOS: неприятный интерфейс, однозадачность, отсутствие поддержки мультимедиа, а под термином «сеть» понималось соединение двух компьютеров через последовательный или параллельный порт с помощью Norton Commander. В начале 90-х годов (а именно в 1993 году) ситуация несколько изменилась: Microsoft выпустила рабочий вариант ОС Windows — Windows 3.1. Что же было новым в Windows 3.1? Во-первых, это многозадачность, во-вторых, поддержка виртуальной памяти, и, конечно же, относительно удобный графический интерфейс. В операционной оболочке (системой ее назвать трудно) Windows 3.1 не были реализованы сетевые функции. Поддержка сети появилась в следующей редакции Windows — Windows for Workgroups.

В 1995 году появилась операционная система Windows 95, представленная Microsoft чуть ли не самой совершенной системой. Однако эта операционная система также не была сетевой, а лишь с поддержкой сетевых функций. Принципиальным отличием от Windows 3.1 была 32-разрядность этой системы. В следующем году Microsoft выпускает настоящую сетевую операционную систему — Windows NT 4 Server. В этой системе был реализован (и нормально функционировал) протокол TCP/IP, который является стандартом сети Интернет, но протоколом по умолчанию он не являлся, а устанавливался опционально, то есть по требованию администратора.

В 2000 году мы стали свидетелями появления новой сетевой серверной операционной системы от Microsoft — Windows 2000 Server. Помимо прочих достоинств Windows 2000 по сравнению с Windows NT 4 Server, нужно отметить службу управления каталогами Active Directory, поддержку по умолчанию протокола TCP/IP, а также средства для квотирования (ограничения дискового пространства).

Все кажется просто прекрасным, однако, если разобраться более детально, то в 2000 году Microsoft достигла того, что уже существовало в Unix еще в 80-х годах. Попробую сейчас все разъяснить. С самого своего начала (с 1979 года), операционная система Unix была:

1. 32-разрядной.

2. Многозадачной.

3. Многопользовательской, а значит сетевой.

Достижения инженерной мысли, о которых мы узнали только в 1993 году — многозадачность и поддержка виртуальной памяти, были реализованы в Unix еще в далеком 1979 году. К тому же, протокол TCP/IP включен в состав ядра системы по умолчанию, а это говорит о многом. Хотя бы о том, что благодаря поддержке ядром протокола TCP/IP достигается высокое быстродействие программ, использующих этот протокол. Существует даже выражение: «Unix создан для сети, как птица для полета».

Квотированием, которое появилось в Windows совсем недавно, настоящих юниксоидов тоже не удивишь. А службу Active Directory можно заменить на Network Information Service.

Может быть, это и не полноценная замена, но, учитывая, что этой службе уже пошел второй десяток лет…

Не нужно думать, что Unix всегда был неподъемным монстром с DOS-образным интерфейсом. Графическая система X Window создана достаточно давно и существует множество Linux-приложений, использующих графический интерфейс. А благодаря таким графическим средам как KDE и Gnome, Linux стал еще более дружелюбным. Но в нашем случае графический интерфейс не столь существенен — мы же будем с вами настраивать сервер. Например, компания Novell поначалу вообще отказалась от использования графического интерфейса в своей операционной системе, чтобы не задействовать дополнительные системные ресурсы. А поскольку Linux является прямым потомком Unix, то ей присущи все вышеописанные качества. К тому же, операционная система Linux совершенно бесплатна — об этом я уже упоминал немного раньше. Если вы считаете себя серьезным администратором, то выбор между надежностью, производительностью Linux и дружелюбным интерфейсом Windows NT (2000) Server, я думаю, очевиден.

Еще один важный аспект — документация системы. Все без исключения Unix-подобные системы очень хорошо документированы и поэтому вся необходимая информация для настройки сервера по сути уже есть в вашем компьютере. Моя же задача при этом сводится к тому, чтобы научить вас использовать эту документацию, а также на практике рассмотреть ее применение.

Итак, что же получается, что мы, используя программное обеспечение от Microsoft, отстали на двадцать лет в развитии, использовали, мягко говоря, не совсем надежное программное обеспечение и еще платили за это деньги? Ребятам из маркетингового отдела Microsoft нужно памятник поставить за их профессиональные качества.

Где же применяются Linux-серверы? Прежде всего, это Интернет-серверы. Вы можете спросить, почему именно Linux (Unix)? Почему не какая-нибудь другая операционная система, например, Windows NT (2000)? Давайте подумаем вместе. В начале 60-х годов по приказу Министерства обороны США была создана сеть Arpanet, которая и послужила в дальнейшем прототипом для создания Интернет. Как можно использовать NT-сервер в качестве Интернет-сервера, если он был выпущен в 1996 году? А Интернет-то существовал с 70-х годов. И существовал именно благодаря Unix-системам. Так почему же не использовать для предоставления Интернет-услуг родную операционную систему? В самом деле, не будете же вы покупать для своего BMW запчасти от Hond'ы? В случае с Интернет это равноценное сравнение: Linux (Unix) для Интернет — абсолютно родная система. Использование других систем допустимо и кому-то может показаться более удобным, но только на том уровне, как будто бы вы действительно в автомобиль одной хорошей марки вставили бы деталь от автомобиля другой хорошей марки. Обе марки автомобилей хороши, но детали одной из них не предназначены для другой. Для справки: относительно недавно был открыт сайт президента России. Так вот этот сайт, к которому предъявляются повышенные требования надежности, безопасности и производительности, базируется именно на основе Red Hat Linux.

Многие правительственные и финансовые организации всего мира, например, Министерство иностранных дел Германии, используют Linux (SuSE Linux), а немецкий Dresdner Bank совместно с американской компанией CollabNet объявил о новой банковской информационной системе, построенной на основе Linux. И тут, как вы видите, дело не в деньгах — платить или не платить за Linux, а в заботе организаций о своей информационной безопасности и надежности своих серверов. Как объяснить клиенту, что его счет «будет закрыт», поскольку «программа выполнила недопустимую операцию»? Тут даже созданный журнал ошибок не поможет.

Второй отраслью применения Linux-серверов является создание кластеров для произведения параллельных вычислений. По определению кластер — это несколько компьютеров, объединенных вместе для совместного решения одной задачи. Объединение компьютеров, как правило, производится с помощью высокоскоростной сети. На сегодняшний день создано специальное программное обеспечение, позволяющее собрать кластер даже в домашних условиях, например, PVM (Parallel Virtual Machine). Более подробно останавливаться на этом вопросе мы не будем, так как параллельные вычисления и компьютерное моделирование — это уже тема для другой книги.

Помимо всего вышеуказанного, существует еще множество направлений, где используются Linux-серверы: Web-серверы, РТР-серверы, почтовики, шлюзы, Х-серверы, можно даже эмулировать домен NT с помощью пакета Samba. Все эти вопросы будут рассмотрены в данной книге.

1.5. Как устроена данная книга

«Не сразу Москва строилась», поэтому и настройку нашего сервера будем производить с малого, а потом постепенно будем его наращивать. Сразу нужно оговориться, что, возможно, при настройке вашего сервера вам не потребуется читать все главы. Например, если вы хотите настроить почтовик, то вам незачем разбираться с настройкой сервера для удаленного доступа. Хотя прочитать всю книгу все же стоит — для общего развития.

Во второй главе достаточно подробно рассмотрена установка операционной системы Linux на примере дистрибутивов Linux Mandrake и Linux Red Hat. В этой же главе рассматривается постинсталляционная настройка пока что настольной версии Linux.

В третьей и четвертой главах обсуждаются общие принципы работы с операционной системой Linux. В третьей главе рассматриваются учетные записи, а в четвертой — работа с файловой системой Linux. Очень советую вам разобраться с правами доступа к файлам и каталогам. Большое значение для организации сервера имеет настройка дисков SCSI и массивов RAID. Особое внимание обратите на создание резервных копий, если вы, конечно, настраиваете «серьезный» Linux-сервер.

В пятой главе рассматриваются основы управления процессами в Linux. Эта глава имеет больше теоретическое, чем практическое значение, но какая же практика без теории?

Шестая глава посвящена русификации дистрибутива. Так как современные дистрибутивы практически не имеют проблем с русификацией, вы можете без особых угрызений совести прочитать данную главу «по диагонали».

В седьмой главе рассмотрена базовая настройка сети — установка сетевой платы, настройка протокола TCP/IP, подключение к Интернет по модемной и выделенной линиям. Особое внимание уделено настройке ADSL-соединения, которое сейчас получает все большее распространение.

В восьмой главе обсуждается непосредственная настройка сервера. Рассматриваются суперсерверы inetd и xinetd. Первый использовался в старых дистрибутивах, но вы все же можете еще встретиться с ним, a xinetd является стандартом для современных Linux-серверов. Получение и предоставление «безопасного» удаленного доступа с помощью ssh, настройка протокола динамической настройки хоста — DHCP, сетевая файловая система NFS, маршрутизация, подсчет трафика, поисковый сервер ht:/Dig — обо всем этом вы можете прочитать в восьмой главе. И это еще не все: последними пунктами в восьмой главе приведены описания настроек прокси-сервера Socks5, а также системы обнаружения и защиты от вторжения LIDS. Особенный интерес представляет программа подсчета трафика MRTG, также описанная в данной главе.

Девятая глава посвящена настройке популярного пакета samba, который используется для получения доступа к ресурсам Windows-сети. С помощью этого пакета вы также сможете настроить свой Linux-сервер для предоставления ресурсов пользователям сети Windows, которые даже и не заметят, что вместо Windows-сервера у вас установлен Linux-сервер.

В десятой главе рассматривается настройка службы доменных имен — DNS. Для настройки практически любого Интернет-сервера вам придется конфигурировать эту службу. Немного внимания я уделил средствам безопасности, которые предоставляет сервер DNS, например, передаче зоны только определенным узлам. Подробно описано конфигурирование основного и дополнительного серверов DNS, обновление файлов конфигурации, создание кэширующего DNS-сервера.

Популярная служба передачи файлов — FTP — рассматривается в одиннадцатой главе. В этой главе обсуждаются серверы wu-ftpd и ProFTPD, a также организация виртуальных ftp-узлов.

Web-сервер Apache, практически ставший стандартом в Интернет, обсуждается в двенадцатой главе. Рассматриваются: базовая настройка, каталоги пользователей, настройка виртуальных серверов, установка и настройка SSL, а в конце главы приведен полный листинг конфигурационного файла.

Тринадцатая глава посвящена настройке сервисов POP и SMTP, а также SMTP-аутентификации. Для непосвященных: SMTP — это протокол для отправления сообщений, a POP — для их приема. Кроме этого, приведено описание создания своей собственной службы рассылки. В конце главы объясняется, как настроить популярные клиенты электронной почты The Bat!, Netscape Messenger, Outlook Express.

Безопасность при работе в сети Интернет — вот основная тема четырнадцатой главы «Бастионы», в которой рассматривается фильтрация пакетов. Здесь описывается, как закрыть доступ к вашей внутренней сети для нежеланных гостей, а также как предотвратить доступ пользователей к нежелательным ресурсам сети.

В пятнадцатой главе подробно рассматривается настройка прокси-сервера SQUID, разделение канала, программы учета трафика. Вы хотите достичь существенного прироста в работе с Web или вам надоело тратить свое драгоценное время и деньги на загрузку рекламных баннеров? Тогда эта глава для вас.

Небольшая шестнадцатая глава посвящена настройке тоже небольшого, но с большими возможностями сервера баз данных MySQL. Сначала описывается настройка сервера, а потом клиента MySQL. Последним пунктом главы приведено описание настроек связки Apache+PHP+MySQL.

Очень большое значение для всей книги имеет семнадцатая глава — «Практические примеры». В ней рассматривается настройка шлюза для доступа в Интернет и сервера удаленного доступа, а также приводится пример настройки «обратного звонка». Эта глава является как бы кульминацией всей книги. На протяжении всех предыдущих глав мы накапливаем знания, а потом настраиваем сразу два реальных сервера (или два в одном), плюс настройка полезной технологии. Примеры конфигурационных файлов, приведенные в гл. 17, являются полностью рабочими. Если у вас что-то не заработало, особенно при настройке сервера удаленного доступа, то у вас просто неправильно настроены модемы. Для их правильной настройки прочтите руководство по модему. Конфигурации для некоторых модемов приведены в этой же главе.

Оптимизация работы ядра операционной системы Linux и его компилирование рассматривается в восемнадцатой главе. Иногда полезно исключить из ядра лишний код для повышения производительности всей системы. Да и ядро при этом становится более компактным.

В девятнадцатой главе приведены некоторые полезные команды при работе с операционной системой Linux. Эти команды полезны скорее для пользователя, чем для администратора, но администратор ведь должен знать, чем может заниматься пользователь.

Двадцатая глава посвящена установке, настройке и использованию графической системы X Window, а также оконных сред KDE и GNOME.

На сегодняшний момент времени очень большое распространение и популярность приобрели компьютерные клубы. Однако ни для кого не является большим секретом то, что абсолютное большинство из них использует нелицензионное программное обеспечение, в том числе и продукты компании Microsoft. Тому, как перевести компьютерный клуб на бесплатную операционную систему Linux, посвящена глава под номером двадцать один. В этой главе рассмотрены также вопросы администрирования компьютерно-го клуба (управление пользователями, вопросы безопасности, запись журналов, отслеживание времени работы и т.п.), а также приведен листинг несложного управляющего модуля (Louncher'a). Экспериментируя с ним, вы сможете добиться самых различных результатов. Большое внимание в двадцать первой главе уделено описанию настроек Windows-игр под Linux и использованию Windows-эмулятора. Благодаря информации, которую вы почерпнете в данной главе, вы сможете спокойно играть в Quake 2 и 3, Counter Strike, Unreal Tournament, Diablo 2 и многие другие.

Двадцать вторая глава целиком посвящена антивирусной защите. Подробно рассмотрены настройка и использование под Linux лучших антивирусов: DrWeb и AVP. Отдельно написано о проверке входящей и исходящей почты на предмет вирусов.

В двадцать третьей главе приводится описание вопросов, которые не столь существенны, чтобы под каждый из них выделять отдельную главу, но которые являются очень полезными: сканер портов SATAN, защита от спама, ограничение системных ресурсов.

Своего рода напутствие и личные рекомендации я разместил в заключительной, двадцать четвертой главе.

В приложениях приведено назначение и расположение системных файлов Linux (приложение А) и общие параметры программ, предназначенных для работы с системой X Window (приложение Б). Очень полезным может оказаться рассмотрение моего компактного ядра Linux, приведенное в приложении В. Помимо самого листинга даны рекомендации как с ним работать и как его использовать. В приложении Г приведен список наиболее интересных и полезных ссылок (URL-адресов), по которым вы можете найти самую различную информацию, касающуюся ОС Linux. Описание прилагаемого компакт-диска вы найдете в последнем приложении.

1.6. Какие сервера бывают и для чего они нужны

1.6.1. Сервер локальной сети

Сервер локальной сети (рис. 1.1) — это сервер, оказывающий услуги пользователям сети Интранет (Intranet). He путайте «Интранет» с «Интернет». Сеть Intranet — это внутренняя корпоративная сеть, как правило, без выхода в Интернет.

Представьте себе небольшую офисную сеть. Если у вас развито воображение, вы даже можете себе представить большую локальную сеть, размещенную в многоэтажном здании. В такой сети сервер может выполнять самые разнообразные функции, например, быть сервером печати или файловым сервером. Обычно во внутренних сетях серверы выполняют только эти функции. В зависимости от вида деятельности организации, в которой установлен сервер, довольно часто он используется в качестве сервера баз данных.

Для сервера баз данных и файлового сервера вообще желательно выделить по одному компьютеру, потому что если нагрузка на сервер баз данных довольно большая, а это в большинстве случаев именно так, то это будет снижать производительность файлового сервера, и наоборот. Если производительность сервера будет низкой, то, как всегда, страдает пользователь. В свою очередь, «страдания» пользователей отразятся ни на ком другом, кроме как на вас — администраторе.

Рис. 1.1. Сервер локальной сети

На рис. 1.1 изображена небольшая локальная сеть без выхода в Интернет. Все рабочие станции и сам сервер подключены к центральному устройству сети — концентратору. Вместо концентратора можно использовать (и предпочтительнее использовать) коммутатор (switch). В отличие от коммутатора, концентратор «не знает», к какому порту подключен тот или иной компьютер и когда один из компьютеров передает пакет данных, то концентратор повторяет его на все свои порты. Каждый компьютер сети получает этот пакет и проверяет наличие своего IP-адреса в его заголовке. Если IP-адрес назначения не совпадает с IP-адресом компьютера, который принял этот пакет, то пакет просто игнорируется. Коммутатор же передает пакет только на тот порт, к которому подключен адресат. Благодаря этому, помимо повышения безопасности, снижается нагрузка на сеть. Вот так пакеты данных доставляются от источника к месту назначения.

Кроме концентратора или коммутатора, в большинстве случаев не нужно никакого другого сетевого оборудования, за исключением разве что сетевых плат. В случае большой протяженности сети используются повторители, которые, пропуская через себя сигнал, усиливают его. По своей сути повторитель представляет собой простейший концентратор. Концентратор же, за вычетом некоторых сервисных функций, представляет собой многопортовый повторитель.

О выборе сетевого адаптера и о другом «железе» для сервера написано в п. 7.6 «Несколько слов перед настройкой сервера». Здесь же нужно сказать пару слов о выборе коммутатора. Раньше основным камнем преткновения для использования коммутаторов была их высокая стоимость. Сейчас можно купить довольно производительные коммутаторы за относительно небольшие деньги. Для домашнего или небольшого офиса можно порекомендовать коммутатор LUCENT CAJUN P115G. Он имеет 24 порта 10/100 Мбит, а также 1 оптоволоконный порт 100FX. По последним данным его стоимость составляет около 230 долларов США.

Более дорогой и более производительный вариант на 48 портов 10/100 Mbit LUCENT-CAJUN P334T. Этот коммутатор обладает внутренней шиной на 8 Гбит, а также модульной конструкцией, что позволяет устанавливать дополнительные модули. Стоимость модели Р334Т — около $900. При установке дополнительных оптоволоконных портов 100FX стоимость увеличится примерно на $150…250 в зависимости от количества портов.

1.6.2. Шлюз — сервер для доступа в Интернет

В том случае, если в вашей внутренней сети необходим доступ к Интернет, имеет смысл установить сервер для доступа к всемирной Сети (см. рис. 1.2). Это и есть шлюз. Шлюзом может быть и отдельное устройство, но в локальных сетях с выходом в Интернет обычно устанавливается целый сервер для доступа к Интернет. Это намного удобнее, так как кроме шлюза можно также настроить Web, FTP, SMTP/POP-сервер. В этом случае вы сможете размещать информацию о вашей компании в Интернет и настроить собственный почтовый сервер. Для этих же целей существуют аппаратные преднастроенные решения различных компаний, например, компании Intel. Но возможности администрирования таких устройств довольно ограниченные. Ощутить свободу действий как администратор вы сможете только в случае, когда у вас будет полноценный сервер.

Рис.1.2. Сервер для доступа к Интернет (шлюз)

Что же изменилось по сравнению с рис. 1.1? Вы правы, появилась выделенная линия. Обычно подключение сервера (читайте: локальной сети) к Интернет происходит по выделенной линии. В простейшем случае для организации выделенной линии необходим модем, позволяющий работать на выделенных линиях. Я бы порекомендовал использовать ZyXEL U336S. Этот модем поддерживает двух– и четырёхпроводные линии, а также синхронную и асинхронную передачу данных. Максимальная скорость передачи 300…480 Кбит/с. Это уже будет считаться рекламой модемов ZyXEL, но я все-таки напишу, что данные модемы работают практически на любых (даже на самых зашумленных) линиях. При организации модемного пула, о котором поговорим немного позже, также желательно установить модемы ZyXEL. В большинстве случаев скорость передачи 300…480 Кбит/с вас не будет устраивать. В этом случае могут помочь DSL-модемы, обеспечивающие передачу данных со скоростью до 1 Мбит/с. Если позволяют условия расположения вашего офиса, можно купить оборудование Radio Ethernet.

1.6.3. Сервер удаленного доступа

Теперь представьте, что ваша компания немного разрослась и кроме нескольких соседних зданий, соединенных между собой оптоволоконным кабелем, появилось еще несколько филиалов в разных концах города. Нужно обеспечить пользователям удаленных филиалов возможность работать в сети компании. При этом вам не нужно, чтобы эти пользователи находились в сети постоянно. В этой ситуации на сцене появляется сервер удаленного доступа (см. рис. 1.3).

Рис. 1.3. Сервер удаленного доступа

Работа с сервером удаленного доступа выглядит следующим образом. Удаленный пользователь звонит по определенному номеру модемного пула компании. Сервер удаленного доступа аутентифицирует пользователя и предоставляет ему доступ, если аутентификация прошла успешно. При этом удаленному пользователю кажется, что он работает непосредственно в сети компании, если не считать медленного канала передачи данных. Другим (не удаленным) пользователям сети будет казаться, что удаленный пользователь находится где-то рядом — в этом же здании.

Однако, если нужно обеспечить постоянную работу удаленных пользователей в сети компании, то для этого существуют более эффективные решения, например, технология Radio Ethernet.

Обратите внимание, что в сети появилось новое устройство — модемный пул. Это просто совокупность модемов, подключенных к серверу. Обычно все модемы устанавливаются в специальные стойки, но это не обязательное требование — просто ради удобства. У вас может возникнуть вопрос: как все эти модемы подключаются к серверу, если максимально можно подключить четыре последовательных устройства (а без установки дополнительных контроллеров — только два)? Для этого используется мультипортовая плата, которая обеспечивает подсоединение большого количества модемов (и других устройств), подключаемых к последовательному порту компьютера. При этом все модемы подключаются к мультипортовой плате, а она, в свою очередь, к компьютеру.

Пунктирной линией на рис. 1.3 обозначено непостоянное (dial-up) подключение пользователя.

Как я уже писал, для модемного пула я рекомендую устанавливать модемы ZyXEL. Модемы Robotics тоже хорошо работают, но ZyXEL — это мой субъективный выбор. В случае с выделенной линией вероятность возникновения каких-либо помех на линии значительно меньше, чем при работе с обыкновенными телефонными линиями. Чтобы обеспечить надежное соединение пользователя, нужно установить профессиональные модемы и правильно настроить их. О том, как настраивать модемы, вы прочитаете в документации по модему. Лучший модем в этом случае — это модем, который лучше остальных работает на данной линии. Сейчас мы не рассматриваем случай, когда вы являетесь Интернет-провайдером и у вас нет возможности проконтролировать, какой модем установил пользователь. Перед покупкой модема протестируйте его работу на линии — обычно фирма-продавец разрешает сделать это. Когда вы найдете оптимальный вариант по цене и качеству — покупайте.

Тестировать подключение нужно непосредственно на той АТС, к которой подключен пользователь. Не повторяйте распространенной ошибки, когда администратор, настроив сервер удаленного доступа, пытается протестировать соединение, позвонив с другого номера той же АТС. Учитывая качество наших телефонных линий, результаты тестирования на разных АТС будут отличаться. Лучше всего тестировать подключение, находясь на рабочем месте удаленного пользователя.

Обратите внимание на «карьеру» нашего сервера: мы постепенно наращиваем его, добавляя новые функции. Сначала он был рядовым сервером локальной сети, затем он начал предоставлять доступ пользователей к Интернет, а потом мы построили сервер удаленного доступа.

1.7. Что такое сервер? (или Курс Молодого Администратора)

1.7.1. Архитектура сети: одноранговая и клиент/сервер

Начнем с самого главного — архитектуры сети. Существуют две основные архитектуры сети: одноранговая (peer-to-peer) и клиент/сервер (client/ server), причем вторая практически вытеснила первую. В одноранговой сети все компьютеры равны — имеют один ранг. Любой компьютер может выступать как в роли сервера, то есть предоставлять свои ресурсы (файлы, принтеры) другому компьютеру, так и в роли клиента, другими словами — использовать предоставленные ему ресурсы. Одноранговые сети преимущественно распространены в домашних сетях или небольших офисах. В самом простом случае для организации такой сети нужно всего лишь пара компьютеров, снабженных сетевыми платами и коаксиальный кабель (нужна еще пара терминаторов (заглушек), но я обещал сильно не углубляться).

Когда сеть создана физически (компьютеры связаны с помощью коаксиального кабеля), нужно настроить сеть программно. Для этого необходимо, чтобы на компьютерах были установлены сетевые операционные системы (Linux, FreeBSD, Windows NT, Windows 98) или сетевые системы с поддержкой сетевых функций (Windows 95, Windows for Workgroups).

Компьютеры в одноранговой сети объединяются в рабочие группы. Каждая рабочая группа имеет свой идентификатор — имя рабочей группы. Если вы сейчас работаете в Windows 9x, узнать имя рабочей группы вы можете, запустив апплет Сеть с Панели управления (см. рис. 1.4).

Рис. 1.4. Идентификатор рабочей группы в ОС Windows 9x

Для примера допустим, что в вашей одноранговой сети три компьютера А, В, С. Первые два входят в рабочую группу WG1, а компьютер С — в рабочую группу WG2 (см. рис. 1.5).

Рис. 1.5. Схема одноранговой сети

Даже несмотря на то, что компьютеры входят в один сегмент сети (физически подключены к одному кабелю), компьютеры А и В не будут «видеть» компьютер С, а компьютер С не будет видеть компьютеры А и В. Если выполнить команду поиска компьютера в Windows 9x (Пуск→Поиск→Найти компьютер), компьютер «увидит» компьютеры А и В, но будет сообщено, что они находятся в другой рабочей группе — WG1. 

Единственное ограничение доступа, которое возможно в одноранговой сети, это использование пароля для доступа к какому-нибудь ресурсу. Для того, чтобы получить доступ к этому ресурсу, например, принтеру, нужнознать пароль. Это называется управлением доступом на уровне ресурсов. В сети клиент/сервер используется другой способ управления доступом — на уровне пользователей. В этом случае можно разрешить доступ к ресурсу только определенным пользователям. Например, ваш компьютер А через сеть могут использовать два пользователя: Иванов и Петров. К этому компьютеру подключен принтер, который можно использовать по сети. Но вы не хотите, чтобы кто угодно печатал на вашем принтере, и установили пароль для доступа к этому ресурсу. Если у вас одноранговая сеть, то любой, кто узнает этот пароль, сможет использовать ваш принтер. В случае с сетью клиент/сервер вы можете разрешить использовать ваш принтер только Иванову или только Петрову (можно и обоим).

Для получения доступа к ресурсу в сети клиент/сервер пользователь должен ввести свой уникальный идентификатор — имя пользователя (login — логин) и пароль (password). Логин пользователя является общедоступной информацией и это правильно: возможно, если кто-нибудь захочет отправить пользователю сообщение по электронной почте, то для этого ему достаточно знать его логин (естественно, и имя сервера электронной почты, который «знает» этого пользователя).

Использование логина и пароля для доступа к ресурсам называется аутентификацией пользователя (user authentication). Существуют и другие виды аутентификации, например, аутентификация источника данных или однорангового объекта, но сейчас мы рассматривать их не будем. В любом случае, аутентификация — это проверка подлинности.

После рассмотрения архитектуры одноранговой сети можно прийти к выводу, что единственное преимущество этой архитектуры — это ее простота и дешевизна. Сети клиент/сервер обеспечивают более высокий уровень производительности и безопасности.

В отличие от одноранговой сети, в сети клиент/сервер существует один или несколько главных компьютеров — серверов. Все остальные компьютеры сети называются клиентами или рабочими станциями (workstations). Как я уже писал выше, сервер — это специальный компьютер, который предоставляет определенные услуги другим компьютерам. Существуют различные виды серверов (в зависимости от предоставляемых ими услуг): серверы баз данных, файловые серверы, серверы печати (принт-серверы), почтовые серверы, Web-серверы и т.д.

В табл. 1.1 перечислены лишь немногие функции, выполняемые сервером, и рекомендуемое программное обеспечение, которое необходимо для реализации этих функций.

Функции и программное обеспечение сервера Таблица 1.1

Функция	Программное обеспечение	Дистрибутив	Глава
Авторизация удаленных пользователей (dialup)	Пакет ррр	Да	17
Автоматическое конфигурирование узлов сети	dhcp	Да	8
Доступ (совместный) к файлам	NFS, FTPd (ProFTPD, wu-ftpd)	Да	8, 13
Доступ к сети Microsoft	Пакет samba	Да	9
Кэширование передаваемой информации	Пакет Squid	Да	15
Маршрутизация	route(d)	Да	8, 14
Обмен сообщениями электронной почты	Пакеты sendmail (или postfix/qmail) и imap	Да (Да/Нет), Да	13
Подсчет передаваемого по сети трафика	ядро Linux, IPChains	Да	8, 14
Передача секретной информации	modSSL	Да (не во всех дистрибутивах)	12
Разрешение (резолвинг) имени компьютера в IP-адрес	Пакет bind	Да	10
Сетевая печать	Lpd, Samba, CUPS	Да	6, 9
Функции Web-сервера	Пакет apache	Да	12
Фильтрация пакетов	IPChains (IPTables в новых версиях Linux)	Да	14
Управление базой данных	MySQL / PostgreSQL / InterBase	Да / Да / Не во всех	16
IP-Маскарадинг	IPChains	Да	14

В графе Дистрибутив отмечено, входит ли указанное программное обеспечение в состав распространенных дистрибутивов, а в графе Глава указывается глава книги, в которой описана настройка интересующей вас функции.

Для экономии средств, как правило, один сервер сочетает в себе функции нескольких серверов, например, почтовик может быть также и Web-сервером. Услуги, которые может предоставлять сервер, ограничиваются только его физическими возможностями — чем мощнее сервер, тем больше услуг и с большим качеством он может предоставлять, поэтому в качестве сервера выбирается довольно мощный компьютер. Хотя эта формула (чем мощнее, тем лучше) не всегда оправдана, например, если ваш сервер используется для предоставления доступа к Интернет небольшой сети, то в этом случае с поставленной задачей прекрасно справится старенький 486DX/66 — 32 Мб ОЗУ. Однако, если вы являетесь Интернет-провайдером, то есть предоставляете коммерческий доступ к сети Интернет, такой конфигурации будет явно недостаточно.

Хотя установке Linux посвящена вторая глава, в которой подробно расписаны все рекомендуемые конфигурации, уже сейчас отмечу, что в случае с Linux-сервером объем оперативной памяти более критичен, чем частота процессора. Поэтому, если у вас есть возможность установить больше оперативной памяти, установите — не пожалеете.

Примечание. Иногда увеличивать объем памяти нецелесообразно, потому что машина будет работать медленнее, чем до модернизации. Это может произойти, если вы используете некоторые старые чипсеты, которые не кэшируют объемы оперативной памяти более 64 Мб (или 128 Мб), а так как операционная система загружается в старшие адреса, освобождая младшие адреса для прикладных программ, общая производительность  системы будет снижена. Перед модернизацией рекомендую ознакомиться с документацией на материнскую плату.

1.7.2. Протокол и интерфейс

Теперь пора уже перейти к протоколам, в частности, к протоколу TCP/IP, который лежит в основе сети Интернет. Протокол — это совокупность правил, определяющая взаимодействие абонентов вычислительной системы (в нашем случае — сети) и описывающая способ выполнения определенного класса функций. Еще один термин, который мы будем часто употреблять — интерфейс. Интерфейс — это средства и правила взаимодействия компонент системы между собой. Чтобы лучше понять значения этих терминов, обратите внимание на рис. 1.6. На этом рисунке изображены две системы (компьютера) — А и В.

Из рис. 1.6 видно, что средства, которые обеспечивают взаимодействие модулей разных уровней в рамках одной системы (например, В1 и В2), называются интерфейсом, а средства, обеспечивающие взаимодействие компонент одного уровня разных систем (например, А1 и В1), называются протоколом. Протокол и интерфейс можно сравнить еще и так: разговор двух директоров разных предприятий можно назвать протоколом, а разговор директора и подчиненного одного предприятия можно считать интерфейсом. Как вы уже догадались, разговор сотрудников разных предприятий будет протоколом. 

 Рис. 1.6. Протоколы и интерфейсы

Теперь, когда мы уже знаем, что означает слово «протокол», перейдем к рассмотрению основных протоколов.

Самым главным — святыней всех святынь — является протокол TCP/IP. TCP/IP (Transmission Control Protocol/Internet Protocol — Протокол Управления Передачей/Интернет-протокол) — это базовый транспортный сетевой протокол. На этом протоколе основана вся сеть Интернет.

Следующий важный протокол — это RIP (Routing Information Protocol). Протокол RIP используется для маршрутизации пакетов в компьютерных сетях. Для маршрутизации также используется протокол OSPF (Open Shortest Path First), который является более эффективным, чем RIP. ICMP (Internet Control Message Protocol) — протокол межсетевых управляющих сообщений. Существует несколько типов данного протокола, которые используются для определенных целей (установление соединения, проверка доступности узла).

FTP (File Transfer Protocol) — протокол передачи файлов. Служит для обмена файлами между системами. Например, вам нужно передать файл на сервер или, наоборот, скачать файл с сервера. Для этого вам нужно подключиться к файловому серверу (он же FTP-сервер) и выполнить необходимую вам операцию. Подключение осуществляется с помощью FTP-клиента. Простейший FTP-клиент входит в состав практически любой операционной системы. Обычно для запуска FTP-клиента нужно ввести команду ftp.

HTTP (Hyper Text Transfer Protocol) — протокол обмена гипертекстовой информацией, то есть документами HTML. Протокол HTTP используется Web-серверами. HTTP-клиенты называются браузерами.

POP (Post Office Protocol) — протокол почтового отделения. Этот протокол используется для получения электронной почты с почтовых серверов. А для передачи электронной почты служит протокол SMTP (Simple Mail Transfer Protocol) — протокол передачи сообщений электронной почты.

Раз уж затронули тему почтовых протоколов, давайте разберемся, как происходит чтение и отправление почты. Для получения сообщений пользователь соединяется с POP-сервером, сообщает ему свое имя пользователя и пароль, и, если аутентификация прошла успешно, получает сообщения. Обратите внимание, что пользователь именно получает сообщения, а не просматривает их. Прочитать сообщение пользователь может только после его загрузки на свой компьютер. Обычно полученные сообщения удаляются на сервере, но это зависит от настроек почтового клиента пользователя. Почтовый клиент — это программа, которая выполняет все операции по работе с электронной почтой. Самыми распространенными почтовыми клиентами являются The Bat!, Outlook, Outlook Express, Netscape Messenger, KMail.

Для передачи сообщения пользователь просто соединяется с SMTP-сервером и передает сообщение. При этом никакой аутентификации не происходит, хотя можно настроить сервер так, что он будет запрашивать имя пользователя и пароль перед началом передачи сообщения на сервер. Настройке SMTP-аутентификации посвящен п. 13.2 этой книги. После передачи сообщения на сервер SMTP оно становится в очередь. Через определенное время это сообщение передается нужному POP-серверу, который принимает сообщение. Потом сообщение может получить пользователь, для которого оно предназначено. Если же сервер SMTP не может отправить сообщение (например, нужный POP-сервер не существует или недоступен, или же адресат не зарегистрирован на этом сервере POP), письмо возвращается отправителю.

Для чтения почты существует и другой протокол — IMAP. Его отличие от протокола POP состоит в том, что пользователь читает сообщения электронной почты, не загружая их на свой компьютер. Все сообщения хранятся на сервере. При удалении сообщения оно удаляется с сервера. SLIP (Serial Line Internet Protocol) — протокол подключения к сети Интернет по последовательной линии. Используется для установления связи с удаленными узлами через низкоскоростные последовательные интерфейсы. В настоящее время вытеснен протоколом РРР и практически не используется. РРР (Point-to-Point Protocol) обеспечивает управление конфигурацией, обнаружение ошибок и повышенную безопасность при передаче данных на более высоком уровне, чем протокол SLIP. Поэтому при настройке сервера рекомендуется использовать именно этот протокол. Протокол PPP рассмотрен в RFC 1547 и RFC 1661.

Прежде чем перейти к рассмотрению протокола TCP/IP, рассмотрим семиуровневую модель взаимодействия открытых систем. Под открытой системой понимается любая система, построенная в соответствии с открытыми спецификациями. Протокол также можно рассматривать как определенное соглашение, принятое взаимодействующими объектами, в нашем случае — это компьютеры, работающие в сети. Соглашение (протокол) не обязательно должно быть стандартным, но на практике стараются использовать именно стандартные протоколы.

В начале 80-х годов международной организацией по стандартизации (ISO — International Organization for Standardization) была разработана модель взаимодействия открытых систем (OSI — Open System Interconnection). В другой литературе вы можете встретить и другие названия этой модели: сокращенное — модель OSI или более полное — семиуровневая модель взаимодействия открытых систем OSI. Средства взаимодействия (см. рис. 1.7) в модели OSI делятся на семь уровней:

1. Физический.

2. Канальный.

3. Сетевой.

4. Транспортный.

5. Сеансовый.

6. Представительный.

7. Прикладной.

Рис. 1.7. Модель OSI

Благодаря этому задача сетевого взаимодействия разбивается на несколько более мелких задач. Это позволяет при разработке новых способов и инструментов сетевого взаимодействия не разрабатывать их заново целиком и полностью, а использовать уже готовые решения, заменив только некоторые его части. Непосредственно друг с другом взаимодействуют только физические уровни. Все остальные уровни напрямую взаимодействуют только с выше– и нижележащими уровнями: пользуются услугами нижележащего и предоставляют услуги вышележащему. Друг с другом такие уровни контактируют косвенным образом, через посредство нижележащих уровней.

Примечание. В некоторых случаях сетевого взаимодействия физический уровень как таковой отсутствует, при этом его функции выполняет самый низлежащий уровень. 

Из рис. 1.7 видно, что по мере прохождения сообщения через уровни модели OSI к пересылаемым данным добавляется служебная информация, свидетельствующая о прохождении данных через определенный уровень.

Рассмотрим взаимодействие двух компьютеров более подробно на примере файловой службы. Допустим, нам (компьютер 1) нужно записать какую-нибудь информацию в файл на удаленном компьютере 2. Обычное сообщение состоит из заголовка и поля данных. В заголовке содержится различная служебная информация. Как изменяется заголовок видно из рис. 1.7. Например, в заголовке может содержаться информация о нашем компьютере (его адрес), компьютере получателя, а также имя и расположение файла, в который нужно записать информацию. Поле данных может быть и пустым, но в нашем случае, очевидно, содержит информацию, которую нужно записать в файл.

Приложение (процесс 1) формирует стандартное сообщение, которое передается прикладному уровню. Точнее, процесс 1 работает на прикладном уровне.

После формирования сообщения прикладной уровень передает его представительному уровню. На этом уровне в заголовок добавляются указания для представительного уровня компьютера-адресата. Потом сообщение передается сеансовому уровню, который добавляет свою информацию и т.д. Процесс вложения одного протокола в другой называется инкапсуляцией.

Когда сообщение поступает на компьютер-адресат, оно принимается физическим уровнем и передается вверх с уровня на уровень. Каждый уровень анализирует содержимое заголовка своего уровня, выполняет содержащиеся в нем указания, затем удаляет относящуюся к себе информацию из заголовка и передает сообщение далее вышележащему уровню. Этот процесс называется декапсуляцией. Далее приведено описание уровней взаимодействия.

Физический уровень (Physical Layer)

Физический уровень передает биты по физическим каналам связи, например, коаксиальному кабелю или витой паре. На этом уровне определяются характеристики электрических сигналов, которые передают дискретную информацию, например: тип кодирования, скорость передачи сигналов. К этому уровню также относятся характеристики физических сред передачи данных: полоса пропускания, волновое сопротивление, помехозащищенность.

Функции физического уровня реализуются сетевым адаптером или последовательным портом. Примером протокола физического уровня может послужить спецификация 100Base-TX (технология Ethernet).

Канальный уровень (Data link Layer)

Канальный уровень отвечает за передачу данных между узлами в рамках одной локальной сети. Узлом будем считать любое устройство, подключенное к сети.

Этот уровень выполняет адресацию по физическим адресам (МАС-адресам), «вшитым» в сетевые адаптеры предприятием-изготовителем. Каждый сетевой адаптер имеет свой уникальный МАС-адрес, то есть вы не найдете две сетевые платы с одним и тем же МАС-адресом.

Канальный уровень переводит поступившую с верхнего уровня информацию в биты, которые потом будут переданы физическим уровнем по сети. Он разбивает пересылаемую информацию на фрагменты данных — кадры (frames).

На этом уровне открытые системы обмениваются именно кадрами. Процесс пересылки выглядит примерно так: канальный уровень отправляет кадр физическому уровню, который отправляет кадр в сеть. Этот кадр получает каждый узел сети и проверяет, соответствует ли адрес пункта назначения адресу этого узла. Если адреса совпадают, канальный уровень принимает кадр и передает наверх вышележащим уровням. Если же адреса не совпадают, то он просто игнорирует кадр.

В используемых протоколах канального уровня заложена определенная топология. Топологией называется способ организации физических связей и способы их адресации. Канальный уровень обеспечивает доставку данных между узлами в сети с определенной топологией, то есть для которой он разработан. К основным топологиям (см. рис. 1.8) относятся:

• Общая шина.

• Кольцо.

• Звезда.

Рис. 1.8. Основные топологии локальных компьютерны хсетей

Протоколы канального уровня используются компьютерами, мостами, маршрутизаторами. Глобальные сети (в том числе и Интернет) редко обладают регулярной топологией, поэтому канальный уровень обеспечивает связь только между компьютерами, соединенными индивидуальной линией связи. При этом для доставки данных через всю глобальную сеть используются средства сетевого уровня (протоколы «точка-точка»). Примерами протоколов «точка-точка» могут послужить РРР, LAP-B.

Сетевой уровень (Network Layer)

Данный уровень служит для образования единой транспортной системы, которая объединяет несколько сетей. Другими словами, сетевой уровень обеспечивает межсетевое взаимодействие.

Протоколы канального уровня передают кадры между узлами только в рамках сети с соответствующей топологией. Проще говоря — в рамках одной сети.

Нельзя передать кадр канального уровня узлу, который находится в другой сети. Данное ограничение не позволяет строить сети с развитой структурой или сети с избыточностью связей. Построить одну большую сеть также невозможно из-за физических ограничений. К тому же даже если построить довольно большую сеть (например, спецификация 10Base-T позволяет использовать 1024 узла в одном сегменте), производительность данной сети не будет вас радовать. Более подробно о причинах разделения сети на подсети и возникающих при этом трудностях мы поговорим немного позже, а сейчас продолжим рассматривать сетевой уровень.

На сетевом уровне термин сеть следует понимать как совокупность компьютеров, которые соединены в соответствии с одной из основных топологий и использующих для передачи данных один из протоколов канального уровня.

Сети соединяются специальными устройствами — маршрутизаторами. Маршрутизатор собирает информацию о топологии межсетевых соединений и на основании этой информации пересылает пакеты сетевого уровня в сеть назначения. Чтобы передать сообщение от компьютера-отправителя компьютеру-адресату, который находится в другой сети, нужно совершить некоторое количество транзитных передач между сетями. Иногда их еще называют хопами (от англ. hop — прыжок). При этом каждый раз выбирается подходящий маршрут.

Сообщения на сетевом уровне называются пакетами. На сетевом уровне работают несколько видов протоколов. Прежде всего — это сетевые протоколы, которые обеспечивают передвижение пакетов по сети, в том числе в другую сеть. Поэтому довольно часто к сетевому уровню относят протоколы маршрутизации (routing protocols) — RIP и OSPF.

Еще одним видом протоколов, работающих на сетевом уровне, являются протоколы разрешения адреса — Address Resolution Protocol (ARP). Хотя эти протоколы иногда относят и к канальному уровню.

Классические примеры протоколов сетевого уровня: IP (стек TCP/IP), IPX (стек Novell).

Транспортный уровень (Transport Layer)

На пути от отправителя к получателю пакеты могут быть искажены или утеряны. Некоторые приложения самостоятельно выполняют обработку ошибок при передаче данных, но большинство все же предпочитают иметь дело с надежным соединением, которое как раз и призван обеспечить транспортный уровень. Этот уровень обеспечивает требуемую приложению или верхнему уровню (сеансовому или прикладному) надежность доставки пакетов. На транспортном уровне определены пять классов сервиса:

1. Срочность.

2. Восстановление прерванной связи.

3. Наличие средств мультиплексирования нескольких соединений.

4. Обнаружение ошибок.

5. Исправление ошибок.

Обычно уровни модели OSI, начиная с транспортного уровня и выше, реализуются на программном уровне соответствующими компонентами операционных систем.

Примеры протоколов транспортного уровня: TCP и UDP (стек TCP/IP), SPX (стек Novell).

Сеансовый уровень (Session Layer)

Сеансовый уровень устанавливает и разрывает соединения между компьютерами, управляет диалогом между ними, а также предоставляет средства синхронизации. Средства синхронизации позволяют вставлять определенную контрольную информацию в длинные передачи (точки), чтобы в случае обрыва связи можно было вернуться назад (к последней точке) и продолжить передачу.

Сеанс — это логическое соединение между компьютерами. Каждый сеанс имеет три фазы:

1. Установление соединения. Здесь узлы «договариваются» между собой о протоколах и параметрах связи.

2. Передача информации.

3. Разрыв связи.

Не нужно путать сеанс сетевого уровня с сеансом связи. Пользователь может установить соединение с Интернет, но не устанавливать ни с кем логического соединения, то есть не принимать и не передавать данные.

Представительный уровень (Presentation Layer)

Представительный уровень изменяет форму передаваемой информации, но не изменяет ее содержания. Например, средствами этого уровня может быть выполнено преобразование информации из одной кодировки в другую. Также на этом уровне выполняется шифрование и дешифрование данных.

Пример протокола представительного уровня: SSL (Secure Socket Layer). Данный протокол обеспечивает секретный обмен данными.

Прикладной уровень (Application Layer)

Данный уровень представляет собой набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к совместно используемым ресурсам. Единица данных называется сообщением.

Примеры протоколов: HTTP, FTP, TFTP, SMTP, POP, SMB, NFS.

Интернет и модель OSI

При взаимодействии открытой системы и Интернет модель OSI упрощается, так как некоторые протоколы Интернет включают в себя функции нескольких уровней. Если к сети Интернет подключается один пользователь, а не вся сеть, то автоматически исчезают канальный и физический уровни, потому что нет сетевых адаптеров, а значит, нет и физических адресов. В данном случае конечным протоколом будет протокол типа «точка-точка», например, РРР. В этот протокол будут вложены все остальные.

1.7.4.Системадоменныхимен—DNS

Для того чтобы подключиться к какому-нибудь другому компьютеру, например, Web-серверу, нужно знать его IP-адрес. Это не очень удобно, потому что человеку намного проще запомнить символьное название сервера, чем последовательность чисел. Представьте, что вместо http://www.romb.net в окне браузера вам нужно было бы вводить http://62.244.59.193. Оба способа будут работать, но первый запоминается намного проще. Фактически, нужно запомнить только слово из четырех букв — romb, a www и net — это «само собой». Компьютеру же, наоборот, проще обрабатывать числа, а не символьную информацию.

Для преобразования IP-адреса в символьное имя и обратно используется служба доменных имен — DNS (Domain Name System). Обычно на любом сервере устанавливается своя служба DNS, даже если этот сервер не поддерживает домена. В отличие от одноранговой сети, в IP-сети компьютеры объединяются в домены, а не в рабочие группы. На самом деле, понятие домен гораздо шире, чем рабочая группа, но пока остановимся на таком определении.

Предположим, адрес Web-сервера вашего подразделения выглядит так: http://www.department.firma.isp.ru. Рассмотрим, что происходит, когда пользователь вводит в окне браузера этот адрес. Сначала отправляется запрос на разрешение (преобразование) имени в IP-адрес серверу DNS, который принадлежит провайдеру пользователя. Если такое имя есть в кэше DNS-сервера провайдера (для определенности назовем его user-dns), он возвращает IP-адрес и браузер устанавливает соединение с этим компьютером. Если же такого адреса в кэше сервера DNS не оказалось, DNS-сервер провайдера обращается к серверу, который содержит домен наивысшего уровня, то есть к корню дерева (см. рис. 1.9). Тот обращается к домену ru (этот сервер пусть называется ru-dns). Сервер ru-dns в свою очередь обращается к серверу, который делегирует домен isp (это ваш провайдер). Сервер isp обращается к серверу, который делегирует (администрирует) домен firma, а он уже к серверу, отвечающему за домен department, который и возвращает IP-адрес компьютера www.department.firma.isp.ru. Таким образом, получается своеобразная цепочка. Ясно, что если эта цепочка оборвется на каком-нибудь звене, то пользователю, точнее, серверу DNS user-dns, будет сообщено о невозможности разрешения имени компьютера в IP-адрес.

Рис. 1.9. Иерархическая структура системы доменных имен

Вся структура службы DNS является иерархической. Существуют домены первого, второго, третьего, n-го уровней. В рассмотренном примере доменом первого уровня является ru, isp — второго, firma — третьего, а department — четвертого уровня (см. рис. 1.9).

Корневой домен управляется центром InterNIC. Домены верхнего (первого) уровня назначаются для каждой страны (см. табл. 1.3).

Обозначения стран по стандарту ISO 3166 Таблица 1.3

Домен	Страна	Домен	Страна
ru	Россия	ua	Украина
by	Белоруссия	It	Литва
Iv	Латвия	ее	Эстония
md	Молдова	kz	Казахстан
tr	Турция	ro	Румыния
iq	Ирак	ir	Иран
il	Израиль	tm	Туркменистан
pl	Польша	it	Италия
es	Испания	gb	Великобритания
fr	Франция	de	Германия
id	Индонезия	vn	Вьетнам
gr	Греция	va	Ватикан
at	Австрия	co	Колумбия
hu	Венгрия	mx	Мексика

Для США и Канады единый домен отсутствует, но иногда используется обозначение us. Обозначения стран соответствуют международному стандарту ISO 3166. Данные сведения могут быть получены по адресу ftp:/ftp.ripe.net/iso3166-countrycodes.

Для различных типов организаций могут использоваться такие обозначения:

com	коммерческие организации (например, yahoo.com).
edu	образовательные учреждения (например, mit.edu).
gov	правительственные организации (например, nasa.gov).
org	некоммерческие организации (например, linux.org).
net	обычно провайдеры (например, ukr.net).

По данным ISC (Internet Software Consortium) по состоянию на январь 2002 года зарегистрировано около 150 миллионов узлов сети Интернет (см. рис. 1.10). Данные сведения публикуются с разрешения ISC. 

Рис. 1.10 Динамика роста узлов в сети Интернет

1.7.5. Многоуровневая архитектура стека TCP/IP

Этот пункт книги является необязательным: если вы считаете, что у вас уже достаточно знаний о протоколе TCP/IP, то можете перейти к следующим разделам, а к этому вернуться позже. Здесь будет описана многоуровневая архитектура протокола TCP/IP — для большего понимания происходящего.

Вначале давайте рассмотрим историю создания протокола TCP/IP. Протокол TCP/IP был создан в конце 60-х — начале 70-х годов агентством DARPA Министерства Обороны США (U.S. Department of Defense Advanced Research Projects Agency). Основные этапы развития этого протокола отмечены в табл. 1.4.

Этапы развития протокола TCP/IP Таблица 1.4

Год	Событие
1970	Введен в использование протокол NCP (Network Control Protocol) для узлов сети Arpanet
1972	Вышла первая спецификация Telnet (см. RFC 318)
1973	Введен протокол FTP (RFC 454)
1974	Программа TCP (Transmission Control Program)
1981	Опубликован стандарт протокола IP (RFC 791)
1982	Объединение протоколов TCP и IP в одно целое — TCP/IP
1983	Сеть Arpanet переведена на протокол TCP (ранее использовался протокол NCP)
1984	Введена доменная система имен DNS

Как вы видите, все стандарты Интернет-протоколов опубликованы в документах RFC. Документы RFC (Request For Comments) — это запрос комментариев. В этих документах описывается устройство сети Интернет.

Документы RFC создаются сообществом Интернет (Internet Society, ISOC). Любой член ISOC может опубликовать свой стандарт в документе RFC. Документы RFC делятся на пять типов:

Требуется (Required)	данный стандарт должен быть реализован на всех основных узлах TCP/IP.
Рекомендуется (Recommended)	обычно такие спецификации RFC также реализуются
Выборочно (Elective)	реализация не обязательна.
Ограниченное использование (Limited use)	не рекомендуется для всеобщего применения.
Не рекомендуется (Not recommended)	не рекомендуется.

Все необходимые документы RFC вы найдете на прилагаемом компакт-диске.

Протоколы семейства TCP/IP можно представить в виде модели, состоящей из четырех уровней: прикладного, основного, межсетевого и сетевого (см. рис. 1.11).

Уровень 1	Прикладной уровень (уровень приложения, Application Layer)
Уровень 2	Основной (транспортный) уровень (Transport Layer)
Уровень 3	Межсетевой уровень (уровень Internet, Internet Layer)
Уровень 4	Уровень сетевых интерфейсов (Network Interface Layer)

Рис. 1.11. Уровни стека протоколов TCP/IP

Каждый из этих уровней выполняет определенную задачу для организации надежной и производительной работы сети.

Уровень сетевого интерфейса

Данный уровень лежит в основании всей модели протоколов семейства TCP/IP. Уровень сетевого интерфейса отвечает за отправку в сеть и прием из сети кадров, которые содержат информацию. Кадры передаются по сети как одно целое. Кадр (frame) — это единица данных, которыми обмениваются компьютеры в сети Ethernet. Для обозначения блоков данных определенных уровней используют термины кадр (frame), пакет (packet), дейтаграмма (datagram), сегмент (segment). Все эти термины обозначают транспортируемые отдельно блоки данных и их можно считать синонимами. Название блока пересылаемых данных изменяется в зависимости от уровня (см. рис. 1.12).

Рис. 1.12. Пересылка блока данных в стеке протоколов TCP/IP

Межсетевой уровень

Протоколы Интернет инкапсулируют блоки данных в пакеты (дейтаграммы) и обеспечивают необходимую маршрутизацию. К основным Интернет-протоколам относятся:

IP (Internet Protocol)	предназначен для отправки и маршрутизации пакетов.
ARP (Address Resolution Protocol)	используется для получения МАС-адресов (аппаратных адресов) сетевых адаптеров.
ICMP (Internet Control Message Protocol)	предназначен для отправки извещений и сообщений об ошибках при передаче пакетов.
IGMP (Internet Group Management Protocol)	используется узлами для сообщения маршрутизаторам, которые поддерживают групповую передачу, о своем участии в группах.
RIP (Route Internet Protocol) и OSPF (Open Shortest Path First)	протоколы маршрутизации.

На этом уровне реализуется передача пакетов без установки соединения — дейтаграммным способом. Межсетевой уровень обеспечивает перемещение пакетов по сети с использованием наиболее рационального маршрута (протокол OSPF). Основная функция межсетевого уровня — передача пакетов через составную сеть, поэтому этот уровень также называется уровнем Интернет.

Транспортный (основной) уровень

Данный уровень обеспечивает сеансы связи между компьютерами. Существует два транспортных протокола: TCP (Transmission Control Protocol) и UDP (User Datagram Protocol). Протокол TCP ориентирован на установление соединения, то есть перед передачей данных компьютеры «договариваются» между собой. Обычно по этому протоколу передаются большие объемы данных или данные, для которых требуется подтверждение их приема. Этот протокол используется большинством сетевых приложений, так как обеспечивает достаточную надежность при передаче данных.

Протокол UDP не ориентирован на соединение и не гарантирует доставку пакетов (дейтаграмм). Однако протокол UDP является более быстродействующим по сравнению с TCP. Обычно по этому протоколу передаются небольшие объемы данных. Ответственность за доставку данных несет сетевая программа.

Уровень приложений

Данный уровень является вершиной модели TCP/IP. На этом уровне работают практически все распространенные утилиты и службы: DNS, Telnet, WWW, Gopher, WAIS, SNMP, FTP, TFTP, SMTP, POP, IMAP.

В качестве завершения данного пункта рассмотрим соответствие уровней стека протокола TCP/IP семиуровневой модели OSI (см. табл. 1.5).

Соответствие уровней стека TCP/IP модели OSI Таблица 1.5

Уровень модели OSI	Протокол	Уровень стека TCP/IP
7, 6	WWW (HTTP), FTP, TFTP, SMTP, POP, telnet, WAIS, SNMP	1
5, 4	TCP, UDP	2
3	IP, ICMP, RIP, OSPF, ARP	3
2, 1	Ethernet, PPP, SLIP	4

В следующем пункте рассмотрено такое важное понятие протокола TCP/IP как порт. В том же пункте будут рассмотрены структуры пакетов IP и TCP, поскольку рассмотрение этого материала без введения определения порта не имеет смысла.

1.8. Общие рекомендации

Поздравляю с успешным окончанием курса молодого бойца (администратора)! Осталось только сказать несколько слов об общей настройке сервера. Настройку сервера «с нуля» следует проводить именно в такой последовательности, которая описана в книге. После установки системы следует разобраться с правами пользователей, определить, кто и к чему будет иметь доступ. Именно с этого и начинается локальная безопасность сервера. Нет смысла настраивать все службы с соблюдением всех требований безопасности, если пользователь pupkin имеет доступ ко всему и его пароль 123! (или же установлены права доступа к корневой файловой системе, позволяющие всем модифицировать ее).

Я рекомендую использовать RAID-массивы, если это, конечно, позволяют ваши финансы. Использование массивов RAID значительно повысит надежность вашего сервера. К тому же, при использовании аппаратных массивов, настройка которых не рассматривается в этой книге, можно существенно повысить производительность сервера, особенно при использовании SCSI-дисков. Хотя в последнее время производительность некоторых моделей АТА-дисков (АТА133) практически не уступает производительности дисков с интерфейсом SCSI, а по цене АТА-диски дешевле, чем SCSI.

После того, как вы наведете порядок на локальном уровне, можно приступать к настройке сети. Сначала следует сконфигурировать сервер как обыкновенную рабочую станцию и проверить корректность работы компьютера в сети. Всему этому посвящена гл. 7.

В гл. 8 описана настройка сервера. Вне зависимости от того, какой сервер вы настраиваете — почтовик или сервер баз данных, вам нужно сначала настроить суперсервер — xinetd или же inetd.

В восьмой главе объясняется, что такое суперсервер и как его нужно настраивать. Настройка фундаментальных серверных служб описана в той же главе. Однако это не означает, что вам нужно настраивать все, например, вы можете не использовать сетевую файловую систему или протокол DHCP.

Существует простое правило: если вам не нужна какая-нибудь служба, просто отключите ее, но ни в коем случае не оставляйте ее ненастроенной — это потенциальная «дыра» в вашем сервере.

Все дальнейшие главы книги посвящены конфигурированию популярных сетевых служб, которые сейчас повсеместно используются. После настройки всех необходимых вам служб рекомендуется перекомпилировать ядро, удалив из него ненужный код. Это повысит производительность сервера и сделает ядро более компактным.

1.9. Обзор дистрибутивов Linux

Сейчас на отечественном рынке можно купить практически любой дистрибутив Linux, а самый новый или какой-нибудь малораспространенный можно заказать через Интернет-магазин, например, www.linuxcenter.ru. Самыми распространенными на сегодняшний день являются дистрибутивы:

1. Red Hat Linux.

2. Linux Mandrake.

3. ALT Junior Linux.

4. ASP Linux.

5. Black Cat Linux.

6. Slackware.

7. Astaro Security Linux.

8. SuSE Linux.

В книге я подробно рассмотрел дистрибутивы Red Hat Linux и Linux Mandrake, указал отличия между ними. Однако я не буду агитировать вас использовать Mandrake или Red Hat, наоборот, вы можете использовать эту книгу для настройки любого дистрибутива. Если что-то не будет работать, например, в SuSE или Slackware, прочитайте поставляемую с дистрибутивом документацию, там наверняка найдутся ответы на все ваши вопросы. Несмотря на то, что большинство дистрибутивов, приведенных выше, совместимо с Red Hat, у каждого дистрибутива есть определенные отличия, поэтому не верьте надписям на компакт-дисках наподобие «100%-ная совместимость с Red Hat». Каждый дистрибутив имеет свое предназначение, например, ALT Junior больше подходит для домашнего компьютера, чем для сервера.

Итак, начнем наш обзор с дистрибутива Red Hat Linux.Бесспорно, это один из самых популярных и распространенных дистрибутивов. «Красная шапочка» (именно так переводится название дистрибутива) является своеобразным образцом в мире Linux. He зря же, когда сравнивают дистрибутивы, говорят об их совместимости с Red Hat.

Прежде всего, следует отметить простоту установки этого дистрибутива. Программа установки Red Hat отличается интуитивно-понятным интерфейсом и богатыми функциональными возможностями. При этом, как и для многих современных дистрибутивов, установка может выполняться как в графическом, так и в текстовом режимах. Кстати, первую графическую программу установки Linux, если я не ошибаюсь, предложила именно компания Red Hat. Должен заметить, что установка системы в текстовом режиме выполняется немного быстрее, чем в графическом.

После установки вы получаете практически функционирующую систему: все в ней настроено и работает, остается настроить систему «под себя». Конечно, есть небольшие недоработки, но разработчики не могли же предусмотреть всех вариантов?

На сегодняшний день последними версиями являются версии 7.2 (7.3) и 8.0. По сравнению с предыдущими версиями программа установки стала еще более простой, гибкой и функциональной. Например, появилась возможность сохранения параметров установки, что позволяет установить точно такую же конфигурацию системы на другие компьютеры сети. При установке осуществляется конвертирование файловой системы ext2 в ext3. Переход на новую файловую систему обеспечивает более надежную ее работу.

Среди нововведений можно отметить оконную среду Gnome 1.4 и файловый менеджер Nautilus, который существенно облегчает операции по копированию, перемещению и удалению файлов.

Все параметры системы полностью настраиваются. Можно даже выставить уровень сложности интерфейса пользователя: от новичка до эксперта. Также нужно отметить, что исчезла грань между локальными и сетевыми ресурсами.

Настройка устройств осуществляется теперь намного проще благодаря новой утилите конфигурирования системы. Теперь все конфигураторы системы собраны в одной оболочке, которая называется Контрольной панелью. Расширена поддержка устройств, в том числе добавлена поддержка устройств USB и Firewire.

Особое внимание уделено безопасностисистемы: firewall теперь настраивается в процессе установки системы, а графическая утилита конфигурирования значительно упрощает процесс создания цепочек.

Следующий на очереди — дистрибутив Linux Mandrake. LINUX Mandrake — это мощная операционная система для платформ Intel Pentium, AMD Athlon и PowerPC. Эта операционная система прекрасно сочетает в себе мощь Linux и простой интерфейс пользователя. ОС Mandrake как нельзя лучше подходит для начинающего пользователя, при этом ее можно устанавливать на компьютеры практически любого типа — от домашнего ПК до сервера сети, чего нельзя сказать о других дистрибутивах, которые имеют более четкое применение.

Программа установки по своей простоте, наверное, обогнала Red Hat. После установки система нормально работает, так как автоматически устанавливаются драйверы для большинства устройств (кроме программных win-устройств). Нет даже небольших недоработок со стороны программы установки.

Как я уже говорил, операционная система Linux Mandrake подойдет и для сервера, и для рабочей станции. Разработчики позаботились о системных администраторах, снабдив систему большим числом конфигураторов, с помощью которых можно настроить все сервисы сервера. Не забыли они и о пользователях: в состав дистрибутива входят распространенные оконные среды, офисные пакеты, графические редакторы, браузеры, MP3-плейеры.

В версии 9.0 произошли такие изменения:

1. Добавлена возможность минимальной установки. Для этого потребуется всего 64 Мб (!) на жестком диске.

2. Улучшены процедуры обнаружения оборудования.

3. Поддерживаются большие объемы ОЗУ (более 1 Гб) и многопроцессорность. Если у вас установлен всего один процессор и объем ОЗУ меньше 1 Гб, в целях повышения производительности системы я рекомендую перекомпилировать ядро системы, отключив поддержку этих функций.

4. Поддерживаются журналируемые файловые системы ЕХТЗ, ReiserFS, XFS и JFS.

5. Добавлена поддержка таких устройств: Firewire, USB, USB2, 1830 DRM, ATA133, GeForce3.

6. Переработан Центр Управления (Control Center).

Система основана на ядре версии 2.4.19. В состав дистрибутива входят такие приложения:-

1. Среда KDE 3.0.3 с интегрированным офисным пакетом К Office.

2. Среда GNOME 2.0.1 плюс Evolution 1.0.8 , WindowMaker 0.8, IceWM 1.2, Enlightenment 0.16.5, BlackBox 0.62

3. Офисные пакеты StarOffice 6.0 и KOffice 1.2. Оба пакета поддерживают формат MS Office.

4. Браузеры Mozilla 1.1, Konqueror 3.02 и Galeon 1.2.5.

5. Графический пакет GIMP 1.2.3.

6. Компиляторы GCC 3.2, библиотеки Glibc 2.2.5.

7. Сервер Apache 1.3.26.

8. Интерпретатор PHP 4.2.3.

9. Серверы баз данных MySQL 3.23.52 и PostgreSQL 7.2.2

10. Агенты МТА Sendmail и Postfix.

ALT Junior Linux — однодисковый дистрибутив для домашних и начинающих пользователей. Этот дистрибутив можно использовать как дистрибутив для рабочей станции, но не как серверный дистрибутив. В его состав входит все необходимое программное обеспечение для домашнего компьютера, в том числе есть несколько довольно неплохих игрушек.

Дистрибутив ALT Junior 1.0 основывается на ядре 2.4.5, поддерживает большинство современных чипсетов, графические 3D-ускорители Matrox G-серии, ATI Rage & ATI Radeon, Intel 810/815, 3DFX Voodoo 3/4/5. Добавлена поддержка всех видеоплат nVidia.

ASPLinux 7.2 — это еще один универсальный дистрибутив, который подойдет как для сервера, так и для рабочей станции. Отдельно хочу отметить уникальную программу установки. Помимо своей простоты, она обладает некоторыми функциями, которых мне не хватало в других дистрибутивах:

1. Возможность установки основных пакетов (ядро и библиотеки) под конкретный процессор, что повышает производительность системы и не требует перекомпиляции ядра после установки системы для оптимизации ее работы.

2. Появилась возможность создавать корневую файловую систему на устройстве RAID.

3. Добавлена поддержка новых контроллеров RAID.

ОС ASPLinux 7.2, в отличие от других дистрибутивов, поддерживает все процессоры семейства i386: от i80386DX до Pentium IV.

Единственным неудобством является отсутствие драйвера для 3D-ускорителей nVidia (у меня Riva TNT2), но его можно свободно загрузить с сайта www.nvidia.com

Особого внимания заслуживает поддержка русского и украинского языков.

Для вас, как системного администратора, повышенный интерес должен представлять пакет pptpd, который позволяет организовывать сети VPN для клиентов Windows, а также пакет portslave, который в сочетании с улучшенной версией pppd позволяет организовать сервер удаленного доступа с авторизацией через сервер RADIUS и использованием функции «обратный звонок» (callback).

Заслуживает также внимания полностью переработанная документация: она находится на специальном компакт-диске с документацией (Documentation CD).

В завершении этого небольшого обзора отмечу довольно нестандартный дистрибутив Astaro Security Linux. С помощью этого дистрибутива вы можете превратить обыкновенный офисный компьютер в настоящий бастион. Все, что для этого нужно – просто загрузиться с инсталляционного диска, ввести необходимые параметры сети и больше не подходить к этому компьютеру: можно сразу отключить монитор, потому что все администрирование сервера производится по протоколу https через браузер. К сожалению в этом дистрибутиве не поддерживаются SCSI (впрочем, SCSI-диски на шлюзе — это излишество) и шины ISA, что не позволяет использовать старые сетевые платы.

1.10. Глоссарий

В этом небольшом пункте приведены описания основных терминов, которые использовались в первой главе, а также некоторых новых.

Аутентификация — проверка подлинности.

Интерфейс — средства и правила взаимодействия компонент системы между собой.

Коллизия — попытка одновременного доступа двух или более машин к среде передачи информации. Самый простой (и немного некорректный) пример коллизий — это параллельный телефон. В вашей жизни наверняка случалось, что кому-то нужно одновременно поговорить по телефону, и вы пытались набрать номер одновременно.

Концентратор (хаб) — устройство, которое просто передает полученные пакеты во все свои порты независимо от адресата. Все устройства, подключенные к концентратору Ethernet (включая другие концентраторы), «видят» весь сетевой трафик, но получить пакет должен только тот узел, которому он адресован. Все остальные узлы должны игнорировать этот пакет.

Маршрутизатор (router) — устройство для пересылки пакетов. Маршрутизатор собирает информацию о топологии межсетевых соединений и на основании этой информации пересылает пакеты сетевого уровня в сеть назначения. Маршрутизатор может быть программным и аппаратным.

Маршрутизация (routing) — процесс передачи пакетов данных между двумя подсетями.

Мост (bridge) — устройство для соединения двух или более физических сетей. Мосты передают пакеты порту, к которому подключен адресат. Однако в отличие от большинства коммутаторов Ethernet, мосты не передают фрагменты пакетов при возникновении коллизий и пакеты с ошибками, поскольку все пакеты буферизуются перед их пересылкой в порт адресата. Мосты не зависят от протокола.

Порт — физическое или логическое устройство, через которое осуществляется процесс приема-передачи данных.

Протокол — совокупность правил, определяющая взаимодействие абонентов вычислительной системы и описывающая способ выполнения определенного класса функций.

Сервер — специальный компьютер, который предоставляет определенные услуги другим компьютерам.

Сокет (socket) — во многом аналогичен дескриптору файла (file handle). Сокет обеспечивает конечную точку соединения. Приложение, создавая сокет, указывает три параметра: IP-адрес узла, протокол (TCP или UDP) и порт, используемый приложением.

Узел — устройство, подключенное к сети.

Шлюз (Gateway) — межсетевой преобразователь. Выполняет функции, аналогичные мосту, но используется для связи сетей разных типов, например, LAN и WAN. Обычно для устройства, которое связывает две локальные сети, используется термин «маршрутизатор», а для устройства, которое соединяет вашу локальную сеть с Интернет, — шлюз, хотя оба эти устройства выполняют одну и ту же функцию — маршрутизацию пакетов.

2.1. Установка Red Hat Linux

Установку данного дистрибутива я буду рассматривать на примере, который применим к версиям, начиная с 6 (и, по крайней мере, до 8.x). Вообще не следует гнаться за новизной в версиях при создании сервера, так как, допустим, версия 6.0 (Hedwig) обладает достаточно низкими (по сегодняшним меркам) системными требованиями, что позволяет использовать устаревшую технику с максимальной отдачей. Например, старенький Intel 486DX4, на котором жутко «тормозят» Windows вместе с MS Office, можно с большим успехом использовать в качестве шлюза для выхода в Интернет (см. табл. 2.1). Это позволит вам сэкономить значительные денежные средства. Тем не менее, весь описанный далее механизм настройки сервера применим и к новым версиям (с некоторыми поправками, которые будут приведены в тексте). Более того, при использовании версий 6.0 и 8.0 вы не заметите почти никакой принципиальной разницы, так как конфигурирование всех основных служб остается одинаковым во всех версиях. Резюмируя, еще раз хочу сказать, что все примеры, приведенные в этой книге, должны работать в дистрибутиве любой версии, начиная с шестой. Однако может возникнуть аппаратная несовместимость, так как версия 6 по умолчанию не поддерживает шины AGP. При этом вам следует либо использовать видеокарту PCI, либо самостоятельно переустановить XFree86 и сервер для вашей видеокарты (о том, что это такое, читайте далее). Версии 7.x, а тем более 8.x, этой проблемы лишены.

Действительно, сравнивая системные требования Linux и продуктов от Microsoft, разницу ощущаешь сразу. Компьютер на базе процессора Pentium 133 и 32 мегабайтами ОЗУ на платформе Linux прекрасно справлялся с обязанностями Internet-шлюза, почтовика и прокси-сервера. Для того чтобы организовать те же функции на платформе Windows 2000 Server, вам необходим, по крайней мере, процессор Celeron 300 МГц и 256 Мб ОЗУ. Минимальные системные требования для установки Red Hat 6 приведены в табл. 2.1, а в табл. 2.2 указаны рекомендуемые системные требования для настройки сервера на ее основе.

Системные требования ОС Red Hat 6 Таблица 2.1 

При использовании системы X Window (графической среды под Linux) вам понадобятся еще 8…16 Мб ОЗУ и 200…300 Мб дополнительного места на жестком диске. При установке сервера, как правило, система X Window не нужна, однако, чтобы удовлетворить всем читательским запросам, описание системы X Window приведено в гл. 20 данной книги.

Рекомендуемые системные требования для установки сервера Таблица 2.2

В зависимости от выполняемых задач вам может потребоваться дополнительное место на диске, например, для кэша прокси-сервера. Прокси-сервера используются для уменьшения времени загрузки Web-страниц (и не только). Конечно, это не единственное применение прокси-серверов, но об этом мы подробнее поговорим в гл. 15, а здесь немного рассмотрим как они работают. Войдем, так сказать, в курс дела.

Если пользователь подключен к Интернет через прокси-сервер и запрашивает какую-нибудь страницу, то запрос идет через прокси-сервер, который сперва ищет ее в своем кэше. Если запрашиваемая страница найдена, он передает ее пользователю, а если нет, то получает ее из Интернет, кэширует (сохраняет в кэше) и затем возвращает пользователю. Уже при повторном запросе данной страницы она будет загружаться из кэша прокси-сервера. При этом резко увеличивается скорость загрузки страницы, так как обычно прокси-сервер находится в одной подсети с пользователем, а передача данных в рамках одной сети осуществляется намного быстрее, даже если прокси-сервер и пользователь связаны каналом 33 Кбит/с. Обратите внимание, что кэшированию не подлежат часто обновляемые страницы, содержащие оперативную информацию, например, прогноз погоды.

Использование прокси-сервера оправдывает себя, если к нему подключается более трех-четырех пользователей. В противном случае хватит и локального кэша браузера пользователя. Таким образом, возвращаясь к основной теме данной главы, под кэшем прокси-сервера подразумевается определенная область на жестком диске, предназначенная для сохранения страниц. Обычно для небольшой локальной сети хватает и 300 Мб кэша, однако, если вы являетесь Интернет-провайдером, то вам может потребоваться кэш около 10 Гб. Настройка прокси-сервера описана в гл. 15.

Создание Linux-раздела на жестком диске

Теперь перейдем непосредственно к установке самой операционной системы. Так как Linux использует другой тип файловой системы по сравнению с другими ОС, то вы должны создать разделы для Linux. В самом простом случае вам потребуется два раздела: один — для самой операционной системы, другой — для свопинга (подкачки).

Так как файловая система является частью операционной системы, естественно, у каждой операционной системы будет своя основная файловая система. Кроме основной файловой системы ОС может поддерживать несколько дополнительных. Например, основной файловой системой для Linux является ext2 (ext3), а дополнительными будут VFAT, ISO9660, UFS, XFS и другие.

Под процессом подкачки (swapping — свопинг) подразумевается перемещение страниц или сегментов виртуальной памяти или образов задач между оперативной памятью и внешней памятью, обеспечивающее нахождение используемой в данный момент информации в оперативной памяти. Запутал? Я так и думал. А теперь то же самое, но другими словами: если данные не умещаются в оперативной памяти, то они перемещаются на жесткий диск (внешняя память). При этом, если программе понадобилась какая-нибудь часть информации, находящаяся во внешней памяти, то операционная система подгрузит ее в оперативную память. Рассмотрим это дело на примере. Допустим, у вас в данный момент свободно всего 8 Мб оперативной памяти, а вы пытаетесь открыть документ размером в 16 Мб. В оперативную память при этом будут загружены первые 6…7 Мб, а все остальное будет находиться во внешней памяти. Когда вам потребуется перейти в конец документа операционная система подкачает в память нужные данные, а не используемые будут помещены во внешнюю память. Совокупность оперативной памяти и внешней памяти, используемой для подкачки (раздела или файла подкачки), называется виртуальной памятью.

Перед созданием разделов Linux обязательно выполните дефрагментацию файловой системы Windows, если такие разделы имеются. Причем, если у вас несколько логических дисков, нужно дефрагментировать ВСЕ логические диски.

Существует несколько способов создания разделов для Linux:

• Классический способ — это использование fdisk для linux. Использованию fdisk посвящен п. 4.7 данной книги.

• Вторым способом является использование встроенных возможностей программы установки.

• Третий — это использование программ посторонних разработчиков, например, Partition Magic.

Сейчас мы пойдем по пути наименьшего сопротивления: будем использовать второй способ создания раздела. Следует сразу оговориться: средство конфигурирования разделов программы установки Red Hat (Disk Druid) не умеет изменять размер раздела. При этом будет производиться конфигурирование всего указанного раздела под Linux, и если не будут размещены какие-либо данные, то они будут уничтожены. Поэтому, если вы хотите сохранить всю информацию, которая используется в вашем Windows-разделе, а свободное место отвести под Linux, вам нужно использовать программу fips. Ее можно найти в каталоге dosutilsдистрибутива red hat. Перед ее использованием следует сначала дефрагментировать раздел Windows, размер которого вы хотите изменить, а еще лучше дефрагментировать все разделы.

После дефрагментации вам нужно перезагрузить компьютер в режиме эмуляции MS DOS и удалить файл подкачки Windows (win368.swp). Затем следует создать загрузочную дискету Windows — (format a: /s), скопировать на нее программу fips (используйте последнюю версию!), загрузиться с дискеты и ввести команду fips.

Интерфейс этой программы предельно прост — вам нужно только выбрать раздел, размер которого вы хотите уменьшить, и указать, сколько места на нем должно остаться после выполнения операции. После этого будет создан еще один раздел FAT или FAT32, который нужно будет удалить с помощью Disk Druid и создать вместо него Linux-раздел.

Четыре варианта установки Linux

Существует несколько вариантов установки Linux:

1. Используя загрузочный компакт-диск.

2. Используя загрузочную дискету (boot floppy).

3. Используя жесткий диск.

4. Установка по сети.

Самым удобным является первый способ — нужно просто загрузиться с компакта.

Если ваш BIOS не поддерживает загрузки с CD-ROM, то в этом случае нужно создать загрузочную дискету и загрузиться с нее. При этом, если не вдаваться в подробности, нужно сделать следующее:

• Скопируйте каталоги dosutils и images на жесткий диск (желательно на С:).

• Введите команду rawrite в сеансе MS DOS (а еще лучше перезагрузить компьютер в режиме MS DOS, так как программа rawrite может работать некорректно из-под Windows. При работе в Windows можно использовать rawritewin):

с:\dosutils\rawrite

• На запрос программы

Enter disk image source file name:

введите:

с:\images\xxxx.img

где xxxx — нужный вам образ:

 boot.img — обычная установка;

 bootnet.img — установка по сети.

• А затем на предложение программы ввести диск назначения:

Enter destination drive:

введите

а:

При установке с жесткого диска нужно скопировать каталог Red Hat на жесткий диск. Установку с жесткого диска целесообразно использовать, если скорость CD-ROM слишком мала.

Установка по сети производится по протоколу FTP или через NFS. При этом желательно, чтобы каталог Red Hat находился на сервере в общем (публичном) каталоге (см. рис. 2.1).

Рис. 2.1. Установка Red Hat по протоколу FTP

Итак, вы загрузились с компакт-диска или дискеты, выбрали язык операционной системы, раскладку клавиатуры. Затем программа установки попросит указать вас метод установки: CD-ROM или жесткий диск. При установке с жесткого диска еще потребуется указать путь к каталогу Red Hat. При установке по сети вам нужно ввести имя сервера, а также каталог на сервере, в котором расположен каталог Red Hat (обычно это /pub/Red Hat). Потом вам следует указать инсталляция это или обновление. Выберите Инсталляция.

После этого вы приступите к самому интересному: выбору класса установки. При этом из предлагаемых вариантов вам следует выбрать класс По выбору:. При выборе Сервер (Server) или Рабочая станция (Workstation) содержимое диска уничтожится, а также вы не сможете выбрать пакеты вручную (см. рис. 2.2).

Рис.2.2. Выбор класса установки

Для заинтересовавшихся привожу сведения о классах установки Server и Workstation.

При выборе Рабочей станции (Workstation) будет удалена информация во всех разделах Linux, создан раздел подкачки размером 64 Мб, 16 Мб для каталога /boot — в нем хранятся ядра системы, а также будет использовано все нераспределенное место на диске. Для этого класса установки вам необходимо как минимум 600 Мб на жестком диске.

При выборе Сервера (Server) будут удалены ВСЕ разделы, будет выделен раздел 64 Мб для раздела подкачки, 256 Мб для корневой файловой системы, минимум 512 Мб для каталога /usr, 512 Мб — для /home и 256 Мб — для /var. Для этого всего вам понадобится хотя бы 1.6 Гб на жестком диске.

Когда вы устанавливаете Linux, вы создаете корневую файловую систему. Под корневой файловой системой будем понимать раздел, на который вы установили Linux.

Приведенное определение корневой файловой системы является не совсем полным. В силу традиций определение корневой файловой системы (как и файловой системы вообще) является перегруженным. С одной стороны — это часть ядра, управляющая файлами и каталогами, а с другой — набор утилит для загрузки, восстановления, починки и других операций с файловой системой.

Вот еще одно определение: корневая файловая система — это система, которая обладает инструментами для осуществления операций загрузки, восстановления и/или ремонта системы. При этом корневая файловая система должна быть по возможности небольшой, так как благодаря этому она будет меньше подвержена возникновению ошибок, будет легче в обслуживании, меньше затрат и потерь будет при ее восстановлении.

В данном контексте первое определение является более удачным, поскольку мы имеем дело с разделами (файловой структурой), а не с частью ядра. Для справедливости нужно отметить, что ядро операционной системы Linux имеет параметр root, который задает корневую файловую систему. Значениями данного параметра являются как раз разделы. Например, у вас может быть две основные файловые системы: два раздела (/dev/hda1 и /dev/hda2). В первый вы установили одну версию операционной системы, а во второй — другую (например, с X Window и без нее). При загрузке вы можете передать ядру параметр root, то есть указание, какую файловую систему нужно сделать корневой. Это делается так:

linux root=/dev/hda1 

Впоследствии (после загрузки системы) вы можете примонтировать к корневой файловой системе (/dev/hda1) файловую систему, которая расположена на разделе /dev/hda2.

Рассмотрим пример организации файловой системы:

/ • – корень

| 

|__/bin

|

|__/dev

|

|__/etc

|

|__/home

|

|__/mnt

|

|__/var

|

|__/root

|

|__/sbin

|

|__/tmp 

Названия всех каталогов в данной системе являются стандартными. Их описание приведено в гл. 4 (п. 4.5), целиком посвященной файловой системе Linux.

Как я уже писал выше, в ОС Red Hat для создания разделов используется программа Disk Druid, которая является частью программы установки. Программа установки позволяет выбрать fdisk вместо Disk Druid. Какую программу использовать — это дело вкуса. Однако Disk Druid вам все равно придется использовать для указания точек монтирования (об этом читайте далее). 

Рис. 2.З. Программа Disk Druid

При изменении размера Windows-раздела вы отвели какую-то его часть под раздел для Linux. Например, весь раздел составлял 2048 Мб, а для Linux вы выделили 600 Мб. Так вот, из этих 600 Мб вам потребуется примерно 64 Мб для организации раздела подкачки. Для этого создайте один раздел размером 536 Мб (тип Linux Native), второй — 64 Мб (тип Linux Swap). Для первого установите точку монтирования «/», для второго точка монтирования не нужна. Далее вы можете установить точки монтирования для своих Windows-разделов (например, /mnt/disk_c) с помощью кнопки «Edit». Обратите внимание, что очень важно правильно определить размер раздела подкачки (см. табл. 2.3).

Определение размера раздела подкачки Таблица 2.3

Возможно, в процессе эксплуатации системы вам потребуется увеличить размер раздела подкачки. Однако на начальном этапе следует опираться именно на табл. 2.3. В дальнейшем вы в любой момент сможете создать файл подкачки.

По завершении всех этих действий система спросит у вас, какой раздел нужно использовать для подкачки (выберите только что созданный раздел Linux Swap), а также, какие разделы следует форматировать. В качестве последних выберите все, кроме Windows-разделов.

Для добавления нового раздела нажмите на кнопку «Add» (Добавить) и укажите размер, а также точку монтирования (см. рис. 2.3).

У вас наверняка есть разделы Windows. Чтобы работать с информацией, расположенной на этих разделах, вам нужно их примонтировать, то есть подключить к корневой файловой системе. Точка монтирования — это всего лишь каталог, через который будет происходить обращение к другим файловым системам. Обычно другие разделы подключаются к подкаталогам каталога /mnt. Например, если Windows-раздел примонтирован к подкаталогу win каталога /mnt, то просмотреть его содержимое можно командой ls /mnt/win.

С точки зрения безопасности каталоги /home и /var следует размещать на других разделах вашего жесткого диска, а еще лучше — на другом жестком диске. В каталоге /home находятся файлы домашних каталогов пользователей. В случае краха корневой файловой системы (а такое иногда случается) файлы пользователей останутся неповрежденными. Для вас, как администратора, безопасность файлов пользователей является более критичным фактором, чем безопасность каких-либо других каталогов системы: ведь в случае чего систему можно довольно быстро восстановить, а вот файлы пользователей уже не вернешь.

Выбор пакетов для установки

Теперь нужно выбрать пакеты программ для установки (см. рис. 2.4). Если вы хотите выбрать пакеты самостоятельно, установите флажок «Индивидуальный выбор пакетов» и нажмите на кнопку «OK». При выборе пакетов будьте внимательны: некоторые пакеты для своей работы требуют наличия других пакетов — это называется зависимостью пакетов. Если это первая в вашей жизни установка Linux, не используйте возможность индивидуального выбора пакетов — просто выберите из списка категории программ, которые вас интересуют. После этого останется немного подождать, пока проинсталлируются выбранные вами пакеты. Время ожидания зависит от производительности вашего компьютера.

Рис. 2.4. Выбор пакетов

Настройки мыши

Следующий этап — настройка мыши. Здесь нужно выбрать вашу мышь и указать порт, к которому она подключена. При наличии двухкнопочной мыши включите режим эмуляции трёхкнопочной — тогда одновременное нажатие сразу на обе кнопки будет восприниматься системой как нажатие на среднюю кнопку мыши.

Параметры локальной сети

После выбора мыши вам нужно указать параметры локальной сети (а не модемного соединения), если таковая имеется. Указание параметров начните с выбора сетевой платы из предлагаемого списка. Большинство сетевых плат ISA совместимо с платой NE2000, a PCI — с NEY2KPCI (NE2000 PCI). После выбора платы нужно указать параметры сетевого адаптера — IRQ, DMA, порт ввода/вывода. Для PCI плат эти параметры указывать не нужно!

Установка времени и выбор демонов

Следующие два этапа — это установка времени и выбор демонов, которые будут автоматически запускаться при старте системы. Как быть с демонами? Оставьте пока все по умолчанию, позже, когда разберетесь, для чего предназначена каждая программа, отключите то, что вам не нужно.

Настройка принтера

Скорее всего, у вас локальный или сетевой принтер, подключенный к Windows-станции. На первом этапе выберите нужный вам тип принтера. После этого программа установки попросит ввести имя очереди и имя каталога для спула — оставьте все как есть. Спул — это область на диске, в которую помещаются печатаемые файлы непосредственно перед печатью. И при печати он считываются именно оттуда.

Следующий этап настройки принтера — выбор порта (см. рис. 2.5). Устройство /dev/lp0 в Linux соответствует порту LPT1 в DOS, /dev/lp1 — LPT2 и т.д. Выберите порт, к которому подключен ваш принтер и нажмите «OK». Если у вас сетевой SMB-принтер, то нужно будет еще ввести имя и IP-адрес сервера (машина под управлением Windows в вашей сети, к которой подключен сетевой принтер), рабочую группу, имя общего ресурса и, если нужно, имя пользователя и пароль.

Рис. 2.5. Выбор порта принтера

Следующее, что необходимо сделать — это выбрать модель принтера и указать параметры печати (размер бумаги, разрешение печати). Очень советую включить режим «Исправлять ступенчатую печать» (Fix stair-stepping of text). Если не включить режим «Исправлять ступенчатую печать», то при печати текстовых файлов большинство принтеров напечатает примерно следующее:

Первая строка

                Вторая строка

                             Третья строка

Дело в том, что символ LF, используемый в Linux для обозначения конца строки, интерпретируется некоторыми принтерами как перевод строки без возврата каретки (символ CR). При использовании этого режима программа-фильтр, через которую проходит информация перед выводом на печать, добавляет после каждого символа LF символ CR.

Настройка безопасности. Задание паролей

Теперь самый ответственный с точки зрения безопасности системы этап — нужно ввести пароль для пользователя root. Пользователь root (суперпользователь) является главным пользователем системы — администратором. Пользователь root в Linux аналогичен пользователю Administrator в Windows NT (2000/XP). Суперпользователь имеет право настраивать аппаратные средства, устанавливать и обновлять системное программное обеспечение и выполнять прочие операции, недоступные другим пользователям.

Задаваемый пароль должен быть не короче 6 символов. При вводе символы не будут отображаться на экране. Категорически не рекомендуется использовать в качестве пароля что-то вроде 123456, qwerty, password и тому подобное. Подумайте о выборе пароля — он должен быть одновременно легким для запоминания и трудным для подбора.

После ввода пароля для суперпользователя вам будет предложено установить параметры аутентификации (см. рис. 2.6). Включите использование теневых паролей и алгоритм MD5 («Use Shadow Password» и «Enable MD5 Password» соответственно). Изменить данные параметры позволяет программа authconfig.

Теперь нужно создать загрузочную дискету, которую вы будете использовать для восстановления системы в случае ее краха. Не стоит отказываться от этой возможности, т.к. если вы в очередной раз переустановите Windows, она перезапишет главную загрузочную запись (MBR) и загрузить Linux вы уже не сможете.

Рис. 2.6. Параметры аутентификации

Установка LILO

LInuxLOader (LILO) — это загрузчик Linux и других операционных систем. Вам нужно решить, куда именно вы хотите установить загрузчик: в MBR или на первый сектор загрузочного раздела Linux. Если у вас установлена только Windows 9x, смело выбирайте MBR. В противном случае — выберите первый сектор загрузочного раздела и прочитайте раздел об установке нескольких операционных систем на одном компьютере.

Рис. 2.7. УстановкаLILO

Имя загрузочного раздела для каждой операционной системы задается с помощью метки (label). Чтобы загрузить с помощью LILO определенную систему, вам нужно будет ввести соответствующую ей метку. При загрузке LILO выведет на экран приглашение:

LILO boot:

Чтобы загрузить Linux, вам нужно ввести linux или просто нажать «Enter», если раздел linux у вас выбран по умолчанию (default). Чтобы загрузить DOS с раздела /dev/hdb1 нужно ввести dos. Для просмотра всех доступных меток нажмите клавишу «Tab».

Конфигурирование XFree86 (X Window)

Система X Window является мощной графической средой для UNIX-станций. Данная система была разработана Массачусетским технологическим институтом (MIT) и стала стандартом для всех UNIX-систем. Практически каждая рабочая станция UNIX работает на одном из вариантов системы X Window.

Группа программистов, возглавляемая Дэвидом Вексельблатом (David Wexelblat) создала свободно распространяемую версию MIT X Window для процессоров i80386-Pentium IV и совместимых с ними. Эта версия получила название XFree86, поскольку могла выполняться в операционных системах, предназначенных для процессоров, использующих систему команд х86 (это Linux, FreeBSD и другие). XFree86 является торговой маркой XFree86 Project, Inc. Подробнее о X Window читайте в гл. 20 этой книги.

Настройка видеоплаты

Итак, вернемся к процессу настройки аппаратных ресурсов компьютера. На данном этапе система сама попытается определить тип видеоплаты и размер видеопамяти. Модель монитора вы должны выбрать из списка. Если вашего монитора в списке не окажется, выберите Custom и введите параметры монитора вручную. Под параметрами я имею в виду разрешение, горизонтальную и вертикальную частоты. Нужные параметры можно найти в документации по монитору. Очень важно указать правильные параметры или хотя бы такие параметры, которые не превышают возможности монитора, иначе можно вывести из строя не только сам монитор, но и видеоплату. Если вы сомневаетесь, а документации на данный момент нет, выберите Standard VGA 640×480 — этот вариант работает всегда.

Нужно отметить, что Linux Red Hat 6 не поддерживает видеоплаты AGP. Если же у вас установлена именно она, то вам нужно использовать Red Hat 7.x (8.x) или самостоятельно установить более новую версию XFree86 и сервер для вашей видеоплаты. В крайнем случае, замените видеоплату AGP на плату, предназначенную для шины PCI.

На этом все! Я могу вас поздравить — установка завершена.

2.2. Установка Linux Mandrake

В этом разделе книги будет рассмотрена установка дистрибутива Linux Mandrake. В табл. 2.4 указаны требования для рабочей станции. Для настройки сервера потребуется 128 Мб ОЗУ и жесткий диск объемом 10…20 Гб, хотя объем диска очень зависит от поставленных задач. Минимальная установка Linux Mandrake занимает 350 Мб. Если вы настраиваете шлюз для небольшой сети, вам хватит и 1 Гб с учетом кэша для прокси-сервера. При настройке рабочей станции нет смысла использовать жесткий диск объемом менее 2 Гб, так как вам потребуется место не только под систему, но и под программы и файлы пользователей.

Системные требования ОС Linux Mandrake Таблица 2.4

Программа установки Linux Mandrake выглядит немного покрасивее (см. рис. 2.8) по сравнению с Red Hat. Слева отображается ход установки. Красные звездочки (или кружочки в Mandrake 9) — это еще не пройденные этапы. Вы можете в любой момент переключиться на нужный вам этап установки или пропустить текущий, а потом вернуться к нему. Естественно, если такое возможно: например, без создания файловой системы вам никто не разрешит установить пакеты. Внизу экрана будут отображаться подсказки, которые помогут вам на всех этапах установки. При выборе типа установки, даже если вы начинающий пользователь, я рекомендую выбрать тип Настроено (см. табл. 2.5). Прежде всего, это обусловлено выбором нужных вам пакетов — зачем устанавливать лишнее? В Mandrake 9 список выбора сокращен до двух пунктов: Рекомендуется и Эксперт.

Рис. 2.8. Программа установки Linux Mandrake

Выбор типа установки Таблица 2.5 

Для полноты описания я буду рассматривать тип Эксперт.При выборе этого типа вам будет предложено выбрать роль компьютера (см. табл. 2.6).

Роль компьютера Таблица 2.6

Выбираем Сервер и переходим к следующему шагу — определению устройств SCSI. Если у вас есть SCSI-устройства, нажмите «Yes» и система попытается самостоятельно их определить.

Далее конфигурируем мышь и клавиатуру, а затем переходим к разделу Miscellaneous. Здесь вам предложат уточнить объем ОЗУ, выбрать уровень безопасности, а также произвести еще некоторые настройки (см. рис. 2.9). Чтобы слишком долго не объяснять поступим так: оптимизацию диска отключаем, уровень безопасности — низкий (можете установить средний), уточняем объем ОЗУ, используем supermount — очень удобная вещь (автоматическое монтирование съемных устройств — CDROM, Floppy), два последних режима включаем на свой вкус. Я бы включил очистку каталога /tmp при загрузке, а также numlock.

Рис. 2.9. Раздел Miscellaneous

Для создания разделов Linux при инсталляции Linux Mandrake используется программа DiskDrake. Программа DiskDrake очень похожа на Partition Magic (см. рис. 2.10) и позволяет, в отличие от используемой в Red Hat программы Disk Druid, изменять размер существующих разделов.

Рис. 2.10. Создание разделов с помощью DiskDrake

Чтобы выделить место под Linux-раздел выберите любой Windows-раздел (предварительно дефрагментированный) и нажмите на кнопку «Resize». Установите новый размер раздела, например, на 2 Гб (2048 Мб) меньше. Я не рекомендую использовать раздел меньше 2 Мб для Mandrake — рано или поздно вам все равно потребуется место для других приложений, а также для ваших файлов.

Затем щелкните на «пустом месте» и нажмите на кнопку «Create». Выберите тип раздела Linux native и установите его размер равным размеру свободного места минус размер раздела подкачки (см. табл. 2.7). 

Определение размера объема раздела подкачки Таблица 2.7 

Если у вас 256 Мб (или более) ОЗУ, вы можете установить размер раздела подкачки минимальным или вообще его не использовать, тем более, что при желании создать файл подкачки можно всегда. Аналогично создайте раздел для свопа (Linux swap). Далее нажмите на кнопку «Готово» (Done) и согласитесь на форматирование только что созданных разделов.

Как правило, дистрибутив Linux Mandrake (и многие другие) поставляется на нескольких компакт-дисках. Отметьте какие дополнительные (кроме инсталляционного) диски у вас есть, например, Extension CD, Applications CD, 2nd Applications CD, и нажмите на кнопку «OK» (см. рис. 2.11). Затем выберите группы пакетов, которые вам нужны (см. рис 2.12). Если у вас достаточно места на жестком диске, можете установить все пакеты, изучить их, а потом удалить ненужные вам программы. Если вы хотите самостоятельно выбрать пакеты (а не группы пакетов), включите режим «Индивидуальный выбор пакетов» (Individual package selection). Но на данном этапе я не рекомендую этого делать. После выбора пакетов нужно немного подождать, пока установятся выбранные вами пакеты (см. рис. 2.13). В состав группы входят пакеты (файлы .rpm), которые необходимы для работы того или иного программного продукта. Существует понятие Зависимость пакетов, когда один пакет может требовать наличие другого (других) пакета (пакетов). Если хоть один из требуемых пакетов не установлен, установить этот пакет вы не сможете. Установка такого пакета возможна только при отключении режима проверки зависимостей, однако вряд ли пакет, установленный таким образом, будет работать корректно. Вот поэтому сейчас (пока вы начинающий пользователь, то есть администратор) просто выберите группы пакетов, без выбора составляющих их пакетов. 

Рис. 2.11. Выбор компакт-дисков 

Рис. 2.12. Выбор группы пакетов

Рис. 2.13.Установка пакета

Следующий шаг — конфигурация сети. При настройке модема выберите порт и укажите параметры соединения. Все необходимые параметры соединения можно уточнить у вашего провайдера. Вы также можете сконфигурировать настройки локальной сети. Для этого вам нужно указать IP-адрес, маску сети, имя машины, адрес DNS-сервера и адрес шлюза. Все необходимые параметры можно узнать у администратора сети. Если вы сами являетесь администратором, то должны знать что здесь к чему…

Настройка принтера аналогична настройке принтера в Red Hat Linux. После ввода пароля суперпользователя (пользователь root) вам будет предложено добавить в систему обычных пользователей. Даже если вы будете использовать машину в гордом одиночестве, создайте одного пользователя для повседневной работы. Работать постоянно под root'ом не рекомендуется из соображений безопасности системы.

После этого вставьте в дисковод чистую отформатированную дискету и создайте на ней загрузочный диск. Что касается настройки LILO, то она аналогична настройке LILO в Red Hat Linux.

Следующий шаг — настройка монитора. Укажите производителя и модель вашего монитора. Если вашего монитора в списке не оказалось, можно попробовать High Frequency SVGA 1024×768 at 70 Hz. А если монитор старый, лучше Extended SVGA 800x600 at 60 Hz. Самый лучший совет в этом случае — читайте документацию по своему монитору! Установленные настройки необходимо протестировать. Во время тестирования экран может мерцать. После тестирования можно будет изменить параметры монитора или видеоплаты.

Вам также будет предложено создать дискету для клонирования Linux. Она вам очень понадобится, если вам нужно установить Linux на два или, большее число компьютеров, используя идентичные настройки и тот же выбор пакетов.

Поздравляю, установка завершена!

2.3. Установка Linux на компьютер с чипсетом Intel810

Стоимость компьютеров, оснащенных чипсетом Intel 810, значительно ниже, чем компьютеров, оснащенных другими чипсетами. Это объясняется тем, что в материнскую плату с чипсетом Intel 810 интегрируются видео и/ или звуковые платы. Такие материнские платы — идеальное решение для офисного компьютера. Чипсет I810 довольно быстро работает под управлением Windows 9x/ME/2000/XP, но при установке Linux на такой компьютер, скорее всего у вас возникнут проблемы с определением видеоплаты. Для решения этой проблемы нам понадобятся 2 файла:

XFCom_i810-1.2-3.i-386.rpm — Х-сервер

I810Gtt-0.2-4.src.rpm — модуль agpgart.o

Их можно скачать с сайта корпорации Intel, используя URL: ^{http://support.intel.com/support/graphics/intel810/agreeRPM3.htm} и ^{http://support.intel.com/support/graphics/intel810/agreeRPM4.htm} соответственно.

Все действия нужно производить от имени пользователя root.

1. Установите gcc и glibc (если они у вас еще не установлены).

2. Не вдаваясь в технические подробности, отредактируйте ваш /etc/lilo.conf, добавив в него строку append="mem=127M" после строки label="linux". Mem=127M — это количество доступной памяти, при условии, что всего установлено 128 Мб.

3. Введите команду lilo.

4. Установите первый пакет: rpm –Uvh XFCom-i810-glibc2.1-1.0.0-rh60.i386.rpm.

5. Откомпилируйте agpgart.o: rpm —rebuild I810Gtt-0.l-4.src.rpm.

6. Следите за сообщениями во время компиляции: система сама сообщит вам куда именно будет помещен пакет, приготовленный к установке. Обычно это /usr/src/Mandrake/RPMS/i586/i810Gtt-0.1-4.i386.rpm (/usr/src/redhat/RPMS/138 6/1810Gtt-0.1-4.i386.rpm — для Red Hat).

7. Установите этот пакет:

rpm –Uvh 810Gtt-0.1-4.i386.rpm.

8. Установите символическую ссылку:

ln-sf /usr/XHR6/bin/XFCom_i810/etc/X11/X.

Теперь осталось отредактировать файл /etc/Xll/XF86Config (см. листинг 2.1).

Листинг 2.1. Фрагмент файла /etc/X11/XF86Config

Section "Device"

 Identifier "i810"

EndSection

Section "Screen"

 Driver "svga"

 Device "i810"

 Monitor ""

 Subsection "Display"

  Depth 16

  Modes "640x480" "800x600" "1024x768" "1152x864" "1280x1024" "1600x1200"

  Viewport 0 0

 EndSubsection

 Subsection "Display"

  Depth 24

  Modes "640x480" "800x600" "1024x768" "1152x864" "1280x1024"

  Viewport 0 0

 EndSubsection

EndSection

Теперь нужно перезапустить серверX. Для этого нажмите Ctrl+Alt+Backspace. Если сервер X у вас не запускается автоматически, введите команду startx для его запуска.

2.4. Установка нескольких операционных систем

2.6. Установка программного обеспечения

2.6.3. Программы gnorpm, kpackage, apt

Менеджер пакетов RPM является мощным средством для произведения операций над пакетами — создание, установка, обновление, удаление. Однако интерфейс командной строки может понравиться далеко не всем, а особенно начинающему администратору. Существуют и графические (под X Window) реализации менеджера пакетов — например, kpackage из KDE, gnorpm и другие. Я рекомендую использовать программу gnorpm, которая обладает интуитивным графическим интерфейсом. RPM больше подходит для создания новых пакетов, а также для обновления большого числа пакетов. Для установки одного-двух пакетов лучше и удобнее использовать gnorpm (см. рис. 2.14).

Рис. 2.14. Программа gnorpm

Функции программы gnorpm:

1. Установка пакетов.

2. Удаление пакетов.

3. Получение сведений о пакете.

4. Проверка пакета.

5. Поиск пакета в базе RPM.

Для установки какого-либо пакета нажмите на кнопку «Установить». Если в приводе CD-ROM находится инсталляционный CD, то в появившемся окне вы увидите список еще не установленных в системе пакетов (см. рис. 2.15). 

Рис. 2.15. Добавление пакета

Если пакета нет в списке или вы хотите установить пакет, который не входит в состав дистрибутива, нажмите на кнопку «Добавить» и добавьте в список пакеты, которые вы хотите установить. Нажмите на кнопку «Запрос» для получения сведений о пакете (см. рис. 2.16). 

Рис. 2.16. Свойства пакета

Рис. 2.17. Установка пакета

Если пакет еще не установлен и у вас достаточно места на диске для его установки, нажмите на кнопку «Установка». После этого будет выполнена проверка пакета на предмет удовлетворения зависимостей: не требует ли этот пакет наличия какого-нибудь не установленного пакета и не конфликтует ли он с уже установленными пакетами. Если все в порядке, вы увидите окно состояния установки пакета (см. рис. 2.17).

Найти пакет вы можете с помощью операции Поиск. Для этого нажмите на кнопку «Поиск» на панели инструментов gnorpm или выполните команду меню Операции→Поиск. В открывшемся окне вы можете установить критерии поиска и нажать на кнопку «Поиск» (см. рис. 2.18). 

Рис. 2.18. Поиск пакета

Для проверки пакета выберите интересующий вас пакет и нажмите на кнопку «Проверка» (см. рис. 2.19).  

Рис. 2.19. Проверка пакета

Процесс создания собственных пакетов RPM подробно рассмотрен в гл. 19.

В состав KDE входит программа с графическим интерфейсом пользователя, управляющая пакетами, — kpackage (см. рис. 2.20). По своим функциям она аналогична программе gnorpm.Какую из этих программы использовать — дело вкуса и привычки (я вообще использую программу rpm). 

 Рис. 2.20. Программа kpackage

Также стоит упомянуть о программе APT. Программа APT — это система управления пакетами программного обеспечения. Первоначально система APTбыла разработана для Debianlinux. Сейчас в состав некоторых red hat-совместимых дистрибутивов (например, apt-get входит в состав Alt Linux, но ее вы не найдете в Red Hat Linux) входит эта система. Для управления пакетами используется программа apt-get.Формат вызова программы apt-get такой:

apt-get[опции] [команды] [пакет …]

Команды программы описаны в табл. 2.11. 

Команды программы apt Таблица 2.11

Команда	Описание
update	Используется для синхронизации файлов описаний пакетов с их источником, который указан в файле /etc/apt/sources.list. В качестве источника может использоваться какой-нибудь каталог файловой системы или FTP-архив. Примеры источников: /mnt/cdrom/RedHat/RPMS/ ftp://ftp.redhat.com/pub/
upgrade	Используется для обновления пакета. Может также использоваться для обновления ВСЕХ установленных в системе пакетов из источников, указанных в файле /etc/apt/sources.list. При выполнении этой команды ни в коем случае не будет установлено ни одного нового пакета, то есть такого, который еще не был установлен в системе, а будет произведено только обновление существующих пакетов. Перед этой командой обязательно должна быть выполнена команда update
dist-upgrade	Более «интеллектуальная» версия команды upgrade. Кроме установки новых версий пакетов, она также проверит зависимости между новыми версиями пакетов. Рекомендуется использовать именно эту команду
install	Установка одного (или более) пакета. В качестве аргумента данной команде нужно передать имя пакета: это НЕ полное имя файла. Например, пусть полное имя файла пакета, который вы хотите установить /rnnt/cdrom/RedHat/RPMS/package-1.33.i386.rpm. Тогда для установки этого пакета вам нужно ввести команду apt-get install package. Естественно, источник /mnt/cdrom/RedHat/RPMS должен быть указан в файле /etc/apt/sources.list
remove	Удаление пакетов
check	Используется для диагностики нарушенных зависимостей между пакетами
clean	Очищает локальное хранилище полученных файлов пакетов. Перед установкой пакеты копируются из источника в локальное хранилище, а оттуда потом устанавливаются. Для освобождения места на диске время от времени вводите команду apt-get clean. Данная команда не удаляет пакеты из каталогов /var/cache/apt/archives и /var/cache/apt/archives/partial

В табл. 2.10 указаны практически все необходимые вам команды. Более подробное описание команд вы найдете в справочной системе.

Команда apt-get install похожа на команду rpm –i, однако есть одно важное отличие: при установке нового пакета apt-get проверяет зависимости и устанавливает также все необходимые пакеты. Менеджер rpm выводит только сообщение о невозможности установки пакета.

При установке группы пакетов с помощью apt-get будьте внимательны. Обычно для установки группы пакетов используются символы «?», «*». Если нет пакетов, имена которых совпадают с указанным шаблоном, то этот шаблон будет рассматриваться как выражение POSIX. В этом случае, если вы указали шаблон а*, то будут установлены ВСЕ пакеты, имена которых содержат букву а, а не только те, которые начинаются на эту букву. Это же касается и команды remove.

Из опций apt-get полезными для вас будут –f и –d. При указании первой опции apt-get попытается исправить нарушенные зависимости, а при указании второй — пакеты не будет устанавливать, а только будут выкачаны из источника. Еще есть одна полезная опция: --force-yes.При указании этой опции apt-get добровольно-принудительно выполнит указанную операцию несмотря ни на что. Данная опция очень опасна, так как может полностью разрушить систему, однако бывают случаи, когда она действительно необходима.

2.7. Завершение работы операционной системы

Очень важно правильно завершить работу операционной системы. Не забывайте, что нельзя просто выключить питание или нажать «Reset». Неправильное завершение работы операционной системы может вызвать потерю данных на диске или, в худшем случае, разрушить всю файловую систему. Это относится не только к Linux, но и ко всем многозадачным операционным системам.

При завершении работы системы (останов или перезагрузка) выполняется размонтирование файловых систем, в том числе и корневой файловой системы. При размонтировании файловой системы происходит синхронизация буферов дискового ввода-вывода с самим жестким диском, поэтому, если нажать на «Reset», то велика вероятность того, что программы не успеют записать данные на диск. Раньше (еще во времена UNIX — до появления Linux) системные администраторы перед завершением работы использовали команду sync, которая и выполняла эту синхронизацию.

Специально для корректного завершения работы ОС во всех дистрибутивах используется команда shutdown. Эту программу можно вызывать со следующими параметрами: тип остановки, время остановки и сообщение. Тип означает или полную остановку, или перезагрузку системы, а время — когда программа shutdown должна остановить систему. Указанное сообщение будет отображено на всех терминалах, чтобы пользователи могли красиво завершить работу. Например, выключить систему в 19:00 можно командой:

shutdown –h 19:00 The end of a working day

При этом за несколько минут до завершения работы на всех терминалах будет отображено предупреждающее сообщение: «The end of a working day». Для немедленной остановки системы используйте команду:

shutdown –h now

Параметр –h указывает на то, что должна быть произведена полная остановка системы, a now — это время, в которое ее необходимо произвести. Для перезагрузки вместо параметра –h используется параметр –г. Время задается либо в формате ЧЧ:ММ, либо в формате +N, где N — количество минут, которое будет отсчитываться, начиная с текущего момента. Значение now есть ни что иное, как псевдоним +0 минут.

Для завершения работы используются также команды halt и reboot — для останова и перезагрузки системы соответственно. Команда halt является не чем иным, как символической ссылкой на команду «shutdown –h now», a reboot — на «shutdown –r now».

Во время разгрузки системы завершаются все процессы, выполняется синхронизация дисков (sync) и демонтируются файловые системы. Не выключайте питание, пока не увидите сообщение:

The system is halted

При нажатии Ctrl+Alt+Del обычно выполняется команда shutdown-r now. Хотя, в общем случае, реакция системы на нажатие «комбинации из трех пальцев» может быть установлена в файле /etc/inittab.

3.1. Вход в систему

3.2. Изменение пароля

Чтобы изменить свой пароль воспользуйтесь командой passwd. Ее нужно ввести без параметров. При этом команда запросит новый пароль. Если вы не root, система не разрешит вам ввести пароль, являющимся словом, или короткий пароль. В другом случае вы можете ввести все, что угодно — даже 123 тоже будет допустимо — система не сможет вам помешать. Обычно, если пользователь изменяет свой пароль, система проверяет пароль на возможность подбора, и не является ли этот пароль словом из системного словаря. Также проверяется длина пароля. Минимальная допустимая длина пароля –шесть символов, в некоторых дистрибутивах — восемь.

Чтобы изменить пароль какого-нибудь пользователя, вы должны (зарегистрировавшись как root) в качестве параметра команды passwd указать имя этого пользователя.

3.3. Идентификаторы пользователя и группы

Система Linux чем-то похожа на монархическое государство: в нем существует один суперпользователь — root, которому все подчиняется, и определенное число обыкновенных пользователей. Это значит, что если вы попробуете удалить один из жизненно важных файлов Linux под учетной записью пользователя, то система не позволит вам этого сделать. Под учетной записью root вы имеете право делать все, что вам заблагорассудится. Поэтому в целях безопасности, даже если вы используете систему в гордом одиночестве, рекомендуется создавать в системе хотя бы одного пользователя, под которым вы будете работать. Если вы работаете с системой на правах пользователя, а вам вдруг потребовались права суперпользователя, то в этой ситуации вы можете воспользоваться командой su, которая в большинстве случаях вам поможет. Эта команда разрешит вам использовать привилегии суперпользователя без завершения текущего сеанса работы.

Для создания учетной записи используется команда adduser <имя_пользователя>. Естественно, добавлять новых пользователей может только root. После создания новой учетной записи не забудьте изменить пароль пользователя командой passwd <имя_пользователя>.

При добавлении новых пользователей используются параметры по умолчанию. Естественно, они вас не будут устраивать (например, только потому, что для каждого нового пользователя создается новая группа с именем пользователя). Изменить эти параметры можно с помощью опций программы passwd. Более подробно об этих опциях вы можете прочитать в справочной системе (man passwd). Для автоматизации процесса создания учетных записей я предлагаю использовать небольшой сценарий, который вы найдете в конце этой главы.

В общем случае система хранит следующую информацию о пользователе: Имя пользователя (username)— регистрационное имя пользователя, то есть логин. Желательно, хотя и не обязательно, создавать пароли, каким-то образом ассоциирующиеся с определенными пользователями (с их реальными именами). Это упрощает работу администратора, позволяя ему быстро по паролю распознавать пользователя.

Идентификатор пользователя (User ID) — индивидуальный числовой идентификатор пользователя (UID). Система обычно работает с UID, а не с именами пользователей. Идентификатор задается из диапазона 0…65534 и должен быть уникальным. Число 0 соответствует пользователю root. Желательно идентификаторы назначать не произвольным образом, а системно. Например, выделить определенный интервал (1000…1100) под одну группу пользователей, а еще один (2000…2100) — под другую группу. В каждом диапазоне назначать идентификаторы последовательно. Это опять же упростит администрирование и позволит, бегло взглянув на список процессов, сразу же определить кто чем занимается.

Идентификатор группы (Group ID) — числовой идентификатор первичной группы пользователя (GID). Помимо первичной группы пользователь может входить или не входить в состав разных групп, но в первичную группу (native group) он входит всегда. В различных дистрибутивах это выглядит по-разному. Идентификатор группы 0 соответствует группе root.

Пароль (password) — пароль.

Реальное имя пользователя (full name) — обычно представляет собой реальное (фактическое) имя пользователя, например, ivan ivanov. Может содержать и другие данные: номер телефона и т.п. Эти сведения используются в информационных целях.

Домашний каталог пользователя (home dir) — вкачестве домашнего каталога обычно используется каталог /home/<имя_пользователя> (например, /home/den). Без особых причин не рекомендуется изменять такую организацию домашних каталогов.

Оболочка пользователя (login shell) — командный интерпретатор пользователя, который используется им по умолчанию. Программа-оболочка (командный интерпретатор) запускается при входе пользователя в систему. Примеры командных интерпретаторов: ash, bash, csh, fcsh, ksh.

Вся эта информация хранится в файле /etc/passwd в следующем виде:

username:password:UID:GID:full_name:home_dir:login_shell

Пример фрагмента файла /etc/passwd:

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

den:x:500:500:den:/home/den:/bin/bash

evg:x:501:501::/home/evg:/bin/bash

На практике обычно используются теневые пароли, и вместо пароля в файле /etc/passwd стоит *, а сам пароль хранится в файле /etc/shadow, естественно в зашифрованном виде. Применение теневых паролей оправдывает себя с точки зрения безопасности. Обычно к файлу /etc/passwd разрешен доступ в режиме «только чтение» всем пользователям. К файлу /etc/shadow обычный пользователь не имеет даже такого доступа.

В качестве основного алгоритма шифрования используется MD5. Этот алгоритм является самым надежным. Раньше использовались алгоритмы DES и 3DES, но здесь я не буду подробно останавливаться ни на одном из них. При установке системы обычно спрашивается, хотите ли вы использовать теневые пароли (Shadow Passwords) и MD5. Я очень рекомендую вам использовать обе эти возможности.

Домашние каталоги пользователей обычно располагаются в каталоге /home основной файловой системы, но вы можете назначить и любой каталог в качестве домашнего. Суперпользователь использует домашний каталог /root. Для перехода в домашний каталог используется команда cd ~.

3.4. Создание группы

Каждый пользователь принадлежит к одной или более группам. Группы используются для того, чтобы пользователи, принадлежащие одной группе, могли работать с общими файлами. Например, в группу user входят пользователи ivanov и petrov, а пользователь sidorov входит в группу sgroup. Пользователь ivanov создает файл report и разрешает всем членам группы users работать с этим файлом. При попытке обратиться к файлу report пользователь sidorov получит сообщение Permission denied.

Как правило, все члены группы имеют доступ к домашним каталогам друг друга. По умолчанию разрешается только чтение для членов группы. Более подробно о правах доступа к файлам мы поговорим в гл. 4. Информация о группах пользователей хранится в файле /etc/group. Формат этого файла следующий:

имя_группы:пароль:GID:члены_группы

Пароль используется крайне редко. Пример файла /etc/group представлен в листинге 3.1.

Листинг 3.1. Пример файла /etc/group

root:*:0:

local:*:100:den,operator,ivan

guest:*:200:

dialup:*:250:victor,evg

В этом примере группа root зарезервирована для пользователя root. Группа с идентификатором 100 используется для локальных пользователей. В ее состав входят пользователи den, operator, ivan. Группа quest предназначена для гостевого входа и пользователя guest. В состав группы dialup входят пользователи victor и evg.

Существует несколько групп, определяемых самой системой, вроде bin, mail и sys. Пользователи не могут принадлежать к какой-либо из этих групп. Эти группы используются для системных файлов. Добавить группу вы можете с помощью команд groupadd. Я, как правило, просто добавляю запись в файл /etc/group, а если мне нужно удалить группу, то удаляю соответствующую строку.

3.5. Удаление и модификация учетных записей

Для удаления пользователя можно воспользоваться командой userdel. Удалять учетные записи умеет и linuxconf. При удалении пользователя программа linuxconf спросит у вас, что делать с домашним каталогом удаляемого пользователя: удалить, архивировать или оставить без изменения. Что делать с ним — это уже вам решать.

Модифицирование учетной записи реализуется программой usermod. Здесь хочу дать один совет: для модифицирования (да и создания) учетных записей гораздо удобнее пользоваться программой linuxconf. Например, для создания учетной записи, введите команду linuxconf (или userconf — для Linux Mandrake). Затем запустите конфигуратор учетных записей, нажав на кнопку «User Accounts» (если вы запустили userconf, этого делать не нужно). В окне UserAccount Configurator перейдите на вкладку Normal (см. рис. 3.1) и нажмите на кнопку «User Accounts» (см. рис. 3.2), а затем на кнопку «Add». 

 Рис. 3.1. User Account Configurator

Рис. 3.2. Учетные записи

Рис. 3.3. Добавление учетной записи

3.6. Квотирование

Квотирование — мощный механизм ограничения дискового пространства, используемый еще в ранних версиях UNIX. Данный материал настолько объемный, что ему можно было бы смело посвятить целую главу. Надеюсь, читатель мне простит, если я немного отклонюсь «от основного курса». Вспоминается народная мудрость: все новое — это хорошо забытое старое. Квоты поддерживались самыми ранними версиями UNIX, тогда как в состав ОС семейства Windows компания Microsoft включила их только в Windows 2000, естественно, гордо заявив об этом.

Команда quota (см. дальше) позволяет просмотреть ограничения дискового пространства для данного пользователя. Ограничения, как правило, устанавливаются системным администратором. При этом существуют два типа ограничений — ограничение на количество файлов (inodes) и ограничение на использование дискового пространства (blocks). Если установлены оба ограничения, то они будут использоваться одновременно.

Ограничения на inodesи наblocksмогут быть установлены как для пользователя, так и для группы. Если вы входите в группу, которая превысила наложенное на нее ограничение, то вы не сможете использовать дисковое пространство, даже если вы не превысили квоту как пользователь.

Для каждого ограничения характерны четыре числа:

1. Ограничение, которое используется в данный момент.

2. «Мягкое» ограничение (softlimit).

3. «Жесткое» ограничение (hardlimit).

4. Время, по истечении которого «мягкое» ограничение будет интерпретироваться как «жесткое».

«Мягкое» ограничение определяет число блоков, которые пользователь все еще может превысить, «жесткое» ограничение превысить невозможно. При попытке сделать это, пользователь получит сообщение об ошибке. При истечении определенного времени (обычно 7 дней) «мягкое» ограничение переходит в «жесткое». За это время пользователь должен удалить ненужные ему файлы. Размер блока в Linux обычно составляет 1024 байт.

Для поддержки ограничений, прежде всего, нужно настроить ядро. Для этого необходимо включить quota support в меню Filesystem при конфигурировании ядра, а потом перекомпилировать ядро. С этой целью нужно перейти в каталог /usr/src/linux и выполнить команду make menuconfig, a затем ввести следующую последовательность команд:

make dep; make bzImage; make modules; make modules_install

Последние две нужно вводить в случае, если вы хотите перекомпилировать модули. Не забудьте ввести команду lilo (см. рис. 3.4) (перед этим нужно немного подправить файл /etc/lilo.conf, если вы этого не сделали раньше — см. гл. 18). Более подробно о конфигурировании ядра вы можете прочитать в гл. 18.

Звездочкой на рис. 3.4 отмечен раздел, загружаемый по умолчанию. Перед перекомпилированием ядра я настоятельно рекомендую прочитать п. 4.11 «Использование LILO» и гл. 18. Если при загрузке ядра на экране монитора вы увидите сообщение Turning onu ser and group quotas for local filesystems, это значит, что ваше ядро уже поддерживает квоты.

Рис. З.4. Запись загрузчика LILO

Теперь нужно определить, использование какой файловой системы вы хотите ограничить. Обычно это /home (домашние каталоги пользователей), /usr (пользователи имеют право записывать информацию в этот каталог) и, возможно, /var.

Для этого отредактируйте файл /etc/fstab следующим образом:

/dev/hda1 /     ext2 defaults

/dev/hda4 /home ext2 defaults,usrquota

/dev/hda5 /usr  ext2 defaults,usrquota,grpquota

none      /proc proc defaults

Параметр usrquota означает ограничение пространства для пользователей на данном устройстве, a grpquota — для групп. Если вы пишите usrquota (grpquota) без знака «=», то подразумевается, что файлы ограничений находятся в корневом каталоге каждой файловой системы, для которой используются ограничения на дисковое пространство. Обычно эти файлы называются quota.user и quota.group для квот пользователей и групп соответственно. Однако вы сами можете указать какие файлы следует использовать для определения квот, например, usrquota= /quotas/user.quota. Старайтесь не указывать слишком длинный путь.

Периодически необходимо проверять содержащиеся в файле ограничения на целостность действительного числа блоков и файлов, выделенных для пользователя. Для этого используется команда quotacheck. Ее можно выполнять даже на смонтированных файловых системах, а также на файловых системах, на которых не используются квоты. Для проверки файловой системы на число блоков, которые используются пользователем, выполните команду:

# quotacheck –avug

В основном данную проверку нужно выполнять при некорректной перезагрузке. При этом вы можете включить эту команду в один из rc-сценариев и выполнять ее так же, как и fsck.

Для того, чтобы включить систему ограничений при загрузке операционной системы, добавьте команду quotaon –avug в сценарии загрузки системы.

Рис. 3.5. Результат выполнения команды quotacheck –avug

Только root имеет право использовать команды, связанные с квотированием. Команда quota, как уже было выше отмечено, используется для проверки используемых ограничений любого пользователя, а команда repquota — для проверки используемого пространства и ограничений для всех пользователей на данной файловой системе. При выполнении команды quotacheck –avug будут автоматически изменены файлы квот, а также будет изменена таблица ядра. Файлы квот имеют размер 2 Мб, даже если ни один из пользователей не использует квот.

Для того, чтобы получить информацию об ограничениях, наложенных на пользователя (группу), используется команда repquota –ua (см.рис. 3.6).

Рис. З.6. Результат выполнения команды repquota –ua

3.6.1. Определение ограничений

Для определения (задания) ограничений используется команда edquota. Ограничение дискового пространства пользователя производится командой edquota с параметром –u (см. рис. 3.7), а определение квот для группы — с параметром –g. После выполнения этой команды будет запущен редактор, который указан в переменной окружения $EDITOR, для редактирования квот. Редактировать надо только число, которое следует за словом hard или soft.

Рис. З.7. Результат выполнения команды edquota –u den

#edquota -u den

Перед выполнением этой команды выполните две следующие команды:

quotacheck –u <filesystem> quotaon –u <filesystem>

Например:

quotacheck –u /mnt/ext2 quotaon –u /mnt/ext2

Данные команды необходимы для создания файлов quota.user и quota.group. В противном случае при редактировании ограничений пользователей (групп) вы получите сообщение о том, что данные файлы не существуют. Для каждой файловой системы, на которую наложены квоты, вы увидите две строки. Слово soft означает, что на данную файловую систему наложено «мягкое» ограничение, а слово hard — «жесткое». При этом пользователь имеет некоторый интервал времени, по истечении которого «мягкое» ограничение перейдет в «жесткое». Данный интервал можно изменить с помощью команды edquota –t:

#edquota –t

Time units may be: days, hours, minutes, or seconds

Grace period before enforcing soft limits for users:

/dev/hda4: block grace period: 50 minutes, file grace period: 50 minutes

«Жесткое» ограничение является максимальным значением, которое может иметь пользователь или группа на данной файловой системе.

Строка /dev/hda4: blocks in use: 1024, limits (soft = 1, hard = 0) определяет количество блоков, которое может быть выделено для пользователей или группы. Напомню, что обычно размер блока в Linux составляет 1024 байт. В данном случае ограничение равно 1 Мб.

Строка inodes in use: 94, limits (soft = 0, hard = 0) сообщает какое число inode (файлов, устройств, поименованных каналов (pipes)) может быть выделено для данного пользователя или группы.

В большинстве случаев у вас есть группа пользователей, которая должна иметь одинаковые ограничения. Самым быстрым способом редактирования ограничений в этом случае является использование прототипа. С помощью команды:

# edquota –u <пользователь/группа_который(ая)_станет_прототипом>

можно определить ограничения прототипа, а затем с помощью команды:

# edqouta –p <прототип> пользователь

создать квоты для всех оставшихся пользователей, применив к ним ограничения прототипа. При этом вам не нужно редактировать ограничения отдельно для каждого пользователя/группы. Например, вам нужно добавить пользователя user, который будет использовать такие же ограничения, что и пользователь den. Делается это следующим образом:

# edquota –p den user

Команда quota используется для проверки ограничений дискового пространства пользователей и групп и применяется со следующими параметрами:

quota [-guqv]

quota [-qv] –u <имя_пользователя>

quota [-qv] –g <имя_группы>

Параметр –v используется для вывода информации о файловых системах, которые не имеют активных ограничений, а также о файловых системах, на которых квоты уже активны, но не занят еще ни один блок.

Параметр –q используется для получения сведений о файловых системах, на которых превышено значение «мягкого» ограничения.

Параметр –g предоставляет информацию об ограничениях, наложенных на указанную группу.

Параметр –u предоставляет информацию об ограничениях, наложенных на указанного пользователя. Этот параметр используется по умолчанию и аналогичен запуску программы quota без параметров.

Например, просмотр ограничения для пользователя user выглядит следующим образом:

Disk quotas for user user (uid 1002) :

Filesystem blocks quota limit grace files quota limit grace

/dev/hdb3  1024*  1     0     none  94    0     0

Пользователь user, ограничен так же, как и его прототип — пользователь den.

Если ограничения для данного пользователя не заданы, вы увидите примерно такое сообщение: Disk quotas for user root (uid 0) : none

Только суперпользователь может просматривать квоты других пользователей. Обычный пользователь может просматривать только свои квоты и квоты группы, к которой он принадлежит.

3.6.3. Использование программы linuxconf для определения квот

Очень удобно редактировать ограничения с помощью linuxconf. Для этого запустите linuxconf и выберите в меню Filesystems→Set quotas default (см. рис. 3.8).

Рис. З.8. Редактирование квот программой linuxconf

Здесь можно указать ограничения, которые будут использованы по умолчанию для пользователей или групп. При этом можно также указать интервал времени (grace period), по истечении которого «мягкое» ограничение перейдет в «жесткое». Ограничения можно задать отдельно и для конкретного пользователя. Для этого выберите в меню программы User accounts→User accountsи укажите пользователя, для которого вы хотите задать ограничения (см. рис. 3.9).

Рис. 3.9. Определение квот для пользователя

По умолчанию используется значение Default, то есть для этого пользователя будут использованы такие же ограничения, как и для всех остальных. Значение No limit — без ограничения. Ограничения можно задавать отдельно и для разных файловых систем.

Для квотирования сетевой файловой системы (NFS) нужно установить quota на сервере, а на клиенте она не нужна. Клиент получит сведения об ограничениях с помощью rquotad, который должен быть установлен и запущен на сервере. Вам не нужно устанавливать флаги usrquota или grpquota для монтирования NFS-дисков. Вместо этого установите quota на своем файловом сервере и запустите на нем из rc-файла сервер rpc.rquotad.

3.7. Сценарий создания пользователей

В качестве завершения этой главы приведу обещанный мною сценарий добавления новых пользователей (см. листинг 3.2). Данный сценарий нужно поместить в каталог /sbin и сделать этот файл исполнимым:

chmod 711 /sbin/nu

Листинг 3.2. Сценарий nu

# !/bin/bash

# nu (New User) — Сценарий добавления пользователей.

# Группа по умолчанию

GROUP=100

# Оболочка по умолчанию

SHELL=/bin/bash

# Префикс для домашнего каталога

HOME=/home

# Время окончания действия пароля (дни)

EXPIRE=30

# Минимальное количество дней до смены пароля

DAYS=0

# За 5 дней предупреждаем пользователя

WARN=5

WHOAMI=`/usr/bin/whoami`

if [ $WHOAMI!="root" ]; then

 echo "Access violation."

 exit 1

fi

echo –n "Enter new name: "

read USERNAME

echo –n "Enter full name: "

read FULLNAME

adduser –c "$FULLNAME" –d $HOME/$USERNAME –e $EXPIRE \

 –g $GROUP –S $SHELL $USERNAME

passwd –n $DAYS –w $WARN $USERNAME

passwd $USERNAME

4.1. Файлы и каталоги. Дерево каталогов

В свое время, при использовании DOS вводилось определение файла как поименованной области данных на диске — на то DOS и дисковая операционная система. В Linux понятие файла значительно расширено. Практически все, с чем вы имеете дело в Linux, является файлом. Команды, которые вы вводите с клавиатуры, — это файлы, которые содержат программы. Устройства вашего компьютера – это тоже файлы. Грубо говоря, файл — это последовательность битов, а жесткий диск — просто смесь нулей и единиц. Linux представляет биты так, как вам понятно, и в этом заключается одна из ее основных функций — управление файловой системой. Файловая система — способ организации и представления битов на жестком диске.

Большинство файловых систем Unix-подобных операционных систем сходны между собой. Файловая система Linux — ext2 (ext3) — очень похожа на файловую систему ufs. К основным понятиям файловых систем в мире unix относятся:

1. Блок загрузки (boot block).

2. Суперблок (superblock).

3. Индексный (информационный) узел (inode).

4. Блок данных (data block).

5. Блок каталога (directory block).

6. Косвенный блок (indirection block).

Блок загрузки содержит программу для первоначального запуска Unix.

В суперблоке содержится общая информация о файловой системе. В суперблоке также содержится информация о количестве свободных блоков и информационных узлов. Для повышения устойчивости создается несколько копий суперблока, но при монтировании используется только одна. Если первая копия суперблока повреждена, то используется его резервная копия.

В индексном (информационном) узле хранится вся информация о файле, кроме его имени. Имя файла и его дескриптор (номер информационного узла — inode) хранятся в блоке каталога. В информационном узле есть место только для хранения нескольких блоков данных. Если же нужно обеспечить большее количество, то в этом случае динамически выделяется необходимое  пространство для указателей на новые блоки данных. Такие блоки называются косвенными. Для того, чтобы найти блок данных, нужно найти его номер в косвенном блоке.

Файловая система ext2 имеет следующую структуру (см. рис. 4.1):

1. Суперблок.

2. Описатель группы.

3. Карта блоков.

4. Карта информационных узлов.

5. Таблица информационных узлов.

6. Блоки данных.

Рис. 4.1. Структура файловой системы

Суперблок, как уже отмечалось выше, содержит информацию обо всей файловой системе. Он имеется в каждой группе блоков, но это всего лишь копия суперблока первой группы блоков: так достигается избыточность файловой системы.

Описатель (дескриптор) группы содержит информацию о группе блоков. Каждая группа имеет свой дескриптор группы. Карты блоков и информационных узлов — это массивы битов, которые указывают на блоки или информационные узлы соответственно. Таблица информационных узлов содержит информацию о выделенных для данной группы блоков в информационных узлах.

Блоки данных — это блоки, содержащие реальные данные.

Что касается файлов, то в операционной системе Linux существует четыре типа файлов:

1. Файлы устройств.

2. Каталоги.

3. Обычные файлы.

4. Ссылки.

Файлы устройств представляют собой устройства вашего компьютера. Файлы устройств находятся в каталоге /dev. Например, /dev/ttyS0 — первый последовательный порт (СОМ1). Обычные файлы, в свою очередь, делятся на нормальные (текстовые) и двоичные.

Каталоги — это специальные файлы, содержащие информацию о других файлах (файлах устройств (/dev), обычных файлов и ссылок). Конечно, это довольно грубое определение, скорее интуитивное, чем точное.

Ссылки позволяют хранить один и тот же файл, но под разными именами. Немного позже мы поговорим более подробно о ссылках, а сейчас рассмотрим команды для работы с файлами и каталогами. Максимальная длина имени файла составляет 254 символа. Имя может содержать практически любые символы, кроме: / \ ? > < | " *

В своей работе я не рекомендую использовать слишком длинные, а также русскоязычные имена файлов. Linux чувствительна к регистру символов, поэтому file.txt, FILE.TXT и File.txt — совершенно разные имена файлов, и данные файлы могут находиться в одном каталоге. Понятие «расширение файла» в Linux отсутствует. Напомню, что в DOS имена файлов строились по схеме 8+3: 8 символов — для имени и 3 — для расширения. Расширением (или типом в терминологии Windows) называется последовательность символов после точки.

Свойства файловой системы ext2:

4.2. Команды для работы с файлами и каталогами

4.2.2. Команды для работы с каталогами

Просмотр содержимого каталога

Для просмотра содержимого каталога используется команда ls. Закоренелые пользователи DOS могут использовать привычную им команду dir, но команда Is намного удобнее. Программа ls имеет около сорока параметров, о назначении которых вы можете узнать в справочной системе, введя команду man ls.

Вывод имени текущего каталога

Команда pwd сообщит вам имя текущего каталога. Эту команду очень удобно использовать при написании сценариев.

Создание и удаление каталога

Как и в DOS, для создания каталога используется команда mkdir, а для удаления — rmdir. При удалении каталога нужно учитывать то, что удаляемый каталог должен быть пуст. В противном случае команда заявит о своем бессилии.

Смена каталога

Команда cd сменяет текущий каталог на указанный.

Файловый менеджер Midnight Commander

Для вызова Midnight Commander введите команду mc. Естественно, пакет mc должен быть предварительно установлен. Midnight Commander очень похож на всем известный Norton Commander, так что я не буду здесь подробно останавливаться на описании данной программы (см. рис. 4.2).

Рис. 4.2. Midnight Commander

4.3.Ссылки

Иногда очень полезно, чтобы в каталоге находился один и тот же файл, но под разными именами. Можно просто скопировать этот файл в другой, но при этом неэффективно используется дисковое пространство. Для этих целей в ОС Linux существует специальный тип файлов — ссылки. Ссылки позволяют хранить один и тот же файл, но под разными именами. Linux поддерживает два типа ссылок: жесткие (прямые) и символические.

Жесткие ссылки

Каждый файл в файловой системе Linux имеет свой индекс. Индекс — это уникальный номер файла. Получить информацию обо всех индексах в текущем каталоге можно с помощью команды Is –i. Исходя из принятых положений можно дать более точное определение каталога: каталог — это просто список индексов файлов. Допустим, у нас есть файл text. Просмотрим его индекс:

ls –i text

25617 text

Теперь создадим жесткую ссылку на файл text командой In:

ln text words

Обратите внимание, что ссылка words на файл text имеет тот же индекс, что и файл text:

ls –i words

25617 words

Отсюда следует, что жесткие ссылки привязываются к индексу файла. В рамках одной файловой системы вы можете организовывать только жесткие ссылки.

Командой In можно создать множество ссылок на один файл и все они будут иметь один и тот же индекс.

Изменяя файл words, вы автоматически измените файл text. Удаляя файл words, вы можете удалить и файл text, но только в том случае, когда на него нет больше ссылок. В противном случае удалению подлежит только ссылка. Количество ссылок отображается по команде Is –l. Число, стоящее слева от имени владельца, и есть количеством ссылок. При этом доступны две ссылки на каталоги: "." – ссылка на текущий каталог, а ".." – на родительский.

Символические ссылки

Символические ссылки выполняют ту же функцию, что и жесткие, но несколько иначе. Они не ссылаются на индекс файла. Символическая ссылка представляет собой специальный файл, при обращении к которому система понимает, что на самом деле нужно обратиться к другому файлу и обеспечивает прозрачность операции. Отсюда следует, что операции с символическими ссылками выполняются медленнее, чем с жесткими. Создать символическую ссылку можно командой ln –s, например:

ln –s text words

Теперь, введя команду Is –i, вы увидите, что файлы text и words имеют разные индексы. Посмотрим, какую информацию выведет команда ls –l text words:

ls –l text words

lrwxrwxrwx 1 den group  3 Dec 5 12:11 words –> text

-rw-r--r-- 1 den group 12 Dec 5 12:50 words

Обратите внимание на первый символ строки lrwxrwxrwx — символ «l». Это означает, что данный файл является символической ссылкой на файл text, о чем свидетельствует информация в последней колонке words->text.

Символическая ссылка не имеет прав доступа — для нее всегда используется набор rwxrwxrwx. Подробнее о наборах прав доступа будет сказано ниже. А на данном этапе хочется отметить следующее: символические ссылки очень полезны, так как они позволяют идентифицировать файл, на который они ссылаются, тогда как для жестких ссылок нет простого способа определить, какие файлы привязаны к одному и тому же индексу. Однако, если вы удалите файл, на который ссылаются символические ссылки, то получите паутину бесполезных ссылок, которые ни на что не ссылаются. При использовании жестких ссылок вы не сможете удалить файл до тех пор, пока на него ссылается хоть одна жесткая ссылка.

Переменная окружения $cwd содержит имя символической ссылки каталога, если такая существует. Просмотреть ее значение можно с помощью команды:

echo $cwd

4.4. Стандартные имена устройств в Linux

Как уже отмечалось раньше, все устройства в Linux являются файлами. Файлы устройств находятся в специальном каталоге /dev. Для просмотра данного каталога удобнее всего использовать команду mc. Запустите mc и перейдите в каталог /dev. Если возле файла слева вы видите +, то данное устройство подключено и функционирует.

В этом пункте я вкратце постараюсь объяснить, какие файлы ассоциируются с какими устройствами. Договоримся, что символ N обозначает номер устройства, например, ttyN обозначает устройства /dev/tty1…/dev/ttyN, а x — символ. Наиболее используемые стандартные имена устройств (в соответствии с принятыми обозначениями) приведены в табл. 4.2.

Наиболее используемые стандартные имена устройств Таблица 4.2

На устройствах hdxN и sdxN необходимо остановиться подробнее. Известно, что к (E)IDE (ATA) контроллеру можно подключить четыре IDE-устройства: Primary Master, Primary Slave, Secondary Master, Secondary Slave.

Этим устройствам соответствуют символы: а, b, с, d. Например, /dev/hda — Primary Master, a /dev/hdd — Secondary Slave. Номер N в обозначении устройства обозначает номер раздела на жестком диске. Первичный раздел DOS на первом жестком диске обозначается так: /dev/hda1.

4.5. Стандартные каталоги

В ОС Linux есть каталоги, которые называются стандартными. Иногда их еще называют системными. Эти каталоги присутствуют практически в каждой ОС Linux. В них находятся файлы, необходимые для управления и сопровождения системы, а также стандартные программы. Описание стандартных каталогов сведено в табл. 4.3.

Стандартные каталоги Таблица 4.3

4.6. Создание файловой системы. Типы файловых систем

Каждая операционная система имеет основной тип файловой системы, а также дополнительные типы, поддержка которых осуществляется модулями (драйверами), подключаемыми к ядру. В случае с Linux поддержку той или иной файловой системы можно встроить непосредственно в ядро. Основной файловой системой Linux на момент написания этих строк является ext2fs, однако на ее смену сейчас приходит ext3fs и последние версии дистрибутивов Linux используют именно ее. Переход на новую файловую систему обеспечивает более надежную ее работу.

Кроме основной файловой системы, Linux поддерживает файловые системы, указанные в табл. 4.4.

В табл. 4.4 рассмотрены базовые типы файловых систем. ОС Linux поддерживает и другие файловые системы, не указанные в таблице. Поддержку нужной вам файловой системы можно включить при перекомпилировании ядра. Подробно этот процесс рассмотрен в гл. 18. Для нормальной работы вам потребуются только файловые системы, отмеченные звездочкой.

Типы файловых систем Таблица 4.4

Прежде чем перейти к созданию файловой системы, хочу рассмотреть несколько новых файловых систем, которые, скорее всего, становятся стандартом в настоящее время. Ядро 2.4.8 уже поддерживает файловые системы: Ext3, ReiserFS, XFS.

Список файловых систем, которые поддерживаются ядром системы, содержится в файле /proc/filesystems. Просмотреть этот список поможет команда

cat /proc/filesystems

Файловая система Ext3 (Third Extended Filesystem) представляет собой журналируемую надстройку над ext2, поэтому возможно чтение одной файловой системы как драйвером Ext3, так и драйвером Ext2. Возможно отключение журналирования. Файловую систему ext2 можно конвертировать в ext3, запустив программу создания журнала. После конвертирования новую файловую систему можно использовать и без журнала — для этого достаточно примонтировать ее драйвером для ext2.

RaiserFS — журналируемая файловая система. Основной ее особенностью является способность хранить несколько мелких файлов в одном блоке.

XFS — также журналируемая файловая система, первоначально разрабатывалась компанией Silicon Graphics (SGI) для ОС Irix. Особенностью этой файловой системы является устройство журнала: в журнал пишется часть метаданных самой файловой системы таким образом, что весь процесс восстановления после сбоя сводится к копированию этих данных из журнала в файловую систему. Размер журнала задается при создании системы, он должен быть не меньше 32 мегабайт.

JFS первоначально разрабатывалась компанией IBM для AIX OS, позднее была перенесена на OS/2, а не так давно и под Linux. Размер журнала составляет примерно 40% от размера файловой системы. Максимальный размер равен 32 мегабайтам. Эта файловая система может содержать несколько сегментов, содержащих журнал и данные. Эти сегменты называются агрегатами и могут монтироваться отдельно.

Все эти файловые системы предназначены для создания высокопроизводительного файлового сервера или рабочей станции, ориентированной на работу с файлами больших размеров. Какая из них лучше — трудно сказать. Нужно исходить из потребностей.

Производительность JFS ниже, чем у остальных трех файловых систем, но она более предсказуема по своему поведению, то есть можно с большой вероятностью предсказать, когда начнется падение производительности. XFS обладает значительно большими показателями производительности. Особенно хорошо она себя проявляет при работе с файлами больших размеров. Производительность этой файловой системы можно значительно повысить, если создать журнал на отдельном контроллере.

Файловая система ReiserFS показала еще большую производительность, но трудна в прогнозировании падения производительности. Файловая система ext3 практически по всем параметрам производительности мало чем отличается от ReiserFS.

Вот тут я слишком часто употребляю слово «журналируемая». Давайте же разберемся, что же собой представляет журналируемая файловая система, и в чем состоят ее преимущества.

Прежде всего нужно отметить, что журналируемые файловые системы не предназначены для восстановления ваших данных любой ценой после сбоя. Они предназначены для других целей. Например, вы открываете файл, и он успешно открывается — файловая система отмечает операцию открытия в своем журнале записью транзакции. Затем вы начинаете писать в файл. При этом файловая система не запоминает копии этих данных. Затем происходит сбой. Когда происходит восстановление после сбоя, происходит откат до последней успешной транзакции — открытия нового пустого файла. Поэтому, когда вы пишите в файл и происходит сбой, вы получите файл нулевой длины.

Давайте рассмотрим создание основной файловой системы типа ext2. A создать файловую систему такого типа можно с помощью команды:

mke2fs -с <устройство>

Опция –с указывает программе, что нужно сделать проверку устройства на наличие ошибок. В качестве устройства обычно выступает раздел жесткого диска. Некоторые опции команды mke2fs перечислены в табл. 4.5. Полный список опций с описанием вы можете получить, введя команду man mke2fs.

Естественно, прежде чем создавать файловую систему на жестком диске, необходимо создать на нем разделы с помощью программы fdisk. Linux в качестве устройства может использовать обыкновенный файл. Его можно создать командой dd. Затем файловую систему нужно примонтировать командой mount. Обо всем этом будет сказано немного позднее. Сейчас же рассмотрим, как перейти от обыкновенной файловой системы ext2 к журналируемой системе ext3. Как я уже отмечал, после/конвертирования с файловой системой ext3 можно будет работать в режиме ext2, отключив журналирование. Другими словами, просто нужно будет использовать драйвер ext2.

Параметры mke2fs Таблица 4.5

Если вы используете операционную систему Red Hat 7.2 или Mandrake 8.1 и выше, то, скорее всего, у вас уже будет установлена файловая система ext3. Если же вы во время установки не включили поддержку ext3, то сейчас самое время это сделать, хотя переходить на новую файловую систему или нет, решать только вам.

Прежде чем перейти к практике, прочитаем немного теории о новой файловой системе. Файловая система ext3 имеет два основных преимущества перед ext2. Первое состоит в том, что ext3 записывает изменение данных и метаданных, что позволяет сохранять содержимое файлов. Второе преимущество состоит в том, что разделы ext3 ничем не отличаются от разделов ext2, поэтому всегда можно перейти к старой файловой системе и наоборот. Главным здесь является то, что вы можете спокойно делать резервную копию файловой системы ext3, а потом развернуть ее на ext2-разделе. Позже можно будет включить журналирование.

Немного определений:

Метаданные (metadata) — это данные, которые являются описанием других данных (например, схема базы данных по отношению к содержимому базы данных).

Журналирование — это запись изменения метаданных во время совершения транзакции. В журнал записывается состояние трех типов данных: метаданных, блоков описания и блоков-заголовков. Уровень журналирования (то, что будет писаться в журнал) можно указать при монтировании файловой системы с помощью программы mount. Журналируемый блок всегда записывается полностью, даже если произошло маленькое изменение. Это делается очень быстро, так как операции журналируемого ввода/вывода объединены в большие кластеры.

Блоки описания описывают другие метаданные. Запись блоков описания происходит перед записью метаданных. Блоки-заголовки описывают заголовок и окончание журнала. Каждому блоку-заголовку присваивается порядковый номер, чтобы гарантировать упорядоченную запись во время восстановления.

Теперь перейдем непосредственно к практике. Для того, чтобы наилучшим образом понять этот материал, вам следует прочитать пункт этой главы о монтировании дисков, а также гл. 18. Тем не менее, дальнейший материал изложен таким образом, что перекомпилировать ядро вы сможете и не читая гл. 18, просто на данном этапе вы не все поймете. В этом разделе книги я попытаюсь как можно подробнее описать процесс перехода на новую систему.

Переход на файловую систему ext3 нужно начинать, собственно, с включения поддержки новой файловой системы. При этом необходимо перекомпилировать ядро. С этой целью перейдите в каталог /usr/src/linux и запустите программу make menuconfig. В разделе Filesystem отметьте файловую систему ехt3. Если эта опция уже включена, то ядро уже поддерживает файловую систему ext3.

После этого согласитесь сохранить изменения в конфигурации ядра и выполните следующие команды:

make dep

make bzImage

make modules

make modules_install

make install

Некоторые из этих команд, возможно, вам и не понадобятся, а какие именно, вы узнаете в гл. 18. Однако вы уже сейчас можете вводить эти команды — они будут у вас работать, но при этом на их выполнение понадобится гораздо больше времени, так как это общий случай — для всех. Первая команда производит необходимую подготовку к компилированию ядра. В принципе, она необязательна, но относится к категории весьма желательных. Вторая собирает само ядро. Две следующих — собирают и устанавливают модули ядра. Последняя команда устанавливает ядро. После выполнения последней команды желательно ввести команду lilo для перезаписи главной загрузочной записи MBR. Кроме этого, желательно перезагрузить компьютер (не подумайте, что по рекомендациям Microsoft!) для того, чтобы убедиться, что собранное ядро работает. Если же ядро отказалось работать, то загрузитесь с системной дискеты Linux (создается при установке) и повторите процесс сборки ядра.

Затем нужно создать журнал командой

tune2fs –i 0 –с 0 –j /dev/hda1

Эта команда создает и конвертирует корневую файловую систему типа ext2, расположенную на устройстве /dev/hda1, в файловую систему ext3. На этом, собственно, весь процесс конвертирования можно считать завершенным. Остается только сказать системе, что ей нужно использовать драйвер ext3. Для этого откройте в любом текстовом редакторе файл /etc/fstab, в котором вы должны увидеть примерно такую строку:

/dev/hda1 / ext2 defaults,usrquota,grpquota 1 1

Обычно она самая первая строка в файле. Эта строка означает, что корневая файловая система (/) расположена на устройстве /dev/hda1 и для нее используется драйвер ext2. Просто замените ext2 на ext3 и сохраните изменения. После этого можно перезагрузить компьютер. Аналогично вы можете конвертировать другие ext2-разделы: выполните команду tune2fs для каждого раздела и измените драйвер в файле /etc/fstab.

4.7. Использование программы fdisk

Программа fdisk для Linux используется при создании разделов под Linux. Естественно, ее можно использовать для создания разделов и других типов. Каждая операционная система имеет свою версию fdisk. При этом рекомендуется для создания разделов конкретной операционной системы использовать ее «родную» версию fdisk. Запуск fdisk производится следующим образом:

fdisk <диск>

Дальнейшее изложение материала будет построено на примере, в котором я буду издеваться над старым жестким диском, имеющем 683 цилиндра. Честно говоря, это устройство как-то страшно даже назвать жестким диском — скорее устройством, выполняющим его функции.

Итак, запускаем fdisk, указав параметр /dev/hda. Если этого не сделать, то вам придется созерцать недовольное ворчание программы по этому поводу — это вам не DOS.

# fdisk /dev/hda

Command (m for help):

Для получения справки можно ввести m. На экране вы увидите примерно следующее:

Command action

a toggle a bootable flag

d delete a partition

l list known partition types

m print this menu

n add a new partition

p print the partition table

q quit without saving changes

t change a partition's system id

u change display/entry units

v verify the partition table

w write table to disk and exit

x extra functionality (experts only)

Нам потребуются только команды p, n, q и w. Для начала распечатаем таблицу разделов:

Command (m for help): p

Disk /dev/hda: 16 heads, 38 sectors, 683 cylinders

Units = cylinders of 608 * 512 bytes

Device    Boot Begin Start End Blocks Id System

/dev/hda1 *    1     1     203 61693  6  DOS 16-bit >=32M

Здесь видно, что имеется один DOS-раздел приблизительно на 60 Мб (1 блок = 1024 байт). Этот раздел начинается с первого цилиндра и заканчивается на 203-ем. Всего на диске 683 цилиндра, т.е. для создания раздела Linux у нас осталось 480 цилиндров. Создаем новый раздел (команда n):

Command (m for help) : n

Command action

e extended

p primary partition (1-4)

p

Задаем тип создаваемого раздела (первичный или расширенный). Разница между первичным и расширенным разделами состоит в следующем:

1. Может существовать только 4 первичных раздела.

2. В первичных разделах могут храниться данные, а расширенный раздел также содержит информацию о разделах, которые находятся в нем.

В нашем примере будет 2 первичных раздела — один раздел для файловой системы Linux (Linux Native) и один раздел для подкачки (Linux Swap):

Partition number (1-4) : 2

First cylinder (204-683) : 204

Last cylinder or +size or +sizeM or +sizeK (204-683) : +80M

Номер первичного раздела — 2. Первый цилиндр — 204. Последний цилиндр вычисляется автоматически. Здесь можно ввести непосредственно номер последнего цилиндра, но это неудобно. Проще ввести размер в байтах +размер, в Кб или в Мб ( +размерКили +размер М соответственно).

Теперь создадим второй раздел для свопинга.

Command (m for help) : n

Command action

e extended

p primary partition (1-4)

p

Partition number (1-4) : 3

First cylinder (474-683) : 474

Last cylinder or +size or +sizeM or +sizeK (474-683) : +10M

По умолчанию fdisk создаст раздел типа Linux Native (81). Нам нужно изменить его на тип Linux Swap (82). Это можно сделать с помощью команды t, а с помощью команды l можно просмотреть доступные типы разделов. Теперь распечатаем таблицу разделов:

Command (m for help) : p

Disk /dev/hda: 16 heads, 38 sectors, 683 cylinders

Units = cylinders of 608 * 512 bytes

Device    Boot Begin Start End Blocks Id System

/dev/hda1 *    1     1     203 61693  6  DOS 16-bit >=32M

/dev/hda2      204   204   473 82080  81 Linux Native

/dev/hda3      474   474   507 10336  82 Linux Swap

Номера цилиндров 508…683 не использованы — здесь можно создать дополнительные разделы.

Далее нужно ввести команду w для того, чтобы записать таблицу разделов на диск:

Command (m for help) : w

До тех пор, пока вы не введете эту команду, ни одно из сделанных изменений не даст эффекта. Вы можете в любой момент выйти из программы без сохранения изменений, введя команду q.

Теперь, согласно традиции, нужно упомянуть о проблеме цилиндра с номером 1024. Старые версии Linux не могут загружаться с разделов на цилиндрах, номера которых превышают 1024. Поэтому раздел для корневой файловой системы нужно стараться разместить до цилиндра №1023. Однако использовать разделы на цилиндрах, номера которых превышают 1024, Linux может.

4.8. Программа Disk Drake

Программа Disk Drake обладает понятным графическим интерфейсом и запускается из-под X Window. Эта программа входит в состав инсталлятора Linux Mandrake, и именно ее вы используете, когда формируете разделы на вашем винчестере при установке этого дистрибутива. По своим возможностям она очень напоминает Partition Magic, да и интерфейс мало чем отличается. Вы можете создавать и удалять разделы, изменять размер и тип файловой системы. В состав Red Hat Linux входит всем известный Disk Druid. Программа похожа на Disk Drake, но, на мой взгляд, менее удобна.

Пусть я рискую показаться читателю аскетом, но я предпочитаю использовать программу fdisk. Что и вам советую, так как fdisk — стандартная программа и, вне зависимости с каким дистрибутивом работаете, вы всегда сможете выполнить любые операцию по переразбиению жесткого диска на разделы, используя fdisk. Согласен, fdisk не умеет изменять размер раздела без потери данных, но лучше уж уметь использовать fdisk, чем пытаться запустить Disk Drake, работая со Slackware…

4.9. Монтирование дисков. Файл/etc/fstab

Как уже отмечалось ранее, прежде чем использовать файловую систему, ее нужно примонтировать к основной файловой системе. Определим правила работы со сменными носителями (СН) данных (CDROM, Floppy, Zip) и монтируемыми файловыми системами (ФС):

1. Прежде чем использовать СН (или ФС), его нужно примонтировать к корневой файловой системе. Каталог, через который будет производиться доступ к файлам СН (ФС), называется точкой монтирования.

2. Если вы хотите сменить СН, его нужно размонтировать, сменить на новый и смонтировать заново.

3. Если вы не хотите использовать СН (ФС), его нужно размонтировать. При останове системы размонтирование производится автоматически.

4. Вы не можете размонтировать СН (ФС), который в данный момент используется.

Для монтирования ФС предназначена программа mount, для размонтирования — umount. Общий формат вызова (наиболее часто используемый) следующий:

mount –t fs_type device mount_point

В качестве параметра fs_type программы mount указывается тип подключаемой файловой системы, некоторые из которых я позволю себе еще раз напомнить в табл. 4.6.

Основные типы файловых систем Таблица 4.6

Следующим параметром является устройство (device). В качестве устройства выступает носитель данных, например /dev/hdd. Далее, наконец, задается сама точка монтирования (mount_point). Примонтировать файловую систему вы можете к любому каталогу корневой файловой системы. Я рекомендую создать подкаталог в каталоге /mnt с осмысленным именем и к нему подмонтировать нужную вам файловую систему. Например, для монтирования дисковода А: вы можете использовать следующую команду:

mount -t vfat /dev/fd0 /mnt/floppy

При этом считается, что дискета отформатирована для файловой системы vfat.

Для монтирования привода CD-ROM вы можете воспользоваться следующей командой:

mount –t iso9660 /dev/hdd /mnt/cdrom

Привод CD-ROM подключен ко второй шине IDE как ведомый (Secondary Slave).

Для размонтирования достаточно указать точку монтирования или устройство в качестве параметра команды umount. Например, команда

umount /mnt/floppy

размонтирует диск А:. Информация об устройствах, смонтированных на данный момент, содержится в файле /etc/mtab. Программа mount имеет опции, представленные в табл. 4.7.

Параметры программы mount Таблица 4.7

Вы можете комбинировать опции, например, команда mount –a –t vfat монтирует все ФС типа vfat. Список файловых систем, которые поддерживает ядро вашей системы, находится в файле /etc/filesystems или в файле /proc/filesystems.

Для того, чтобы файловая система монтировалась автоматически при загрузке системы, нужно внести определенную запись в файл /etc/fstab. Формат записей в этом файле следующий:

device mount_point f s_type options флаг_резервного_копирования флаг_проверки

где:

device — устройство, которое нужно подмонтировать;

mount_point — точка монтирования;

fs_type — тип файловой системы;

options — набор опций монтирования (см. табл. 4.8);

флаг_резервного_копирования — если установлена (1), то программа dump включит данную ФС в архив при создании резервной копии (дампа). Если установлен (0), то резервная копия ФС создаваться не будет;

флаг_проверки — этот флаг устанавливает порядок, в котором файловые системы при монтировании будут проверяться на наличие ошибок. Поиск и исправление ошибок при этом осуществляется специальной программой fsck, которая запускается сценарием инициализации системы. Этот флаг означает очередь, в которой будет проверяться данная файловая система. Если для нескольких файловых систем указан один и тот же номер, то эти файловые системы, при подходе очереди, будут проверяться одновременно. Правильная настройка флагов проверки позволяет ускорить загрузку. Корневая файловая система всегда должна иметь значение флага проверки (1), которое означает, что ее необходимо проверять первой. Для всех остальных файловых систем рекомендуется устанавливать значение (2), которое позволит произвести их проверку одновременно, сразу же после проверки корневой файловой системы. Значение (0) указывается для файловых систем, проверку которых производить не нужно. К таким ФС относятся съемные файловые системы (носители Floppy, CD-ROM, и т.д.).

Опции монтирования ФС в файле /etc/fstab Таблица 4.8

А сейчас я себе позволю несколько небольших комментариев относительно опций монтирования. Опцию noexec полезно устанавливать для файловых систем, в которых вы не предполагаете запускать программы. Ее полезно установить для файловой системы vfat:

запускать там нечего, а вот при копировании из нее файлов в файловую систему ext2 не будет устанавливаться право на выполнение только что скопированного файла. О правах доступа поговорим немного позже.

Если вы установите опцию noauto, данную систему нельзя будет подмонтировать с помощью опции –а программы mount. Команда mount –а обычно выполняется при запуске системы, а значит, данная файловая система не будет подмонтирована автоматически. Это очень полезно для сменных устройств, например, дискет или магнитооптических дисков, когда нужно просто задать какие-нибудь параметры для данной файловой системы, но не монтировать ее. Ведь при запуске системы в приводе может не оказаться дискеты или магнитооптического диска. Опция user позволяет пользователю монтировать данную файловую систему. Обычно она используется вместе с опцией noauto для сменных дисков. Пример файла конфигурации файловых систем /etc/fstab приведен в листинге 4.1.

Листинг 4.1. Файл /etc/fstab

/dev/hda1 / ext2 defaults 1 1

/dev/hda2 /den ext2 defaults 0 2

/dev/hda3 /home ext2 defaults 0 2

/dev/hda4 swap swap defaults 0 0

/dev/fd0 /mnt/floppy vfat noauto,noexec 0 0

/dev/hdd /mnt/cdrom iso9660 noauto,ro 0 0

none /proc proc defaults 0 0

В первой строке содержится запись, задающая параметры монтирования корневого раздела «/» и указывающая, что устройство /dev/hda1 имеет файловую систему ext2 и должно быть смонтировано со стандартным набором опций defaults, используемых по умолчанию. Кроме этого, в записи сказано, что необходимо создавать резервную копию данной файловой системы, и что устройство должно быть проверено на наличие ошибок при загрузке системы, причем в первую очередь.

Вторая и третья записи содержат информацию о том, что устройства /dev/hda2 и /dev/hda3 содержат файловую систему ext2 и должны быть смонтированы со стандартными установками в каталоги /den и /home соответственно. Резервные копии данных файловых систем создавать не нужно, а проверку при загрузке ОС необходимо производить во вторую очередь, причем одновременно обеих.

Четвертая строка содержит запись о параметрах монтирования раздела подкачки (swap). Для этого, а также для всех последующих разделов указано, что не надо ни создавать их резервную копию, ни производить их проверку при загрузке.

В пятой и шестой строках монтируются устройство чтения дискет (Floppy) и CD-ROM. Последняя строка файла /etc/fstab определяет специальную файловую систему /proc, которой вообще не ставится в соответствие никакое устройство (none). Файловая система /proc предназначена для обеспечения интерфейса взаимодействия с внутренними структурами данных ядра.

В процессе настройки вы, наверное, заметите, что при монтировании файловой системы vfat вместо русских букв отображается не совсем то, что вам бы хотелось. Например, в лучшем случае вместо имени каталога Мои документы вы увидите ??? ??????????. Для перекодирования русскоязычных (и не только) имен файлов из одной кодировки в другую используются опции монтирования iocharset и codepage. Непосредственно для vfat нужно указать: codepage=866, iocharset=koi8-r

4.10. Создание раздела (файла) подкачки

Рано или поздно при работе с Linux вам станет недостаточно оперативной памяти: потребности растут, а возможности (оперативная память) остаются прежними. В этом случае нужно купить дополнительные 128...256 Мб, тем более, что цены на память постоянно снижаются. Временным выходом из данного положения может послужить создание дополнительного файла или раздела подкачки. Еще раз замечу, что для Linux нет разницы, с чем работать: с файлом или с разделом.

Создайте раздел подкачки с помощью fdisk (тип раздела 82) и используйте команду mkswap, чтобы отформатировать его как раздел подкачки. Формат использования команды mkswap следующий:

mkswap –с раздел размер

Например, следующая команда создаст раздел свопинга размером 32 Мб (параметр –с используется для проверки «плохих» блоков):

mkswap –с /dev/hda3 32768

Если лишний раз переразбивать жесткий диск вам лень, можно создать не раздел, а файл подкачки, который будет впоследствии использоваться в качестве раздела подкачки. Для этого сначала создайте пустой файл /swap/sw-file (размер 32 Мб) с помощью команды dd:

dd if=/dev/zero of=/swap/sw-file bs=1k count=32768

После этого отформатируйте данный файл под своп:

mkswap /swap/sw-file 32768

Заметьте, что никто вам не мешает создать в этом файле файловую систему и использовать ее, например:

mke2fs –m 0 /swap/sw-file

затем:

mount –t ext2 /mnt/disk1 /sw/sw-file

Параметр –m задает процент блоков, которые будут зарезервированы для суперпользователя (по умолчанию — 5%).

После создания раздела (файла) подкачки, его нужно активизировать. Команда swapon –а включает все разделы свопинга (описанные в файле /etc/fstab), а команда swapon <раздел> включает только конкретный раздел. Команда swapon –а обычно помещается в сценарий загрузки системы. Обычно это /etc/re.d/rc.sysinit для систем, использующих инициализацию типа SysV — RedHat, Mandrake, Debian (хотя RedHat и Mandrake используют несколько модифицированную схему инициализации, но суть та же) или /etc/rc/rc.s для BSD-подобных Linux-систем (Slackware).

В рассматриваемом случае для подключения раздела подкачки нужно выполнить команду swapon /dev/hda3, а для подключения файла подкачки необходимо выполнить команду swapon /swap/sw-file.

Обратите внимание, что файл подкачки не может быть автоматически активизирован с помощью команды swapon –а, так как он не может быть указан в файле /etc/fstab. Для того, чтобы файл подкачки /swap/sw-file автоматически активизировался при загрузке системы, команду swapon /swap/sw-file нужно включить в сценарий загрузки после команды swapon –а. В противном случае вам придется эту команду вводить каждый раз вручную после загрузки системы. 

Убедиться, что ваш файл (раздел) подкачки активизирован, можно, выполнив команду free (см. рис. 4.3). Команда free выводит информацию об использовании памяти, в том числе и о виртуальной. В колонке total выводится общий размер памяти и подкачки (Mem и Swap соответственно), в колонке used — размер занятой памяти, a free — свободной.

 Рис. 4.3. Создание и активизирование файла подкачки

После активизирования файла (раздела) подкачки общий размер свопа (Swap Total) должен увеличиться на размер только что активизированного раздела — в нашем случае на 32 Мб.

4.11. Использование LILO

Linux LOader (LILO) — программа, предназначенная для загрузки Linux и других операционных систем.

Существуют другие загрузчики, например, bootlin, bootact, bootstar, но они постепенно вытесняются LILO. Помимо LILO Linux еще можно загрузить с помощью loadlin, GRUB (загрузчик в Linux Mandrake) или NTLoader. Об использовании NTLoader и программы loadlin уже писалось ранее, во второй главе. Рассмотрим теперь подробнее LILO. Загрузчик LILO состоит из трех частей:

1. Программа записи начального загрузчика lilo.

2. Программа конфигурации liloconf.

3. Файл конфигурации /etc/lilo.conf.

Программа liloconf создает файл /etc/lilo.conf, который используется программой lilo для записи начального загрузчика. Обычно LILO записывают в MBR (Master Boot Record). Но иногда LILO устанавливают на первый сектор того раздела, где установлен Linux. Второй способ обычно используется, если нужно обеспечить загрузку Linux:

1. С помощью другого загрузчика, например, NTLoader.

2. На старых машинах без поддержки LBA.

При загрузке компьютера LILO выдает подсказку:

LILO

или

LILO boot:

После чего нужно ввести метку той операционной системы, которую вы хотите загрузить. Для загрузки Linux обычно следует ввести linux. Для просмотра всех доступных меток нажмите «Tab». Современные версии LILO обычно имеют удобное меню. Выбор меток осуществляется с помощью стрелок.

Иногда на экран только выдается подсказка:

LILO

Чтобы выбрать ядро, нужно нажать клавишу «Shift», после чего появится подсказка:

LILO boot:

и только теперь можно нажать «Tab». Если вы введете команду help, то получите список всех команд LILO.

Поведение LILO зависит от его настройки в файле /etc/lilo.conf, который является конфигурационным файлом LILO. При запуске Linux можно передать ядру дополнительные параметры, например mem=1024M устанавливает объем ОЗУ равным 1024 Мб. При этом можно самим сформировать строку параметров и записать ee в lilo.conf — эта строка будет передана ядру при загрузке Linux. С помощью LILO можно организовать загрузку других операционных систем (Windows, FreeBSD, …) и загрузку разных версий ядра одной ОС (имеется в виду Linux). В листинге 4.2 приведен пример файла /etc/lilo.conf.

Листинг 4.2. Пример конфигурационного файла/etc/lilo.conf

# Операционная система: Linux Mandrake

# LILO version: 21.5

# Глобальные опции

# Загрузочное устройство (MBR на /dev/hda)

boot=/dev/hda

# «Карта» загрузки. Если этот параметр пропущен,

# используется файл /boot/map

map=/boot/map

# Устанавливает заданный файл как новый загрузочный сектор.

# По умолчанию используется /boot/boot.b

install=/boot/boot.b

#  compact — не используйте этот режим. Обычно он

#  используется при загрузке с дискеты

#  Режим VGA: normal – 80x25, ext – 80x50

vga=normal

#  Образ ядра по умолчанию. Если не задан, то используется

#  первый в списке

default=linux

# Раскладка клавиатуры

keytable=/boot/ru4.kit

# Включен режим LBA32. На некоторых дисках может вызвать проблемы

# Обычно проблемы возникают на старых

# компьютерах без поддержки трансляции блоков (LBA)

lbа32

# Включает ввод приглашения без нажатия на какую-нибудь клавишу.

# Автоматическая загрузка невозможна, если prompt установлен, а

# timeout — нет

prompt

# Задержка 5 секунд (в некоторых версиях используется delay)

timeout=50

# Подсказка, которая выдается при загрузке

message=/boot/message

# Цветовая схема

menu-scheme=wb:bw:wb:bw

# Пароль (ко всем образам)

# password = 54321

#   

# Пароль нужен для загрузки образа, если параметры задаются

# в командной строке (для всех образов)

# restricted

# Список образов. Максимум 16 вариантов

image=/boot/vmlinuz # ядро

label=linux # метка (метки должны быть разными)

root=/dev/hda5 # корневая файловая система

 append=" mem=64M" # объявление параметров ядра

 vga=788

 read-only # монтирование корневой

# файловой системы в режиме «только чтение»

# Параметры vga, password, restricted могут быть как глобальными,

# так и отдельными для каждого образа.

# Т.е. вы можете закрыть паролем определенный образ

image=/boot/vmlinuz # image — для Linux-систем

  label=linux-nonfb

  root=/dev/hda5

  append=" mem=64M"

  read-only

image=/boot/vmlinuz

  label=failsafe

  root=/dev/hda5

  append=" mem=64M failsafe"

  read-only

other=/dev/hda1 # other — какая-нибудь другая система

  label=windows # для не Linux-систем параметр root не указывается

  table=/dev/hda # определяет устройство, содержащее таблицу разделов

other=/dev/fd0

  label=floppy

  unsafe # не давать доступ к boot-сектору во время создания

# карты диска. Запрещает проверку таблицы разделов

# Параметры table и unsafe несовместимы.

При конфигурировании LILO вы можете дополнительно использовать следующие опции:

Параметры: <port> [,bps[parity [bits]] ]

Параметры по умолчанию: 0,2400n8.

Опции append, ramdisk, read-only, read-write, root, vga могут быть заданы в разделе глобальных параметров. Они будут использованы, если они не заданы в конфигурационных секциях.

Программу LILO можно использовать вместе с параметрами, указанными в табл. 4.9. Эти параметры указываются в командной строке.

Параметры программы LILO Таблица 4.9

Два небольших замечания:

1. Программа chroot, как вы уже заметили, используется для изменения корневой файловой системы.

2. Удалить LILO можно и с помощью команды DOS fdisk /mbr.

Параметр –q загрузчика LILO выводит карту загрузки системы. Обычно карта загрузки отображается при записи загрузчика LILO, например: linux * windows

Если вам нужно просмотреть текущую карту загрузки без записи загрузчика, выполните команду lilo –q.

Кроме LILO сейчас популярен загрузчик GRUB. В Linux Mandrake этот загрузчик используется по умолчанию, хотя я рекомендую вам сменить его на стандартный загрузчик Linux — LILO. GRUB «видит» такие файловые системы: ext2, ext3, ReiserFS, vfat и еще несколько других. Одной из особенностей загрузчика GRUB является возможность загружать операционную систему, которая не присутствует в меню.

Следует также упомянуть такие загрузчики:

4.12. Права доступа

Для каждого файла и каталога в ОС Linux задаются права доступа. Права доступа определяют, кто имеет доступ к объекту и какие операции над объектом он может выполнять. Под объектом следует понимать файл или каталог. Выполнять можно три основных операции: чтение, запись и выполнение.

Право на чтение файла означает, что его можно просматривать и печатать, а для каталога — что может отображаться список содержащихся в нем файлов. Право на запись для файла означает возможность его редактирования, а для каталога — возможность создания и удаления в нем файлов.

Если для файла установлено право выполнения, то его можно запускать как программу. Данная возможность используется при написании сценариев командных интерпретаторов. Право выполнения для каталога означает право доступа к каталогу, но не право на выполнение расположенных в нем файлов, как это может показаться исходя из названия режима доступа. Чтобы разобраться с правом выполнения для каталогов, проведите небольшой эксперимент, выполнив несколько описанных далее действий. Все действия нужно проводить от имени обыкновенного пользователя, а не от имени суперпользователя root.

Создайте каталог:

mkdir dir1

Затем создайте в нем файл script:

#!/bin/sh echo "Hello"

Измените права на чтение и выполнения для файла:

chmod 500 dir1/script

Попробуйте просмотреть содержимое каталога dir1:

ls –l dir1

А теперь измените права доступа к каталогу и повторите предыдущий шаг:

chmod 600 dir1

ls –l dir1

Как результат установленных прав на чтение и запись для каталога вы получите сообщение:

Permission denied

Теперь попробуйте записать что-нибудь в каталог (мы же установили право на запись):

cat >> dir1/script

Получите то же сообщение:

Permission denied

В общем случае существует три категории пользователей: владелец, группа и прочие.

Владелец — пользователь, создавший файл. Само собой разумеется, для того, чтобы создать файл, вы должны иметь право записи в каталог, в котором вы создаете файл. При создании файла обычно устанавливаются права на чтение и запись для владельца, и только чтение для всех остальных пользователей.

Пользователи объединяются в группы, например, для работы над одним проектом. Владелец может разрешить или запретить доступ к файлам для членов группы.

Прочие — это все остальные пользователи.

Для каждой категории имеется свой набор прав доступа, просмотреть который вы можете с помощью команды ls –l:

ls –l file.txt

-rw-r----- 1 den group 300 Feb 10 12:00 file.txt

Строка –rw-r–---- характеризует набор прав доступа к файлу file.txt.

Владельцем файла является пользователь den, который входит в группу group. Первый символ — это тип файла. «-» означает файл, a «d» — каталог. Следующие три символа «rw-» задают права доступа для владельца файла. Символ «r» — это право на чтение, «w» — на запись, а «х» — на выполнение. Права задаются именно в таком порядке: чтение, запись, выполнение. Если право на какой-нибудь вид доступа отсутствует, то ставится «-». В данном случае отсутствует право на выполнение.

Второй трёхсимвольный набор задает права доступа для группы, а третий — для прочих пользователей. В нашем примере (r--) члены группы имеют право только на чтение, а другие пользователи вообще не имеют никакого доступа к файлу (---).

Для изменения прав доступа используется программа chmod. При этом права доступа можно задавать двумя способами: символьным и абсолютным. Рассмотрим сначала символьный метод, а потом — абсолютный.

В рамках символьного способа изменения прав вызов программы chmod имеет следующий вид:

chmod права <файл|каталог>

Параметры программы chmod указаны в табл. 4.10.

Права доступа (символьный метод) Таблица 4.10

Бит смены идентификатора пользователя или группы является вариантом права выполнения х. Право на чтение, запись и выполнение обозначается в этом случае не rwx, a rws. Так называемый sticky-бит позволяет оставить программу в памяти после ее выполнения. Устанавливать этот бит полезно для маленьких и часто используемых программ, чтобы ускорить их запуск.

Программа chmod никогда не изменяет права символических ссылок, но это не является особой проблемой, так как права ссылок никогда не используются. Изменить группу файла можно командой chgrp, а владельца — chown.

Теперь перейдем к абсолютному методу указания прав доступа, который, как мне кажется, несколько удобнее, чем символьный, поскольку не нужно помнить символику прав доступа. Этот метод еще называют методом двоичных масок.

Для изменения прав доступа абсолютным методом используется та же команда chmod:

chmod число <файл|каталог>

Число называется маской прав доступа и представляет собой число в восьмеричной системе, задающее наборы прав доступа. Напомню, что восьмеричная система — это система с основанием 8 (см. табл. 4.11). Не спешите переворачивать страницу, услышав слово «восьмеричная», все на самом деле намного проще, чем звучит.

Каждое число, задающее права доступа, состоит из трех разрядов, например, 760:

7 — первый разряд;

6 — второй разряд;

0 — третий разряд.

Первый разряд задает права доступа для владельца файла, второй — для группы, третий — для остальных пользователей. Одному разряду восьмеричной системы соответствует три разряда в двоичной.

Соответствие разрядов восьмеричной системы разрядам в двоичной системе Таблица 4.11

Каждый двоичный разряд задает соответствующий ему тип доступа: первый — чтение, второй — запись, третий — выполнение. Будем считать, что разряды нумеруются слева направо. 0 — если данная операция запрещена, а 1 — если разрешена. Теперь все становится на свои места, например, право доступа, задаваемое числом 777 (111111111) означает право на чтение, запись и выполнение для всех пользователей.

Наиболее часто используется маска 644, разрешающая чтение и модификацию файла для владельца, и только чтение — для других пользователей. Иногда используется набор прав доступа, состоящий из четырех цифр. Старшая цифра обозначает флаги SETUID (4), SETGID (2), sticky-бит (1).

Какие же права доступа будут у только что созданного каталога командой mkdir? Обычно маска прав доступа равна 0777 минус значение, выводимое командой umask. Значение, выводимое командой umask, обычно равно 022. Следовательно, маска прав доступа будет равна 0777 – 0022 = 0755. И действительно, создайте каталог и введите команду ls –l:

mkdir new

ls –l

…

drwxr-xr-x 2 den den 4096 Янв 14 14:30 new/

…

Набор rwx (111) равен семи, а набор r-x (101) равен пяти в восьмеричной системе. Получается, что маска доступа к новому каталогу = 755. Установить значение umask можно с помощью самой этой команды. Просто выполните команду umask 000 от имени суперпользователя и вы установите новое значение, равное нулю. Обратите внимание, команда mkdir автоматически устанавливает право выполнения (доступа) для каталога, иначе к каталогу нельзя будет получить доступ.

 Кроме рассмотренных выше прав доступа в системе Linux имеются еще два специальных права доступа — SUID (Set User ID root) и SGID (Set Group ID root). Их существование связано с тем, что некоторые программы (pppd, smbmount, SVGA-программы) требуют для своей работы привилегий пользователя root.

Допустим, что вы хотите, чтобы другие пользователи могли устанавливать РРР-соединение, для этого нужно установить право доступа SUID для программы-демона /usr/sbin/pppd. Делается это так:

chmod u+s /usr/sbin/pppd

После этого демон pppd будет запускаться с привилегиями root, даже если он запущен самым обыкновенным пользователем. Запуск pppd в таком режиме необходим для того, чтобы обыкновенный пользователь смог настроить необходимые интерфейсы и таблицу маршрутизации ядра, то есть подготовить систему для РРР-соединения. Обычно на такие изменения (изменение таблицы маршрутизации ядра, конфигурирование интерфейсов) есть право только у пользователя root.

То же самое можно сказать и о программе smbmount — для ее работы тоже нужно установить право доступа SUID.

Казалось бы, все хорошо: и пользователи довольны, и вам не нужно каждый раз подходить к серверу, если нужно установить коммутируемое соединение или примонтировать общий ресурс. Однако следует учитывать, что программы, требующие установления SUID (или SGID) для своей работы являются потенциальными дырами в системе безопасности. Представьте такую ситуацию: у вас в системе установлена программа superformat, которая предназначена для форматирования дисков. Создание файловой системы, пусть даже на дискете, — это привилегированная операция, требующая права доступа root. При установке этой программы для нее сразу устанавливается право SUID, чтобы разрешить пользователям форматировать дискеты. Пользователь запускает ее для форматирования диска. Программа запускается, получает права root, форматирует дискету и нормально завершает работу. А теперь представим, что программа некорректно завершает свою работу — по ошибке, например, произошло переполнение стека (такие случаи известны при работе с этой программой). Что же при этом произошло: программа supermount получила права root и некорректно завершила работу. В результате чего обыкновенный пользователь получил права root! Неквалифицированный пользователь с правами root — это намного хуже, чем просто крах системы. Нельзя с уверенностью сказать что произойдет, если пользователь получит права root. Выходит, что не нужно быть профессиональным хакером — достаточно просто уметь форматировать дискеты.

Помните о потенциальной опасности при работе с такими программами и, по возможности, избегайте использования прав SUID и SGID.

Ради справедливости нужно заметить, что ряд системных программ (в частности pppd) разрабатывался с учетом прав SUID и SGID, и эти программы являются максимально защищенными, хотя полной уверенности в этом нет. Поэтому использовать право SUID нужно только в самых крайних случаях.

 Я позволю себе сделать еще несколько замечаний относительно прав доступа SUID и SGID:

1. Лучше не использовать программы, требующие привилегированные права доступа, на сервере, точнее, не разрешать обыкновенным пользователям их использовать. Использование права доступа SUID вы можете себе позволить только на своей домашней машине, например, для установления того же коммутируемого соединения, чтобы каждый раз при подключении к Интернет не вводить команду su.

2. Если все-таки нужны привилегированные права, используйте программу sudo (или su). Конечно, это не так удобно, но зато гораздо безопаснее.

3. Перед использованием программ, требующих права доступа root, убедитесь в их надежности. Если программа получена из ненадежного источника, лучше ее не использовать. Под надежным источником подразумеваются сайты или FTP-серверы разработчиков дистрибутивов Linux. Желательно получить исходный код такой программы, чтобы убедиться, что она не производит каких-либо несанкционированных действий.

4. Нет ни одной причины, по какой нужно было бы разрешить использование SUID-программ в домашних каталогах пользователей. Для разделов, в которые разрешена запись обыкновенным пользователям, установите опцию nosuid в файле /etc/fstab.

4.13. Обслуживание файловой системы

Обслуживание файловой системы в ОС Linux сводится к двум операциям:

1. Проверка.

2. Дефрагментация.

Проверка и восстановление файловой системы Linux выполняется программой fsck. Перед проверкой файловая система должна быть смонтирована в режиме «только чтение».

Программа fsck умеет проверять и другие типы файловых систем, но для исправления ошибок лучше использовать родные для этой файловой системы программы, предназначенные для проверки и исправления ошибок. Программа fsck автоматически проверяет файловые системы при загрузке Linux в соответствии с указаниями, содержащимися в файле etc/fstab. Для программы fsck можно использовать опции, указанные в табл. 4.12.

Параметры программы fsck Таблица 4.12

Дефрагментация

Для повышения производительности файловой системы я использую программу defrag, написанную Полем Харгровом (Paul H. Hargrove, [email protected]). Программа умеет проверять файловые системы типов ext2, minix, xia.

4.14. Подключение магнитооптического диска

Я решил написать этот раздел в силу большой распространенности магнитооптических дисков. Первые магнитооптические диски подключались к контроллеру SCSI, что не способствовало их широкому распространению из-за довольно высокой стоимости. После выпуска первых устройств с интерфейсом IDE цены на магнитооптические устройства значительно снизились.

Подключение магнитооптического привода подобно подключению жесткого диска. При этом следует помнить простое правило: не нужно подключать к одной шине магнитооптический привод и жесткий диск. Логика проста: магнитооптические диски обладают довольно низкой производительностью по сравнению с жестким диском, и использование двух этих устройств на одной шине снизит общую производительность дисковой подсистемы.

После подключения не забудьте выполнить процедуру AUTODETECT для данного устройства. ОС Linux определит магнитооптический привод как обыкновенный жесткий диск с интерфейсом IDE. Если вы поспешили и, запустив Windows, чтобы полюбоваться новой буквой в списке доступных дисков, отформатировали ваш магнитооптический диск, то, скорее всего, в Linux он будет работать некорректно. Для обеспечения нормальной работы магнитооптического привода в Linux запустите fdisk для linux и удалите все разделы, которые создала Windows. Затем создайте один первичный раздел и командой t измените его тип на FAT32.

Хочу отметить, что FAT32 может работать довольно медленно, но позволит сэкономить около 80 Мб дискового пространства при использовании магнитооптического диска размером 640 Мб.

4.15. Использование стримера

4.16. Стратегия резервного копирования

Успешно, во всяком случае, я на это надеюсь, разобравшись с технической стороной создания резервных копий, переходим к организационным вопросам. А именно, вам нужно определиться с ответами на следующие вопросы:

1. Какая информация будет резервироваться (архивироваться)?

2. Когда будет происходить создание резервных копий?

3. Кто этим будет заниматься?

4. Как часто будет производиться архивирование?

Какая информация будет резервироваться (архивироваться)?

В первую очередь вам нужно архивировать данные пользователей, то есть каталог /home. Эти данные относятся к наиболее критичной категории данных. Восстановить систему вы сможете в течение максимум двух-трех часов, а вот данные пользователей уже не восстановишь…

На втором месте — это файлы настройки системы, находящиеся в каталоге /etc. Архивирование этих данных позволит существенно сэкономить время, которое вам потребуется на восстановление системы после сбоя.

И, наконец, на третьем месте — это дистрибутивы программ, которые не входят в состав дистрибутива Linux. Эти данные, как правило, не нуждаются в частом обновлении.

Конечно, можно создать полную копию всей корневой файловой системы, но в результате вы получите один большой архив, на обновление которого будет затрачена уйма времени.

Когда будет происходить создание резервных копий?

Самое удачное время для этого мероприятия — ночь. Почему именно ночь?

1. Систему можно настроить на автоматическое обновление архива.

2. Операция архивирования, как правило, не требует вмешательства оператора.

3. Вряд ли пользователи будут довольны дополнительной нагрузкой на систему в рабочее время.

4. Существует вероятность того, что в конце дня данные на жестком диске изменятся, а так как копия создавалась днем или утром, то новые данные не попадут в архив.

Еще следует учитывать, что если вы используете стример с интерфейсом FDC, средняя скорость архивирования которого составляет 4 Мб/мин, то для архивирования 1 Гб вам потребуется около 4 часов. Для использования сжатия данных потребуется дополнительное время. Также нужно помнить о необходимости смены кассет с лентой, но при использовании стримера с интерфейсом FDC и лентой на 1 Гб об этой проблеме можно забыть: при использовании сжатия вы сможете поместить на ленту около 2 Гб, а весь процесс займет около 6 часов. А в случае со стримером SCSI процесс архивирования займет не более часа и его можно выполнить в конце рабочего дня.

Кто этим будет заниматься?

В случае, если процессу архивации подлежит ваш домашний компьютер, то этой ответственной задачей будете заниматься вы сами. На предприятии (особенно большом) необходимо определить, кто будет архивировать данные с каждого сервера сети: не будете же вы бегать по зданию со стримером, контролируя процесс создания резервных копий? В идеале, за каждым сервером должен быть закреплен человек, ответственный за процесс создания архива и поддержанию его в должном состоянии.

Как часто будет производиться архивирование?

Для ответа на этот вопрос я предлагаю к вашему рассмотрению шестидневную схему архивации. Для этого вам потребуется шесть кассет (или шесть магнитооптических дисков, но помните о максимальной емкости магнитооптического диска). На этих кассетах сделайте надписи: Пт1, Пт2, Пн., Вт., Ср., Чт. Начните создание копий в пятницу вечером и придерживайтесь расписания, приведенного в табл. 4.14.

Расписание резервного копирования Таблица 4.14

4.17. Использование программы cpio

Для создания архивов на магнитной ленте или жестком диске, а также для извлечения файлов из архивов используется программа cpio.

Программа cpio может работать в трех оперативных режимах. При этом режим работы задается указанной опцией. Помимо опций могут использоваться параметры, которые управляют работой cpio в заданном режиме. Формат вызова программы cpio зависит от режима, в котором она должна работать. Опции программы и соответствующий им формат вызова представлены в табл. 4.15, а параметры — в табл. 4.16.

Опции программы cpio Таблица 4.15

Параметры программы cpio Таблица 4.16

Давайте рассмотрим несколько примеров использования программы cpio. Создать архив можно с помощью опции –о программы cpio. Программа cpio будет читать имена файлов, которые следует поместить в архив со стандартного ввода. По умолчанию используется бинарный формат архива, поэтому формат архива нужно задать опцией –Н. Будем использовать формат tar. Введите команду:

cpio –о –Н tar –О arc.tar

Затем введите имена файлов, которые вы хотите добавить в архив, например:

/opt/ctrl/ctrl.с

/opt/ctrl/ctrl.html

По окончании ввода будет создан архивный файл arc. tar. Программа cpio создаст архив с сохранением структуры каталогов. Чтобы убедиться в этом, запустите файловый менеджер mc и просмотрите содержимое архива arc.tar.

Конечно, вводить имена файлов вручную не совсем приятное занятие. Для автоматизации ввода можно использовать средства перенаправления ввода/вывода. Например, для архивирования текущего каталога введите команду:

ls | cpio –о –Н tar –О current_dir.tar

Для извлечения файлов из архива введите команду:

cpio –i –H tar < current_dir.tar

В режиме извлечения файлов программа cpio читает со стандартного ввода имя архива.

4.18. Повышение производительности жесткого диска

Существенно повысить производительность жесткого диска поможет программа hdparm. Я увеличил скорость операции чтения своего жесткого диска Quantum Fireball ATA66 с 3,75 Мб/с до 14 Мб/с, а жесткий диск IBM АТА100 (модель точно не помню) удалось «разогнать» до 30,1 Мб/с!

Рассмотрим использование программы hdparm на примере. Для начала запустим ее в режиме теста, зарегистрировавшись в системе как root:

# hdparm –t /dev/hda

Timing buffered disk reads: 64 MB in 17.08 seconds = 3.75 MB/sec

Взглянув на отображенную информацию, можно заметить: «Маловато, однако». Чтобы понять, почему так получается, введем команду:

# hdparm /dev/hda

и получим в ответ

/dev/hda:

multcount = 0 (off)

I/O support = 0 (default 16-bit)

unmaskirq =0 (off)

using_dma = 0 (off)

keepsettings = 0 (off)

nowerr = 0 (off)

readonly = 0 (off)

readahead = 8 (on)

Из этого можно сделать вывод, что все параметры выключены и используется шестнадцатиразрядный доступ к диску. Давайте попробуем немного «разогнать» наш жесткий диск.

# hdparm –dlm2c3ul /dev/hda

Теперь разберемся, что же мы сделали этой командой. Во-первых, мы включили DMA, затем разрешили передавать более одного слова за такт, а также включили тридцатидвухбитный доступ к диску (команда с). Кстати, параметр ul полезен и в тех случаях, когда у вас начинает «заикаться» xmms во время прослушивания музыки.

Вот теперь опять запустим hdparm в режиме теста. В зависимости от жесткого диска у нас должно получиться не менее 14 Мб/с. Думаю, по сравнению с предыдущим показателем разница существенна.

Можно использовать параметры Х33 и Х66 для включения режимов передачи данных UDMA33 и UDMA66 соответственно. Если при использовании режимов Х33 и Х66 производительность снизилась, используйте режим Х68. Для сохранения параметров контроллера IDE используйте команду:

# hdparm –k 1 /dev/hda

При перезагрузке системы параметры IDE теряются, поэтому команду «разгона» винчестера нужно поместить в сценарий запуска системы. Сценарии загрузки рассматриваются в следующей главе. Сейчас просто добавьте команду вызова hdparm в файл /etc/rc.d/rc.local. Этот способ является наиболее универсальным, поскольку он позволяет установить отдельные параметры для разных жестких дисков, если у вас их несколько. Второй, менее универсальный, способ заключается в редактировании файла /etc/sysconfig /harddisks, в котором можно задать общие параметры для всех жестких дисков.

Есть еще один «подводный камень», который состоит в следующем: при пробуждении системы в нормальное состояние после «сна» параметры контроллера также сбрасываются. Этого можно избежать, если подправить файл конфигурации демона apmd, который отвечает за управление питанием. Параметры контроллера IDE, которые устанавливаются при переходе системы в «спящий» режим и выходе из него, задаются строками HDPARM_AT_SUSPEND и HDPARM_AT_RESUME в файле конфигурации /etc/sysconfig/apmd.

Файлы конфигурации, расположенные в каталоге /etc/sysconfig, имеются только в системах, подобных Red Hat — это Red Hat Linux, Mandrake Linux, SuSE Linux, ASP Linux, Back Cat Linux, ABI Linux и другие.

С помощью команды hdparm можно не только повысить скорость обмена данными, но, как вы заметили, и снизить ее. Особенно это полезно при прослушивании аудио компакт-дисков. В самом деле, зачем прослушивать аудио компакты на приводе 52х? К тому же высокоскоростной CDROM слушком шумит. «Притормозить» привод можно такой командой:

# hdparm –Е 2 /dev/hdd

В данном примере мы устанавливаем вторую скорость, то есть 300 Кб/с.

4.19. Создание массивов RAID

Идея надежности хранения данных волновала, волнует и будет волновать не одно поколение системных администраторов и пользователей. Используемые в ОС Linux файловые системы ext2 и ext3 обладают достаточной степенью надежности, но зачастую этого мало.

Если существует вероятность потерять данные в результате выхода из строя жесткого диска, то единственным выходом из данной ситуации является использование массивов жестких дисков RAID. RAID (Redundant Array of Independent Disk или Redundant Array of Expensive Disk) — матрица независимых дисков с избыточностью. Под избыточностью подразумевается резервирование и дублирование данных. В зависимости от уровня RAID, предоставляются различные способы объединения дисков в массив (см. табл. 4.17).

Наиболее часто используются массивы уровней 0,1 и 5. Иногда встречаются комбинированные способы объединения данных в массив, например, 5+1.

Уровни RAID Таблица 4.17

Организация массива RAID доступна не каждому из-за все еще высокой стоимости на контроллеры RAID. Хотя производители материнских плат пытаются поправить это, выпуская материнские платы со встроенными контроллерами RAID, но такие контроллеры довольно неуниверсальны и обладают слабыми возможностями.

ОС Linux поддерживает программные контроллеры RAID. Применение программных контроллеров имеет как свои преимущества, так и недостатки. К достоинствам относится возможность использования дисков с различными интерфейсами, например, SCSI и IDE, для организации массива — программному контроллеру все равно, с чем работать. Недостатком является дополнительная нагрузка на центральный процессор — он выполняет всю работу по обеспечению функционирования массива RAID.

Итак, приступим к созданию массива RAID. Вам потребуется любой дистрибутив с поддержкой программного контроллера RAID (Software RAID). Такой возможностью обладают практически все современные дистрибутивы. Для включения поддержки RAID вам нужно перекомпилировать ядро. Если ваше ядро поддерживает RAID, при загрузке системы вы должны увидеть примерно следующее:

md driver 0.90.0 MAX_MD_DEVS=256, MAX_REAL=12

raid5 : measuring checksumming speed

raid5: MMX detected, trying high-speed MMX checksum routines

 pII_mmx : 980.694 MB/sec

 p5_mmx : 999.744 MB/sec

 8regs : 753.237 MB/sec

 32regs : 444.246 MB/sec

using fastest function: p5_mmx (999.744 MB/sec)

md.c: sizeof(mdp_super_t) = 4096

Partition check:

hda: hda1 hda2 < hda5 hda6 hda7 hda8 >

autodetecting RAID arrays

autorun . ..

. . . autorun DONE.

Если перезагружать систему вам не хочется, проверить поддержку RAID вы можете с помощью команды:

dmesg | less

Программа dmesg выводит на стандартный вывод сообщения ядра во время загрузки системы.

Включить поддержку RAID можно в разделе Block device конфигуратора ядра (make menuconfig). Данная опция называется RAID n support, где n — это номер уровня массива RAID. После этого нужно установить пакет raidtools, в состав которого входят программы raidhotadd, raidhotremove, mkraid и другие.

Для организации массива уровня RAID 1 нужно выделить два раздела и изменить тип этих разделов на Linux raid autodetect. Обратите внимание, я написал «два раздела», а не «два диска», так как конфигурируется программный контроллер. Конечно, лучше, чтобы эти разделы располагались на разных дисках, в противном случае от нашего массива будет мало толку.

Теперь отредактируйте файл /etc/raidtab (см. листинг 4.3).

Листинг 4.3. Файл/etc/raidtab (уровень 1)

# Имя устройства RAID

raiddev /dev/md0

# Уровень

raid-level 1 chunk-size 8 persistent-superblock 1

# Число дисков в массиве

nr-raid-disk 2

# Число дисков, которые будут использоваться в качестве замены, если

# один из дисков выйдет из строя

nr-spare-disk 0

# Определяем первый диск RAID

device /dev/hdb1

raid-disk 0

# Определяем второй диск RAID

device /dev/hdc1

raid-disk 1

После этого нужно создать устройство /dev/md0, для чего выполните следующую команду:

mkraid /dev/md0

В некоторых случаях нужно будет использовать дополнительные параметры, о которых вы можете прочитать в справочной системе (man mkraid). В случае, если инициализация прошла успешно, в файле /proc/mdstat вы увидите примерно следующее:

Personalities: [raid1]

read_ahead 1024 sectors

md0: active raid1 hdc1[1] hdb1[0]

Теперь рассмотрим, как создать массив уровня RAID 5. Для этого используйте конфигурационный файл, текст которого приведен в листинге 4.4.

Листинг 4.4. Файл/etc/raidtab (уровень 5)

raiddev /dev/md0

raid-level 5

nr-raid-disk 3

nr-spare-disk 0

persistent-superblock 1

parity-algorithm left-symmetric

chunk-size 64

device /dev/hdb1

raid-disk 0

device /dev/hdc1

raid-disk 1

device /dev/hdd1

raid-disk 2

После успешной инициализации вы можете использовать массив как один самый обыкновенный диск, то есть создавать и удалять разделы, монтировать эти разделы к корневой файловой системе.

Для извлечения диска из массива используется команда raidhotremove. Извлечение может понадобиться, если один из дисков вышел из строя. В этом случае я рекомендую использовать диски с возможностью «горячей» замены. В противном случае вам придется останавливать машину для замены диска. После замены на новом диске следует создать разделы так же как и на диске, который вышел из строя, и только после этого выполнить команду raidhotadd. В качестве параметров программы raidhotremove и raidhotadd используют имя массива (/dev/md0) и номер диска, извлекаемого из массива.

4.20. Форматирование дискет в Linux

В других книгах, посвященных ОС Linux, этой теме обычно уделяется мало внимания. Хотя эта тема никак не относится к организации сервера, я решил все-таки рассмотреть процесс форматирования дискет более подробно, потому что в ближайшее время они еще будут использоваться.

Я использую программу kfloppy, которая входит в состав KDE и в особых комментариях не нуждается. В качестве альтернативы вы можете использовать программы fdformat и superformat. Первая из них (fdformat) форматирует дискеты только в Linux-формате (ext2fs). Вызов программы осуществляется следующим образом:

fdformat [-n] device

Опция –n запрещает проверку дискеты при форматировании.

device — это или /dev/fd0 (А:) или /dev/fd1 (В:).

Более гибкой является программа superformat. Она может форматировать дискету как в Linux-формате, так и создавать файловую систему DOS. На самом деле она вызывает mformat из mtools для создания файловой системы msdos. Параметры программы superformat указаны в табл. 4.18. Формат использования программы superformat следующий:

superformat параметры

Параметры программы superformat Таблица 4.18

С помощью этой программы можно увеличить емкость дискет, используя нестандартные форматы (см. табл. 4.19). Однако за качество работы этих дискет я не ручаюсь. К тому же я очень не рекомендую использовать дискеты нестандартных форматов в качестве загрузочных.

Нестандартные форматы дискет Таблица 4.19

Пример:

superformat –d /dev/fd0 –t 81 –s 21

Если дискета работает крайне нестабильно, попробуйте уменьшить число секторов до 20.

5.1. Системные вызовы fork() и ехес()

5.2. Перенаправление ввода/вывода

Практически все операционные системы обладают механизмом перенаправления ввода/вывода, и Linux не является исключением из этого правила. Обычно программы вводят текстовые данные с консоли (терминала) и выводят данные на консоль. При вводе под консолью подразумевается клавиатура, а при выводе — экран монитора. Клавиатура и экран монитора — это, соответственно, стандартный ввод и вывод (stdin и stdout). Любой ввод/вывод можно интерпретировать как ввод из некоторого файла и вывод в файл. Работа с файлами производится через их дескрипторы.

Для организации ввода/вывода в UNIX используются три файла: stdin (дескриптор 0), stdout (дескриптор 1) и stderr (дескриптор 2).

Символ > («больше») используется для перенаправления стандартного вывода в файл. Например:

$ cat > newfile.txt

В этом примере стандартный вывод команды cat будет перенаправлен в файл newfile.txt, который будет создан после выполнения этой команды. Если файл с этим именем уже существует, то он будет перезаписан. Нажатие Ctrl + D остановит перенаправление и прервет выполнение команды cat.

Символ < («меньше») используется для переназначения стандартного ввода команды. Например, при выполнении команды cat < file.txt в качестве стандартного ввода будет использован файл file.txt, а не клавиатура.

Символ >> используется для присоединения данных в конец файла (append) стандартного вывода команды. Например, в отличие от случая с символом >, выполнение команды cat >> newfile.txt не перезапишет файл в случае его существования, а добавит данные в его конец.

Чтобы перенаправить весь стандартный поток ошибок в какой-нибудь файл, используйте переадресацию 2> имя файла или 2>> имя файла. В первом случае стандартный поток ошибок будет передан в файл или на устройство, а во втором — поток ошибок будет добавлен в файл, если такой существует. При использовании переадресации 2>&1 стандартный поток ошибок будет перенаправлен на стандартный вывод интерпретатора Bourne (здесь 1 и 2 — дескрипторы файлов). Для перенаправления стандартного потока ошибок в файл вы можете также использовать переадресацию >& имя_файла (интерпретатор C-Shell).

В командных интерпретаторах Korn и C-Shell можно использовать переадресацию >! имя_файла. При этом файл не будет перезаписан, если он существует.

Символ | используется для перенаправления стандартного вывода одной программы на стандартный ввод другой. Например,

ps –ax | grep httpd.

Можно также использовать переадресацию |&. В этом случае стандартный поток ошибок будет передан по каналу другой команде интерпретатора.

5.3. Команды управления процессами

Команда ps

Команда ps предназначена для вывода информации о выполняемых в текущий момент процессах. Данная команда имеет много параметров, о которых вы можете прочитать в руководстве (man ps). Здесь я опишу лишь наиболее часто используемые мною (см. табл. 5.2).

Параметры программы ps Таблица 5.2

Например, после ввода команды ps –а вы увидите примерно следующее:

PID  TTY   TIME     CMD

1007 tty1  00:00:00 bash

1036 tty2  00:00:00 bash

1424 tty1  00:00:02 me

1447 pts/0 00:00:02 mpg123

2309 tty2  00:00:00 ps

Для вывода информации о конкретном процессе вы можете воспользоваться командой:

# ps –ax | grep httpd

698  7 S 0:01 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1261 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1262 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1263 9 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1264 9 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1268 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1269 ? S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1270 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1271 9 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1272 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1273 7 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

1280 9 S 0:00 httpd –DHAVE_PHP4 –DHAVE_PROXY –DHAVE_ACCESS –DHAVE_A

В приведенном выше примере используется перенаправление ввода/вывода между программами ps и grep, в результате чего будет отображена информация обо всех процессах, содержащих в строке запуска «httpd». Данную команду (ps –ax | grep httpd) я написал только лишь в демонстрационных целях — гораздо проще использовать параметр –С программы ps вместо перенаправления ввода/вывода и параметр –е вместо –ах.

Команда top

Эта команда предназначена для вывода информации о процессах в реальном времени. Процессы сортируются по максимальному занимаемому процессорному времени, но вы можете изменить порядок сортировки (см. man top). Команда также сообщает о свободных системных ресурсах.

# top

7:49pm up 5 min, 2 users, load average: 0.03, 0.20, 0.11

56 processes: 55 sleeping, 1 running, 0 zombie, 0 stopped

CPU states: 7.6% user, 9.8% system, 0.0% nice, 82.5% idle

Mem 130660K av, 94652K used, 36008K free, OK shrd, 5220K buff

Swap:72256K av, 0K used, 72256K free 60704K cached

PID  USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND

1067 root 14  0  892  892 680   R    2.8  0.6  0:00 top

1    root 0   0  468  468 404   S    0.0  0.3  0:06 init

2    root 0   0  0    0   0     SW   0.0  0.0  0:00 kflushd

3    root 0   0  0    0   0     SW   0.0  0.0  0:00 kupdate

4    root 0   0  0    0   0     SW   0.0  0.0  0:00 kswapd

Просмотреть информацию об оперативной памяти вы можете с помощью команды free, а о дисковой — с помощью команды df. Информация о зарегистрированных в системе пользователях доступна по команде w.

Существует графический аналог программы top — gtop (см. рис. 5.1).

Изменение приоритета процесса — команда nice

Формат использования:

nice [-коэффициент понижения] команда [аргумент]

Рис. 5.1. Программа gtop

Команда nice выполняет указанную команду с пониженным приоритетом, коэффициент понижения указывается в диапазоне 1..19 (по умолчанию он равен 10). Суперпользователь может повышать приоритет команды, для этого нужно указать отрицательный коэффициент, например —10. Если указать коэффициент больше 19, то он будет рассматриваться как 19.

Команда nohup — игнорирование сигналов прерывания

Формат использования:

nohup команда [аргумент]

Команда nohup выполняет запуск команды в режиме игнорирования сигналов. Не игнорируются только сигналы SIGHUP и SIGQUIT.

Команда kill — принудительное завершение процесса

Формат использования:

kill [-номер сигнала] PID

где PID — идентификатор процесса, который можно узнать с помощью команды ps.

Команда kill служит для принудительного завершения процесса. При этом процессу с указанным идентификатором (PID) посылается сигнал завершения. В качестве параметра можно указать номер сигнала, который следует отсылать. По умолчанию отсылается сигнал SIGTERM.

Команды выполнения процессов в фоновом режиме — jobs, fg, bg

Команда jobs выводит список процессов, которые выполняются в фоновом режиме, fg — переводит процесс в нормальный режим («на передний план» — foreground), a bg — в фоновый. Запустить программу в фоновом режиме можно с помощью конструкции

<команда> &

5.4. Создание расписаний

Механизм расписаний Linux (UNIX) предоставляет удобные и мощные средства для обслуживания системы. Например, можно создать расписание резервирования данных в нерабочее время или обновления системы через Интернет.

Для запуска команд по расписанию используется демон cron. Он запускается автоматически из файла /etc/init.d при многопользовательском уровне запуска. Об уровнях запуска поговорим немного позже. Каждую минуту cron пробуждается и проверяет содержимое файлов crontab. Для какой-то определенности назовем эти файлы файлами расписаний.

Демон cron имеет свою буферную область (каталог /var/spool/cron/), в которой находятся файлы crontab — файлы расписаний. Имена файлов расписаний соответствуют именам пользователей из файла /etc/passwd. Если cron найдет файлы расписаний, он загрузит их в память. К этим файлам не должно быть прямого доступа, редактировать их можно с помощью программы crontab.

Когда демон cron выполняет команду, он посылает по почте сообщение владельцу файла crontab или пользователю, указанному в переменной MAILTO файла crontab.

Программа crontab

Программа crontab используется для редактирования файлов расписаний отдельных пользователей. Программа позволяет устанавливать, удалять, редактировать и просматривать файлы расписаний. Например, для установки файла расписаний используется команда:

crontab –u user file.cron

Если не использовать опцию –u, то будет установлен файл расписания для пользователя, запустившего программу.

Каждый пользователь может иметь файл расписания. Для того, чтобы использовать эту возможность, пользователь должен быть прописан в файле /var/spool/cron.allow, если такой существует. Программу crontab можно запускать с опциями, приведенными в табл. 5.3.

Опции программы crontab Таблица 5.3

Каждая строка файла расписания имеет такой формат:

время_выполнения действие

Время выполнения состоит из пяти полей. В первом поле задаются минуты (0…59), во втором — часы (0…23), в третьем — день месяца (1…31), в четвертом — номер месяца (1…12), а в пятом день недели (0…6, 0 соответствует воскресенью). В любом из этих полей можно поставить звездочку, которая обозначает все возможные значения. Например, следующая запись означает, что архивирование каталога /etc будет производиться каждый день, кроме воскресенья, в семь часов утра:

0 7 * * 1-6 tar cfz /backup /etc

В системе используется системный файл расписания — это /etc/crontab (см. листинг 5.1).

Листинг 5.1. Файл /etc/crontab

# Интерпретатор команд

SHELL=/bin/bash

# Путь для поиска команд

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# Отчет о выполнении расписания будет отправлен

# пользователю root

MAILTO=root

# Домашний каталог

НОМЕ=/

# run-parts

01 * * * * root run-parts /etc/cron.hourly

02 4 * * * root run-parts /etc/cron.daily

22 4 * * 0 root run-parts /etc/cron.weekly

42 4 1 * * root run-parts /etc/cron.monthly

Директива run-part означает, что будут выполнены все выполняемые файлы из указанного каталога.

Демон atd

Еще одним способом планирования задач является использование демона atd. Этот демон используется для отложенного выполнения заданий. Для постановки заданий в очередь используются команды at и batch. Чтобы добавить задание в очередь используйте команду:

at время дата

После этого введите все команды, которые хотите выполнить. Для окончания ввода нажмите Ctrl+D. Более подробно о формате задания времени и даты вы можете прочитать в справочной системе. Например, для выполнения команд в 13:00 введите команду:

at 1pm

Для просмотра очереди заданий, введите команду atq. В результате будут выведены задания для пользователя, запустившего команду. При запуске программы суперпользователем будет выведен список заданий для всех пользователей. Удалить задание вы можете командой atrm.

5.5. Уровни выполнения.Программа init

ОС Linux имеет шесть уровней выполнения, а также три уровня выполнения по требованию.

Программа init переключает систему в нужный режим работы (на нужный уровень выполнения), и ее имеет право использовать только пользователь root. Для переключения на уровень n достаточно ввести команду:

# init n

Иногда, при небольшом изменении файла /etc/inittab, нужно заново перечитать таблицу инициализации (inittab). Для этого воспользуйтесь командой:

init q

Помните, что вы в любой момент можете изменить файл /etc/inittab и перечитать его заново командой

init q.

Для перехода на первый уровень выполнения можно также использовать параметр s программы

init: init s

Описание уровней приведено в табл. 5.4.

Уровни выполнения Таблица 5.4

Файл /etc/inittab описывает, какие процессы должны запускаться во время загрузки и на протяжении нормальной работы системы. Программа init переключает уровни выполнения системы. Корректными номерами уровней системы являются 0…6, а также А, В и С.

Каждая строка файла /etc/inittab должна быть записана в формате:

id:уровни_выполнения:действие:процесс

Поле «Id» (идентификатор) — уникальная последовательность из четырех символов (в старых дистрибутивах длина имени идентификатора ограничена двумя символами).

Поле «уровни выполнения» — перечень уровней выполнения, для которых будет выполнено указанное действие.

Поле «действие» — задает действие, которое будет выполнено.

Поле «процесс» — определяет процесс, который будет выполнен.

В качестве значений поля «уровни_выполнения» могут быть указаны номера уровней выполнения без каких-либо разделителей. Например, значение данного поля 1235 означает, что указанное действие будет применено к уровням 1, 2, 3 и 5. В качестве дополнительных уровней, которые называются уровнями по требованию (ondemand), могут быть указаны уровни А, В и С.

В качестве действия может быть указано одно из действий, описанных в табл. 5.5

Действия над процессами, задаваемые в файле /etc/inittab Таблица 5.5

Теперь рассмотрим листинг обычного файла /etc/inittab (см. листинг 5.2).

Листинг 5.2. Файл /etc/inittab

id:5:initdefault:

si::sysinit:/etc/rc.d/rc.sysinit

10:0:wait:/etc/re.d/rc 0

11:1:wait:/etc/re.d/rc 1

12:2:wait:/etc/re.d/rc 2

13:3:wait:/etc/re.d/rc 3

14:4:wait:/etc/re.d/rc 4

15:5:wait:/etc/re.d/rc 5

16:6:wait:/etc/re.d/rc 6

# Things to run in every runlevel.

ud::once:/sbin/update

# Trap CTRL-ALT-DELETE

ca::ctrlaltdel:/sbin/shutdown –t3 –r now

pf::powerfail:/sbin/shutdown –f –h +2 "Power Failure; System Shutting Down"

pr:12345:powerokwait:/sbin/shutdown –c "Power Restored; Shutdown Cancelled"

1:2345:respawn:/sbin/mingetty tty1

2:2345:respawn:/sbin/mingetty tty2

3:2345:respawn:/sbin/mingetty tty3

4:2345:respawn:/sbin/mingetty tty4

5:2345:respawn:/sbin/mingetty tty5

6:2345:respawn:/sbin/mingetty tty6

# Run xdm in runlevel 5

# xdm is now a separate service

x:5:respawn:/etc/X11/prefdm –nodaemon

Рассмотрим подробно приведенный пример. Самая первая строка определяет уровень выполнения по умолчанию. Очень рекомендую вам установить это значение. Во-первых, вводить уровень загрузки каждый раз при запуске системы не очень удобно. Во-вторых, если не установлен уровень выполнения по умолчанию, система не сможет запускаться автоматически: при загрузке она будет ждать ввода номера уровня выполнения. Для загрузки системы подойдут два уровня: или 3, или 5. Я рекомендую использовать третий уровень выполнения, использовать уровень выполнения 5 нужно только в том случае, если вы хотите, чтобы система X Window запускалась автоматически при старте системы.

Затем указываются программы, которые будут выполнены во время системной инициализации (sysinit). В нашем случае будет запушен сценарий загрузки системы /etc/re.d/rc.sysinit.

Далее следуют описания действий для каждого из уровней выполнения. Например, для уровня выполнения номер 5 будет запущен сценарий /etc/re.d/rc с параметром 5. Программа init будет ждать завершения процесса /etc/re.d/rc.

Программа /sbin/update будет запускаться на каждом из уровней выполнения один раз.

Реакция на нажатие комбинаций клавиш Ctrl+Alt+Del устанавливается с помощью действия ctrlaltdel. Будет запущена программа shutdown для немедленной (now) перезагрузки (-r) системы. Задержка перед переключением на шестой уровень (перезагрузка) составит три секунды (-t3).

Реакция на перебои с питанием устанавливается с помощью действий powerfail и powerokwait. В качестве реакции на событие powerfail будет запущена программа shutdown для останова системы (-h). Опция –f указывает, что при перезагрузке будет пропущена проверка файловой системы с помощью fsck. Задержка перед переключением на шестой уровень выполнения составит две минуты (+2). На всех активных терминалах пользователи увидят сообщение «Power Failure; System Shutting Down». Если в течение двух минут питание будет восстановлено, запустится программа shutdown для отмены останова системы (-с). На терминалах пользователей будет отображено сообщение «Power Restored; Shutdown Cancelled».

Наглядным примером для действия respawn может послужить система X Window. Можете провести такой эксперимент: перейдите на уровень выполнения 5: init 5

Если уровень 5 уже активен, этого делать, естественно, не нужно. Находясь в системе X Window, нажмите Ctrl+Alt+Backspace — эта комбинация клавиш используется для экстренного останова системы X Window. После останова система X Window будет перезапущена.

5.6. Сценарии загрузки системы

Все Red Hat-подобные системы, в отличие от BSD-подобных (Slackware), используют систему инициализации SysV, хотя и несколько переработанную.

Запуск и останов демонов осуществляется с помощью сценариев, расположенных в каталоге /etc/re.d/init.d. Демон — это программа, которая в фоновом режиме периодически выполняет какие-нибудь действия. Например, демон ftpd непрерывно проверяет наличие пользовательских запросов на соединение по протоколу FTP.

Сценарии каталога /etc/re.d выполняются автоматически при запуске системы. В этом каталоге есть несколько подкаталогов rcN.d, где N — это номер уровня выполнения. В большинстве случаев у вас будет установлен уровень 5 в качестве уровня по умолчанию. Этот уровень соответствует многопользовательскому режиму с автоматическим запуском системы X Window. В каталоге /etc/rd.d/rc5.d находятся символические ссылки на сценарии, расположенные в каталоге /etc/rc.d/init.d.

Для запуска какого-нибудь демона нужно выполнить соответствующий ему сценарий в каталоге /etc/rc.d/init.d с опцией start. Для останова нужно запустить тот же сценарий, но с опцией stop.

Чтобы обеспечить автоматический запуск какого-нибудь сервера, нужно создать сценарий для его запуска и поместить его в каталоге /etc/rc.d/init.d. Затем, в зависимости от уровня выполнения, в каталоге rcN.d нужно создать символическую ссылку на этот сценарий.

Для выбора демонов, которые будут запускаться автоматически при загрузке системы, обычно используют программу drakconf в операционной системе Linux Mandrake (см. рис. 5.2) или программу setup в ОС Red Hat Linux.

Если вы хотите сами создать сценарий для запуска своего демона, можете воспользоваться приведенным ниже шаблоном (см. листинг 5.3). 

Рис. 5.2. Конфигуратор DrakConf

Листинг 5.3. Шаблон для запуска демона

#!/bin/bash

# Шаблон для запуска демона

# Подключаем библиотеку функций

. /etc/init.d/functions

# Определяем параметры

case "$1" in

start)

 # Запуск демона

 echo "Starting my_daemon…"

 daemon my_daemon

 touch /var/lock/subsys/my_daemon

 ;;

stop)

 # Останов демона

 kill proc my_daemon

 rm –f /var/lock/subsys/my_daemon

 rm –f /var/run/my_daemon.pid

 ;;

status)

 # Выводим статистику работы

 ;;

restart | reload)

 # действия, выполняемые при перезагрузке демона

 :

 ;;

*)

 # Произошел вызов без параметров

 echo "Usage: my_daemon {start|stop|status|restart|reload}"

 exit 1

esac

exit 0

Теперь рассмотрим весь процесс загрузки системы, начиная с самого начала: от включения питания. Итак, вы включаете питание, система выполняет процедуру самотестирования POST (Power On Self Test). Если во время самотестирования ошибок обнаружено не было, из главной загрузочной записи MBR (Master Boot Record) вызывается загрузчик операционной системы. Поиск загрузчика происходит на загрузочных устройствах в соответствии с последовательностью загрузки (Boot Sequence). Данная последовательность определяется в программе настройки компьютера — SETUP. Например, у вас может быть установлена такая последовательность загрузки:

FLOPPY, HDD-0, CDROM

В этом случае система сначала будет искать загрузчик на дискете (диск А, устройство /dev/fd0). Если в дисководе нет дискеты, система перейдет к поиску загрузчика на первом жестком диске (HDD-0, устройство /dev/hda). Если же в дисководе есть дискета, но она не является загрузочной, вы получите соответствующее сообщение об этом. На этом этапе вы можете либо сменить дискету, либо вообще извлечь ее из дисковода, чтобы разрешить системе произвести поиск загрузчика операционной системы на жестком диске. Если и на жестком диске не будет обнаружен загрузчик, система перейдет к следующему элементу загрузочной последовательности — CDROM.

Предположим, что система нашла загрузчик на жестком диске. Загрузчик должен быть корректно установлен, иначе вы получите сообщение о невозможности загрузиться с данного носителя информации (жесткого диска). После этого управление будет передано программе LILO или любому другому загрузчику операционной системы Linux.

После того, как пользователь выберет нужное ему ядро, загрузка системы будет продолжена. Сначала будет загружаться ядро, а потом — программа init. Для полноты рассмотрения процесса загрузки я буду считать, что у нас установлен уровень управления 5.

Первыми будут выполнены процессы, которые указаны в действии sysinit файла /etc/inittab. Затем — процессы, перечисленные с помощью действий boot и bootwait (см. п. 5.5).

Обычно для действия sysinit выполняется сценарий загрузки /etc/re.d/rc.sysinit:

si::sysinit:/etc/rc.d/rc.sysinit

На данном этапе загрузки системы (sysinit) выполняются следующие действия:

1. Устанавливается имя машины (hostname).

2. Конфигурируются параметры ядра.

3. Устанавливается раскладка клавиш и системный шрифт.

4. Активируются разделы подкачки.

5. Корневая система проверяется программой fsck. Если будут найдены ошибки, которые невозможно исправить автоматически, будет запрошен пароль администратора для входа в административный режим, что равноценно переходу на уровень выполнения 1. В этом режиме вы запустите программу fsck с параметром /, который означает проверку корневой файловой системы. После исправления всех ошибок введите команду exit для перезагрузки системы. Если программа fsck ошибок не обнаружила, файловая система монтируется в режиме чтение/запись.

6. Проверяются зависимости модулей ядра.

7. Выполняется проверка других файловых систем.

8. Монтируются локальные файловые системы.

9. Включаются квоты.

10. Подключается (не активизируется!) раздел подкачки. С этого момента система начинает использовать раздел подкачки.

После выполнения сценария загрузки /etc/re.d/rc.sysinit выполняется сценарий /etc/re.d/rc. Этому сценарию передается один параметр –номер уровня выполнения. В рассматриваемом случае — это номер 5, поэтому будет выполнена команда:

/etc/re.d/rc 5

Разумеется, данный сценарий будет выполнен при наличии в вашем файле /etc/initab строки:

15:5:wait:/etc/re.d/rc 5

Вы можете определить любое другое действие для уровня выполнения 5. Однако я не рекомендую вам этого делать: если вы написали свой сценарий загрузки, который работает лучше, чем предлагаемый разработчиками дистрибутива по умолчанию, значит, вам самое время написать свой дистрибутив! Запуск пятого уровня выполнения подразумевает запуск сценариев из каталога /etc/re.d/rc5.d/.

После выполнения этого сценария будет выполнен сценарий /etc/re.d/rc. local. Данный сценарий всегда выполняется последним, вне зависимости от уровня выполнения.

После запуска сценариев пятого уровня выполнения создаются виртуальные консоли и запускается менеджер дисплеев системы X Window (xdm).

5.7. Стандартные файлы протоколов (журналов)

В любой Unix-системе есть стандартные файлы протоколов (журналов), расположение которых может изменяться в зависимости от операционной системы. В Linux они находятся в каталоге /var/log. К стандартным протоколам относятся следующие файлы:

secure

auth.log

boot.log

dmesg

messages

syslog

В подкаталогах каталога /var/log находятся журналы (протоколы) других программ, например, в каталоге /var/log/kernel находятся журналы ядра, а в /var/log/httpd — журналы HTTP-сервера. По большому счету расположение журналов зависит от настройки соответствующих им программ, но в стандартном виде все они находятся в каталоге /var/log и его подкаталогах. Назначение стандартных журналов представлено в табл. 5.6. Подробно файлы журналов будут рассмотрены в следующем пункте (п. 5.8), в котором мы научимся управлять процессом протоколирования.

Стандартные журналы Таблица 5.6

5.8. Управление протоколированием

6.1. Русификация консоли

Выбор языка системы производится при установке системы или при помощи соответствующих конфигураторов: keyboarddrake в Linux Mandrake и setup в Linux Red Hat. В случае некорректного отображения русских символов нужно подправить файл /etc/inputrc (см. листинг 6.1), изменив следующие строки:

Листинг 6.1. Фрагмент файла inputrc

# 8Bits supports.

set meta-flag on

set convert-meta off

set input-meta on

set output-meta on

Для русификации Midnight Commander в меню Options/Display bits необходимо включить поддержку восьмибитного ввода и вывода. После чего требуется сохранить текущую конфигурацию.

6.2. Русификация системы X Window

Как ни странно, при выборе русскоязычного варианта установки русские шрифты устанавливаются на диск, но не прописываются в конфигурационных файлах. Конечно, оконная среда KDE (K Desktop Environment), как и Gnome, в большинстве случаев использует эти шрифты, но некоторые элементы меню или подписи значков отображаются совсем не так, как нужно.

Для корректного отображения русскоязычной информации на экране в системе X Window нужно сделать следующее. Зарегистрировавшись как пользователь root, открыть в любом текстовом редакторе файл конфигурации XFree86 — /etc/xll/XF86Config и перед строкой

FontPath "unix/:-1"

добавить строку

FontPath "/usr/XI1R6/lib/fonts/Cyrillic/"

Естественно, пакет XFree86-cyrillic-fonts должен быть предварительно установлен. Проверить наличие этого пакета можно с помощью команды

rpm –qi XFree86-cyrillic-fonts

Желательно проверить также каталог, в который был установлен данный пакет — возможно у вас он будет другим.

Теперь нужно перезапустить Х-сервер. Для этого нажмите Ctrl+Alt+Backspace. Если Х-сервер у вас не запускается автоматически при загрузке системы, то сейчас нужно запустить его, введя команду startx.

Если все же ваша программа не понимает русский язык, нужно прописать русскоязычный шрифт в ее конфигурационном файле или запускать ее с параметром -wt font. Параметр font является именем шрифта, который вы хотите использовать. Подобрать нужный шрифт можно с помощью команды xfontsel. Украиноязычные шрифты в кодировке KOI8-U можно скачать с моей домашней странички — http://dkws.narod.ru.

В ОС Linux Mandrake имеет возможность очень быстрого преобразования TrueType-шрифтов Windows, если вас не устраивают стандартные экранные шрифта Linux. Конвертирование можно произвести с помощью программы DrakConf. Подключить TTF-шрифты можно и вручную, но рассмотрение этого вопроса выходит за рамки данной книги.

6.3. Русификация принтера

Напомню последовательность действий по подключению принтера:

1. Запустите DrakConf. Нажмите на кнопку «Настройка принтера», далее нажмите «OK» (см. рис. 6.1). В ОС Red Hat Linux роль конфигуратора DrakConf выполняет программа printtool.

2. Выберите тип принтера (локальный, удаленный, Netware, SMB). Укажите порт и модель принтера. Потом уточните некоторые параметры (активизируйте режим «Исправлять ступенчатую печать») и распечатайте пробную страницу.

Ваш принтер почти готов к работе, однако при печати русскоязычного текста на бумаге вы увидите все что угодно, кроме русских букв. Это происходит из-за того, что при создании Postscript-образа страницы в состав программы ghostscript не включены русские KOI8-шрифты. Их можно скачать по адресу ^{ftp://ftp.kapella.gpi.ru/pub/cyriffic/psfonts}.

Рис. 6.1. Подключение принтера

Необходимые вам файлы:

1. gs-type1_koi8_fonts.tar — 614783 bytes

2. gs-type1_koi8_afm.tar — 29062 bytes

Также рекомендую скачать русифицированный Fontmap (1k). Далее распакуйте архив *fonts.tar в каталог /usr/share/fonts/default/ghostscript, а русифицированный Fontmap в каталог /usr/share/ghostscript/5.10.

7.1. Установка сетевой платы. Настройка параметров сети

Модуль сетевой платы уже должен быть установлен, кроме случая, когда сетевая плата приобреталась после установки системы. Запустите конфигуратор DrakConf (см. рис. 7.1).

Рис. 7.1. Конфигуратор DrakConf

Запустите определение оборудования, чтобы убедиться, что сетевая плата распознается системой. Для этого щелкните на кнопке «Настройка оборудования» (см. рис. 7.2) и согласитесь на определение устройств ISA (Detect ISA devices).

Рис. 7.2. Определение оборудования — HardDrake

Нажмите на кнопку «Настройка сети» (или выполните команду netconf — кому как нравится). Далее в окне Network configurator щелкните по кнопке «Basic host information» и в открывшемся окне введите имя машины, а затем на вкладке Adaptor1 (см. рис. 7.3) активизируйте адаптер (Enabled). После этого введите информацию о своей сети и о своей плате (IP-адрес, сетевую маску, 10 Port, Irq). В поле NetDevice укажите тип сетевого устройства — пусть будет eth0 (от Ethernet), а в поле KernelModule — имя модуля ядра, которое соответствует вашему сетевому адаптеру (например, модуль ne2k-pci соответствует плате NE2000 PCI).

Рис. 7.3. Параметры сетевого интерфейса

Вернитесь теперь в окно конфигуратора сети (рис. 7.4) и настройте DNS. С этой целью активизируйте DNS, введите IP-адреса сервера и перечислите нужные вам домены. Всю необходимую для этого информацию можно узнать у администратора.

Рис. 7.4. Окно конфигуратора сети

Если у вас небольшая домашняя сеть, то скорее всего, сервера DNS у вас не будет, а для преобразования IP-адресов в имена машин служит файл /etc/hosts. В этом случае ваша задача становится еще проще — просто откройте файл /etc/hosts в любом текстовом редакторе и добавьте строку типа:

IP_Addr имя_компьютера псевдоним

где: IP_Addr — ваш IP-адрес;

 hostname — имя вашей машины.

Также следует добавить адреса и имена машин в вашей сети. Затем нужно установить адрес шлюза (gateway) по умолчанию (Routing and gateways).

При использовании сервера доменных имен еще нужно установить порядок поиска адресов. Это можно сделать в окне Name service access сетевого конфигуратора (Host name search path): hosts, dns. Это означает, что система сначала будет использовать локальную базу данных адресов, а затем обращаться к серверу DNS. Не отключайте режим Multiple IPs for one host.

Настройки системы DNS хранятся в файлах /etc/hosts.conf и /etc/resolv.conf. Если же конфигуратор DrakConf у вас недоступен (либо у вас не запущен сервер x, либо вы используете другую версию linux), то вышеописанные действия можно сделать вручную.

Добавьте модуль сетевой платы:

insmod rtl8139.o

(для Realtek 8139)

insmod ne2k-pci.o

(для NE2000 PCI)

Эти же модули вам нужно добавить в файл /etc/conf.modules.

Программа ifconfig используется для конфигурации сетевого интерфейса, a route — таблицы маршрутизации.

ifconfig eth0 192.168.1.1 up

— «поднимаем» сетевой интерфейс. А более корректно это будет выглядеть так:

/sbin/ifconfig eth0 ${IPADDR} broadcast ${BROADCAST} netmask ${NETMASK}

Теперь добавьте вашу сетевую плату в таблицу маршрутизации:

/sbin/route add –net ${NETWORK} netmask ${NETMASK} eth0

Укажите шлюз по умолчанию:

/sbin/route add default gw ${GATEWAY} netmask 0.0.0.0 metric 1

Перезапустите демон xinetd (или inetd) и проверьте настройки сети. Для проверки воспользуемся командой:

ping 127.0.0.1

127.0.0.1 — адрес обратной петли, т.е. все пакеты, которые отправляются на этот адрес, на самом деле не выходят за пределы локальной машины и возвращаются к ней. Этот адрес зарезервирован для служебных целей и может служить для проверки конфигурации сети. Если у вас возникли проблемы с этим адресом, активизируйте сервис network. При правильной настройке ваша таблица маршрутизации должна выглядеть подобным образом:

[root@dhsilabs /etc]# route

Kernel IProuting table

Destination Gateway Genmask       Flags Metric Ref Use Iface

192.168.1.1 0.0.0.0 255.255.255.0 U     0      0   12  eth0

127.0.0.1   0.0.0.0 255.0.0.0     U     0      0   1   lo

Теперь можно пропинговать свою машину по IP-адресу ее интерфейса eth0 и по ее имени (ping 192.168.1.1, ping dhsilabs или ping localhost). Убедившись, что проблем с локальными настройками не возникает, можно пропинговать какую-нибудь удаленную машину из вашей сети. Возникновение проблем на этом этапе обусловлено следующим:

1. Неправильность настроек на удаленной машине.

2. Неисправность сетевого оборудования.

3. Удаленная машина просто выключена…

7.2. Подключение модема

Модем подключается очень просто — вам достаточно вставить плату модема в корпус компьютера или подключить внешний модем, и система автоматически определит и установит его. В случае, если у вас старый дистрибутив, например, Red Hat Linux версии 6 и ниже, то вам самим придется создать ссылку /dev /modem на устройство /dev/ttySn, где n — это номер последовательного порта. Напомню, что устройство /dev/ttyS0 соответствует порту СОМ1 в DOS. В принципе, создавать ссылку даже не обязательно, потому что в любой коммуникационной программе можно указать устройство, с которым она будет работать. Устройство /dev/modem используется большинством программ по умолчанию.

Для проверки работоспособности модема можно использовать программу minicom. Это обычная терминальная программа. Перед ее запуском необходимо установить параметры программы. Это можно сделать командой minicom –s (см. рис. 7.5). При этом нужно изменить только устройство, которое будет использоваться в качестве модема.

Рис. 7.5. Программа настройки minicom

Для тестирования модема обычно используются стандартные АТ-команды. Инициализировать модем можно командой ATZ, поднять и положить трубку — АТН1 и АТН0 соответственно, а набрать номер — АТВРномер, используя импульсную систему набора номера, и АТВТномер, используя тональную систему.

Ссылку можно также создать программой modemtool в RedHat, а в Linux Mandrake нужно воспользоваться все тем же конфигуратором DrakConf.

Будет справедливо отметить, что Linux не работает с программными модемами для Windows (win-модемы). А вот модемы, которые подключаются к шине USB, в ОС Linux использовать можно. Только для этого нужно включить в ядро поддержку шины USB и USB-модемов.

В последнее время некоторые производители программных модемов (например, Lucent) обратили внимание и на Linux-пользователей. Компания Lucent выпустила драйверы под Linux для своего модема. Данные драйверы находятся на компакт-диске, поставляемым с модемом. Однако я не рекомендую использовать программные модемы на сервере, так как это снизит производительность системы.

7.3. Подключение к Интернет

Рассмотрим, как можно подключить Linux к Интернет. Подключение Linux к Интернет имеет больший смысл, нежели Windows, так как Linux намного лучше и, что самое главное, быстрее работает с сетевыми устройствами. Лично у меня соединение с моим провайдером при использовании Linux работает где-то в два раза быстрее и не простаивает, как при работе в Windows.

Для настройки подключения можно пойти по пути наименьшего сопротивления и использовать все тот же конфигуратор или же программу kppp, но здесь я эти варианты рассматривать не буду. Попробуйте настроить все самостоятельно, как это делали все нормальные люди до создания KDE. Впрочем, на втором варианте можно было бы и остановиться. Программа кррр (см. рис. 7.6) входит в состав KDE и является стандартным дайлером, то есть программой, которая устанавливает соединение.

Рис. 7.6. Программа kppp

Как и любой другой дайлер, kppp выполняет следующие функции:

1. Устанавливает соединение с провайдером.

2. Регистрирует пользователя в удаленной системе.

3. Инициализирует РРР-соединение.

Интерфейс программы предельно прост. Однако, хотелось бы дать несколько рекомендаций по работе с этой программой:

1. Вам нужно изменить имя устройства, которое будет использовано kppp, то есть имя модема и установить его скорость. Но не подумайте только, что если вы установите скорость 56700, то ваш модем на 9600 заработает с большей скоростью.

2. Измените команду набора номера в окне «Команды модема» (см. рис. 7.7). По умолчанию используется тональный набор (команда ATDT). Для работы с импульсной системой набора номера используйте команду ATDP (рис. 7.8). 3. Нужно изменить права доступа к демону /usr/sbin/pppd, позволяющие пользователю его запускать. В противном случае запускать программу kppp вам придется так:

su –с kppp

Рис. 7.7. Вкладка «Модем»

Рис. 7.8. Команды модема

Вот собственно и все, что касается программы kppp.

Обычно соединение с провайдером устанавливается по протоколу РРР (Point to Point Protocol), и только в очень редких случаях по устаревшему протоколу SLIP (Serial Line Internet Protocol), поэтому протокол SLIP в этой книге рассматриваться не будет.

PPP — протокол «точка-точка» (Point-to-Point Protocol). Используется для обмена данными между компьютерами и удаленными локальными сетями.

Протокол РРР является составным, то есть он объединяет в себе сразу несколько протоколов. Основными из них являются:

• IPCP (IP Control Protocol) — внутренний протокол, обеспечивающий возможность сжатия данных и динамическое назначение IP-адреса удаленному пользователю.

• HDLC (High level Data Link Control) — протокол, осуществляющий кодирование данных перед отправкой их на линию.

• LCP (Link Control Protocol) — протокол, предоставляющий средства по настройке, созданию и тестированию удаленного соединения.

• NCP (Network Control Protocol) — протокол, осуществляющий настройку протоколов сетевого уровня, вкладываемых в РРР.

В Linux РРР-соединение обеспечивается демоном pppd, конфигурационным файлом которого является файл /etc/ppp/options. Описание используемых в этом файле опций приведено далее.

Соединение по протоколу РРР, как правило, происходит по обычным телефонным линиям и может быть как с использованием аутентификации или без нее. Без аутентификации обычно устанавливаются соединения по выделенным линиям, о которых поговорим в следующей главе. Что касается аутентификации, то ее существует несколько способов:

1. Терминальный. Представляет собой интерактивный вход в сеть с использованием имени пользователя и пароля, передаваемых открытым текстом. Данный способ подразумевает создание сценария для автоматической регистрации.

2. PAP (Password Authentication Protocol) — протокол аутентификации по паролю. Протоколом РАР реализуется двухэтапный метод подтверждения прав доступа одного компьютера к другому (клиента к серверу). На первом этапе клиент посылает серверу запрос, в котором указывается имя пользователя и пароль. На втором этапе сервер обрабатывает эту информацию и отсылает ответ, в котором указывается удостоверен клиент или нет. Хотя РАР-аутентификация является лучше терминальной, но также пересылает пароль открытым текстом, что делает ее доступной для злоумышленников.

3. CHAP (Challenge Handshake Authentication Protocol) — протокол аутентификации по запросу/ответу. Этот протокол предоставляет более безопасный механизм аутентификации. При этом проверка права доступа осуществляется в три этапа:

 • на первом этапе аутентификации сервер посылает клиенту специальный запрос;

 • на втором этапе клиент с помощью специальной функции MD5 вычисляет и отсылает серверу ответ. При формировании ответа учитываются имя пользователя, пароль и присланный сервером запрос;

 • на третьем этапе сервер сравнивает полученный от клиента ответ с предполагаемым и выдает соответствующий ответ, разрешая или запрещая доступ пользователю.

7.3.2. PAP- и СНАР-аутентификация

Большинство провайдеров и корпоративных РРР-серверов используют протокол РАР. Если используется протокол РАР, то вместо того, чтобы регистрироваться на таком сервере, используя имя пользователя и пароль, когда их ввод запрошен сервером, РРР-сервер, использующий РАР, не требует обычного ввода имени и пароля для входа в систему. Вместо этого информация установления подлинности пользователя идет как часть протокола управления связи (LCP), который является первым шагом установления связи РРР.

Если ваш провайдер использует протокол РАР или CHAP, внесите следующие изменения в файл /etc/ppp/options:

имя_пользователя логин

# Если вы используете протокол РАР

+рар

-chap

# Если вы используете CHAP

#+chap

#-рар

В зависимости от протокола аутентификации вам потребуется изменить файлы /etc/ppp/pap-secrets или /etc/ppp/chap-secrets. Файл /etc/ppp/pap-secrets в рассматриваемом случае должен выглядеть примерно так:

# Secrets for authentication using PAP

# client server secret acceptable local IP addresses

  user   *      Password

Последнее поле остается пустым, так как используется динамический IP-адрес.

Протокол CHAP требует, чтобы не только вас опознала удаленная машина, но и вы опознали ее. Поэтому в файле /etc/ppp/chap-secrets нужно указать имя сервера в поле «server». Это имя вы можете уточнить у провайдера.

Примечание. Настроить Интернет-соединение можно также с помощью конфигуратора DrakConf в Linux Mandrake (см.рис. 7.9). 

Рис. 7.9. Настройка соединения с помощью конфигуратора DrakConf 

7.4. Настройка DSL-соединения

7.4.1. Настройка соединения DSL в Linux Mandrake

Предположим, что вы используете Linux Mandrake. Если это не так, то ниже (п. 7.4.2) будет рассмотрен более универсальный способ конфигурирования, подходящий для любого другого дистрибутива.

Итак, начинать следует с установки пакетов ррр, dhcpcd, pppoe-linuxconf, rp-pppoe. При этом все действия нужно производить, зарегистрировавшись в системе под именем root. Перейдите в каталог с пакетами, обычно это /mnt/cdrom/Mandrake/RPMS:

cd /mnt/cdrom/Mandrake/RPMS

Установите пакеты:

rpm –i ppp-2.4.0-3mdk.i586.rpm

rpm –i dhcpcd-1.3.19p11-1mdk.i586.rpm

rpm –i pppoe-linuxconf-1.2_1.21.1-1mdk.i586.rpm

rpm –i rp-pppoe-1.7-3mdk.i586.rpm

Примечание. Версии пакетов у вас могут отличаться. 

Рис. 7.10. Настройка сетевого соединения

Теперь запустите конфигуратор DrakConf и выберите Network and Internet configuration (см. рис. 7.10). Далее выберите пункт Configure DSL (or ADSL) connection и укажите страну. На самом деле просто выберите «другие страны», если, конечно, вы не находитесь во Франции.

После этого необходимо указать способ подключения. Обычно здесь требуется выбрать использование РРРОЕ (use рррое). Но, возможно, оборудование вашего провайдера не поддерживает РРРОЕ, в этом случае вам нужно будет выбрать don't use рррое. Данную информацию опять-таки можно уточнить у вашего провайдера. Затем нужно ввести информацию о провайдере (см. рис. 7.11) и выбрать устройство DSL. 

Рис. 7.11. Настройкасоединения

Примечание. РРРОЕ — Point to Point Protocol Over Ethernet — если дословно, протокол точка-точка через Ethernet. Большинство провайдеров, предоставляющих ADSL-доступ, используют именно этот протокол.

По окончании установки в стартовые сервисы будет добавлен сервис adsl, который при запуске системы автоматически подключается к провайдеру.

7.5. Настройка выделенных линий

Протокол РРР может использоваться как для установления коммутируемых соединений, например dial-up, так и для организации выделенных (leased) линий. Для начала разберемся, что же такое выделенная линия? Сети с коммутацией пакетов (каналов) можно разделить на две группы: сети с динамической и постоянной коммутацией. В первом случае пользователь может установить соединение по собственной инициативе. Коммутация выполняется на время сеанса связи, а затем связь разрывается (по инициативе пользователя или по инициативе сервера). Во втором случае динамическая коммутация не осуществляется, а вместо этого пользователю (пользователям) разрешается заказать соединение на длительный период времени. Режим постоянной коммутации называется выделенной (dedicated) или арендуемой (leased) линией.

Будем считать, что необходимые вам пакеты уже установлены. Сам процесс установки пакетов ррр был описан в п. 7.3. Нужно также позаботиться о том, чтобы ядро поддерживало РРР. В большинстве случаев поддержка РРР уже встроена в ядро. Проверить наличие поддержки РРР можно с помощью команды:

dmesg | grep РРР

Предположим, вам нужно настроить два выделенных канала. Для определенности первый модем будет подключен к /dev/ttyS0, а второй — к /dev/ttyS1. Файл /etc/ppp/options будет содержать глобальные настройки. Файлы конфигурации для модемов /dev/ttyS0 и /dev/ttyS1 будут называться соответственно /etc/ppp/options.ttS0 и /etc/ppp/option.ttyS1. Отредактируйте файл /etc/ppp/options.ttyS0, как это показано в листинге 7.4.

Листинг 7.4. Файл/etc/ppp/options.ttyS0

# Устройство

/dev/ttyS0

# Скорость

57600

noauth

mru 1500

# ваш интерфейс: удаленный интерфейс

192.168.99.1:192.168.99.2

# маска подсети

netmask 255.255.255.0

bsdcomp 0

chap-interval 15

debug

crtscts

mtu 552

mru 552

–detach

С устройством и скоростью все понятно. Особое внимание обратите на следующую запись: 192.168.99.1:192.168.99.2. Между вашими модемами (собственно между «вашим» и тем, что на другой стороне) создается подсеть 192.168.99.0 (netmask 255.255.255.0). По окончанию конфигурирования выделенной линии вам нужно настроить маршрутизацию (см. man route). Если же линия у вас одна, то вы можете в конец файла /etc/options.ttyS0 добавить команду defaultroute. Эта запись добавляет маршрут в системную таблицу маршрутизации, используя удаленную сторону в качестве шлюза. Обычно эта запись удаляется при завершении соединения. Теперь разберемся со всеми остальными командами, задающими параметры соединения (см. табл. 7.2).

Параметры соединения Таблица 7.2 

Оптимальными значениями mru и mtu являются 542 и 552 соответственно. Однако, для получения максимальной производительности, поэкспериментируйте со значениями этих параметров. Помимо вышеуказанных команд, для настройки ррр вы можете использовать команды, приведенные в табл. 7.3.

Дополнительные параметры соединения Таблица 7.3 

После того как настройка ррр завершена, можно перейти к редактированию inittab. Добавьте в /etc/inittab следующие строки:

7:2345:respawn:/usr/sbin/pppd file /etc/ppp/options.0 > /var/log/pppS0.log

8:2345:respawn:/usr/sbin/pppd file /etc/ppp/options.1 > /var/log/pppS1.log

7 и 8 — это порядковые номера, 1…6 уже заняты для системных консолей ttyl-tty6. 2345 — уровни запуска. Весь inittab должен выглядеть примерно так, как это показано в листинге 7.5:

Листинг 7.5. Файл inittab для выделенной линии

id:3:initdefault:

# System initialization.

si::sysinit:/etc/re.d/re.sysinit

10:0:wait:/etc/rс.d/rc 0

11:1:wait:/etc/rс.d/rc 1

12:2:wait:/etc/rс.d/rc 2

13:3:wait:/etc/rс.d/rc 3

14:4:wait:/etc/rс.d/rc 4

15:5:wait:/etc/rс.d/rc 5

16:6:wait:/etc/rс.d/rc 6

# Things to run in every runlevel.

ud::once:/sbin/update

# Trap CTRL-ALT-DELETE

ca::ctrlaltdel:/sbin/shutdown –t3 –r now

pf: :powerfail:/sbin/shutdown –f –h +2 "Power Failure; System Shutting Down"

pr: 12345 :powerokwait:/sbin/shutdown –c "Power Restored; Shutdown Cancelled"

# Run gettys in standard runlevels

1:2345:respawn:/sbin/mingetty tty1

2:2345respawn:/sbin/mingetty tty2

3:2345:respawn:/sbin/mingetty tty3

4:2345:respawn:/sbin/mingetty tty4

5:2345:respawn:/sbin/mingetty tty5

6:2345:respawn:/sbin/mingetty tty6

7:2345:respawn:/usr/sbin/pppd file /etc/ppp/options.0 > /var/log/pppS0.log

8:2345:respawn:/usr/sbin/pppd file /etc/ppp/options.1 > /var/log/pppS1.log

# Run xdm in runlevel 5

# xdm is now a separate service

x:5:respawn:/etc/X11/prefdm –nodaemon

He забудьте надлежащим образом настроить ваши модемы! Для этого вам нужно прочитать документацию по вашему модему. Обычно для инициализации модемов используется АТ-команда AT&L1. Однако эта команда поддерживается не всеми модемами.

7.6. Перед настройкой сервера

Перед тем как перейти к настройке сервера, нужно решить пару организационных вопросов. Например, где расположить наш сервер и какое железо предпочтительнее использовать. Вы уже произвели базовую настройку операционной системы, ваш будущий сервер прекрасно, как я надеюсь, работает в вашей локальной сети. Теперь самое время решить, где его расположить и кто будет иметь доступ (кроме вас, естественно) к нему. Очень важно правильно расположить сервер. Теперь это не рабочая станция, практически не представляющая для злоумышленника никакого интереса, а СЕРВЕР ВАШЕЙ СЕТИ!!!

Во-первых, сервер должен быть размещен в отдельном помещении, доступ в которое ограничен. В идеальном случае в серверную комнату никто, кроме вас и, возможно, вашего помощника, не должен входить. Запомните: чем меньше посторонних (да и сотрудников) имеют доступ к серверному помещению, тем меньше проблем у вас будет. Простое нажатие на «Reset» может вызвать простой сервера (а значит и всей сети) от одной-двух минут до двух-трех часов. Например, вы установили пароль в программе первоначальной настройки компьютера (SETUP) и каждый день, придя на работу, вводите его для запуска сервера. Допустим, что во время вашего отсутствия кто-то нажал на «Reset» или просто выключил сервер. Так как пароль знаете только вы, это может вызвать простой сети на все время вашего отсутствия.

В некоторых материнских платах можно программно отключить кнопку перезагрузки (например, Chaintech CT 6ATA2). Я рекомендую использовать эту возможность, если она есть. В крайнем случае, можно просто отключить «Reset», разобрав компьютер. Перед этим (на всякий случай) прочитайте документацию по материнской плате.

Приведенный пример несколько некорректен, так как серверы обычно работают в бесперебойном режиме и не выключаются даже ночью, но это зависит от специфики вашего предприятия. Например, если сервер используется только для выхода в Интернет сотрудников сети, то его работа ночью просто не имеет смысла. Сейчас рассмотрим более серьезные последствия непредвиденной перезагрузки сервера.

То, что ваша сеть будет временно недоступна и простаивать — это, как говорится, только вершина айсберга. Если ваш сервер обслуживает корпоративную базу данных, неожиданное выключение питания или перезагрузка может повлечь за собой куда более весомые потери — потерю информацию, а значит, времени на ее восстановление (если такое вообще окажется возможным) и, естественно, средств. Выходит, что самым «продвинутым» хакером может стать обыкновенный электрик, который просто выключит напряжение на щитке возле серверной комнаты. Отсюда вторая истина: не пожалейте денег на хороший источник бесперебойного питания (ИПБ). В условиях наших электросетей ИБП быстро себя окупит. Существует несколько типов ИБП:

1. Резервные (backup).

2. Линейно-интерактивные.

3. Онлайновые.

Не буду утруждать вас различиями между этими видами ИБП, а скажу, что в нашем случае подойдет третий тип. Именно онлайновые ИБП обеспечивают бесперебойную работу сервера, а также различного чувствительного оборудования, например, измерительного. Стоимость таких ИБП примерно в два-три раза выше резервных ИБП такой же мощности. Если ваши средства ограничены, подойдут и линейно-интерактивные ИБП. В случае с рабочей станцией можно использовать ИБП мощностью 300 ВА (VA), но в нашем случае нужен ИБП как минимум на 1200…2000 ВА (VA). Из недорогих могу порекомендовать линейно-интерактивный ИБП Back-UPS PRO 1400 VA (670 W) производства компании АРС.

Теперь перейдем ко второму вопросу — аппаратному обеспечению. Сразу нужно отметить, что комплектовать сервер нужно, исходя из тех задач, которые он должен выполнять. Если вы настраиваете шлюз для доступа к Интернет вашей локальной сети, в которой несколько пользователей, то подойдет и такая минимальная конфигурация: Pentium 166/200 (или PPRO 200) 128MB ОЗУ/4-6Gb HDD. А если вы собираетесь стать провайдером, то есть предоставлять доступ к Интернет на коммерческой основе другим организациям, такой конфигурации явно будет маловато. Прежде всего, нужно увеличить объем ОЗУ, установить быстродействующий жесткий диск или даже несколько дисков для обеспечения высокой скорости операций прокси-сервера. А подключить такой жесткий диск к старой материнской плате у вас, скорее всего, не получится, а если он и будет работать, то в два-три раза медленнее.

При конфигурировании сервера баз данных крупной организации, например, банка, вам не обойтись без двухпроцессорной машины. Поэтому сейчас рассмотрим «максимальную» конфигурацию.

Основным компонентом любого компьютера является материнская плата. В свою очередь, основным компонентом материнской платы является ее чипсет. В 1999-2000 годах популярным чипсетом для построения двухпроцессорных систем был Intel 440BX. Но сегодня он не обеспечивает должного уровня производительности. Во-первых, не обеспечивается поддержка частоты системной шины (FSB) 133 МГц, что не позволяет использовать с максимальной отдачей процессоры Intel Pentium III. Во-вторых, максимальный объем ОЗУ, поддерживаемый чипсетом Intel 440BX, равен 1 Гб. При работе с некоторыми базами данных этого может оказаться недостаточно. Этот чипсет также не поддерживает 64-разрядную шину PCI и интерфейс АТА 66 (не говоря уже о АТА/100). Я бы не порекомендовал его использовать при комплектации сервера.

Следующими серверными чипсетами компании Intel являются i820 и 1840. Оба чипсета поддерживают частоту FSB 133 МГц, АТА/66, объем ОЗУ 1 Гб и 2 Гб соответственно. Но есть одно но: оба чипсета требуют использования памяти RDRAM. Системы, использующие Rambus DRAM, оказываются чрезвычайно дорогими, учитывая их довольно невысокое быстродействие. А использование SDRAM снижает быстродействие системы.

Я рекомендую использовать чипсеты ServerWorks семейства ServerSet III (IV). Несмотря на их высокую стоимость, они обладают куда более высоким показателем цена/производительность, чем чипсет Intel 840. Чипсет ServerSet III поддерживает 16GB ОЗУ, частота FSB равна 133 МГц. Используются модули ЕСС Registered RAM. В качестве процессора можно установить два процессора Pentium III или четыре процессора Xeon. Также обеспечивается поддержка 64-разрядная шина PCI. Чипсеты ServerSet III обладают встроенным IOAPIC (I/O Advanced Programmable Interrupt Controller).

Чипсеты семейства ServerSet IV поддерживают процессоры Intel Pentium IV, память DDR SDRAM (200 МГц), максимальный объем ОЗУ равен 64 Гб.

Производством материнских плат с чипсетом ServerSet III занимаются такие компании как SuperMicro (www.supermicro.com), Tyan (www.tyan.com), а также некоторые другие. О стоимости таких плат говорить не стану, так как цены, скорее всего, изменятся к моменту выхода этой книги из печати.

Теперь перейдем к мозгу сервера — процессору. Как вы заметили, при обзоре чипсетов я ни разу не упомянул процессоры других производителей, кроме Intel. И не случайно, так как я рекомендую использовать именно процессоры Intel, которые обеспечивают более высокую степень надежности по сравнению с процессорами других производителей.

При покупке оперативной памяти следуйте простому правилу: чем больше, тем лучше. Лишняя память никогда не помешает. Покупайте такой объем ОЗУ, какой вы можете себе позволить. Только перед этим убедитесь, какой тип памяти поддерживает ваш чипсет, а также максимальный объем ОЗУ.

Лучше всего подойдет жесткий диск с интерфейсом SCSI, обеспечивающий 10000 rpm (rotates per minute). В крайнем случае подойдет и АТА/ 100(133) на 7200 rpm и двумя мегабайтами кэша. Если вы заботитесь о сохранности своих данных, нужно позаботиться об обеспечении должного уровня избыточности. Было бы очень хорошо, если ваша материнская плата обладала контроллером RAID. Если у вас нет средств на приобретение аппаратного контроллера RAID, ОС Linux предоставляет средства для создания программных контроллеров RAID — об этом говорилось в гл. 4. При использовании программных контроллеров нужно учитывать, что при этом увеличивается нагрузка на центральный процессор.

Хорошо зарекомендовали себя винчестеры IBM, WD, Quantum. Сейчас у меня установлено два винчестера Quantum. Единственный недостаток этих винчестеров — пожалуй, высокий уровень шума, создаваемый ими при работе (особенно при открытом корпусе), но для сервера это не столь существенно. А в остальном эти винчестеры довольно быстрые и надежные.

Не покупайте дешевые сетевые платы для сервера. Такую роскошь, как пятидолларовую плату Realtek, можно установить разве что на рабочей станции. Серверу приходится обрабатывать запросы многочисленных пользователей, поэтому нужно покупать сетевой адаптер со встроенным процессором. При этом снижается нагрузка на центральный процессор и повышается производительность системы.

Если вы устанавливаете модемный пул, я бы порекомендовал использовать оборудование компании ZyXEL. Модемы ZyXEL зарекомендовали себя как очень надежные модемы, способные работать практически на любых линиях.

8.1. Суперсерверы inetd и xinetd

8.1.4. Установкаx inetd

Суперсервер xinetd является достойной заменой inetd. Этот суперсервер, помимо всего прочего, обладает встроенными механизмами защиты, которые для inetd выполняет специальный демон tcpd. К тому же xinetd, в отличии от inetd, поддерживает IPv6. Даже если вы пока не планируете переходить на IPv6, установка xinetd будет очень полезной из-за расширенных функций суперсервера. Сам xinetd появился в Red Hat начиная с 7-ой версии и обычно устанавливается во время установки системы. Если у вас он еще не установлен, сейчас самое время это сделать.

При этом рекомендую пойти по пути наименьшего сопротивления и установить xinetd из RPM-пакета, а можно и выкачать из Интернет последнюю версию xinetd по адресу http://www.svnack.net/xinetd и установить его из исходных кодов.

После того, как вы распакуете исходники, введите ./configure, перейдя предварительно в каталог с исходниками (при этом желательно иметь права root). Для сценария configure вы можете использовать параметры, представленные в табл. 8.1.

Параметры сценария configure Таблица 8.1

Параметр	Описание
--with-libwrap	Демон будет использовать tcp wrappers. При этом у вас уже должен быть установлен libwrap. С этой опцией xinetd будет сперва проверять ваши /etc/hosts.allow и /etc/hosts.deny файлы, и только после этого запускает свой механизм контроля доступа
--with-loadavg	Компилирует xinetd с опцией max_load. Этот параметр остановит сервис, когда нагрузка достигнет определенного уровня
--wilh-inet6	Включает поддержку IPv6

Внимание! При включении IPv6 все IPv4-сокеты становятся IPv6-сокетами и соответственно ядро (это прежде всего) и все программы должны поддерживать IPv6. Поэтому будьте готовы к тому, что вам понадобится перекомпилировать свое ядро с поддержкой IPv6. Если ваше ядро не поддерживает IPv6, выкачайте последнюю версию ядра по адресу ^{http://www.kernel.org}. Тем не менее, и после включения IPv6 запросы IPv4 также будут обрабатываться. Так что никакой аварийной ситуации не будет.

Возвращаясь к настройке: теперь введите make, а затем — make install.

Файл конфигурации xinetd — /etc/xinetd.conf отличается по синтаксису от файла конфигурации inetd. Но если inetd у вас уже настроен и вам лень настраивать все заново, воспользуйтесь программой itox: itox < /etc/inetd.conf > /etc/xinetd.conf

Такое использование команды itox верно при условии, что файлом конфигурации inetd является файл /etc/inetd.conf, a xinetd –/etc/xinetd.conf. Но в любом случае, вам не помешает разобраться с форматом xinetd.conf. 

Рис. 8.1. Автозапуск суперсервера

После установки суперсервера из RPM-пакета или его сборки из исходных текстов, xinetd (или inetd) добавляется в сценарий автозагрузки системы. Напомню, что включить или отключить запуск xinetd (inetd) или любого другого сервиса всегда можно с помощью конфигуратора drakxservices в Linux Mandrake или setup в Linux Red Hat (см. рис. 8.1).

8.2. Удаленный доступ: ssh и telnet

Сервис Telnet обеспечивает базовую эмуляцию терминалов удаленных систем, поддерживающих протокол Telnet над протоколом TCP/IP. Обеспечивается эмуляция терминалов Digital Equipment Corporation VT 100, Digital Equipment Corporation VT 52, TTY. Протокол Telnet описан в документе RFC 854, который вы найдете на прилагаемом компакт-диске.

Любые команды, выполняемые с помощью Telnet, обрабатываются telnet-сервером, а не локальным компьютером. Пользователь лишь видит результат выполнения этих команд.

Для использования Telnet на удаленном компьютере должен быть установлен telnet-демон. На компьютере пользователя нужно установить программу-клиент. Практически в каждой операционной системе существует утилита telnet, которая является клиентом для протокола telnet (см. рис. 8.2).

Сервис Telnet был и остается одним из самых популярных способов удаленной регистрации и работы на удаленной машине. Основным его недостатком является то, что любая информация, в том числе и пароли, передается в открытом виде без какого-либо кодирования.

SSH (Secure Shell) — программа, позволяющая вам зарегистрироваться на удаленных компьютерах и установить зашифрованное соединение. Существует также «безопасная» версия telnet — stelnet.

SSH использует криптографию открытого ключа для шифрования соединения между двумя машинами, а также для опознавания пользователей. 

Рис. 8.2.Telnet-клиент для Windows

Оболочку ssh можно использовать для безопасной регистрации на удаленном сервере или копировании данных между двумя машинами, в то же время предотвращая атаки путем присоединения посередине (session hijacking) и обманом сервера имен (DNS spotting).

Оболочка Secure Shell поддерживает следующие алгоритмы шифрования:

BlowFish — это 64-разрядная схема шифрования. Этот алгоритм часто используется для высокоскоростного шифрования данных больших объемов.

Тройной DES (Data Encryption Standard) — стандарт для шифрования данных. Данный алгоритм довольно старый, поэтому не рекомендуется его использовать. Обычно DES используется для шифрования несекретных данных.

IDEA (International Data Encryption Algorithm) — международный алгоритм шифрования информации. Этот алгоритм работает со 128-разрядным ключом и поэтому он более защищен, чем BlowFish и DES.

RSA (Rivest-Shamir-Adelman algorithm) — алгоритм Ривеста-Шамира-Адельмана. Представляет собой схему шифрования с открытым и секретным ключами.

При выборе алгоритма шифрования нужно исходить из конфиденциальности информации, которую вам нужно передать. Если информация секретна, лучше использовать алгоритмы IDEA или RSA. Если же вы просто не хотите передавать данные в открытом виде, используйте алгоритм BlowFish, поскольку он работает значительно быстрее, чем DES.

Оболочка ssh очень эффективна против анализаторов протоколов, так как она не только шифрует, но и сжимает трафик перед его передачей на удаленный компьютер. Программу ssh можно скачать по адресу ^{http://www.cs.hut.fi/ssh/}. Версия ssh для UNIX распространяется бесплатно, а за Windows-версию (имеется в виду клиент для Windows) нужно заплатить.

Оболочка ssh незаменима в тех случаях, когда удаленно нужно администрировать сервер или когда сервер не имеет собственного монитора. При использовании telnet все данные, которые передаются через telnet-соединение, доступны в открытом виде. А значит, имена пользователей и пароли будут доступны всем, кто прослушивает трафик с помощью анализатора. Шифрование ssh выполняет, используя несколько различных алгоритмов, включая DES и 3DES.

Программа состоит из демона sshd, который запускается на Linux/UNIX-машине, и клиента ssh, который распространяется как для Linux, так и для Windows. Чтобы установить ssh, возьмите исходные тексты и поместите их по традиции в каталог /usr/src/. Затем распакуйте архив и установите программу, выполнив следующую последовательность действий:

cd /usr/src/

tar xzf ssh-2.4.0.tar.gz

cd ssh-2.4.0

./configure

make

make install

Чтобы ssh начал работать, необходимо запустить демон sshd на той машине, к которой предполагается подключение. Желательно добавить команду запуска в сценарий загрузки системы для автоматического запуска. Демон sshd работает по 22 порту (см. листинг 8.6). Если не ошибаюсь, ssh невозможно использовать вместе с xinetd/inetd — его нужно запускать подобно httpd– серверу в режиме standalone.

Листинг 8.6. Фрагмент файла /etc/services

ssh 22/tcp # SSH Remote Login Protocol

ssh 22/udp # SSH Remote Login Protocol

Обычно с настройкой sshd не возникает никаких неприятных моментов. Подробно настройка демона будет рассмотрена чуть ниже в этой главе. Теперь попробуйте зарегистрироваться на этой машине через ssh. Для этого нужно установить этот же пакет на другую машину под управлением Linux/UNIX (или установить Windows-клиент ssh) и ввести команду:

$ ssh hostname.domain

ssh запросит вас ввести пароль пользователя. В качестве имени пользователя для установки соединения будет использовано имя текущего пользователя, то есть имя, под которым вы сейчас зарегистрированы в системе. В случае, если аутентификация пройдет успешно, начнется сеанс связи. Прекратить сеанс можно комбинацией клавиш Ctrl+D.

Если вам нужно указать другое имя пользователя, используйте параметр –l программы ssh:

ssh –l user hostname.ru

Так можно указать программе ssh, от имени какого пользователя нужно регистрироваться на удаленной машине (см. рис. 8.3).

При использовании Windows-клиента имя компьютера, имя пользователя и пароль нужно ввести в диалоговом окне программы. Если соединение не устанавливается, попробуйте выбрать метод кодирования blowfish. Если и это не поможет, выберите 3DES.

Работа в ssh аналогична работе в telnet. Вы можете администрировать удаленную машину также легко, как и локальную. Опции программы ssh указаны в табл. 8.5.

Рис.8.З. Регистрация на удаленной машине

Опции программы ssh Таблица 8.5 

Оболочка ssh использует два файла конфигурации ssh_conf и sshd_conf. Думаю, что нет смысла говорить о том, что они находятся в директории /etc/ssh. Рекомендую в файле sshd_conf прописать следующую строчку:

allowedadress 10.1.1.1 10.1.2.1 10.1.3.1

Это означает, что доступ по ssh может быть выполнен только с машин с адресами 10.1.1.1, 10.1.2.1, 10.1.3.1. Это оградит ваш компьютер от нежелательных вторжений извне.

Программа stelnet во всем полностью аналогична программе telnet, но она выполняет шифрование трафика, который передается во время telnet-соединения.

Демон sshd — это программа-демон для оболочки ssh. Обычно sshd запускается на машине, к которой подключаются клиенты ssh. Последние версии демона sshd поддерживают две версии протокола ssh — ssh версия 1, и ssh версия 2.

Протокол SSH версия 1

У каждого узла есть свой RSA-ключ (обычно 1024 бит), который используется для идентификации узла. Этот ключ еще называется открытым. Дополнительно, при запуске демона, генерируется еще один RSA-ключ — ключ сервера (обычно 768 бит). Этот ключ создается заново каждый час и никогда не сохраняется на диске.

Каждый раз при установке соединения с клиентом демон отправляет ему в ответ свой открытый ключ и ключ сервера. Клиент сравнивает полученный открытый ключ со своей базой данных, чтобы проверить, не изменился ли он. Затем клиент случайным образом генерирует 256-разрядное число и кодирует его, используя одновременно два ключа — открытый ключ и ключ сервера. Обе стороны используют этот случайный номер как ключ сессии, который используется для кодирования всех передаваемых во время сессии данных.

Затем клиент пытается аутентифицировать себя, используя .rhosts-аутентифи-кацию, аутентификацию RSA или же аутентификацию с использованием пароля.

Обычно .rhosts-аутентификация небезопасна и поэтому она отключена.

Протокол SSH версия 2

Версия 2 работает аналогично: каждый узел имеет определенный DSA-ключ, который используется для идентификации узла. Однако, при запуске демона ключ сервера не генерируется. Безопасность соединения обеспечивается благодаря соглашению Диффи-Хелмана (Diffie-Hellman key agreement).

Сессия может кодироваться следующими методами: 128-разрядный AES, Blowfish, 3DES, CAST128, Arcfour, 192-разрядный AES или 256-разрядный AES.

Опции демона sshd указаны в табл. 8.6.

Опции демона sshd Таблица 8.6

Файл конфигурации демона /etc/ssh/sshd_config выглядит примерно так, как это показано в листинге 8.7

Листинг 8.7 Файл конфигурации /etc/ssh/sshd_config

# $OpenBSD: sshd_config,v 1.38 2001/04/15 21:41:29 deraadt Exp $

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# This is the sshd server system-wide configuration file. See sshd(8)

# for more information.

Port 22

# Protocol 2,1

# ListenAddress 0.0.0.0

# ListenAddress ::

HostKey /etc/ssh/ssh_host_key

HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_dsa_key

ServerKeyBits 768

LoginGraceTime 600

KeyRegenerationInterval 3600

PermitRootLogin yes

#

# Don't read ~/.rhosts and ~/.shosts files

IgnoreRhosts yes

# Uncomment if you don't trust ~/.ssh/known_hosts for

RhostsRSAAuthentication

# IgnoreUserKnownHosts yes

StrictModes yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd yes

# PrintLastLog no

KeepAlive yes

# Logging

SyslogFacility AUTHPRIV

LogLevel INFO

# obsoletes QuietMode and FascistLogging

RhostsAuthentication no

#

# For this to work you will also need host keys in /etc/ssh/

ssh_known_hosts

RhostsRSAAuthentication no

# similar for protocol version 2

HostbasedAuthentication no

#

RSAAuthentication yes

# To disable tunneled clear text passwords, change to no here!

PasswordAuthentication yes

PermitEmptyPasswords no

# Uncomment to disable s/key passwords

# ChallengeResponseAuthentication no

# Uncomment to enable РАМ keyboard-interactive authentication

# Warning: enabling this may bypass the setting of 'PasswordAuthentication'

# PAMAuthenticationViaKbdInt yes

# To change Kerberos options

# KerberosAuthentication no

# KerberosOrLocalPasswd yes

# AFSTokenPassing no

# KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver

# KerberosTgtPassing yes

# CheckMail yes

# UseLogin no

# MaxStartups 10:30:60

# Banner /etc/issue.net

# ReverseMappingCheck yes

Subsystem sftp/usr/libexec/openssh/sftp-server

В большинстве случаев вас должны устроить опции по умолчанию, однако сейчас мы все же рассмотрим некоторые из них.

Директива Port предназначена для указания порта, которые демон будет прослушивать (данная директива аналогична опции –р.):

Port 22

Следующая директива — это директива Protocol. С помощью этой директивы можно указать в порядке предпочтения номера поддерживаемых протоколов SSH:

Protocol 2,1

Такое определение директивы означает, что сначала сервер будет пытаться установить соединение с клиентом по протоколу SSH версии 2, а потом — по протоколу SSH версии 1. Можно указать использование только одной версии протокола, например, Protocol 1.

Директива ListenAddress указывает локальный адрес, который должен прослушивать демон.

Директива HostKey определяет файлы ключей. Файлами по умолчанию являются:

/etc/ssh/ssh_host_key

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_dsa_key

Директива ServerKeyBits определяет разрядность ключа сервера для протокола ssh первой версии. По умолчанию используется 768-разрядный ключ (768 бит).

Директива LoginGraceTime аналогична опции –g: предоставляет клиенту дополнительное время, чтобы аутентифицировать себя. По умолчанию время равно 600 секундам. Если за это время клиент не смог аутентифицировать себя, соединение будет прекращено.

Директива KeyRegenerationInterval аналогична опции –k. Она определяет время, спустя которое ключ сервера будет создан заново. По умолчанию время составляет 3600 секунд (1 час).

Директива PermitRootLogin определяет, разрешено ли пользователю root регистрироваться по ssh. Значение по умолчанию:

PermitRootLogin yes

Еще две директивы, имеющие непосредственное отношение к аутентификации — это PasswordAuthentication и PermitEmptyPasswords. Первая разрешает (при значении yes) аутентификацию с помощью пароля, а вторая — разрешает (при значении yes) использовать пустые пароли. Значения по умолчанию:

PasswordAuthentication yes

PermitEmptyPasswords no

Описание остальных опций вы найдете в справочной системе, введя команду man sshd.

8.3.Маршрутизация

Маршрутизацию между сетями можно организовать с помощью команды route или с помощью IpChains. Сейчас рассмотрим более или менее подробно первый случай, а о втором поговорим в гл. 14.

Пусть, у вас есть две сетевые платы eth0 и eth1:

ifconfig eth0 192.168.1.1 up

ifconfig eth0 192.168.2.1 up

и вам нужно обеспечить маршрутизацию между подсетями 192.168.1.0 и 192.168.2.0. С этой целью объявляем, что машины, которые находятся в вашем локальном сегменте 192.168.1.*, «сидят» на первом интерфейсе и общаться с ними нужно напрямую:

route add net 192.168.1.0 192.168.1.1 netmask 255.255.255.0 0

А с машинами с адресами 192.168.2.* будем разговаривать через eth1:

route add net 192.168.2.0 192.168.2.1 netmask 255.255.255.0 0

Последний параметр — это метрика. Ее можно понимать как «расстояние до шлюза-назначения» или «сколько пересадок между шлюзами придется сделать пакету по пути и обратно». Т.к. адреса 192.168.1.1 и 192.168.2.1 являются нашими собственными адресами, то метрика равна 0.

Сетевые пакеты для IP-адресов, которые не лежат в нашей локальной сети, будем отправлять на машину 192.168.1.11, а она сама будет разбираться, что с ними делать:

route add default 192.168.1.11 1

Другими словами, сейчас мы объявили маршрут по умолчанию. Обратите внимание на значение метрики = 1. Как видите, мы все сделали без всяких конфигураторов — все просто и логично.

Сейчас постараемся, как говорится, рассмотреть второй вариант в трех строчках. Допустим, у вас есть те же две подсети — 192.169.1.0 и 192.168.2.0. Постараемся организовать маршрутизацию средствами IpChains:

ipchains –P forward DENY

ipchains –A forward –s 192.168.1.0/24 –d 192.168.2.0/24 –j ACCEPT

ipchains –A forward –s 192.168.2.0/24 –d 192.168.1.0/24 –j ACCEPT

О том, что означают данные три строчки, вы узнаете в гл. 14.

8.4. Настройка DHCP (Dynamic Host Configuration Protocol)

Для чего нужен протокол DHCP? DHCP — это протокол настройки узла, который автоматически назначает IP-адреса компьютерам. По сути, протокол DHCP — это дальнейшее развитие протокола ВООТР. Последний разрешает бездисковым клиентам запускать и автоматически конфигурировать протокол TCP/IP. Протокол DHCP централизовано назначает IP-адреса в вашей сети и автоматически конфигурирует рабочие станции. Возможно, вы подумали, что в одной сети должен быть только один сервер DHCP, потому что в противном случае между серверами возникнет конфликт, а пострадавшим опять окажется клиент, который зависнет при загрузке. А вот и не так — в одной сети может быть несколько серверов DHCP. И это не только не отразится на производительности сети, но даже повысит надежность сети, если, например, один из серверов выйдет из строя.

Итак, установите пакет dhcp и включите поддержку динамических IP-адресов командой

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

DHCP в Linux реализован в виде демона сервера (dhcpd) и демона клиента (dhcpcd). Демон сервера непосредственно отвечает за назначение IP-адресов клиентам, при входе и выходе их из сети. Клиентский демон, как явствует из названия, запускается на стороне клиента.

Конфигурационным файлом для dhcpd является /etc/dhcp.conf. При запуске DHCP-сервера происходит выделение IP-адресов согласно содержащимся в файле /etc/dhcp.conf установкам. Выделенные адреса dhcpd регистрирует в файле dhcpd.leases, который обычно находится в каталоге /var/dhcpd.

Сейчас давайте рассмотрим простейшую конфигурацию, которую будем постепенно наращивать (см. листинг 8.8). Обратите внимание на то что, чтобы внесенные вами в файл /etc/dhcp.conf изменения вступили в силу, демон dhcpd необходимо остановить и запустить снова. При этом используйте команду /etc/rc.d/init.d/dhcpd stop для останова демона, и команду /etc/rc.d/init.d/dhcpd start для его запуска.

Листинг 8.8. Файл /etc/dhcpd.conf

# описание сети, указывающее, какая из подсетей будет

# обслуживаться. Указывается сетевой адрес и маска сети

subnet 192.168.1.0 netmask 255.255.255.0 {

# маршрутизатор по умолчанию

option routers 192.168.1.1;

# маска подсети 255.255.255.0

option subnet-mask 255.255.255.0;

# установка домена по умолчанию и сервера NIS, если таковой используется

option nis-domain "domain.ua";

option domain-name "domain.ua";

# адрес DNS-сервера, который будут использовать клиенты

option domain-name-servers 192.168.1.1;

# диапазон адресов для клиентов

# 192.168.1.50-192.168.1.250

range 192.168.1.10 192.168.1.254;

# сказать клиентам, чтобы отдали адрес через 21600 секунд (6 часов)

# после получения адреса

default-lease-time 21600;

# забрать адрес самому через 28800 секунд (8 часов)

max-lease-time 28800;

}

Теперь будем постепенно усложнять конфигурацию. Каждая сетевая карточка имеет уникальный собственный МАС-адрес. Допустим, вам нужно связать какой-то МАС-адрес с определенным IP-адресом. Для этого воспользуйтесь конструкцией host:

host myhost {

hardware ethernet xx:xx:xx:xx:xx:xx;

fixed-address 192.168.1.9;

}

Ее нужно вставить в ту конструкцию подсети subnet, которой принадлежит назначаемый IP-адрес. Данная конструкция означает, что компьютеру с аппаратным адресом хх:хх:хх:хх:хх:хх будет назначен IP-адрес 192.168.1.9. Например:

subnet 192.168.1.0 netmask 255.255.255.0 {

 # прочие опции

 # …

 #

 host myhost {

  hardware ethernet 00:40:C7:34:90:1E;

  fixed-address 192.168.1.9;

 }

}

Данный пример показывает, что аппаратному адресу 00:40:С7:34:90:1Е будет сопоставлен IP-адрес 192.168.1.9. Обратите внимание, что IP-адрес хоста myhost 192.168.1.9 относится к подсети 192.168.1.0 и включен в инструкцию subnet подсети 192.168.1.0, а не какой-либо другой сети!

Существует довольно удобная утилита для просмотра всех МАС-адресов сетевых адаптеров в вашей сети — программа TCPNetView. Эта программа разработана Александром Горлачем и загрузить ее вы можете по адресу http://www.enet.ru/~gorlach/netview/. Правда, есть одно «но»: эта программа работает под Windows. В любом случае, если вы будете использовать эту программу, при настройке сервера вам не придется подходить к каждому компьютеру, чтобы узнать его МАС-адрес. Существуют также и утилиты под Linux, способные показать сразу все МАС-адреса. Примером может послужить программа Trafshow, которую вы найдете на прилагаемом компакт-диске. Но по сравнению с Trafshow, TCPNetView несколько удобнее (см. рис. 8.4). 

Рис. 8.4. Программа TCPNetView

Теперь, предположим, что вам необходимо обеспечить поддержку WINS, а на вашей машине установлен сервер Samba. В этом случае в конструкцию subnet нужно включить следующие директивы:

option netbios-name-servers 192.168.1.1;

option netbios-dd-server 192.168.1.1;

option netbios-node-type 8;

Вот практически и все. Правда, еще можно добавить пару незначительных опций:

# определяем широковещательный адрес

option broadcast-address 192.168.2.255;

# включаем IP-Forwarding

option ip-forwarding on;

# можно добавить глобальную опцию:

server-identifier server.domain.ua;

Как обычно, дополнительную информацию можно получить, введя команду man dhcpd.conf. При настройке клиентов Windows следует активизировать режим «Получить IP-адрес автоматически» в свойствах TCP/IP (рис. 8.5). А при настройке Linux с помощью конфигуратора netconf — включить режим DHCP (см. рис. 8.6). 

Рис.8.5. Настройка Windows-клиента

Рис. 8.6. Настройка Linux-клиента

Протокол DHCP подробно описан в RFC 1533, 1534, 1541, 1542, а протокол ВООТР описан в rfc 1532. Окончательный вариант конфигурационного файла приведен в листинге 8.9.

Листинг 8.9. Конфигурационный файл /etc/dhcpd.conf (окончательный вариант)

# Подсеть 192.168.1.0, маска сети 255.255.255.0

subnet 192.168.1.0 netmask 255.255.255.0 {

# маршрутизатор по умолчанию

option routers 192.168.1.1;

# маска подсети 255.255.255.0

option subnet-mask 255.255.255.0;

# установка домена по умолчанию и сервера NIS, если таковой используется

option nis-domain "domain.ua";

option domain-name "domain.ua";

# задание широковещательного адреса

option broadcast-address 192.168.2.255;

# включение IP-Forwarding

option ip-forwarding on;

# глобальная опция server-identifier:

server-identifier server.domain.ua;

# адрес DNS-сервера, который будут использовать клиенты

option domain-name-servers 192.168.1.1;

# диапазон адресов для клиентов

# 192.168.1.50-192.168.1.250 range

192.168.1.10 192.168.1.254;

# сказать клиентам, чтобы отдали адрес через 21600 секунд (6 часов)

# после получения адреса

default-lease-time 21600;

# забрать адрес самому через 28800 секунд (8 часов)

max-lease-time 28800;

option netbios-name-servers 192.168.1.1;

option netbios-dd-server 192.168.1.1;

option netbios-node-type 8;

# описание трех клиентов (dhcp50, dhcp51, dhcp52)

# и их аппаратных адресов

 host dhcp50 {

  hardware ethernet 00:40:C7:34:90:1E;

# обратите внимание на то, что вы должны использовать IP-адрес

# из указанного ранее диапазона адресов 192.168.1.50-250.

  fixed-address 192.168.1.50;

 }

 host dhcp51 {

  hardware ethernet 00:40:C7:34:90:1F;

  fixed-address 192.168.1.51;

 }

 host dhcp52 {

  hardware ethernet 00:40:C7:34:90:2A;

  fixed-address 192.168.1.52;

 }

}

8.5. Подсчет трафика. Программа MRTG

Эта тема является одной из наиболее интересных. Хочу сразу заметить, что существует такое множество способов считать трафик, что можно было бы написать не одну книгу, рассматривая все из них.

Самым простым способом является подсчет с помощью программы ifconfig. Чтобы понять как все работает, введите команду:

cat /proc/net/dev

В результате вы увидите строки, изображенные на рис. 8.7. Для наглядности я ввел эту команду в ОС Linux со старым ядром, так как в новом ядре появились новые опции учета и они не умещаются в окне терминала, а при переносе строк теряется наглядность примера.

Рис. 8.7. Команда cat /proc/net/dev

Файл /proc/net/dev содержит информацию о работе сетевых устройств. На этом и основывается данный метод подсчета трафика. Для самого же подсчета удобнее использовать нижеприведенный сценарий stat:

#!/bin/sh

/bin/grep "$1" /proc/net/dev | /bin/awk –F ":" '{ print $2 }' | \

 /bin/awk '{ print "In: " $1 "\nOut: " $9 ; }'

Символ \ используется как перенос в обычном тексте. Его обычно используют для повышения удобочитаемости сценариев. Интерпретатором он будет воспринят как пустой символ.

Скопируйте данный сценарий в каталог /usr/bin и сделайте его выполнимым:

ср ./stat /usr/bin

chmod 755 /bin/stat

Использовать данный сценарий можно так:

/bin/stat eth0

где eth0 — это нужный вам интерфейс.

Можно было бы добавить проверку на правильность указания сценариев, но это не касается самого подсчета трафика. Попробуйте пропинговать интерфейс eth0 по его IP-адресу и снова выполните сценарий.

Честно говоря, это самый простой способ и, скорее всего, для вас он окажется совершенно бесполезным. Я привел его лишь в демонстрационных целях — это как своеобразная программка "Hello, world!".

Теперь перейдем к более традиционному методу. В данном методе для подсчета трафика используется IpChains. Чтобы глубже понимать, о чем пойдет речь, я рекомендую прочитать сначала гл. 14, а потом вернуться к этой главе. Думаю, читатель меня простит за это неудобство — так уж получилось. Впрочем, я постараюсь объяснить все как можно подробнее и в этом разделе, во всяком случае, все должно быть понятно, а за разъяснениями опций ipchains читатель может обратиться к гл. 14.

Предлагаемый мною способ является не самым лучшим, но с его помощью я надеюсь подтолкнуть читателя на создание своего фундаментального продукта для подсчета трафика. Для того чтобы данный способ работал, необходимо включить опцию IP: accounting в конфигураторе ядра и перекомпилировать его. В большинстве случаев эта опция уже включена. Затем нужно установить IpChains. Когда все будет готово, установите следующее правило IpChains:

ipchains –A output –d AAA.ААА.АAА.ААА –j ACCEPT

Данное правило нужно установить для каждого адреса, учет которого вы хотите вести. А просмотреть статистику можно с помощью команды:

ipchains –L –v

Chain input (policy ACCEPT: 4195746 packets, 1765818402 bytes):

Chain forward (policy ACCEPT: 142999 packets, 29941516 bytes) :

Chain output (policy ACCEPT: 4182597 packets, 1309541595 bytes) :

pkts bytes target prot opt tosa tosx ifname source   destination

4    308   ACCEPT all      0xFF 0x00 any    anywhere AAA.AAA.AAA.AAA

Как вы заметили, это не полный листинг. Я выбрал основное, пропустив поля mark, outsize и ports, которые не представляют для нас интереса.

Здесь видно, что клиент ААА.ААА.ААА.ААА получил 308 байт или 4 пакета. В данном случае в качестве пакетов вступали пакеты протокола ICMP. Правило установлено таким образом, что учет ведется по всем интерфейсам (ifname=any), из любого источника, то есть адреса (source=anywhere) и учитываются все протоколы (prot=all). Аналогично можно установить правило для учета данных, полученных от клиента. Только в этом случае необходимо будет использовать цепочку input. Вам нужно установить это правило, потому что обычно считается не только исходящий, но и входящий трафик клиента, если ваш сервер, например, выступает в роли шлюза.

Можно также использовать данные, взятые из аппаратного маршрутизатора Cisco. Кстати, через Cisco работает популярная программа tacacs+. Эта программа используется для учета времени работы пользователей в системе. И именно эта программа используется рядом провайдеров при организации dialin-доступа. Программа доступна по адресу ^{ftp.vsu.ru/pub/hardware/cisco/tacacs/tac+ia-0.96pre9.3.tar.gz}

Очень полезна также программа useripacct. Она позволяет узнать о трафике каждого пользователя.

Считать трафик можно также программой trafshow, которую вы найдете на прилагаемом компакт-диске. Эта программа считает только локальный трафик (сколько байтов принял и передал данный компьютер и от кого он принял и кому передал). Поэтому, установив ее на шлюзе, можно вполне контролировать трафик всей сети (см. рис. 8.8). Кроме того, немного изменив исходный код trafshow, можно заставить ее отображать не только IP-адреса или доменные имена компьютеров вашей сети, но и МАС-адреса. Исходный код этой программки вы также найдете на компакт-диске.

Рис. 8.8. Программа trafshow

Как я уже писал, можно привести сотни способов учета трафика, а пользоваться вы все равно будете одним. Причем, в большинстве случаев, это будет способ, который вы «изобретете» сами, написав сценарий для обработки данных статистики.

К другим способам учета трафика можно отнести учет с использованием протокола SNMP. Именно по этому протоколу работает программа MRTG (http://www.switch.ch/misc/leinen/snmp/perl/). Программа MRTG предоставляет очень удобные средства для подсчета трафика: подсчет для всей сети и для отдельного узла, генерирование отчетов и диаграмм в формате HTML и многое другое.

Программа MRTG (The Multi Router Traffic Grapher) предназначена для мониторинга загрузки канала за сутки, неделю, месяц и год. Программа MRTG умеет рисовать красивые картинки в формате PNG, которые отображают состояние канала за определенный период времени.

Пример использования вы можете увидеть на сайте: http://www.stat.ee.ethz.ch/mrtg/

Для работы mrtgнам потребуется маршрутизатор, поддерживающий протокол SNMP. В этой же главе будет рассмотрен пример, позволяющий обойтись без маршрутизатора и вообще не использовать протокол SNMP. Общая конфигурация сети должна выглядеть примерно как на рис 8.9.

Рис. 8.9. Конфигурация сети

Из рисунка видно, что наша сеть получает доступ к Internet через SNMP-маршрутизатор. Компьютер MRTG — это узел локальной сети, на котором установлена программа MRTG. Программа MRTG будет периодически запускаться на узле MRTG, обновляя информацию о трафике. Пользователи локальной сети могут ознакомиться с этой информацией по протоколу HTTP. Естественно, на узле MRTG должен быть установлен Web-сервер.

Перед установкой программы убедитесь в наличии следующих библиотек:

1. gd (http://www.boutell.com/gd/);

2. libpng (http://www.libpng.org/pub/png/);

3. zlib (http://www.info-zip.org/pub/infozip/zlib/).

Загрузить последнюю версию MRTG можно по адресу: ^{http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/pub}.

Если вы используете операционную систему RedHat версии 7 или выше, программа MRTG, скорее всего, будет уже у вас установлена. Мы не будем скачивать исходные тексты программы, а сразу воспользуемся уже собранным пакетом rpm. Установим mrtg командой:

rpm –ih mrtg*

После установки нужно подготовить программу к первому запуску, то есть указать, откуда получать сведения о трафике.

Программа MRTG состоит из трех частей:

1. cfgmaker — утилита для создания конфигурационного файла.

2. indexmaker — утилита для создания файла index.html — страницы краткого обзора, дающую вам общее представление о всех целях, которые вы контролируете. О целях мы поговорим немного позже.

3. mrtg — сам mrtg.

Первый конфигурационный файл удобно создать с помощью программы cfgmaker, а потом добавить в него дополнительные параметры.

Введите команду:

cfgmaker —global 'WorkDir: /var/www/html/mrtg' \

 -global 'Options[_]: bits,growright' \

 -output /var/www/html/mrtg/mrtg.cfg \

 community@router

Теперь разберемся, что все это означает. Прежде всего, напомню, что означает наклонная черта: это просто перенос строки. Когда вы будете вводить команду, вместо наклонной черты используйте пробел как разделитель параметров. Наклонная черта используется, когда команда не помещается в командной строке.

Параметр WorkDir задает рабочий каталог. В этот каталог будут помещены html-файлы и рисунки — отчеты о трафике. Каталог /var/www/html/, как вы уже успели заметить, является корневым каталогом нашего Web-сервера, поэтому для просмотра статистики нужно ввести следующий URL в окне браузера: http://host/mrtg/

Кроме параметра WorkDir имеются также параметры HtmlDir и ImageDir.

В эти каталоги будут помещены html-файлы и картинки. При определении этих параметров нужно учитывать, что параметр WorkDir имеет приоритет над параметрами HtmlDir и ImageDir и поэтому, если указан параметр WorkDir, mrtg поместит отчеты и картинки именно в этот каталог, а значения параметров HtmlDir и ImageDir будут проигнорированы.

Группа глобальных параметров Options управляет построением изображения. Параметр bits означает, что мы измеряем трафик в битах, поэтому все числа нужно умножить на 8. Второй параметр, growright, указывает направление оси времени. Позже мы рассмотрим все параметры подробнее.

Параметр output программы cfgmaker задает имя конфигурационного файла, который будет создан.

Параметр community@router указывает имя сообщества SNMP-устрой-ства. В нашем случае — это наш SNMP-маршрутизатор. Обычно используется имя сообщества public. За более точной информацией обратитесь к администратору SNMP-маршрутизатора. Вместо имени узла в этом параметре можно указать IP-адрес, например, [email protected].

Параметр community@router как раз и является целью, которую мы будем контролировать.

После выполнения этой команды будет сгенерирован такой файл mrtg.cfg:

WorkDir: /var/www/html/mrtg

Options[_]: bits,growright

Target[r1]: community@router

Имя цели (r1) пишется в квадратных скобках. Для разных целей можно задавать разные параметры, например:

Target[r1]: 1:community@router

Target[r2]: 2:community@router

MaxBytes[r1]: 1250000

MaxBytes[r2]: 2500000

Title [r1]: Traffic Analysis for first interface

PageTop[r1]: <H1>Stats for our interface #1</H1>

Title[r2]: Traffic Analysis for second interface

PageTop[r2] : <H1>Stats for our interface #2</H1>

Параметр MaxBytes определяет максимальное число байт для цели. Значения, превышающие MaxBytes, будут игнорироваться.

Параметр Title определяет заголовок страницы, которая будет содержать информацию о цели, а параметр PageTop — текст, который будет помещен в верхней части этой страницы.

Числа 1 и 2 перед именем сообщества — это номера интерфейсов во внутренней таблице SNMP-устройства. После имени (или IP-адреса) SNMP-устройства можно указать порт SNMP. По умолчанию используется стандартный порт 161:

community@router:161

В качестве цели может быть использована программа, которая выводит на стандартный вывод четыре строки:

1. Количество принятых байтов.

2. Количество отправленных байтов.

3. Время работы объекта после включения.

4. Имя объекта.

Программу нужно записать в обратных кавычках, например:

Target[r3]: `/usr/bin/program`

Очень полезными параметрами являются Refresh и Interval. Первый определяет частоту обновления страниц с отчетами в браузере, а второй — предполагаемый интервал запуска программы MRTG. По умолчанию значения обоих параметров равно 300 секундам.

Опции perminute и perhour позволяют измерять трафик в единицах за минуту и час соответственно. Опция noinfo подавляет вывод информации об устройстве и времени его работы. Пример:

Options [_] : bits, perminute, noinfo

Я думаю, что теории вполне достаточно, тем более, что вместе с MRTG поставляется отличная документация, которая доступна по адресу http:// localhost/mrtg/. Теперь перейдем к практической настройке. Скорее всего, у вас не будет SNMP-маршрутизатора, поскольку в небольших сетях маршрутизатором является сама Linux-машина, а выделение средств на приобретение аппаратного маршрутизатора в ближайшие несколько лет не предвидится. Да и намного интереснее считать трафик своего компьютера, а не какого-то маршрутизатора, которого вы даже и не видели и который установлен где-то на третьем этаже.

Для работы MRTG необходимо установить и настроить сервер snmpd. Однако в большинстве случаев этого делать не нужно: корректная настройка данного сервера — это довольно нетривиальная задача, а лишняя «дыра» в системе безопасности нам не нужна. К тому же настройка сервера snmpd оправдывает себя, если вы хотите считать трафик этого компьютера не локальной программой mrtg, а удаленной, которая запущена на другом компьютере и получает данные от нашего сервера по протоколу SNMP.

Я предлагаю довольно простое решение, настройка которого не займет у вас много времени. Основывается оно вот на чем: как я уже отмечал, вместо цели можно указать программу, которая бы выводила информацию на стандартный вывод в таком формате:

Строка 1

Строка 2

Строка 3

Строка 4

• Строка 1 — это входящие байты (принятые).

• Строка 2 — исходящие байты (отправленные).

• Строка 3 — время, на протяжении которого работает устройство.

• Строка 4 — имя цели.

Где же взять эту программу? Написать самому! Сейчас я подробно опишу, как это сделать. Настоятельно не рекомендую вам сразу взять и использовать готовый листинг: вы не поймете самого главного — как именно происходит подсчет трафика. В результате ваша система подсчета трафика будет работать в таком режиме: программа будет считать трафик, a MRTG — строить графики.

Определим, откуда будем брать информацию о трафике. Операционная система Linux сама выполняет подсчет трафика. Вся информация, которая вам необходима, содержится в файле /proc/net/dev. Выполните команду:

cat /proc/net/dev

Результат выполнения этой команды вы уже видели в этой главе (рис. 8.7). Более новые ядра предоставляют больше информации о работе сетевых устройств, поэтому выполните данную команду для того, чтобы увидеть, какую информацию о сетевых устройствах предоставляет ваша система. Обычно первое информационное поле файла /proc/net/dev — это количество принятых байтов, а девятое — количество отправленных байтов.

Разрабатываемая программа должна найти нужный интерфейс и возвратить количество принятых и переданных байтов. Затем программа возвращает время, на протяжении которого работает устройство. Это время достаточно легко вычисляется с помощью программы uptime.

1:51pm up 2:10, 4 users, load average: 0.02, 0.04, 0.00

Программа uptime, кроме всякой другой информации, возвращает время, на протяжении которого система работает, то есть с момента загрузки операционной системы. В вышеприведенном примере видно, что машина непрерывно работала 2 часа и 10 минут. 2 часа и 10 минут — это значение, которое разрабатываемая программа должна вывести в третьей строке. Вы можете смело использовать это время, потому что в основном интерфейсы сервера «подымаются» при загрузке системы и разница между uptime системы и uptime интерфейса составит всего несколько секунд.

Четвертая строка — это имя цели, то есть имя интерфейса, трафик которого нам нужно подсчитать. Надеюсь, что алгоритм программы ясен, осталось реализовать все это программно.

Создайте файл count (см. листинг 8.10) и поместите его в каталог /usr/bin (не забудьте сделать его исполнимым!).

Листинг 8.10. Программа count

#!/bin/bash

/bin/grep "$1" /proc/net/dev | /bin/awk –F ":" '{ print $2 } ' | /bin/awk '{ print $1 "\n" $9 }'

UPTIME=`/usr/bin/uptime | /bin/awk –F " " '{ print $3 }'`

echo $UPTIME

echo $1

Использовать программу нужно так:

count интерфейс

Например, count eth0.

Запустив программу, вы должны увидеть примерно следующие строки:

2738410

1235960

2:57,

eth0

Во второй строке программы происходит следующее: находится нужная нам запись с именем интерфейса, который мы указали в первом параметре при вызове программы ($1). Затем интерпретатор awk выводит значения первого и девятого полей, содержащие количество принятых и переданных байтов. В третьей строке программы вычисляется время uptime. Последние две строки выводят время uptime и название интерфейса. Предположим, что у вас имеется два интерфейса: локальный eth0 и выделенная линия (ррр0), идущая к провайдеру. При этом конфигурация сети несколько упростилась (см. рис. 8.10). 

Рис. 8.10. Конфигурация сети (2)

Теперь узел MRTG сам является маршрутизатором и самостоятельно считает свой трафик. Файл конфигурации mrtg будет выглядеть так, как это показано в листинге 8.11.

Листинг 8.11. Файл /var/WHW/html/mrtg/mrtg.cfg

WorkDir: /var/www/html/mrtg/ipc

Options[_]: bits,growright

Target[eth0]: `/usr/bin/count eth0`

Title [eth0] : Local Ethernet

MaxBytes[eth0]: 99999999

PageTop[eth0] : Status of /dev/eth0

Target [ppp0] : `/usr/bin/count ррр0`

Title [ppp0] : Leased line

MaxBytes[ppp0]: 99999999

PageTop[ppp0] : Status of /dev/ppp0

Из листинга 8.11 видно, что у вас имеются две цели, для каждой из них заданы свои параметры. Нужно учитывать, что имя интерфейса, которое вы передаете программе count, должно совпадать с названием цели (eth0 и ррр0).

В качестве рабочего каталога я использовал /var/www/html/mrtg/ipc. От использования каталога /var/www/html/mrtg/ я отказался, поскольку в нем находится документация по mrtg.

Параметры MaxBytes, Title и PageTop являются обязательными. При их отсутствии mrtg попросит вас исправить ошибки в конфигурационном файле.

Теперь можете запустить программу mrtg командой:

mrtg /var/www/html/mrtg/mrtg.cfg

 В каталоге /var/www/html/mrtg/ipc должны появиться первые файлы-отчеты. Имя файла-отчета будет совпадать с именем цели. Первые два запуска mrtg будет «ругаться» на отсутствие предыдущих данных, но потом все будет работать как надо.

Если третий запуск прошел гладко, то есть без сообщений об ошибках, можно добавить mrtg в расписание демона crond. Для этого добавьте в файл /etc/crontab одну из следующих строк (какая кому нравится):

5,10,15,20,25,30,35,40,45,50,55,59 * * * * root /usr/bin/mrtg /var/www/html/mrtg/mrtg.cfg

или

0-59/5 * * * * root /usr/bin/mrtg /var/www/html/mrtg/mrtg.cfg

После этого желательно перезапустить демон crond:

/etc/init.d/crond restart

Программу mrtg можно запускать в режиме демона (не через crond). Для этого установите значение параметра RunAsDaemon равное yes. За более подробной информацией обратитесь к документации по mrtg. 

Рис. 8.11. Статистика для устройства ppp0

Теперь самое время проверить, как работает mrtg. Запустите браузер и введите адрес http://localhost/mrtg/ipc/eth0.html. В результате вы должны увидеть информацию о загрузке канала. Первые графики вы увидите примерно через час после первого запуска mrtg, в зависимости от настроек периода запуска mrtg.

8.6. Сетевая файловая система (NFS)

8.7. Поисковый сервер ht:/Dig

Сервер Dig предназначен для поиска и индексирования содержимого web-страниц в небольших сетях. Сервер Dig прекрасно справляется с поиском информации на серверах вашей сети, однако заменить полноценную поисковую машину, такую, как Rambler, Yandex или Google, он не может. Этот поисковый сервер не очень масштабируемый и сможет охватить лишь несколько серверов вашей сети.

Сервер Dig предоставляет простые и сложные методы поиска информации. К сложным методам относятся логический (boolean method) и нечетко определенный метод поиска (fuzzy searching method). Нечетко определенный поиск включает в себя несколько алгоритмов: простой, зондирующий и поиск с использованием синонимов.

Поиск производится по HTML-документам и по простым текстовым документам. Документы HTML могут содержать ключевые слова, что упрощает поиск. Поиск ограничивается глубиной и локализацией. Можно идентифицировать пользователя при попытке поиска в определенных каталогах или вообще запретить поиск в указанных каталогах (ограничение локализацией).

Файл конфигурации htdig.conf сервера Dig находится в каталоге /etc/htdig. Директива database_dir определяет расположение базы данных сервера ht:/Dig.

Базы данных могут быть довольно большими, поэтому нужно позаботиться о том, чтобы хватило дискового пространства.

Директива start_url указывает начальные url-адреса поиска. Сервер dig будет производить индексирование, начиная с этих адресов. Вы можете указать несколько адресов.

Директива Iimit_urls_to определяет, какие адреса будут ограничены во время создания индекса. Обычно здесь нужно указать те url-адреса, которые вы указали в директиве start_url.

Директива exclude_urls определяет, какие адреса не будут индексированы. Обычно не требует индексирования каталог /cgi-bin/, содержащий сценарии.

Директива bad_extensions запрещает индексирование файлов с указанным расширением.

Другие директивы позволяют установить максимальный размер заголовка документа HTML (max_head_length), максимальный размер файла (max_doc_size) и установить алгоритм поиска (search_algoritm), а с помощью директивы allow_virtual_hosts можно указать серверу индексировать виртуальные хосты как отдельные компьютеры.

В состав системы Dig входят пять программ: htdig, htmerge, htfuzzy, htnotify и htsearch. Поиск выполняет программа htsearch, программы htdig, htmerge, htfuzzy выполняют индексирование. Сначала программа htdig собирает информацию в локальной базе данных, а затем сопоставляет найденные Web-страницы с установленными вами критериями поиска. Программа htmerge использует информацию, предоставленную ей программой htdig, для создания поисковой базы данных. Программа htfuzzy создает индексы в базе данных, что позволяет использовать методы нечетко определенного поиска.

Довольно часто пользователи используют Web-страницы, которые вызывают программу htsearch для организации поиска. При этом программе htsearch передаются некоторые параметры: параметр поиска, конфигурация программы (config), метод поиска (method) и вид критерия (sort). При работе с этой программой можно использовать методы передачи данных GET и POST.

Для создания базы данных предназначен сценарий rundig.

8.8. Прокси-сервер Socks5

8.8.3. Настройка клиента Socks5 (licq)

Настройку клиентов будем рассматривать на примере двух, наверное самых популярных, Socks-клиентов. Сначала рассмотрим настройку программы ICQ для Windows, а потом licq — ICQ-клиент для Linux.

Запустите программу ICQ и нажмите на кнопку «ICQ», которая находится ниже кнопки «Services» (рис. 8.12). Затем из появившегося меню выберите команду Preferences и перейдите в раздел Connections на вкладку Server. Включите режим использования прокси-сервера и установите тип прокси-сервера — Socks5 (см. рис. 8.13).

Рис. 8.12. Программа icq

Рис. 8.13. Свойства соединения icq

Потом перейдите на вкладку Firewall и установите параметры прокси-сервера: имя, порт, тип (socks5), имя пользователя и пароль (см. рис. 8.14). Нажмите на кнопку «Apply» и на этом настройка клиента ICQ для Windows завершена. 

Рис. 8.14. Параметры прокси-сервера

С программой licq будет немножко сложнее. Во-первых, нужно установить программу runsocks, которая входит в состав прокси-сервера (эту программу можно также найти в Интернет отдельно), на компьютере пользователя и перекомпилировать licq, включив поддержку socks5. Для этого перейдите в каталог, содержащий исходные тексты licq и запустите скрипт configure с параметром –enable-socks5:

./configure –enable-socks5

После этого выполните привычные команды:

make; make install

Теперь нужно создать файл /etc/libsocks5.conf и добавить в него строку:

socks5 – – – 192 .168.0.1:port

192.168.0.1 — это адрес вашего socks5-сервера, port — порт, необходимый клиенту (обычно 1080).

8.9. Система обнаружения и защиты от вторжения

9.1. Установка Samba

В этой главе вам предстоит настроить пакет Samba, предназначенный для использования протокола SMB (Server Message Block), который также еще называется протоколом NetBIOS. С помощью пакета samba ваш компьютер, работающий под управлением linux, ничем не будет отличаться от рабочей станции или сервера сети Microsoft. Дополнительную документацию по этому поводу можно найти по адресу ^{http://www.samba.org}, а также на всевозможных форумах.

С помощью Samba вы сможете следующее:

1. Предоставлять доступ к разделам Linux для рабочих станций Windows.