Государственный Комитет по высшему образованию осударственный Комитет по высшему образованию московский госумосковский госу

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
[root@unix backup]# less message.local
Sun May 30 04:22:22 MSD 1999
tar: Removing leading `/' from absolute path names in the archive
etc/passwd
etc/named.conf
etc/smb.conf
etc/shadow
etc/group
etc/lilo.conf
........
В этой же части выполняется проверка кода завершения архивации. Если по каким-либо причинам оператор tar закончил выполнение с ошибкой, то оператору резервного копирования backup посылается письмо с содержанием временного log- файла и полем Subj с сообщением об ошибках резервного копирования.В противном случае в теле письма, посылаемого оператору резервного копирования, содержится полный перечень заархивированных ресурсов; письмо отправляется с пометкой об успешном выполнении операции.
Третья часть скрипта - запуск процедуры ротации архивов. Изначально файлы, полученные при архивации разделов рабочих станций и локальных ресурсов помещаются в каталог /usr/local/bin/backup/files/temp. В каталоге
/usr/local/bin/backup/files существуют три каталога “1”, “2” и “3”. Задача процедуры rotate - последовательно перемещать содержимое каталога temp в каталог 1, содержимое каталога 1 в каталог 2, содержимое каталога 2 в каталог 3, а содержимое каталога 3 уничтожать, осуществляя принцип очереди. Таким образом, при периодическом запуске основного скрипта резервного копирования соблюдается трехуровневая система хранения резервных копий.
Специальный пользователь backup, получив в письме уведомление об успешном ( или не успешном ) резервном копировании, обязан переместить архивы верхнего ( а при не успешном - более низкого ) уровня на станцию Macintosh для их последующей записи на пишущий CD ROM ( CD Writer ).
Устранение ошибок, связанных с резервным копированием - безусловная задача оператора резервного копирования.
Теперь вернемся к winbackup, процедуре резервного копирования ресурсов рабочих станций Windows. Полный текст данной shell-процедуры представлен в
Приложении 11. Процедура должна вызываеться с тремя параметрами: сетевое имя
Windows-машины, имя раздела и пользовательский пароль. Первая часть скрипта проверяет корректность ввода параметров ( вернее, их количество ). На основе полученных параметров формируются некоторые служебные переменные, такие как имя флага, имя архива имя сообщения ( log-файла ). После этого производятся контрольные записи имени машины, названия раздела, даты и времени запуска процедуры в log-файл.
Возможность сетевого доступа к ресурсу проверяется при помощи программы smbclient, входящей с соcтав пакета Samba:
# test availability of host/share:
smbclient -L "$win" | grep "$vol" > "$fl"
стр. 123

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
По результатам проверки, как можно заметить, формируется флаг доступности того или иного разделенного сетевого Windows-ресурса. В случае доступности ресурса производится формирование tar-архива при помощи соответствующей процедуры smbtar, написанной Martin Kraemer и Ricky Poulten и входящей в Samba Suite.
Следует заметить, что smbtar - лишь сервисная процедура, позволяющая задавать всевозмозжные параметры эмулятора клиента SMB и передавать их программе smb- client.
Все операции создания и добавления файлов и каталогов удаленной машины регистрируются в log-файле. После закрытия tar-архива производится его сжатие при помощи GNU-утилиты gzip.
При невозможности достижения соответствующего сетевого ресурса в регистрационный файл, уже содержащий дату, время и параметры интересующего ресурса, производится запись о неудачной попытке резервного копирования упомянутого раздела.
Процедура завершается посылкой оператору резервного копирования содержания регистрационного log-файла и удалением флагового и log-файлов.
Описание системы резервного копирования следует завершить упоминанием еженедельного вызова основной процедуры main при помощи системного процесса cron.
стр. 124

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Ввиду ограниченности объемов пояснительной записки невозможно рассмотреть реализацию всех методов и средств информационной безопасности сети.
Рассмотрим систему подключаемых модулей аутентификации (PAM)
системы Linux. PAM представляет из себя набор библиотек, позволяющих системному администратору Linux регулировать аутентификацию пользователей процессами.
Система основана на аутентификационных библиотеках, расположенных в каталоге /lib/security:
[root@unix pam.d]# ls -1 /lib/security/
pam_access.so
pam_cracklib.so
pam_deny.so
pam_env.so
pam_filter.so
pam_ftp.so
pam_group.so
pam_lastlog.so
pam_limits.so
pam_listfile.so
pam_mail.so
pam_nologin.so
pam_permit.so
pam_pwdb.so
pam_radius.so
pam_rhosts_auth.so
pam_rootok.so
pam_securetty.so
pam_shells.so
pam_stress.so
pam_tally.so
pam_time.so
pam_unix_acct.so
pam_unix_auth.so
pam_unix_passwd.so
pam_unix_session.so
pam_warn.so
pam_wheel.so
В каталоге /etc/pam.d распологаются файлы, соответсвующие различным процессам, которые сопровождаются процессом аутентификации:
chfn
chsh
ftp
imap
стр. 125 3.5 Меры по обеспечению информационной безопасности
3.5 Меры по обеспечению информационной безопасности

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
linuxconf
linuxconf-pair
login
netatalk
other
passwd
ppp
rexec
rlogin
rsh
samba
su
xdm
Рассмотрим процесс login, сопровождающий доступ к командому shell пользователя. Вот содержание этого файла:
[root@unix pam.d]# less login
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
#by me using access.conf
account required /lib/security/pam_access.so
#
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so
Напротив определенных элементов процесса аутентификации стоят вызываемые билиотеки системы PAM. Строка, выделенная комментариями, добавлена для увеличения безопасности доступа к shell Linux. Библиоткека pam_access.so использует конфигурационный файл /etc/security/access.conf:
+:users dba pppusers:.px.podolsk.ru
+:dima:ALL
+:root:LOCAL
-:ALL:ALL
Расшифруем правила, заключенные в этих строчках: первая строка разрешает (+)
попытку доступа к пользовательских бюджетам членам групп users, dba и pppusers с внутренних машин домена офисной сети px.podolsk.ru; вторая строка разрешает
(+) доступ пользователю dima отовсюду, третья строка разрешает доступ суперпользователю root с локальной консоли Linux, последняя строка отбирает (-)
права доступа ВСЕХ остальных пользователей, которые не пречислены предшествующих правилах.
стр. 126

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Рассмотрим последнюю строчку файла login: она использует библиотеку /lib/secu- rity/pam_limits.so. Эта библиотека отвечает за выделение определенного набора системных ресурсов пользователю при его аутентификации. Следет с прискорбием констатировать тот факт, что что при установке системы Linux по умолчанию никакого предела отпускаемых ему ресурсам не существовало. Таким образом,
любой пользователь, имеющий доступ к командной оболочке мог запустить процесс, порождающий бесконечное количество дочерних процессов, что неминуем привело бы к заполнению всех имеющихся системных ресурсов и полной “смерти”
системы.
Рассмотрим конфигурационный файл /etc/security/limits.conf:
# - core - limits the core file size (KB)
# - data - max data size (KB)
# - fsize - maximum filesize (KB)
# - memlock - max locked-in-memory address space (KB)
# - nofile - max number of open files
# - rss - max resident set size (KB)
# - stack - max stack size (KB)
# - cpu - max CPU time (MIN)
# - nproc - max number of processes
# - as - address space limit
# - maxlogins - max number of logins for this user
#
ftp hard nproc 8
#@student - maxlogins 4
@users hard nproc 30
@users hard data 500
@users hard fsize 100000
@users hard stack 200
@users hard rss 10000
@users hard core 30
Используя данный файл в сочетании с библиотекой pam_limits.so, мы можем устанавливать мягкие и жесткие ограничения на такие ресурсы пользователей или целых групп пользователей как максимальный размер файла, максимальное количество открытых файлов, максимальное количество памяти, резидентно занимаемого пользовательскими процессами, максимальное время использования центрального процессора, максимальный размер адресного пространства пользовательского процесса и проч.
Мы рассмотрели использование лишь двух библиотек системы PAM.
Система PAM с ее многооборазием библиотек, конфигурационных файлов и опций является чрезвычайно гибким и мощным средством повышения безопасности UNIX-системы.
стр. 127

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Результатом данной дипломной работы явилось построение сети отдельно взятой фирмы (ПФГ “ПРОМЭКСПОРТ”, г. Подольск) как единой системы.
Уникальность данной работы состоит в том, что автору удалось найти решения,
позволяющие связать различные платформы ( Macintosh, UNIX, WindowsPC ) в рамках единой логически законченной системы большей частью на основе свободно распространяемых продуктов.
Экономия средств, достигнутых в результате внедрения решений данного проекта исчисляется тысячами, а возможно, и десятками тысяч долларов
(достаточно сказать, что, например, только коммерческий Web-сервер Netscape
Enterprise Server 3.6 стоит 1295 долларов).
В то же время, реализация проекта вывела информационные технологии офиса ПФГ “ПРОМЭКСПОРТ” на качественно новый уровень, позволила оптимизировать общую управляемость фирмы, улучшить документооборот,
автоматизировать рутинный бумажный труд и увеличить производительность труда офисных сотрудников.
Получен богатый опыт по внедрению новых решений (в частности, системы автоматического резервного копирования, некоммерческого файлового сервера для сетей Macintosh, сетевое взаимодействие компьютеров WintelPC и Macintosh).
Следует еще раз подчеркнуть, что платформой этих решений послужил выбор
ОС Linux в качестве серверной сетевой платформы. Именно благодаря чрезвычайной гибкости, мощности, внутренней логичности построения и открытости стали возможны упомянутые комплексные решения.
Уже не секрет, что деятельность Free Sofware Foundation, в частности, такие операционные системы как Linux и FreeBSD вызвали в компьютерном мире широкий резонанс и заставили многих профессионалов обратить свое пристальное внимание в область свободных программных продуктов.
Своеобразная GNU-революция, свидетелями которой мы являемся, не осталась без внимания автора данного проекта.
Дипломный проект доказывает, что серверные платформы на базе UNIX- систем не только не отмирают, но в лице открытых бесплатных систем ( и прежде всего, Linux ) вступают в новую фазу развития, получая все более широкую популярность и распространенность.
Автор не считает необходимым скрывать свое негативное отношение к коммерческим сетевым не-UNIX ОС и, прежде всего, к WindowsNT. В этом смысле проект является, пусть и небольшим, актом борьбы против “империи зла” Microsoft и ее агрессивной и лживой политики, за стремление к истинному прогрессу в области компьютерных технологий.
Выражаю свою признательность своему другу, руководителю проекта
Алексею Моисееву за неоценимую помощь в освоении UNIX-систем и сетевых
технологий, его оптимизм и неукротимую энергию, Андрею Эдемскому за
конструктивные идеи, советы, его настойчивость и методичность, Стиву
Джобсу, основателю и руководителю Apple Computer, за революционные принципы
в компьютерных технологиях и возрождение Apple, Линусу Торвальдсу,
стр.
128 4. ЗАКЛЮЧЕНИЕ
4. ЗАКЛЮЧЕНИЕ

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
создателю ОС Linux, и всем тем, кто продолжает разрабатывать Linux как
открытую, профессиональную и эффективную операционную систему, доступную
для всех.
Работа оформлена на компьютерах Macintosh Apple PowerBook 540с, и
UMAX SuperMac S900 с использованием программ BBEdit 5.0, TeachText. Графика
подготовлена в программах Adobe Photoshop 5.02, Adobe Illustrator 8.0 Верстка
осуществлена в пакете QuarkXpress 4.0 for PowerMacintosh.
стр. 129

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
5. СПИСОК
5. СПИСОК
ЛИТЕРАТУРЫ
ЛИТЕРАТУРЫ
1. “Unix pуководство системного администpатоpа” (“Unix system administration handbook”), втоpое издание оpигинальное и втоpое пеpеводное, Эви Hемет, Гаpт
Снайдеp, Скотт Сибасс, Тpент Р.Хейн (Evi Nemeth, Garth Snyder, Scott Seebass,
Trent R.Hein), Prentice Hall PTR (втоpое издание), BHV Киев, 1997 2. “Аpхитектуpа опеpационной системы Unix”(“THE DESIGN OF THE UNIX OPER-
ATING SYSTEM”), Моpис Дж. Бах ( Maurice J. Bach ), Prentice-Hall, 1986 3. “Essential System Administration”, AEleen Frisch, O’Reilly and Associates, 1991 4. “TCP/IP Network Administration”, Craig Hunt, O’Reilly and Associates, 1990 5. “ИHСТАЛЛЯЦИЯ LINUX И ПЕРВЫЕ ШАГИ” (“Linux Installation and Getting
Started”), Matt Welsh, 1996, ТОО “Теpем”
6. “UNIX system administration”, Frank G. Fiamingo, 1996 University Technology
Services
7. “Linux: Руководство по операционной системе” (“Linux: The Complete
Reference”), Ричард Петерсен (Richard Petersen), Osbourne McGraw-Hill 1996, BHV,
Киев 1997 8. “AppleTalk networking Reference Guide”, Apple Computer, 1997, Cupertino, CA,
USA
9. “ Macintosh TCP/IP Networking Bible”, Apple Computer, 1996, Cupertino, CA, USA
10. Oracle8 Intallation Guide Release 8.0.5 for Intel-LINUX, Reiko Nishi, Oracle Corp.
11. Руководство администратора сети в ОС Linux, Олаф Кирч (Olaf Kirch),Linux
Documentation Project, 1994 12. ОС Linux. Руководство системного администратора, Ларс Виржениус (Lars
Wirzenius), Linux Documentation Project, 1995 13. ПРОГРАММИРОВАНИЕ НА shell (UNIX) (Учебное пособие), А. Соловьев,
www.linux.org.ru
14. The Unix Programming Environment, Brian Kernighan and Bob Pike,Prentice-
Hall, 1984 15. UNIX system administration, Frank G. Fiamingo, 1996 University Technology
Services, The Ohio State University
16. The X Window System: A User's Guide, Niall Mansfield, 1995, Addison-Wesley
стр. 130

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
стр. 131 6. Приложения
6. Приложения

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

Приложение 6

Приложение 7

Приложение 8

Приложение 9

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
1. Основной файл конфигурации BIND /etc/named.conf
[dima@unix dima]$ less /etc/named.conf
// generated by named-bootconf.pl
options {
directory "/var/named";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forwarders
{
195.133.132.66;
};
};
//
// a caching only nameserver config
//
/*zone "." {
* type hint;
* file "named.ca";
*};
*/
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};
zone "px.podolsk.ru"{
type master;
file "named.hosts";
};
zone "ppp.px.podolsk.ru"
{
type master;
file "named.ppp";
};
стр. 141
Приложение 10

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
zone "132.133.195.in-addr.arpa" {
notify no;
type master;
file "16.132.133.195.rev";
};
zone "200.16.172.in-addr.arpa" {
notify no;
type master;
file "200.16.172.rev";
};
2. Файл прямой зоны домена px.podolsk.ru
[dima@unix named]$ less ./named.hosts
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; BIND configuration for the primary nameserver
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;
; Domain PROMEXPORT.PODOLSK.RU host table
;
@ IN SOA unix.px.podolsk.ru. hostmaster.unix.px.podolsk.
ru. (
102 ; Serial
10800 ; Refresh
1800 ; Retry
3600000 ; Expire
59200 ) ; Minimum ttl
IN NS unix.px.podolsk.ru.
; IN NS 195.133.132.66
IN MX 10 unix.px.podolsk.ru.
IN MX 10 px.podolsk.ru.
IN A 195.133.132.17
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
unix IN A 195.133.132.17
IN HINFO PC/Pentium-166 Linux
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
bigmac IN A 195.133.132.18
IN HINFO PowerMac/604e MacOS
alpha IN A 195.133.132.21
beta IN A 195.133.132.22
gamma IN A 195.133.132.23
delta IN A 195.133.132.24
win IN A 195.133.132.25
nalimov IN A 195.133.132.26
performa IN A 195.133.132.27
;hp IN A 195.133.132.28