книги хакеры / журнал хакер / 132_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
|
||||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
r |
|
|
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
w Click |
to |
BUY |
|
|
|
|
|
|
|
|
UNIXOID |
|
|||
|
|
|
|
|
|
|
|
|
ЮРИЙ «ADEPT» ВИДИНЕЕВ ADEPTG@GMAIL.COM |
||||||
|
|
|
|
|
|
|
|
m |
|
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
||||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
Встречапрошлого ибудущего
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ОбзоросновныхдостиженийвмиреOpenSource запрошедшийгодипопытказаглянутьвбудущее
Навернякатебе, какимне, частоприходилосьслышатьмнение, чтоLinux
— самаябыстроразвивающаясяОСвмире. Атаккаквконцегодапринятоподводитьитоги, топредлагаюоценитьтемпыразвитияLinux (атакже другихосновныхOpenSource-проектов) загодипостаратьсязаглянутьв грядущее, гадаянаroadmap’ах.
Уходящийгодоказалсябогатнетолькона |
великое благо для разработчиков ядра и X11, |
версионность: позволяетприсмонтированной |
интересныерелизы, ноинакруглыедаты. |
она дает плюсы и простым пользователям: |
врежиме«чтение-запись» ФСсмонтировать |
ВсентябрепроектуGNU стукнуло25 лет, в |
позволяет запускать X11 не от рута, обеспе- |
любоеизеепредыдущихсостоянийврежиме |
августеядроLinux достиглосовершенноле- |
чивает более плавное переключение между |
«толькодлячтения». |
тия, ивтомжемесяцеUnix праздновалсвой |
пользовательскими аккаунтами и между X11 и |
• POHMELFS — несмотрянашуточноеназва- |
очереднойюбилей— 40 лет. |
виртуальными терминалами. |
ние, этодовольносерьезнаявысокопроизво- |
ЯДРА— ЧИСТЫЙИЗУМРУД |
2. Новые файловые системы: |
дительнаясетеваяФС, вперспективеболее |
• Btrfs — разработаннаяснуляФС, посвоим |
быстрыйифункциональныйаналогNFS. |
|
Основнаячастьлюбойоперационнойсистемы |
функциональнымвозможностямблизкаякZFS: |
• devtmpfs (илиDevfs 2.0) — виртуальная |
— этоядро. Запрошедшийгодветка2.6 ядра |
снапшоты, компрессия, динамическаядефраг- |
файловаясистема/dev теперьсоздаетсяв |
Linux пережила3 релиза(2.6.29, 2.6.30 и2.6.31). |
ментация, журналированиеит.д. Последняя |
ОЗУчерезtmpfs, чтопозволяетполучитькней |
Ипереживетещеодинвдекабре(2.6.32), если |
наданныймоментверсияданнойФС— 0.19 — |
доступещедомонтированиякорня. |
всепойдетпоплану. |
явноуказываетнато, чтопокаиспользоватьее |
3. Поддержка новых протоколов: |
Суммарновверсиях2.6.29 — 2.6.31 кядру |
стоиттольковцеляхтестирования. |
• WiMAX. |
добавилиоколотрехмиллионовстроккода, |
• Squashfs — ФС, обеспечивающаяоченьвы- |
• 802.11w — протоколбезопаснойпередачи |
изменениязатронулипрактическивсеподсис- |
сокоесжатиеданных, нопредоставляющаядо- |
управляющейинформациивбеспроводных |
темыядра. Количествонововведенийплохо |
ступврежиме«толькодлячтения». Основные |
сетях. Стандартпоканеутвержден, существует |
соотноситсясразмеромстатьи, поэтомуопишу |
областиприменения— всевозможныеLiveCD и |
тольковвидечерновика. |
лишьосновныеи, намойвзгляд, интересные: |
встраиваемыеустройства. Ихотявэтихоблас- |
• RDS (Reliable Datagram Sockets) — протокол |
1. Технология KMS (kernel mode setting), |
тяхФСужеуспешноиспользуетсяпарулет, в |
предназначендлявысокоскоростногообмена |
позволяющая менять видеорежимы средст- |
основнуюветкуядраонабылавключенатолько |
даннымимеждуузламивкластере. |
вами ядра. Поддерживаются видеокарты от |
вверсии2.6.29. |
• IEEE 802.15.4 — протоколописываетнизкос- |
Intel, ATI/AMD вплоть до hd4xxx/r700 (только |
• NILFS2 — устойчиваяксбоямжурналь- |
коростную(до250 Кбит/с) беспроводнуюсеть |
с открытыми дровами) и nVidia (только с дро- |
но-структурированнаяФС. Данныехранит |
ипредназначендляобщениямеждусобой |
вами nouveau). Кроме того, что технология — |
вподобнойлогамструктуре, поддерживает |
всевозможныхдатчиков. |
078 |
XÀÊÅÐ 12 /132/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
последнейостановки. |
|
|
Согласен, changelog выглядитнеособо |
|
|
внушительно. Ноэтонезначит, чтопроект |
|
|
останавливаетсявразвитии— простововсю |
|
|
идетработанадрелизомновойветки3.0. Про |
|
|
грядущуюверсию(должнавыйтивовтором- |
|
|
третьемквартале2010) известнонемного. |
|
|
Точнобудутиспользоватьсядвеключевые |
|
|
технологии: |
|
|
• Gnome Shell — рабочееокружение, предо- |
|
|
ставляющееновыйспособзапускаприложе- |
|
|
ний, управленияокнамиидоступакдокумен- |
|
|
там. Словамиэтоописатьсложно, лучшеодин |
|
|
разувидеть: http://live.gnome.org/GnomeShell/ |
|
|
Screencasts. |
|
|
• Gnome Zeitgeist — технология, котораяре- |
|
|
гистрируетдействияпользователя(созданные |
Gnome-shell вGnome 2.28 |
|
впроцессеработыфайлы, посещенныесайты, |
|
почтовыеиIM сообщения) исохраняетихв |
|
|
|
хронологическомпорядке. Этопозволяетне |
|
|
толькобыстропросмотретьисторию, ноилегко |
• USB 3.0 — новаяверсиястарогодоброго |
нагрузкуподекодированиювидео. |
найтилюбойсозданныйфайл. |
USB, увеличивающаятеоретическуюпропуск- |
Ноглавнымтрендомуходящегогода, связан- |
Такжеизвестно, чтоGnome 3 будетиспользо- |
нуюспособностьдо4,8 Гбит/с. |
нымсGPU, стала, несомненно, технология |
ватьновуюверсиюбиблиотекиGtk+ 3. |
Версия2.6.32 ядрастанетсамойреволюци- |
OpenCL. OpenCL — реализациятехники |
РелизKDE4 невсепоклонникиэтойграфичес- |
оннойверсиейзапоследниепарулет, как |
GPGPU, позволяетперекладыватьнаGPU |
койсредывоспринялисэнтузиазмом(Линусна- |
минимум— ведьвэтуверсиювойдеткодот |
вычисления, которыеобычнопроизводятся |
столькорасстроился, чтоперешелнаGnome :)). |
Microsoft :). |
CPU. СтандартOpenCL былразработанв |
Ибыло, отчегорасстроиться: релиз4.0 сложно |
ОТКУДАДРОВИШКИ? |
качествезаменыаналогичныхрешенийот |
назватьстабильным, тянетразвечтонаальфа- |
производителейвидеокарт(nVidia CUDA, AMD |
версию. Ктомуже, сломалисовместимость |
|
НевседровадляLinux содержатсявядре, |
Stream), поэтомунаписаннаясиспользовани- |
состарымиприложениями. Неупалидухом, |
некоторыепроизводителивыпускаютсвои |
емOpenCL прогабудетработатьнавидеокарте |
пожалуй, толькоразработчики: онипродолжили |
закрытые(проприетарные) версии. Самый |
любогопроизводителя, драйверакоторойпод- |
упорноустранятьбагиидобавлятьновыефичи. |
распространенныйпример— дровадля |
держиваютOpenCL. Даешьстандартизацию! |
Результатомгодакропотливоготрудастали |
видеокартотизвестныхпроизводителей: AMD |
БЛИЖЕКПОЛЬЗОВАТЕЛЮ |
релизы4.2 и4.3 (атакжеминорныерелизы4.2.1- |
иnVidia. |
4.2.4 и4.3.1-4.3.3). Основныенововведения: |
|
AMD выпускаетновыйрелизсвоихзакрытых |
Весьуходящийгоднетолькокернел-хакеры |
• ИнтегрированиеPowerDevil — мощного |
дровCatalyst каждыймесяц. Новыефункции |
работали, непокладаярук. Разработчи- |
средствауправленияпитанием. |
добавляютсясравнительноредко, воснов- |
камболееприближенныхкпользователю |
• ИнтегрированиеPolicyKit — системыдля |
номбагфиксы(абаговвдровахпокаеще |
приложенийтожеесть, чемгордиться. Взять, |
болеегибкогоуправленияпривилегиями. |
достаточно) иофициальнаяподдержкановых |
например, окружениярабочегостола. За2009 |
• УлучшениявинтерфейсеPlasma: новая |
дистрибутивов. |
годдевелоперамисамыхбольших«противо- |
системауведомлений, новаятемаAir, возмож- |
Итак, прогрессдровCatalyst отAMD заэтот |
борствующих» лагерейбыловыпущенопо2 |
ностьгруппировкиприложенийнапанели |
год: |
мажорныхрелиза. |
задач, автоскрытиепанелиимногоедругое. |
• ПолнаяподдержкаOpenGL 3.0. |
ОсновныеновшестваGnome 2.26 иGnome |
• ВKwin добавленыновыеэффектыипе- |
• ЧастичнаяподдержкаRandR 1.3. |
2.28: |
реработанинтерфейсвсторонуупрощения |
• ПоддержкаHybrid CrossFire — технологии, |
• Поддержкааутентификацииспомощью |
настройки. |
позволяющейобъединитьмощностьнесколь- |
сканераотпечатковпальцев. |
• Возможностьзапускатькомандыподучетной |
кихнеидентичныхGPU (например, встроенной |
• Упрощенанастройкамногомониторных |
записьюдругогопользователя. |
ивнешней). |
конфигураций. |
• Несколькодесятковновыхплазмоидов. |
• ПоддержкаMultiview — технологии, позво- |
• Значительнорасширенывозможностистан- |
• Новый, болеегибкий, системныйтрей. |
ляющейиспользоватьнесколькодисплеевна |
дартногомодуляBluetooth. |
Следующийрелиз(4.4) намеченнаянварь |
несколькихвидеокартах. |
• ПрогадлязаписидисковBrasero вошлав |
2010. Онпринесетследующиеулучшения: |
В2009 годуnVidia выпускаладровавтрех |
составGnome. |
• БудетбазироватьсянаQt 4.6. |
ветках: 180.х, 185.хи190.х. Восновном, в |
• Evolution сталнашагближекMS Outlook: |
• KaddressBook будетполностьюпереписан— |
changelog’ахвстречалисьбагфиксыидобав- |
теперьонпонимаетPST иумеетобщатьсясMS |
обзаведетсяновыминтерфейсомиинтеграци- |
лениеподдержкиновыхGPU/ядер/X.org. |
Exchange 2007. |
ейсAkonadi (хранилищеданныхдлязаписных |
КлючевыеизменениявдровахnVidia загод: |
• Регуляторгромкостиинтегрировансмодным |
книжек, органайзеров, будильниковидругих |
• ПолнаяподдержкаOpenGL 3.2. |
PulseAudio. |
PIM-приложений). |
• Множественныеулучшениявтехнологии |
• МножествоулучшенийвTotem: наконец-то |
• ИнтерфейсPlasma будетоптимизировандля |
VDPAU, позволяющейвозложитьнаGPU |
оннаучилсявоспроизводитьвидеосместа |
экрановнетбуков. |
XÀÊÅÐ 12 /132/ 09 |
079 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
UNIXOID
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OOo4kids |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• ПоддержкаметаданныхформатаODF 1.2. |
|
|
|
|
|
• ПоддержкаOpentype/CFF шрифтов. |
|
|
МакетвозможногооформленияFirefox 4 |
• Начальнаяподдержка«умных» шрифтов |
|
||
|
Graphite. |
|
|||
|
|
||||
|
|
|
|
• УлучшенныйимпортOOXML. Возможность |
|
|
|
|
|
экспортавOOXML. |
|
|
• KAuth — средство, предоставляющееединое |
• Поддержкаопределенияориентацииспомо- |
Упроектаестьдостаточноподробныйroadmap, |
||
|
API дляаутентификации. Покавкачестве |
щьюакселерометров. |
изкоторогоможноузнать, чтоверсия3.3 |
||
|
backend’аможетбытьиспользовантолько |
• ПроектPersonas — поддержкаурезанныхтем, |
выйдетвконцемая2010, 3.4 — вноябре2010. |
||
|
PolicyKit. |
ненуждающихсявперезагрузкедляприме- |
Планируемыеизменения: |
||
|
Вцелом, уKDE естьвсешансывернутьдоверие |
нения. |
• Удалениеподдержкистарыхформатов |
||
|
Линуса:). |
• ПоддержкаформатаWeb Open Font Format |
StarOffice (*.sdw, *.sdc, *.sdd) (вверсии3.4). |
||
|
ХОЛОДНАЯВОЙНА |
(WOFF) дляраспространенияшрифтов |
• Интеграцияпервыхдостиженийпроекта |
||
|
OpenType, Open Font Format илиTrueType в |
Renaissance (проектпоизменениювнешнего |
|||
|
БРАУЗЕРОВ |
сжатомвиде. |
видаOpenOffice). |
||
|
Незнаю, какдлятебя, нодляменябраузер |
• Страницаabout:support, содержащаяинфор- |
• ИмпортSVG. |
||
|
— одинизосновныхрабочихинструментов. |
мациюоверсии, установленныхплагинахи |
• Возможностьсравниватьтаблицыприсрав- |
||
|
Уходящийгодвмиребраузеровбылбогатна |
основныхпараметрахконфигурации. |
нениидокументов. |
||
|
событияирелизы. Новичок— Google Chrome |
Firefox 3.7 долженвыйтивпервойполовине |
Вконцеуходящегогодаразработчикипред- |
||
|
— обзавелсятремярелизамииотхватилоколо |
2010. Обизмененияхизвестнопоканемного: |
ставилиновыйпроектOOo4kids — упрощенную |
||
|
4% рынкабраузеров(есливеритьстатистике |
• Несколькоизмененныйвнешнийвид: ис- |
версиюOpenOffice длядетей. Из«взрослого» |
||
|
statcounter.com). Оченьпопулярнаяунаших |
пользованиеодинаковыхкнопоквперед/назад |
OpenOffice былубраннекоторыйфункционал, в |
||
|
соотечественниковOpera впрошедшемгоду |
навсехплатформах, удалениевизуального |
связисчемвозрослапроизводительность. Ктому |
||
|
получиларелиззаномером10. Основные |
разделителямеждупанелями. |
же, немногоизмененинтерфейс: меньшекнопок |
||
|
изменения: |
• ПоддержкаWebGL — технологии, позволяю- |
наверхнейпанели, идобавленабоковаяпанель. |
||
|
• НоваяверсиядвижкаPresto, значительно |
щейполучатьдоступкфункциямOpenGL через |
Пакетпокаещенеимеетрусскогоинтерфейса. |
||
|
ускоряющегоотрисовкустраниц. Ктомуже, |
HTML5 canvas tag иJavaScript. |
ВИРТУАЛИЗАЦИЯ |
||
|
теперьOpera полностьюпроходитACID3 (тест |
Намойвзгляд, Firefox — самыйуспешный |
|||
|
поддержкибраузеромWeb-стандартов). |
OpenSource-проектдляпользователя. Посуди |
Вотуженескольколеттехнологиявиртуали- |
||
|
• Проверкаорфографиидля51 языка. |
сам: завсюисториюсуществованияFirefox его |
зацииразвиваетсястремительнымитемпами, |
||
|
• ТехнологияOpera Turbo — запрошенная |
скачалиболеемиллиардараз, вденьрелиза |
областьееприменениявсеширитсяиширится. |
||
|
клиентомстраницапредварительносжимается |
версии3.0 еескачалиболее8 миллионов |
Главнымнаправлениемразвитиявиртуализа- |
||
|
насервереOpera. Меньшетрафикаивыше |
человек(очемдажезаписановкнигерекордов |
циивуходящемгодубыла3D-акселерацияв |
||
|
скорость! |
Гиннеса); ссентября2009 годаFirefox 3.5 — са- |
гостевойсистеме.Сначаладавайвзглянемна |
||
|
Самыйпопулярныйоткрытыйбраузер— Firefox |
мыйпопулярныйбраузервЕвропе(поверсии |
списокизмененийвVMware Workstation 7: |
||
|
доросдоновогорелиза3.5. Идолжендорасти |
statcounter.com). |
• Поддержка3D (OpenGL 2.1 иShader Model 3.0) |
||
|
до3.6 кконцугода. Основныенововведенияв |
OPENOFFICE |
вгостевыхОСMicrosoft. |
||
|
версиях3.5 и3.6: |
• Виртуальнаяпечатьпозволяетбезустановки |
|||
|
• Поддержканекоторыхтеговформата |
ВтороеместоврейтингеOpenSource-проек- |
принтеровпечататьнавсепринтерыхостовой |
||
|
HTML5, самыеинтересныеизкоторых: audio |
товдляпользователяпоправупринадлежит |
ОС— принтерыдобавляютсявгостевуюОС |
||
|
иvideo. Теперьвстроитьзвукииликлипв |
офисномупакетуOpenOffice. В2009 годууви- |
автоматически. |
||
|
страничкуоченьпросто. Естьвстроенная |
делисветверсии3.0.1, 3.1 и3.1.1. Всередине |
• ВозможностьобновленияVMware Tools через |
||
|
поддержкакодековOgg Vorbis иOgg Theora. |
декабряждемеще3.2. |
интернет. |
||
|
Видеоможетпроигрыватьсявполноэкранном |
Основныеизмененияверсий3.0.1-3.2: |
• Возможностьсозданияснимковвиртуальной |
||
|
режиме. |
• Существенноеувеличениепроизводитель- |
машиныпорасписанию. |
||
|
• Режимприватногопросмотра, вкоторомне |
ности. |
• Шифрованиеизащитапаролемвиртуальных |
||
|
ведетсяникакаяистория. |
• Увеличениеразмераличногословарядо |
машин. |
||
|
• Поддержкаопределенияместоположения. |
30 000 слов. |
• Возможностьпоставитьнапаузувиртуальную |
||
|
Firefox можетсообщатьсайтутвоеприблизи- |
• Усовершенствованиефункциикомментари- |
машину. |
||
|
тельноеместоположение(пользуясьсервисом |
евктексту, теперьподдерживаетсяфункция |
• Добавленаподдержкарежимасовместимос- |
||
|
Google Location Services). |
диалога. |
тивWindows 7. |
080 |
XÀÊÅÐ 12 /132/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Thunderbird 3 |
|
|
|
|
НовыйинтерфейсKismet |
|
|
ОсновнойконкурентWMware Workstation надесктопе— Sun |
|
|
|
VirtualBox. Несмотрянанепонятнуюсудьбукомпании-раз- |
|
|
|
работчика(поглотитееOracle Corporation илинет), данный |
для автоматического периодического сканирова- |
|
|
продуктвиртуализацииактивноразвивался(в2009 годуза- |
ния сети. |
|
|
релизилисьверсии2.20, 3.0.0-3.0.10). Основныеновшества: |
• Увеличенаскоростьсканированияпортов. Вчастнос- |
|
|
• ИмпортиэкспортвиртуальныхмашинвформатOVF (Open |
ти, былобновленсписокTCP-портов, сканируемыхпо |
|
|
Virtualization Format). |
умолчанию. Сейчасвнем1715 портов. Аврежимебыстрого |
|
|
• VT-x/AMD-V включеныпоумолчанию. |
сканирования(nmap -F) теперьсканируютсяне1300 портов, |
|
|
• ПоддержкаUSB нахостеOpenSolaris. |
какраньше, атолько100 наиболеечастоиспользуемых. |
|
|
• АппаратноеускорениеOpenGL 3D дляхостовLinux и |
• Появиласьвозможностьсканироватьсуказаниемфикси- |
|
|
Solaris. |
рованногочислапакетоввсекунду. |
|
|
• Эмуляциядо32-хвиртуальныхCPU. |
• Вдваразаувеличенабазасигнатуроперационныхсистем. |
|
|
• ВозможностьаппаратногоускоренияDirect3D на |
Теперьонасодержит2003 записи. Такжебылаувеличена |
|
|
Windows-госте. |
базасигнатурприложений— с4558 до5512 записей. |
|
|
• ДобавленаподдержкарежимасовместимостивWindows 7. |
• ЗначительноулучшенаработаNSE (Nmap Scripting |
|
|
• ПоявилсяпортVirtualBox наFreeBSD. |
Engine), расширения, позволяющегоиспользоватьпростые |
|
|
Другаядинамичноразвивающаясясистемавиртуализации, |
скриптыдляавтоматизацииразличныхдействийсNmap. |
|
|
способнаяэмулироватьразличныеплатформы(Qemu) в |
Числоскриптоввкомплектеувеличено(теперьих59), |
HTTP://WWW |
|
уходящемгодубылапредставленадвумярелизами— 0.10 и |
добавленыскриптыдлясимулированияатак, осуществле- |
||
|
|||
0.11. Списокосновныхизменений: |
нияразличныхпроверокнаналичиеуязвимостей, подбора |
|
|
• ПоддержкаKVM. |
паролейчерезSNMP иPOP3 ит.д. |
links |
|
• ДлякомпиляциибольшенетребуетсяGCC 3.x. |
ЗнаменитыйсниферWireshark вэтомгодусначалаобно- |
Roadmap’ыизвест- |
|
• ЭмуляцияBSD userspace. |
вилсядоверсии1.2.0, азатемидоверсии1.2.3: |
ныхпроектов: |
|
• ЭмуляцияIntel e1000, Nokia N-series tablet, OMAP2. |
• РасширенсписокподдерживаемыхОС; теперьтампри- |
• http://live.gnome. |
|
• PCI hotplug. |
сутствуютMac OS X иWindows 7 (втомчисле, 64-разрядная). |
org/Schedule |
|
• Поддержкапсевдонимовдлявиртуальныхмашин. |
• Автодополнениепривводефильтров. |
• http://en.wikipedia. |
|
• Возможностьзадатьпоследовательностьзагрузки. |
• ДобавленаподдержкаразрешенияDNS-именспомощью |
org/wiki/ |
|
• Поддержкаблочныхустройствчерезhttp. |
библиотекиc-ares. |
KDE_4#Release_ |
|
Широкоиспользующаясянасерверахсистемавиртуали- |
• Добавленаподдержкаразборамногихновыхпротоколов, |
schedule |
|
зацииXen перенеслаоднокрупноеобновление— была |
атакжеформатовфайловсперехваченнымипакетами. |
• https://wiki.mozilla. |
|
выпущенаверсия3.4.0 соследующимиизменениями: |
• ПоисквбазеданныхGeoIP иинтеграцияOpenStreetMap |
org/Firefox/Roadmap |
|
• Усовершенствованпробросустройств, особыйакцент |
сGeoIP. |
http://wiki.services. |
|
сделаннаустройствадлярабочихстанций. |
• УлучшенвыводнапечатьвформатеPostscript. |
openoffice.org/wiki/ |
|
• Значительныеулучшения, касающиесянадежностии |
• ПоддержкаPcap-ng — новогоформатафайловдляхране- |
Features |
|
отказоустойчивости. |
нияперехваченныхпакетов. |
|
|
• УсовершенствованинтерфейсViridian (Hyper-V). |
• Поддержкаполученияинформацииопроцессахчерез |
|
|
• Управлениепитанием. Новыеалгоритмыразделенияпро- |
IPFIX. |
|
|
цессорногоресурса, позволяющиеиспользоватьэнергию |
• Последнийиспользуемыйпрофильконфигурацииотныне |
INFO |
|
болееэкономно. |
сохраняется. |
||
|
|||
УТИЛИТЫДЛЯПЕНТЕСТИНГА |
• Настройкипротоколовможноизменитьизконтекстного |
|
|
менюпакета. |
|
||
Нашилюбимыеинструментыдляпентестингатожепора- |
• ПоддержкасравненияIP-пакетов. |
info |
|
довалиинтереснымимажорнымирелизами. Например, |
• Capinfo теперьпоказываетсреднююскоростьпрохожде- |
||
|
|||
зарелизилсяNmap 5 соследующимиизменениями: |
нияпакетов. |
ВUbuntu 9.10 можно |
|
• Вкомплектпрограмм, поставляемыхсnmap, добавлена |
Известныйсниферсетей802.11 Kismet порадовалнас |
включитьgnome- |
|
утилитаncat — улучшеннаяверсияnc, умеющаяработатьне |
новымрелизом2009-06-R1: |
shell спомощью |
|
толькосTCP, ноисUDP, иобладающаяещецелымрядом |
• ПолностьюпереписанноеядроKismet-Newcore. |
команды«gnome- |
|
интересныхвозможностей. |
• Новыйпользовательскийинтерфейс. |
shell --replace». |
|
• Также в комплект добавлена программа ndiff, |
• Новыеопциидляфильтрации. |
Послеперезагрузки |
|
позволяющая сравнивать различные результаты |
• МожетчастичновыполнятьфункцииIDS. |
системавернетсяк |
|
сканирования. Ndiff очень удобно использовать |
• Новаяархитектурасподдержкойплагинов. |
прежнемувиду. |
XÀÊÅÐ 12 /132/ 09 |
081 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
UNIXOID
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
• Автоопределение используемого драйвера и каналов прослушиваемого устройства.
МЕСТНЫЕРЕАЛИИ
Одним из главных вопросов при миграции обычного офиса с винды на линукс была корректность работы небезызвестной бухгалтерской программы от «1С». Сервер уже давно и успешно работает под линуксом, а вот с клиентом сложнее. Да, после плясок с бубном можно было заставить его работать в обычном wine, но стабильность работы никто не гарантировал. Можно было купить wine@ etersoft, гарантированно поддерживающий клиент, но ключевое слово «купить» и стоимость сетевых версий не каждому руководству по нраву, особенно в кризисные времена.
Новдругсвершилосьчудо! «1С» выпустилано-
вуюверсиюплатформы«1С: Предприятие8.2», Теперь-томызнаем, начтоЛинуспроменялKDE :)
споддержкойлинуксаклиентом. Правда, пока
тольковеб-клиентом(итолькочерезFirefox), но |
AutoCAD 2008, Компас3D 9, КомпасГрафик, |
• Долгожданныйоднооконныйинтерфейс |
этоуженеможетнерадовать. |
BricksCAD иPlantracer. |
(опционально). |
Ещеодинклассприложений, работакоторых |
ПРЕКРАСНОЕДАЛЕКО, |
• Улучшениеинструмента«Текст». Отнынетекст |
влинуксепростонеобходимапримиграции |
вводитсяпрямонахолсте, аневотдельном |
|
некоторыхпредприятий— всевозможные |
ИЛИЧТОГОДГРЯДУЩИЙ |
маленькомокне. |
CAD-системы. Вwine корректноработают |
НАМГОТОВИТ |
• Каталогизацияресурсов— клюбойкисти, |
далеконевсеприложенияэтогокласса, ауж |
Кромеописанноговыше, вгрядущемгоду |
текстуреилиградиентуможнобудетдобавить |
нормальныенэйтивныеможнопересчитать |
можнождатьGIMP 2.8 иThunderbird 3. |
метку, покоторойпотомудобноосуществлять |
попальцамоднойруки. Новконцеуходя- |
Назватьдатувыхода«убийцыфотошопа» |
поиск. |
щегогодапоказалсясветвконцетоннеля |
сложнодажеприблизительно, таккакразра- |
• Поддержкапростыхвекторныхслоев. |
— компанияetersoft выпустиласпециальную |
ботчики, видимо, неоченьлюбятсоставлять |
• Вчисловыхполяхвводатеперьможноис- |
версиюсвоегоwine, заточеннуюподработу |
roadmap’ыидаватьобещания:). Изнововве- |
пользоватьарифметическиевыражения. |
CAD-систем— wine@etersoft CAD. Намомент |
денийстоитотметить: |
Популярныйпочтовыйклиентвначалеследую- |
написаниястатьипрограмманаходиласьв |
• ДальнейшаяинтеграцияGEGL (GEneric |
щегогодадорастетдоверсии3. Изменения: |
стадииbeta-тестированияиподдерживала |
Graphics Library, библиотекадляобработки |
• ДвижокотFirefox 3.5 (Gecko 1.9.1), благодаря |
толькоКомпас3D 10. Впланахподдержка |
изображений). |
чемуподдерживаютсявсефункцииогнелиса |
|
|
3.5 (тегиaudio, video ипрочее). |
ПопулярностьразличныхбраузероввЕвропев2009 году |
• Системавкладок, каквFirefox. Привыходеиз |
|
программызапоминаютсятекущиеоткрытые |
||
|
|
вкладки. |
|
|
• Новаяпоисковаясистема— теперьвсе |
|
|
сообщенияиндексируются. Поискпоиндексу |
|
|
работаеточеньбыстро. |
|
|
• Новыймастернастройкиучетныхзаписей. |
|
|
• «Умные» папки— приналичиинескольких |
|
|
учетныхзаписейможноиспользоватьдляних |
|
|
общиепапки. |
|
|
• Предпросмотрнесколькихсообщений. |
|
|
• Упрощеннаяработасконтактами. |
|
|
• Новыйменеджеррасширений. |
|
|
• Менеджерактивности— ведетлогвнутрен- |
|
|
нихсобытийпроги. |
|
|
ЗАКЛЮЧЕНИЕ |
|
|
Исходяизописанныхнововведений, рискну |
|
|
предположить, чтогод2010 станетгодом |
|
|
линуксанадесктопе. Хотя… где-тояэтоуже |
|
|
слышал:). z |
082 |
|
XÀÊÅÐ 12 /132/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|
|||
|
F |
|
|
|
|
|
|
t |
|
|
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
||
P |
|
|
|
|
|
NOW! |
|
o |
|
|
|||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|
|
|||
w Click |
to |
|
|
|
|
|
|
UNIXOID |
|
||||
|
|
|
|
|
|
m |
ЕВГЕНИЙ ЗОБНИН ZOBNIN@GMAIL.COM |
||||||
|
|
|
|
|
|
|
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
Береги |
||||||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
ñåáÿ
Защищаемся отзападлостроений
Впрошломномеремыговорилиошутках, западлостроенияхивсемтом, чтомож- носделатьсUNIX-системойвотсутствие владельцамашины(илиподсунувему нашзловредныйкод). Всеэто, конечно, интересноинеобычайноэффективно, вот толькосовершаязападлостроениепротив другого, надодуматьиосебе. Раноили поздноместьпридет, икнейнадобыть готовым.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Íаиболееэффективнойзащитойот разногородавторженийвтвоюсистему будетповышениеуровняпаранойи, ичемэтотуровеньвыше— темлучше длятебялюбимого. Сложныепароли,
регулярныепроверкифайловнаизменения, ограничениевсегоився— вот, чемтыдолжензаниматься, непропускаяниодногомало-мальски подозрительногопроцесса. Ипервое, счегоследуетначать— сзащитысвоегорабочегоместа.
ЗАЩИТАРУБЕЖЕЙ
Западлостроениявофисе, учебномзаведениии любомлюдномместенаиболеераспространены иэффективны. Машиныпостоянноостаютсябез присмотраилюбой, хотьчуточкуподкованный втехническомплане, человекможетделать сброшеннымисистемамивсе, чтоугодно. Ты уходишьзакофе, возвращаешьсяивидишь вместопривычногочерногоокнаxterm нечто раскрашенноевгламурно-розовыйцветскад-
ромизкакого-тоситкомавкачествебэкграунда. Страшногоничегонет, затоЛОРнаближайшие 10 минутосталсябезтебя.
Ксчастью, защититьсяотфизическогодоступа оченьпросто. Дляэтогонадопривыкнуть блокироватьэкраннавремясвоегоотсутствия(и
можноспокойнобродитьгдеугодно). Способов сделатьэтоуйма, начинаяотвыборапункта менюLock Screen влюбойсредеизаканчивая клавиатурнымикомбинациями: <Ctrl+Alt+L> (KDE иGnome) и<Ctrl+Alt+Del> (Xfce). Тоже самоеможносделатьиизкоманднойстроки:
KDE $ qdbus org.freedesktop. ScreenSaver /ScreenSaver Lock
Gnome $ gnome-screensaver-command -l Xfce $ xflock
Дляостальныхслучаевможноиспользовать команду:
$ xscreensaver-command -lock
Илиустановитьпрограммкуxlock, если xscreensaver неактивирован. Консольный аналогназываетсяvlock. Популярныетекстовые оконныеменеджеры, такиекакGNU Screen и Tmux, такжепозволяютлочитьтерминал. Блокировкаэкрананепринесетбольшой выгоды, есливBIOS активированавозможность загрузкисCD (всегданайдутсяперцы, которые вставятLinux LiveCD вприводинажмуткнопку Reset). Поэтомузагрузкуслюбыхносителей,
кромежесткогодиска, придетсязапретитьчерез CMOS Setup ипоставитьнанегопароль. Для пущейнадежностиобнулифайл/etc/securetty, хранящийспискивсехтерминалов, скоторых возможенвходподучетнойзаписьюroot.
Еслижеврагвсе-такиухитрилсявойтив систему, укравпарольилижекаким-тодругим способом, тоегодеятельностьлегкоотследить спомощьювызовакоманды«last», котораяпокажетвсе, гхм, актыпроникновения, атакжечте-
нияфайловистории(~/.history, ~/.bash_history)
илогов.
ИНСАЙДЕРЫ
Второйпопопулярностиспособпроникновенияв системусцельюустроитьпользователюзападло основаннаподкидываниижертвеподложного пакета, конфигурационногофайлаиликоманды. Методзащитыотподобноговидабомбзамедленногодействиясводитсякследованиюрядубанальных, нозаслуживающихвниманияправил:
1.Незапускайкоманды, действиекоторыхтыполностью не понимаешь. Различные зловредные команды UNIX-шелла могут быть ловко замаскированы в sh/perl/python/ruby-скрипт, запустив который ты можешь остаться без системы.
2.Не применяй конфигурационные файлы без
084 |
XÀÊÅÐ 12 /132/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
их прочтения. Некоторые приложения позволяют поместить в конфиг целый скрипт, который может сделать очень многое.
3.Не накладывай патчи на исходники софтин без прочтения их содержимого или хотя бы удостоверения того факта, что они были получены из источников, заслуживающих доверия. Нет никаких гарантий, что патч не содержит бэкдор, вредоносный код или другую пакость.
4.Никогда не устанавливай пакеты вручную, путем скачивания с сайта и исполнения команды rpm/deb/что-то еще. Любой нормальный дистрибутив имеет удаленный репозиторий, для доступа к которому используются ключи, а все пакеты имеют проверочный хэш-код. В крайнем случае, скачивай пакеты с сайтов, идентифицирующих себя с помощью сертификатов.
5.Всегда распаковывай архивы во временный подкаталог своего домашнего каталога и не ленись проверять их содержимое перед распаковкой. Архив может быть tar-бомбой, подменяющей файлы твоего домашнего каталога, или содержать decompression-бомбу, которая после распаковки превратится в огромный файл, и если он попадет, например, в /tmp, то работоспособность системы будет нарушена.
6.Создай файл с именем «-i» в корневом
каталоге (touch /-i). Это заставит команду «rm -rf /*» спрашивать пользователя перед удалением каждого файла корневого каталога (rm примет файл «-i» за флаг командной строки).
ВРАГВНУТРИ
Можнодолговыстраиватьлиниюобороны, с подозрениемотноситьсяковсемуився, выдумыватьсложнейшиепароли, ноесликакая-то гадостьпопадетвсистему, боротьсяснейпридетсяуженаближнихрубежах. Вэтомделетебе помогутправильныеправадоступа, ограниченияиспециальныеутилиты, предназначенные дляконтроляцелостностисистемы.
ЛюбаяUNIX-системапозволяетнакладывать самыеразнообразныеограничениянапроцессы пользователей.Этоможетбытьмаксимальное количествооткрытыхфайлов,максимальное количествопроцессов,приоритетпроцессовит.д. Такжесуществуютдисковыеквоты,предназначенныедляограничениязанимаемогофайлами пользователяпространстванадиске.Правильная установкаограниченийпозволитзаперетьзловредныепроцессывкоробку,границыкоторойони несмогутнарушить,аследовательно,инавредить системе.Ограниченияособенноэффективныпро- тивразличныхфорк-бомб,плодящихбесконечное количествопроцессовисжирающихпамять;программ,создающихмассуфайлов;decompressionбомбитомуподобных«приложений».
ОГРАНИЧИВАЕМ РЕСУРСЫПРОЦЕССОВ
Ограничениянапроцессынакладываютсяспомощьюкомандыulimit. Запустиеесфлагом‘-a’, чтобыувидетьтекущиезначения. Наиболее интересныдлянасстроки:
1.Строка «data seg size», флаг ‘-d’.
Максимальный размер сегмента данных процесса. Обычно не ограничен, а это значит, что любой процесс может запросто отожрать сколько угодно оперативной памяти с помощью вызова malloc(). Трудно сказать, каким будет оптимальное значение: одни программы потребляют очень много памяти (например, Gimp, который хранит изображения, слои, историю и все остальное в сыром виде), другие обходятся пару килобайтами. Стоит попробовать значение 20480 (20 Мб) и наращивать его в случае необходимости.
2.Строка «file size», флаг ‘-f’. Максимально допустимый размер создаваемого файла. В большинстве систем значение не ограничено,
аэто значит, что любой пользовательский процесс способен создать файл, размер которого будет ограничен только лимитами, заложенными в файловую систему. Правильным значением будет размер порядка 8 Гб, указанный в блоках файловой системы (обычно 4 Кб).
3.Строка«open files», флаг‘-n’. Максимальное количествоодновременнооткрытыхфайлов. В большинственастольныхсистемустановленов 1024, чтооченьразумно. Снятиеограниченияприведетктому, чтопроцесссможетоткрыватьфайлы дотехпор, покасистеманевпадетвступор.
4.Строка «max user processes», флаг ‘-u’.
Максимальное количество порождаемых пользователем процессов. Обычно значение
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
не ограничено, благодаря чему самая простая форк-бомба может разгуляться на всю катушку. В то же время установка лимита может еще более усугубить ситуацию. Дело в том, что современное ядро Linux вполне способно выдержать действие форк-бомбы, оставаясь при этом отзывчивым, а значит, позволит пользователю открыть терминал и убить вредный процесс. Установив же ограничение, мы добьемся того, что во время действия форкбомбы будет достигнут лимит процессов, и пользователь уже не сможет запустить терминал или выполнить любую другую команду.
ВLinux предпочтительныезначенияограниченийможноуказыватьнетолькоспомощью вызовакомандыulimit, ноииспользуякон-
фигурационныйфайл/etc/security/limits.conf,
форматкоторогоследующий:
<domain> <type> <resource> <value>
Где<domain> — этоимяпользователя, @группа илисимвол‘*’ длявсех. Столбец<type> — тип ограничения(soft, hard или‘-’ дляобоих), <resource> — ограничиваемыйресурс, <value>
— значение. Дляперечисленныхвышечетырех ресурсовихименадляlimits.conf будутвыгля-
детькакdata, fsize, nofile иnproc. Типограниче-
нияhard используетсядляуказаниямаксимальногозначения, котороепользовательвправе установитьсамостоятельно. Стоитсказать, что никакиекомбинацииограниченийнебудутосо- бенноэффективныпротивфорк-бомбдвойного
действия, — ихпорождаютпроцессы, каждыйиз которыхотжираетпамятьвбесконечномцикле. Приведупример: тыустанавливаешьограничение«data seg size», нооставляешьнеогра-
ниченным«max user processes». Форк-бомба плодитпроцессы, исистемаостаетсядоступной, норовнодомомента, покаеепроцессыне сожрутвсюдоступнуюпамять, амоментнаступиточеньбыстро(причемвнезависимостиот значения«data seg size»!). Можнопопытаться решитьпроблему, установивзначение«data seg size» в20480, а«max user processes» в128,
чтодостаточножесткои, напервыйвзгляд, эффективно. Однакопослезапускафорк-бомбы тыполучишьследующуюкартину: еслибомба сможетпородитьхотябы100 процессов(допустим, чтоостальные28 являютсялегальными), тообщийобъемсъеденнойпамятибудетравен
100*20480/1024 = 2000 Мб, адоступксистеме окажетсязаблокированным. Поэтому, какни крути, афиналодин. Единственныйвыход:
жесткиеограниченияна«data seg size» и«max user processes», плюспостояннооткрытый шеллсправамиroot (ограничениянапроцессы которогосняты).
УСТАНАВЛИВАЕМКВОТЫ
Ограничениянаобъемзанимаемогодискового пространстваустанавливаютсясиспользованиеммеханизмаквот, которыйможет бытьактивировантолькосуперпользователем. Квотыэффективныпротивфайловыхи decompression-бомб, ставящихсвоейцелью произвестиDoS черезпопыткуполногозаполненияфайловойсистемы.
XÀÊÅÐ 12 /132/ 09 |
085 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
UNIXOID
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Файл/etc/security/limits.conf вUbuntu
Поддержкаквотреализовананауровнеядра, нодляуправленияихустановкойиснятием показанийпредназначеныспециальные утилиты, обычнораспространяемыевпакете quota. Поэтомусначаласледуетустановить этотпакет:
$ sudo apt-get install quota
Далеепереходимводнопользовательский режим:
$ sudo bash
#init 1
Идобавляем к опциям монтируемых файловых систем слово usrquota в файле /etc/ fstab:
/dev/sda2 /home ext3 defaults,usrquota 1 1
Перемонтируем/home, чтобыизменениявступиливсилу:
# mount -o remount /home
Создаемфайлквот, вкоторомбудутхраниться текущиеограничения:
#touch /home/aquota.user
#chmod 600 /home/aquota.user
Спомощьюкомандыquotacheck позволяемсистеменайтифайлыквотисвязатьихсфайловой системой:
# quotacheck
Запускаемedquota, чтобынастроитьограничениядляуказанногопользователя:
# edquota -u <пользователь>
Командаактивируетредактор, используякоторыйнеобходимоотредактироватьнастройки квот. Форматфайласледующий: однастрока
— однафайловаясистема. Строкаразбитана разделенныепробеломиследующиедругза другомполя:
ПОЛЯEDQUOTA
Filesystem — файловая система (имя
раздела, на котором она располагается)
Blocks — количество блоков, используемых пользователем в данный момент (блок равен одному килобайту)
Soft — мягкий лимит на количество используемых блоков
Hard — жесткий лимит на количество используемых блоков
Inodes — количество inode (файлов), используемых пользователем
Soft — мягкий лимит на количество
ТРИ СОВЕТА
1.Следизаправамидоступа. Всеважныесистемныефайлынастроекдолжныбыть доступныдлячтенияизаписитолькосуперпользователю. Кфайламтвоегодомашнего каталогадолжениметьдоступтолькоты(права600). Этоголегкодобиться, простоуказав правильнуюмаскуправдоступав~/.profile или~/.bashrc (umask 077).
2.Непомещайсебявомножестворазныхсистемныхгруппвродеoperator, audio ит.д. Это создаетбрешьвбезопасностиинаделяеттебяособымиполномочиями, которыемогут бытьиспользованыдлязападла.
3.Праваroot нужнытолькотогда, когдаонидействительнонужны. Не«сиди» подroot’ом, незаходивсистемуподroot’ом, старайсянезапускатькомандыотимениroot. Принеобходимостииспользуйsudo.
inode
Hard — жесткий лимит на количество inode
ИсторическиядраUNIXпозволяютзадаватьдва ограничениядлякаждогопользователя:мягкое ижесткое.Сделанотак,чтобыпользователь, превысившиймягкоеограничение,смогузнать обэтом(получивсообщениевконсоль)иуспел принятьмерыпоочисткесвоихкаталоговперед тем,какистечеттакназываемый«периодотсрочки»,имягкоеограничениепревратитсявжесткое. Самособойразумеется,чтовсовременноммире подобныйнаивныйподходнедействует,поэтому жесткоеограничениеобычноустанавливают вноль,чтобыограничениемягкоеизначально становилосьжестким,ипользовательнемог егопревысить.Последуемэтомупримеруимы.
Ограничимсамогосебя50гигами(50*1024*1024 =52428800),амаксимальноеколичествофайлов установимв2000:
# edquota -u xakep
Disk quotas for user xakep (uid 1001):
Filesystem blocks soft hard inodes soft hard
/dev/sda2 2043743 52428800 0 162 2000 0
Поляblocks иinodes оставляемнеизменными, аобаполяhard устанавливаемв0. Выходимиз однопользовательскогорежима, набрав:
# init 5
Этовсе. Слимитомнаinode, конечно, придетсяповозитьсяпередтем, кактынайдешь оптимальноедлясебязначение, ноотключать еготоженельзя, ведьнекоторыеразновидности файловыхбомбсоздаютогромноеколичество пустыхфайлов, которыенезанимаютместана диске, ноприводяткисчерпаниюлимитаinode самойфайловойсистемы.
КОНТРОЛЬЦЕЛОСТНОСТИ СИСТЕМЫ
Контрольцелостностисистемыпредставляет собойметодобнаруженияразногородатроянов, вирусовитомуподобнойнечисти,путемсоздания заведомоправильногоснимкафайловойсистемы ипоследующейсверкиегостекущимсостоянием ФС.Осуществлятьконтрольцелостностиможнои спомощьюпростыхсамописныхскриптов,нодля Linuxужедавнодоступнасистемаtripwire,которая автоматизируетэтуработуисводитпроцентложныхсрабатыванийкминимуму.
Установитьtripwire можноспомощьюпакетного менеджералюбогодистрибутива. Например, в Ubuntu этоделаетсятак:
$ sudo apt-get install tripwire
Сразупослеустановкиначнетсяпроцессконфигурирования,которыйбудетвыводитьнаэкранинформационныеокнаизадаватьвопросы,накаж-
086 |
XÀÊÅÐ 12 /132/ 09 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Такоеокноувидитпользователь, попытавшийсявойтивмашинусзаблокированным экраном
Файлполитикtripwire
Ошибкивовремяинициализациибазы tripwire, файлполитикпридетсяправить
дыйизкоторыхследуетотвечать«Yes».Вконцетыувидишьдва приглашенияквводупароля:sitepassphraseиlocalpassphrase.
Ониобаиспользуютсядляшифрованиябазданных(снимков) иконфигурационныхфайлов,стойлишьразницей,чтопервый можетбытьиспользовансразунанесколькихмашинах.
Послезавершенияконфигурированияустановиправильные праванафайлыконфигурациииполитики:
$ cd /etc/tripwire
$ sudo chmod 0600 tw.cfg tw.pol
Далеетыможешьоткрытьфайлполитик/etc/tripwire/tw.pol, чтобыизменитьправилаобработкинекоторыхфайлов. В большинствеслучаевменятьничегонепридется, потомучто разработчикидистрибутивовсамисоставляютнадлежащие файлыполитик. Послезакрытияредакторавыполниследующуюкоманду:
$ sudo twadmin --create-polfile --cfgfile ./tw.cfg \ --site-keyfile ./site.key ./twpol.txt
Все, можносоздатьснимокфайловсистемы, которыйбудет использоватьсявкачествеэталонавовремяпоискаизменившихсяфайлов(вкачествепаролявведиуказаннуюво времяустановки«local passphrase»):
$ sudo tripwire --init --cfgfile \ /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol
--site-keyfile /etc/tripwire/site.key \ --local-keyfile /etc/tripwire/HOSTNAME-
local.key
Теперьможновыполнитьпробнуюпроверку:
$ tripwire --check
XÀÊÅÐ 12 /132/ 09
Дефолтовыезначенияulimit вUbuntu
INFO |
Такиепроверкистанутпроисходитькаждыйдень(пакет автоматическиустановилзаданиеcron), авсеотчетыоб изменившихсяфайлахбудетполучатьroot наemail.
Ясно, чтоtripwire начнетдикооратьдажепослелегальной модификациифайловОС(правкасистемныхконфигов, установкапакетовит.д.), поэтомупослелюбогоизменения системныхфайлов(включаяфайлы/root) следуетобновлять базу:
$ sudo tripwire --update -Z low
Такжеестьспециальнаякомандадляобновленияфайла политик:
info
Длябольшейбезопасностиконфигурационныефайлы ифайлыполитик tripwire следуетхра- нитьнаFlash-брелке (илучшевзакриптованномвиде).
$ sudo tripwire --update-policy --cfgfile ./tw.cfg --polfile \
./tw.pol --site-keyfile ./site.key \ --local-keyfile ./HOSTNAME-local.key \
./twpol.txt
ПОСТСКРИПТУМ
Кактысмогубедиться, защитаотпосягательствнатвою системунетребуетспециальныхзнаний, использования секретныхтехникилиглубокогопониманияUNIX. Всесводится кумениюдержатьОСисебяподконтролемирядупростых правил, многиеизкоторыхописанывстатье. z
WARNING |
warning
Неустанавливай лимитысразудля всехпользователей. Этоможетпривести ксбоямсистемных утилит, врезультате чегоОСперестанет загружаться.
087