Государственный Комитет по высшему образованию осударственный Комитет по высшему образованию московский госумосковский госу

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
память;
скорость обмена с жестким диском при операциях ввода-вывода;
пропускная способность сетевого адаптора;
Каждый процесс потребляет определенную часть ресурсов системы. Если после того, как активные процессы взяли все, что им нужно, остались свободные ресурсы,
можно сказать, что производительность системы удовлетворительна. Если ресурсов недостаточно, процессы должны выстраиваться в очередь. Процесс, не имеющий немедленного доступа к необходимым ресурсам, должен ждать, ничего при этом не делая. Бесполезная трата времени на ожидания - одна из основных причин ухудшения производительности.
Для анализа производительности существует много способов.Один из них - команда vmstat:
[root@unix log]# vmstat 5 5
procs memory swap io system cpu
r b w swpd free buff cache si so bi bo in cs us sy id
1 0 0 13324 10236 1036 12168 5 1 6 1 138 59 86 1 14
2 0 0 13324 10236 1036 12168 0 0 0 0 109 46 100 0 0
1 0 0 13324 10236 1036 12168 0 0 0 1 110 47 100 0 0
1 0 0 13324 10236 1036 12168 0 0 0 0 108 45 99 1 0
1 0 0 13324 10236 1036 12168 0 0 0 0 109 46 100 0 0
Команда top дает более подробную информацию об использовании системных ресурсов системы в целом и об активных процессах:
3:30am up 4:52, 3 users, load average: 0.31, 0.88, 0.96
47 processes: 46 sleeping, 1 running, 0 zombie, 0 stopped
CPU states: 0.5% user, 0.9% system, 0.0% nice, 98.6% idle
Mem: 30944K av, 18632K used, 12312K free, 5656K shrd, 1100K buff
Swap: 64508K av, 11668K used, 52840K free 12340K cached
PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
7117 root 16 0 724 724 560 R 0 1.3 2.3 0:01 top
973 root 1 0 292 180 128 S 0 0.1 0.5 0:01 in.telnetd
Мгновенный “снимок” активности процессов можно получить при помощи команды ps:
[root@unix log]# ps axu
USER PID %CPU %MEM SIZE RSS TTY STAT START TIME COMMAND
bin 256 0.0 0.0 752 4 ? S 22:38 0:00 (portmap)
daemon 287 0.0 0.3 784 112 ? S 22:38 0:00 /usr/sbin/atd
dima 974 0.0 0.1 1264 52 p0 S 22:59 0:00 (bash)
news 467 0.0 2.8 2696 868 ? S 22:39 0:00 /usr/lib/news/bin/act
news 469 0.0 4.6 7204 1428 ? S 22:39 0:00 /usr/sbin/innd -p4 -i
news 471 0.0 0.0 1212 24 ? S 22:39 0:00 (rc.news)
стр. 73

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
news 488 0.0 0.0 912 0 ? SW 22:39 0:00 (crosspost)
news 489 0.0 0.0 912 0 ? SW 22:39 0:00 (overchan)
news 490 0.0 1.6 1100 504 ? S 22:39 0:00 /usr/lib/news/bin/inn
news 514 0.0 1.3 1256 404 ? S 22:40 0:03 sh /usr/lib/news/bin/
news 7332 0.0 0.8 716 276 ? S 03:29 0:00 sleep 600
nobody 395 0.0 0.3 1624 116 ? S 22:39 0:00 (httpd)
nobody 972 0.0 0.1 1096 52 ? S 22:57 0:00 afpd -G -g nobody -c
Поскольку в Linux используется виртуальная память, реализованная в виде раздела подкачки ( swap partition ), то скорость обмена с диском непосредственно связана с емкостью памяти. В сильно загруженной системе с ограниченной емкостью оперативной памяти для получения чистой страницы виртуальной памяти часто приходится записывать ее содержимое на диск. Такая ситуация снижения производительности наблюдается во время работы с большим числом программ, требующих много памяти. В нашем конкретном случае это, например,
приложения X window и Oracle server.
Команда free позволяет контролировать распределение памяти:
[root@unix log]# free -t
total used free shared buffers cached
Mem: 30944 18532 12412 5356 1100 12356
-/+ buffers/cache: 5076 25868
Swap: 64508 11664 52844
Total: 95452 30196 65256
стр. 74

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Ключ к сохранению постоянного контроля над системой - автоматизация максимально возможного количества задач. Планирование процессов является неотъемлемой частью функционирования UNIX-систем.
В ОС UNIX периодическим управлением процессов управляет демон crond.
Он запускается во время начальной загрузки системы и остается в активном состоянии, пока система не выключена. Демон cron читает файл конфигурации,
содержащий последовательности командных строк, расписание их вызова и регистрационные имена, под которыми они должны выполняться. Командные строки обрабатываются shell-интерпретатором, поэтому почти все, что можно сделать в командной оболочке вручную, можно перепоручить системному шедулеру cron.
Главный конфигурационный файл программы cron - файл /etc/crontab:
[root@unix log]# less /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 13 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
30 07 * * * root run-parts /etc/cron.nologin
04 21 * * * root run-parts /etc/cron.login
Дата вызова той или иной последовательности сценариев каждой строчки задается следующим образом: минуты, часы, день, месяц и день недели. Так, в нашем примере совокупность shell-процедур, находящихся в каталгое /etc/cron.monthly,
будет выполняться 1-го числа каждого месяца в 4 часа 42 минуты. При запуске того или иного процесса из cron производится соответствующая запись в файл регистрации /var/log/cron.
В нашей системе при помощи cron вызываются и осуществляются следующие периодические процессы: ротация регистрационных файлов ( см. раздел “2.5.3 Учет системных ресурсов и анализ производительности”, установка и сброс флага- разрешения снятия модемом трубки при организации сервера удаленного доступа
(см. раздел ”2.3.6 Сервер удаленного доступа”), обновление статей News- конференций, ежедневное базы имен файлов и еженедельное резервное копирование ( см. раздел “3.4 Резервное копирование”).
стр. 75 2.5.4 Планирование процессов
2.5.4 Планирование процессов

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Проблемы информационной безопасности охватывают широчайший диапазон административных, этических, правовых, технических вопросов.
В рассмотрение данного раздела попадают причины исчесзновения, порчи,
изменения и утечки информации.
Проблемы, возникающие в этой области по своим причинам делятся на явления человеческого, личностного происхождения ( здесь следует выделить халатность или некомпетентность сотрудников, злонамеренные попытки несанкционерованного доступа к информационным ресурсам, умышленное заражение вирусами и их написание и другое ) и угрозы не связанные с деятельностью человека ( отказ оборудования, сбои файловых систем, стихийные бедствия, скачки напряжения и др. )
Задача системного администратора - стараться свести к минимуму возможность потери и/или кражи информации. Задача это усложняется тем фактом, что внутренняя сеть офиса соотносится с внешим миром ( во-первых, через канал подключения к Интернет, а во-вторых, через сервер удаленного доступа ).
Комплекс мер, предпринимаемых системным администраторам не должен сводиться лишь к программно-техническим средствам защиты, во многом следует уделять внимание административным мерам ( правила, инструктажи.
распоряжения, обучение и оповещение сотрудников ). По возможности нужно стараться максимально автоматизировать обработку и хранение информации для снижения угрозы человеческого фактора. Например, автоматизированная система резервного копирования ( см. Раздел “2.5.6 Резервное копирование” ) позволила решить вопрос несознательности, недисциплинированности и некомпетентности сотрудников, которые решительно пренебрегали копированием критичной информации своих рабочих станций на файловые разделы сервера. Мало того, в какой-то степени такая автоматизация снизила вероятность потери данных вследствии халатности или ошибки самого системного администратора.
В сети фирмы строго выполняется правило четкого разграничения прав доступа. Этот принцип реализуется как на горизонтальном уровне ( права доступа к файлам сервера и разделенным сетевым ресурсам ), так и на вертикальном (
различные категории пользователей, выделение групповых полномочий ). В двух словах этот принцип можно выразить так: “Пользователь должен иметь доступ только к тому, к чему ему иметь НЕОБХОДИМО”.
Так, например, пользователи, владеющие собственными почтовыми ящиками и имеющие доступ к файловым сервисам mars_nwe,samba и ftp-серверу,
совершенно необязательно должны иметь доступ к командному shell UNIX- системы. Вместо стандарной оболочки bash в строчках файла /etc/passwd указан исполняемый файл-”пустышка” /bin/nonexistent.
В свою очередь, пользователи, имеющие доступ к командному shell, не имеют прав доступа к файлам бюджетов, конфигурационным и регистрационным файлам и системным процессам. В этом смысле, система UNIX с ее институтом принадлежности файлов и процессов сильно упрощает задачу.
К средствам и методам защиты сетей следует отнести файрволлинг ( от “fire- wall” - огненная стена, англ. ), использование криптованных протоколов обмена,
анализ регистрационных файлов, своевременное обнаружение и устранение прорех в защите, разделение прав на определенные виды сетевого взаимодействия извне
стр. 76 2.5.5 Информационная безопасность
2.5.5 Информационная безопасность

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
или с конкретных хостов. Так, например, система XDM была сконфигурирована таким образом, что право на соединение X сервера с Linux имеет лишь рабочая станция Macintosh bigmac.px.podolsk.ru.
С помощью системы PAM ( Pluggable Authentication Modules ) можно ограничить возможность аутентификации пользователя с определенного хоста или сети, установить время разрешенной работы конкретных пользователей или группы и проч. ( О применении системы PAM будет подробно рассказано в разделе
“3.5 Меры по обеспечению информационной безопасности” ).
Мощнейшим средством защиты сети от аттак и несанкционированного доступа извне является firewall. Firewall это совокупность компонент или система,
которая располагается между двумя сетями и обладает следующими свойствами:
Весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
Только трафик, определенный локальной стратегией защиты, может пройти через эту систему;
Система надежно защищена от проникновения.
Обычно все firewalls осуществляют фильтрацию IP пакетов средствами фильтрующих маршрутизаторов. Фильтрация пакетов, проходящих через интерфейсы маршрутизатора, основана на наборе правил, которые устанавливаются, базируясь на стратегии защиты. Фильтрующие маршрутизаторы обычно могут фильтровать IP пакеты, основываясь на некоторых или всех следующих критериях:
1. IP адрес источника,
2. IP адрес назначения,
3. TCP/UDP порт источника,
4. TCP/UDP порт назначения.
Фильтрация может использоваться, чтобы блокировать соединение на определенные хосты или сети, а также блокировать соединение с определенными портами. Например, можно блокировать соединения от определенных адресов хостов или сетей, которые рассматриваются как враждебные или незаслуживающие доверие. Также можно блокировать соединение от всех внешних адресов, исключая, например, только SMTP для получения электронной почты.
Добавление фильтрации TCP или UDP портов к фильтрации IP адресов дает большую гибкость в стратегии защиты. Сервисы, такие как TELNET демон, обычно располагаются на определенном порту (для TELNET порт 23). Эти сервисы можно блокировать на все хосты и разрешать их только на определенные системы.
Например, можно блокировать все входные соединения, но разрешить только определенные сервисы, такие как SMTP, для одного хоста и TELNET или FTP
соединения для другого хоста.
Следующие сервисы наиболее уязвимы и обычно блокируются в firewall:
tftp, порт 69, trivial FTP, используются для загрузки бездисковых станций,
терминальных серверов и маршрутизаторов.
X Window, OpenWindows, порт 6000, порт 2000, может пропускать информацию от X Window дисплеев, включая все нажатия клавиш.
стр. 77

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
RPC, порт 111, Remoute Procedure Calls, включая NIS и NFS, которые могут быть использованы для захвата системной информации, такой как пароли и для чтения и записи файлов.
rlogin, rsh и rexec, порты 513, 514 и 512, сервисы, которые при неправильной конфигурации могут разрешать несанкционированный доступ в систему.
Другие сервисы менее опасные обычно фильтруют и по возможности ограничивают их доступ только к тем системам, которые нуждаются в них:
TELNET, порт 23.
FTP, порт 20 и 21.
SMTP, порт 25.
RIP, порт 520.
DNS, порт 53.
UUCP, порт 540.
NNTP, порт 119.
gopher, http, порты 70 и 80.
В сети фирмы в качестве firewall-хоста выступает Linux-машина. Firewall реализован с использованием ipfwadm - средства, регулирующего правила фильтрации IP-пакетов на уровне ядра Linux. Собственно, firewall выполнен в виде одноименной shell-процедуры, состоящей из последовательных команд ipfwadm с определенными параметрами, которые и задают правила фильтрации.
Данная процедура вызывается в соответствующих уровнях исполнения при загрузке Linux-машины.
К сожалению, описание всех применяемых методик и средств защиты информации выходит далеко за рамки дипломной работы.
стр. 78

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Правильный подход к операциям резервного копирования позволяет свести к минимуму потерю важных для предприятия данных. Среди потенциальных причин таких потерь следует упомянуть:
выход из строя дисковых систем;
ошибки и крахи файловых систем;
стихийные бедствия, пожары, кража компьютерной техники и проч.;
злонамеренные действия хакеров;
ошибки действий пользователей рабочих станций и системного администратора;
Практика администрирования сети фирмы показала, что все бремя забот о резервном копировании лежит на системном администраторе. При обычной общей недисциплинированноти, плохой осведомленности и безответственности пользователей рабочих станций фирмы, лучшим решением проблемы сохранности данных является автоматизация всех процессов резервного копирования.
Данная система была впервые полностью разработана в рамках данного проекта.
Файловые ресурсы, подлежащие резервному копированию следует разделить на две составляющие: файлы и каталоги рабочих станций офисной сети и собственные файловые ресурсы сервера фирмы. Общая схема системы резервного копирования представлена в Приложении 9.
Суть работы системы сводится к периодическому вызову специально написанных shell-процедур. Главная из них - процедура main ( см. полный текст процедуры в Приложении 12 ), которая осуществляет вызов процедуры архивации необходимых разделов сетевых рабочих станций, архивацию собственных ресурсов сервера, вызов сценария ротации архивов и уведомление оператора резервного копирования о выполненных операциях.
В приложении 9 представлен текст вспомогательной процедуры winbackup,
осуществляющей доступ к необходимым разделенным каталогам станций
Windows95. Отметим, что данный shell-сценарий вызывается с тремя параметрами:
сетевое имя машин, имя разделенного ресурса и пароль доступа к данному ресурсу.
Внутри процедуры осуществляется контроль правильности передачи параметров,
доступности в настоящий момент удаленных сетевых ресурсов, архивирование соответствующих разделов, сжатие полученных архивов и информирование об осуществленных действиях оператора резервного копирования при помощи электронной почты.
Архивация собственных критичных к потере файлов и директорий сервера производится внутри процедуры main согласно списку ресурсов, подлежащих резервному копированию. Список находится в файле /usr/local/bin/backup/locallist и составляется системным администратором фирмы.
Полученные архивы подвергаются трехступенчатой ротации.
После получения по электронной почте уведомления о произведенной операции резервного копирования, оператор резервного копирования обязан скопировать полученные архивы на станцию Macintosh и произвести запись на записываемые CD ROM.
стр. 79 2.5.6 Резервное копирование
2.5.6 Резервное копирование

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Более подробно настройка системы резервного копирования рассмотрена в разделе “3.4 Система резервного копирования”.
стр. 80

ДИПЛОМНЫЙ ПРОЕКТ : «Построение локальной компьютерной сети
масштаба малого предприятия на основе сетевой ОС LINUX»
Печатающие устройства фирмы можно разделить на средства сестевой печати
( лазерный принтер Hewlett Packard LaserJet 5M ) и локальные устройства печати рабочих станций ( лазерный принтер Hewlett Packard LaserJet 4L и цветной струйный принтер Hewlett Packard 870 Cxi ). Хотя локальные печатающие устройства могут быть доступны другим рабочим станциям как разделенный сетевой ресурс ( что время от времени используется ), основную печатную мощность фирмы составляет сетевой офисный принтер HP LJ 5M.
Принтер HP LaserJet 5M обладает следующими характеристиками:
- Механизм печати со скоростью 12 страниц в минуту использует методы ускоренной печати ( Accelerated Printing Technologies ), обеспечивающие высокую скорость печати.
- Принтер печатает с реальной разрешающей способностью, равной 600 точек на дюйм, используя технологию увеличения разрешающей способности (REt),
микрозернистый тонер (MicroFine) и обеспечивающая 120 уровней полутонов (lpi).
- Принтер поддерживает языки PCL6 и Adobe PostScrip level 2, HP-GL/2,
негативную печать и растровые шрифты.
- Принтер может производить распечатку на бумаге различных размеров и веса, а также на конвертах, наклейках и прозрачной пленке. Лоток 1 настраивается на закладку конвертов и бумаги различных размеров, которые подаются вручную или автоматически из стопы. Лоток 2 вмещает до 250 листов.
- Оперативная память принтера - 6 Мб.
- Метод расширения памяти (MEt) позволяет распечатывать большинство документов с использованием памяти принтера стандартного объема. Метод MEt производит автоматическое сжатие данных при распечатке сложных страниц.
- В состав программного обеспечения входят утилиты управления принтером.
- Принтер обладает следующими интерфейсами: последовательный порт RS-
232, параллельный порт Centronics, принтерный порт для компьютеров Macintosh
(DIN 8), коаксиальный (BNC) сетевой разъем 10Base2, сетевой разъем RJ-45
стандарта 10BaseT.
- Используемый в принтере режим PowerSave обеспечивает экономию электроэнергии за счет существенного сокращения ее потребления, когда принтер находится в неактивном состоянии в течении заданного интервала времени.
- Режим экономии тонера ( EconoMode ) сокращает затраты тонера на 66% при выводе черновых копий.
Плата JetDirect, входящая в состав принтера обеспечивает непосредственное подсоединение к локальной сети, что ускоряет процесс печати. Плата HP JetDirect позволяет производить печать с различных платформ и автоматически переключает протоколы, что позволяет использовать один принтер при одновременной работе со многими сетями.
Собствеено говоря, описанные возможности HP LJ 5M приближают его к полноценному принт-серверу.
Время подтвердило правильность такого выбора, а продолжительная и интенсивная (до 30.000 копий в месяц) эксплуатация, сочетающаяся с удобством работы, оправдала достаточно высокую цену устройства ( более 2000 долларов ).