книги хакеры / журнал хакер / 153_Optimized

НАЧИНАЕМРАБОТАТЬ

ПоначалуработасИТ-отделомшлаоченьхорошо.Ониненаходилисьв нашемподчинении,ивзаимодействиесводилоськромеоперативнойнеобходимостикобменувнутреннимидокументами.Большоготрудастоилоприучитьадминовнезвонитьпотелефону,высыпаянаабонентаворох непонятныхтерминов(еслияещевсилуобразованиямогуразобраться, тоужемойначальник—нет),аименнописатьписьма.Почемуэтобыло такважно?Во-первых,перепискупрощеподнять,вслучаенеобходимо- сти,ивспомнить,ктокомучтосказал,итемсамымизбежатьперевода стрелок,отмазоктипа«яже/неговорил»ивконечномитогесэкономить времяиснизитьнапряженностьвслучаечего.Организоватьобмен документамипоэлектроннойпочтенамнепозволилапрофессиональнаяпаранойя:нетакдавномыпотерялимногоденегпоещенедоконца выясненнымпричинам,ииспользоватьдляобменаконфиденциальной информациейпочтовыйсервер,расположенныйзатысячукилометровна территориидругойкомпании,намказалосьопасно.

Такимобразом,нашазадачасводиласькследующему:

1.Организоватьнаблюдениезаперемещениемдокументовпосети илокальнонакомпьютерах—сюдавходиттакжеконтрольпечати, контролькопированиядокументовнасменныеносители,включая сотовыетелефоны.

2.Наблюдениезапользователямивинтернете—какиесайтыпо- сещают,скемпереписываютсяпокорпоративнойпочте,etc.

3.Резервноекопированиеинформации,составляющейкоммерческуютайну.Этонеотменялобэкапированиявсегопрочего,отсерверовдоконфигурацийсетевогооборудования,однакомынастаивалинаотдельнойпроцедурекопированияважнойинформации отдельногоеехранения.

Помимоэтого,такжеподнималисьвопросыорганизацииантивируснойзащиты(намоментначалаработупользователейстояли индивидуальныеантивирусы,безовсякогоцентрализованного обновления),запускасобственныхweb-иmail-серверов,запускwsus, организацияVPNмеждуHQифилиалами,новдальнейшемэтизадачи былипочтиполностьюпереданыИТ.

Отдельнопросотовыетелефоныикоммуникаторы.Этизамечательныедевайсывызывалиунасоченьмногобеспокойства.Помимо того,чтоонимогутиспользоватьсякакфлешки,ониещемоглисоздать дополнительныйникакнеконтролируемыйканалсвязисинтернетом. Инсайдер,подключившийсвоюмашинучерезтелефонкинтерне-

туивыдавшийсообщникамсвойвнешнийIP-адрес,могзапросто устроитьвеселуюжизнь,дажепростопередавуправлениемашиной болеекомпетентномузлоумышленнику.Особенноостроэтапроблема стоялавсамомначаленашейдеятельности—ксожалению,ситуация былатакова,чтонетольковсеUSB-портыбылиоткрыты,ноиправа администраторабылиумногихпользователей—тяжелоенаследство отпредыдущегоИТ-отдела,избавитьсяоткоторогоновыйсоставне спешилпонекоторымпричинам,аунаснедоходилирукидажевсеэто проверить.Вотужточно,покагромнегрянет—мужикнеперекре- стится.Такчтозадачанесколькорасширялась,ипреждечемначинать затыкатьвозможныеканалыутечкиинформации,стоилозаняться банальнойгигиеной.Имелиместоследующиепроблемы:

1.Пользователисправамиадминистратора—причинаихвозникно- вениязаключаласьвпользователях,любящихставитьсторонний софт,админах,нелюбящихбумаги,инас,которыенавсеэтопросто необращаливнимания.Впроцессевыясненияпричиноказалось, чтопослетого,какбухгалтерампорезалиправа,начальникИТимел разговорсруководствомпоповодупользователей,которыечто-тоне моглисделать.ПослеэтогоИТрешилинесвязыватьсяивыдатьвсем админскиеправа.Главнойихошибкойвэтойситуациибылото,что онирешилисделатьвсе«простотак»,нискемнепосоветовавшись.

2.Портыкоммутаторовуровнядоступа.Онибыливключенывсе,в томчислеинеиспользуемые.Никакогоportsecurityнанихна- строенонебыло.Никтоэтимнезанимался—ИТпостояннорешало проблемывирусныхэпидемий,возникающихиз-зап.1,амынаэто простозабили,списавнаИТ.

Снастройкойportsecurityнакоммутаторахбыласвязанаещеодна

проблема—руководствофирмылюбилоноситьвИТсвои(инетолько) ноутбуки«длянастройки/починки»,такчтоихпериодическиприходилосьвтыкатьвсетьпредприятия.Итак,мыприступиликработе.

Послетогокакмы,совместносИТ,определилипереченьпроблем, настолруководствулегдокумент,подписанныйначальникамиотделов ИБиИТ,подназванием«Политикаинформационнойбезопасности».

Сампосебедокументвесьмапространенирасплывчат,иглавнымвнем былоопределениезонответственностидвухотделов.Порезультатам, отделИТотвечалзаработоспособностьвсехтехническихсредствивсе сопутствующиемероприятия,такиекакразработкаполнойдокументациинаинформационнуюсистемупредприятия,разработкаинструкций пользователям,плановдействийпривыходетехникиизстрояипри возникновенииугрозынеработоспособноститехническихсредств,а отделИБотвечалзаразработкуиподдержаниевактуальномсостоянии документов,регламентирующихработупользователейсинформацией ограниченногораспространения,правилнастройкисредствзащиты(к средствамзащитыбылоотнесенофактическивсечтоможно—отанти- вирусовдоIDS),атакжеконтрольсоблюденияэтихправил.Последний пункт—контрольсоблюденияэтихправил—вызвалуменянекоторые сомнения:вовсемотделетольконесколькочеловекбылидостаточно компетентны,чтобывыполнятьего,остальныеимелинесколькодругую направленность.Темнеменее,оставлятьполностьювопросзащитыинформации,циркулирующейвЛВС,наодинотделбылонецелесообразно:отсутствиеконтролирующегооргана(четкоосознающегограницы контроля)слишкомчастоприводитктому,чтоправиласоблюдаются лишьнабумаге.Крометого,немаловажнымпунктом«Политики...» былото,чторуководствообоихотделовмоглоподписыватьдокументы, болеедетальнорегламентирующиепорядокэксплуатациитехнических средствисредствзащиты,атакжепорядокработысинформацией ограниченногораспространения,иэтидокументыимелиюридическую силу,т.е.онибылиобязательныкисполнениювсемисотрудниками. Отдельнохочузаметить,чтоданныйпунктнестоитпротаскивать«прицепом»,астоитцеленаправленнообращатьнанеговниманиеруковод- ства—иначевдальнейшем,когдаповалятжалобыотпользователей назаблокированныеUSB-порты,порезанныеправаипрочее,избежать неприятныхразговоровнатему«почемуне?..»будетсложно.Если руководительосознанноподпишеттакойдокумент,этофактически развяжетрукиобоимотделам—вдальнейшемпринятиедокументов значительноупростится,иприэтомонибудутиметьполнуюсилу.

Следующимшагомпослеразработкииподписания«Политикиинформационнойбезопасности»былоопределениеперечняактуальных угрозкаксвязанныхсИТ,такинесвязанных.Чтозначитактуальных? Нувпринципе,количествоугрозограниченотольковашейфантазией. УтечкапоканалуПЭМИН(этокогдавкилометреотвасставитсяантенна ипоэлектромагнитномуизлучениюсвидеокартывосстанавливается картинкасмонитора)тожевозможна,воттольконасколькозатраты наоборудованиесоответствуютстоимостиинформации?Разрешить этотвопросможетпомочьтолькожизненныйопытистандарты—как отечественные,такимеждународные.Опятьже,нужноучитыватьи отечественнуюспецифику,тоестьорганизовывать«защитуотдурака». Переброшенныйналичныйящикпроектдоговоравоткрытомвиде прекраснопроиллюстрируетэтукартину.Такжеважнонесписыватьсо счетовпользователейнатомосновании,чтоониеле-елесправляются скомпьютером:частоотпользователянетребуетсямногознать,чтобы создатьнеконтролируемыйканалутечкиинформации.Видеале— стоитрассчитывать,чтоворганизацииработаетинсайдерсуровнем

ОРГАНИЗОВАТЬОБМЕН ДОКУМЕНТАМИПОЭЛЕКТРОННОЙ ПОЧТЕНАМНЕПОЗВОЛИЛА ПРОФЕССИОНАЛЬНАЯПАРАНОЙЯ

подготовки,равномуровнюподготовкивашихспециалистов,илидаже выше.Такжеважнымбылоразделениезонответственности—каждый изотделовмогсосредоточитьсянатом,чтоемуболеезнакомо:ИТна угрозах,связанныхсинформационнойинфраструктурой,амы—на организационныхвопросах,непосредственнозадачахконтролянад информационнымипотокамиинаписанииинструкций.

ОПЫТ,СЫНОШИБОКТРУДНЫХ

Дальшеначалисьтрудности.Деловтом,чтотеметоды,которыепрекрасноподходятдляорганизацийспреимущественнобумажным документооборотом,довольнотрудноприменитьвслучае,еслибольшая частьдокументовциркулируетвэлектронномвидеиникакойсистемы электронногодокументооборотанеразвернуто,тоестьдокументооборот сводитсякналичиюпапкисфайламинасервере.Вводитьворганизации ещеисистемудокументооборота,неимеяуверенности,чтоонапере- кроетхотьсколько-нибудьсущественнуючастьнашихпотребностей, былослишкомдорого.ПодключатьдлярешенияэтойзадачиИТбылоне- актуально:контрользадокументооборотом—этонеихпрофиль,ионибы простонесмогливыбратьподходящеепофункционалурешение.Витоге мыостановилисьнавыбореиздвухвариантов—либоиспользованиело- кальныхсредствзащиты(преимущественноотечественныесертифици- рованныерешения),либосетеваяDLP-система.Обавариантаимелисвои плюсыиминусы,вчастности,сертифицированныесредствапозволялив дальнейшемобойтисьменьшейкровьюприработепозащитеперсональныхданных,сетевыежеDLPгораздоудобнеевобслуживанииирешают болееширокийспектрзадач.Крометого,вданномвопросенампри- ходилосьучитыватьмнениеИТ-отдела,посколькуэксплуатацияданных продуктовоставаласьпоихчасти:мытольковырабатывалитребования. Нашотделотдавалпредпочтениесертифицированнымрешениям—ска- зывалосьпрофессиональноенедовериеруководстваотделаккоммерческимпродуктам(нашеруководство,какисолиднаячастьбезопасников

внебольшихконторах,вышлаизсиловыхведомств),ИТ-отделже, наоборот,большетяготелккоммерческимпродуктам.Справедливости радидолженотметить,чтокоммерческиеDLP-системыгораздолучше отвечалинашимтребованиям,предлагалиболеебогатыйфункционали простобылиудобнеевработе.Единственным,посути,преимуществом отечественныхрешенийбылоналичиесертификата,которыйоказывал нанашотделпочтимагическоевоздействие.Витогебылприняткомпромиссныйвариант.Посколькусертифицированныесредствазащиты необходимоприменять,толькоимеявприцеледальнейшуюаттестацию потребованиямГСЗИ(государственнойсистемызащитыинформации), азащитакоммерческойтайныпочтиникакнерегламентирована,мы решилииспользоватьсертифицированныесредствазащитыинфор- мациитам,гдеонидействительнонужны,—накомпьютерах,которые

вдальнейшемвошливсоставнашейИСПД(информационнойсистемы персональныхданных),ноэтоужесовсемдругаяистория,выходящая зарамкиданнойстатьи.Длязащитыжекоммерческойинформациимы использовалиWebsenceDSS.

ПОЛЕЗНЫЕДОКУМЕНТЫ

Приопределениивозможныхканаловутечкиинформациитебепригодятсяследующиекниги:

1.«Специальныетребованияирекомендациипотехниче- скойзащитеконфиденциальнойинформации(СТР-К)».

2.Руководящийдокумент«Автоматизированныесистемы.Защитаавтоматизированныхсистемотнесанкционированногодоступа».

3.«GrayHatEthicalHacker’sHandbook».

Всекнигиоченьпростонагугливаются,СТР-КиРД— прямонасайтеФСТЭК.Первыедвекнигинужныскорее безопасникам,апоследняя—админам.

ДЕЛАНАЛАЖИВАЮТСЯ

Нашедальнейшеевзаимодействиебылорегламентированоипротекаловспокойнойобстановке.Посути,оносводилоськтому,чтонаи- болеекомпетентныйввопросахИТбезопасникполучалотИТ-отдела документациюнаиспользуемыесредствазащиты,консультировалсяпонепонятнымвопросам,иотделИБ,имеяпредставлениеотом, чтоможносделатьсиспользованиемэтихсредств,вырабатывал требованиякихнастройке.Также,повозможности,длясотрудников ИБсоздавалисьучетныезаписи,позволяющиемониторитьправильностьнастройкисредствзащитыипринеобходимостиоставлять оповещениедляадминистратораотом,чтонеобходимоизменитьв настройках.Изначальнопланировалосьвестиподобнуюпереписку традиционнымспособомипроводитьееповнутреннемудокументообороту,однакоотэтойидеипришлосьотказаться:требовалось оперативноевзаимодействие,авнутреннийдокументооборотоставлялзадержкувденьилидва.Еслибымырешилисьнаэто,время настройкиоборудованиярастянулосьбынанесколькомесяцев.

Крометого,мыполностьюотказалисьотарендысерверову третьихлиц,тоестьразвернулисобственныеweb-иmail-сервера. Этоупростилозадачуконтроляделовойперепискисотрудников, аразвернутаяDLP-системапозволилаизбежатьиспользования личныхпочтовыхящиковдляделовойперепискибезприменения драконовскихмертипаполногозапретадоступакстороннимmail-

сервисам.Этотвариант,насамомделе,рассматривался,однакобыл отвергнутпонесколькимпричинам.Однойизнихбылото,чтосотрудник,которыйощущаетконтрольнадсвоимидействиями,будет какминимумнедоволен,чтопонизятеголояльность,аинсайдера видимыйконтрользаставитвестисебягораздоаккуратнее,аэто затруднитегообнаружение.

ВЫВОДЫ

Какиеизвсегоэтогоможносделатьвыводы?Во-первых,залогом успешноговзаимодействияотделовявляетсяподтвержденноедокументальноразграничениеполномочий.Этосамыйважныймомент: никтонехочетделатьзакого-тосвоюработу,такчтоподходитьк этомувопросустоитсовсейтщательностью.Приэтомнужнопониматьразницумеждуинформационнойбезопасностьюсточкизрения ИТ-специалистаиинформационнойбезопасностьюсточкизрения безопасника.Впринципе,этотвопросужеподнималсявстатье,но

повторюсь:ИТ-безопасность—этостабильностьработыинформацион- нойинфраструктуры,аИБ-безопасность—контрольнадоперациямис важнойинформацией.Задачипересекающиеся,ноневключающиеся однавдругую.Оченьважноопределитьпорядоквзаимодействия междуотделами—прямоеподчинениеодногоотделадругомуврядли приведеткчему-тохорошему.Поэтомуодинизважнейшихмоментов— нужнобытьготовымкдиалогу.Ненужноупиратьсярогомизаочносчитатьсобеседникаидиотом.Еслиобестороныготовыдоговариваться,то никакихпроблемвзаимодействияневозникнет.z

INFO

ОсистемахOCS InventoryиGLPI подробнееможно прочитатьвстатье «Ставимнаучет железоисофт»в ][06.2010).

ПодуправлениемLinuxработаюткаквысокопроизводительныекластеры,такиодиночные серверы.Иеслиуправление настройкамиОСвпоследнем случаеневызываеткаких-либо вопросов(достаточносистемныхутилит),токогдасерверов становитсянесколькодесятков, админуприходитсяискатьинструменты,которыеспособны сделатьэтоделобыстро,удобно,наглядноифункционально. Рассмотримнаиболееизвестныепроекты,обеспечивающие развертываниеиуправление Linux-сетью.

WWW

Сайтпроекта Symbolic: opensymbolic.org

СайтпроектаFunc: fedorahosted.org/ func

СайтпроектаСobbler: fedorahosted.org/ cobbler

Сайтпроекта Certmaster: fedorahosted.org/ certmaster

Сайтпроектаsmolt: smolt.fedoraproject.org

СайтпроектаPulse2: pulse2.mandriva.org

Сайтыпроекта Spacewalk: fedorahosted.org/ spacewalk, spacewalk.redhat. com.

СИСТЕМАЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯSYMBOLIC

До недавнего времени для Linux не было проектов, обеспечивающих админа удобной средой для установки и управления большим количеством ОС. Конечно, имеются системы, позволяющие легко развернуть ОС с определенными настройками (Kickstart, AutoYaST и JumpStart, PXE), сконфигурировать и управлять (Cfengine, Puppet, Func), системные утилиты и скрипты на bash. Но они требуют времени на изучение и к тому же не очень наглядны в работе. Последнее в больших средах очень важно, ведь часто сеть обслуживают админы разного уровня, а визуализация значительно упрощает процесс настроек и понимание ситуации. Удобный интерфейс позволит снизить процент ошибок и делегировать права более разумно.

Сегодняситуациявкорнеизменилась—дата-центры,облачные технологии…ивездемывстречаем*nix.Рынокпростокричит,требуя нужныеинструменты,иразработчикинезаставилисебядолгождать.

ВСТРЕЧАЙТЕ:SYMBOLIC!

СредауправленияLinuxсистемамиSymbolic(opensymbolic.org)позиционируетсякакрешениеуровняпредприятияиобеспечиваетполный циклподдержки,начинаяотустановкиизаканчиваяобслуживанием операционнойсистемы:

•быстроеразвертываниеикопированиеОС;

•удаленноевыполнениесистемныхкомандискриптовнаBash,Perl, Python,Groovyидругих,сконтролемрезультата;

СписокдоступныхоперацийдлявыбраннойсистемывSymbolics

•аутентификацияпользователейприпомощиLDAP,Kerberos, Kerberos+LDAP(ActiveDirectory)ивнутренняяБД;

•управлениерабочимстоломудаленнойсистемыприпомощиVNC;

•управлениеиучетпользователей,физических,виртуальныхсерверовикластеров;

•сборотчетовилисообщенийнаRSS(озавершенныхоперациях);

•сертифицированRedHatApplicationStack,чтопозволяетснизить расходынасозданиеиподдержаниевеб-приложенийисоответ- ствующейархитектуры.

ПоддержкасистемымодулейискриптовпозволяетлегкорасширятьвозможностиSymbolic(последниевызываютсяоднимнажатием). Управлениебольшимколичествосистемделегируетсянескольким администраторам,каждыйизкоторыхполучаетдействительнонеобходимыеправа.

Всенастройкивыполняютсяприпомощипростогоипонятноговебинтерфейса,поддерживающеготехнологиюAjax.Ксожалению,онне локализован,новсеоперациипрозрачны,илюбойадминбезпроблем разберетсясзаложеннымипринципами.

Ноестьиминус.Управлениеограниченоисключительнодистрибу- тивами,совместимымисRedHat/Fedora.Причинапроста—Symbolic интегрируетвсеберяддругихинструментов,разрабатываемыхв рамкахэтихпроектов:YUM,Func(fedorahosted.org/func),Cobbler (fedorahosted.org/cobbler),Certmaster(fedorahosted.org/certmaster), Smolt(smolt.fedoraproject.org).СредиописанныхнадругомдистрибутивеможнозапуститьтолькоSmolt,обеспечивающийсборданныхоб оборудованиисклиентскихсистем.Кромеэтого,дляраспространения настроексредиподчиненныхсистемиспользуетсяPuppet.

НаписанSymbolicнаJava.РаспространяетсяполицензииGNUGPL. Предлагаетсянескольковерсий,нотолькоOpenSourceнеобходимо разворачиватьсамостоятельно,остальныеявляютсяпредынсталлируемымиипоставляютсяпозапросу.

НесмотрянаточтоSymbolicразрабатываетсяврамкахFedora,в репозитарияхнужногопакетанет.Ктомужепроектдвагоданепро- являлникакойвнешнейактивностииRPM-пакетысобранылишьдля раннихверсийFedoraиRedHat.

Поэтому при установке в последних Fedora 15 и RedHat6/CentOS6 возможна только сборка из исходных текстов. Для удовлетворения зависимостей для некоторых версий дистрибутивов потребуется подключить репозитарии EPEL и Extras. Сам процесс установки сложным (для админа с некоторой подготовкой) назвать нельзя, в весьма подробной документации достаточно четко всё расписано, просто большое количество настроек требует внимательности. В частности, потребуется установить и настроить (правкой конфигов) системы Certmaster и Func, которые построены по

клиент-серверной схеме. После установки пакета symbolic следует запустить скрипт symbolic-setup, помогающий произвести первичные настройки. После ответа на все вопросы можно регистриро-

ВпоследнемрелизеPulse2добавленавозможностьсозданиядисковыхобразов

ваться, набрав в браузере адрес сервера и порт 8081 (http://example. org:8081/symbolic).

ИНВЕНТАРИЗАТОРPULSE2

Не только компания RedHat разрабатывает инструмент управления ИТ-средой. В недрах Mandriva подготовили свой вариант, получивший название Pulse 2 (pulse2.mandriva.org), рассчитанный на сети разного размера — вплоть до 100 тыс. компьютеров. Главная его особенность — работа в гетерогенной среде. Поддерживаются наиболее популярные дистрибутивы Linux (RedHat/Mandriva/Debian/ Ubuntu), Mac OSX, HP-UX, IBM AIX, Solaris и Windows от 2k/XP/2k3/ Vista/2k8/Se7en (только x86). Причем все они могут быть как клиентами, так и сервером (сервер написан на Python, фронтенд — на PHP). Уже это выделяет Pulse 2 среди других OpenSource-решений. При ближайшем знакомстве раскрывается секрет: основой для Pulse 2 служит другой французский проект OCS Inventory NG (подробнее — в статье «Ставим на учет железо и софт» в ][ 06.2010), клиентские модули которого перенесены сюда практически без изменений. При развертывании могут использоваться данные, собранные системой учета компьютеров и комплектующих — GLPI (glpi-project.org). Предусмотрена возможность простой интеграции с системой мониторинга Nagios. Серверная часть логически разделена на несколько компонентов, отвечающих за свой участок, все они подробно расписаны в документации. Основные функции Pulse 2 позволяют производить:

•инвентаризациюоборудованияиустановленногоПОссохранениемистории;

•установкуПОиобновленийнаотдельныйкомпьютерилигруппу;

ОкноуправлениясервисамивPulse2

НастройкафункцийуправлениявSpacewalk

•формированиегруппкомпьютеровстатическиилидинамически (позаданномукритерию);

•удаленнуюдиагностикуслужб,контрользасостояниемобъектовв распределеннойсреде;

•удаленноеуправлениеприпомощивстроенногоVNC-клиента;

•выполнение команд и скриптов немедленно или в запланированное время с получением отчета о результате;

•просмотржурналовисобытийнавыбранныхсистемах;

•управлениеучетнымизаписямииконтрольполитикипаролей.

Впоследнейверсии1.3.0вPulse2интегрированLinboxRescue Server(подименемPulse2ImagingServer).Теперьадминистратор можетсоздавать(резервировать)иразвертыватьдисковыеобразы (официальноподдерживаютсяLinuxиWindows)наудаленныхкомпью- терах.Длясвязи«клиент—сервер»используетсязащищенныйSSH. Вразветвленныхсетяхуменьшитьтрафикпозволяетспециальный InventoryProxySSL.

СистемалегкоинтегрируетсясMandrivaDirectoryServer(mds. mandriva.org).Управлениепроизводитсяприпомощивеб-консоли, написаннойприпомощистандартногодлядистрибутивовнабазе MandrivaфреймворкаMMC(MandrivaManagementConsole).Консоль оченьпроставработе,онахотяинелокализована,новсетермины понятныиобщеупотребительны,пользовательсбазовыманглийским вполнеможетразобратьсясособенностямиработы.Крупныезначки менютакжепомогаютсориентироватьсявихназначении.Возможно тонкоеделегированиеправнесколькимадминистраторамприпомощисписковACL.

Длязагрузкидоступныисходныекодысommunity-версиипро- дукта,распространяемойполицензииGNUGPL.Большимплюсом являетсядоступностьготовогообразадляVMwareнабазеMandriva EnterpriseServer5спредустановленнымPulse2(оченькруто— полноценнопротестироватьрешение,неустанавливаяего).

ПоумолчаниювнастройкахVMwareуказано256МбОЗУ,ябы рекомендовалегоувеличитьхотябыдо512Мб,иначепридажеотносительнонебольшойнагрузкесерверможно«обвалить».Пакетыи документациядляклиентовдоступнычерезвеб-браузер,достаточно лишьнабратьIP-адресилиимясервераPulse2.

ДляподдерживаемыхдистрибутивовLinuxпредлагаютсярепозитариипакетов.Процессустановкивнешневыглядитзапутанным— потребуетсяустановитьсхемудляLDAPинастроитьMySQL.Почему-то разработчикиневыкладываютготовыхфайлов,поэтомупридется вводитькомандывручную.Всешагиподробнорасписанывдокументации,ипридолжнойвнимательностипроцедураразвертывания происходитбезпроблем.

ВЫХОДИМВОТКРЫТЫЙКОСМОС

Основой Spacewalk (fedorahosted.org/spacewalk, spacewalk.redhat. com) является открытый по GPLv2 продукт Red Hat Network

Satellite Server, разрабатываемый с 2001 г. и доступный по подписке. Это решение призвано обеспечить весь жизненный цикл ИТ-инфраструктуры, построенной на Linux. В нем реализованы все самые современные разработки, релизы выходят чаще Satellite, за сборками следит само сообщество, а не специалисты из RedHat. Официальная поддержка отсутствует, только форум. Но в отличие от Satellite, Spacewalk работает не только на производных от RHEL/ Fedora, а также и на SLE/openSUSE и Debian. Хотя «чужаки» под-

держиваются в ограниченном режиме и только в качестве клиентов. Есть информация (spacewalk.redhat.com/solaris) о возможном подключении клиентов Solaris.

Проектактивен,обновлениявGitпоступаютчутьлинеежечасно.ИспользуяSpacewalk,администраторможет:

•устанавливатьиобновлятьОСиПО;

•разворачиватьОСнавиртуальныемашиныXenиKVM;

•собиратьираспространятьсобственныепакеты;

•управлятьнастройкамиираспространятьготовыеконфигурационныефайлы;

•устанавливатьОСприпомощиKickstart-файловиAutoYaST;

•запускать,останавливатьинастраиватьвиртуальныемашины;

•производитьинвентаризациюимониторингоборудованияиПО;

•автоматизироватьрядзадачсистемногоадминистрирования;

•группироватьсистемыиделегироватьролипоуправлению администраторам.

ПостроенSpacewalkпоклиент-сервернойсхеме,когдасервер,под- ключаяськподчиненнымсистемам,отдаетсоответствующиекоманды. Дляуправленияиспользуетсялокализованныйвеб-интерфейс,хотя, чтобыразобратьсясзаложеннымипринципами,придетсянемногополоматьголову.Документациявэтомвопросепомогаетлишьотчасти.

ИспользованиеспециальногоSpacewalkProxyпозволяетраспространятьнастройкиисобиратьданныевгеографическираспределенныхсетях.Серверможетбратьинформациюобучетныхзаписях изLDAP.ВдокументациипроцессподключениякLDAPописанвесьма подробно,данготовыйLDIF-файл,поэтомувслучаетакойнеобходи- мостисвязатьихможнобезпроблем.Кромеэтого,списокпользовате- лей,какиряддругихнастроек,можнозагрузитьчерезCSV-файл.

Удобно,чтоодинсерверможетобслуживатьнесколькоорганизаций,длячегоихнужнопростодобавитьчерезменю.

Информацияхранитсявбазеданных,вкачествекоторойможно использоватьPostgreSQLилибесплатнуюOracle10gExpressEdition.В промышленнойсредеразработчикипокарекомендуютиспользовать решениеотOracle—здесьсказываетсянаследиеSatellite,носкаж- дымновымрелизомподдержкаPostgreSQLулучшается.

ВОЗМОЖНОСТИGOSA2

Задачейномеродинлюбогоадминаявляетсяуправлениеучетнымизаписямиидоступомкнесколькимсервисам.Связатьвместе OpenSource-решениябезопределенногоопытаоченьтяжело.Здесь можнообратитьсякпроектуGOsa2(oss.gonicus.de),которыйпозво- ляетреализоватьединуюсистемууправленияИТ-инфраструктурой, основаннуюнаLDAP.Удобныйинтерфейспозволяетуправлять системнымиучетнымизаписямииправамипользователейигрупп UNIXиSamba,компьютерамиицелымрядомсетевыхслужб—DHCP, DNS,HTTP,SMTPиприложениями,VoIP,спискирассылокитакдалее. СистемаплагиновдаетвозможностьсобратьконфигурациюGOsaпод любыетребования.Внастоящеевремяреализованоболее30плагинов,обеспечивающихцентрализованноеуправлениеприпомощи GOsa:Squid,DansGuardin,rsyslog,Postfix,Courier-IMAP,Maildrop, GNARWL,Cyrus-SASL,OpenSSL,Asterisk,Nagios,OPSI,Netatalk,FAI, SOGo,OpenGroupware,Kolab,Scalix,ISCDHCP(позволяющегоиспользоватьLDAP),WebDAV,PureFTPd,PPTP,Kerberos.

УСТАНОВКАSPACEWALK

Оченьудобно,чтопроектподдерживаетсвойрепозитарий,этонапорядокупрощаетразвертываниевRedHat/CentOS/Fedora.Кромеэтого, доступенисходныйкод(вGit)иежедневныесборки,содержащиепоследниеизменения.ДляDebianпредлагаетсястороннийрепозитарий.

Вкаждомконкретномдистрибутивеподготовительныедействиячуть отличаются,дляFedora15процессустановкиSpacewalkвыглядиттак:

# rpm -Uvh http://spacewalk.redhat.com/yum/1.5/Fedora/15/x86_64/ spacewalk-repo-1.5-1.fc15.noarch.rpm

Такжепотребуетсярепозитарийjpackage.

# cat > /etc/yum.repos.d/jpackage-generic.repo << EOF [jpackage-generic]

name=JPackage generic baseurl=http://mirrors.dotsrc.org/jpackage/5.0/generic/free/ enabled=1

gpgcheck=1

gpgkey=http://www.jpackage.org/jpackage.asc EOF

ОбновляемполитикиSELinux:

# rpm -Uvh 'http://kojipkgs.fedoraproject.org/packages/selinux-

policy/3.9.16/35.fc15/noarch/selinux-policy-targeted-3.9.16-35.

fc15.noarch.rpm' 'http://kojipkgs.fedoraproject.org/packages/

selinux-policy/3.9.16/35.fc15/noarch/selinux-policy-3.9.16-35.

fc15.noarch.rpm'

Теперьможноустанавливать.Врепозитариидляэтогопредлагают двапакета,которыевыбираютсявзависимостиотБД.Длятестовых целейподойдетPostgreSQL.Взависимостяхпакетовсамабазаданныхнеуказана,чтодаетнамвозможностьподключитьSpacewalkкуже работающемусерверу:

# yum install spacewalk-postgresql postgresql-server

ПослеустановкивсехпакетовконфигурируемPostgreSQL,создав базуданных,изапускаемпрограммунастройки:

# spacewalk-setup --disconnected

Скриптзапроситданныедляподключениякбазеданных(сервер, названиеипользователя),создасттаблицыисгенерируетсертификат.Еслиразворачиваетсянесколькосерверов,удобнеезаранеесоздатьфайлответов(вWikiнасайтеестьпример),которыйиподсунутьв spacewalk-setup.

ПросмотрспискаустановленныхпакетоввSpacewalk

GOsa2позволяетцентрализованноуправлятьдоступомксервисам

ПосвоимвозможностямSpacewalk—оченьпродвинутаясистема управления,апоэтомунастроеквинтерфейсеоченьмного.Чтобы упроститьадминуработу,используютсяспециальныеуровниабстрак- ции—системныегруппы,каналы,полномочияитакдалее.Витогене- котороевремяпридетсяпотратить,чтобыосвоиться.Здесьпомогают подсказкивпервомокнеипредупреждения,которыесистемавыдает, есличто-тооказываетсяненастроенным.

Послеустановкисписокклиентскихсистемпуст.Втомчислене подключенсамсервер,накоторомразмещенSpacewalk.ВсеобновленияиПОраспространяютсячерезканалы,ккоторымпривязывается группакомпьютеров.Поэтому,преждечемподключитьклиентскую систему,необходимосоздатьхотябыканал.Переходимв«КаналыÆ УправлениеканаламиПОÆСоздатьновыйканал»,вводимимяивыбираемвспискеархитектуру.

Далеегенерируемключактивации,припомощикоторогоклиент аутентифицируетсебянаконкретномсервере.Админможетсгенерироватьлюбоеколичествоключей,втомчислеивручную,указавзначение.Ключможетиспользоватьсяодинразилимногократно(если эторазрешеновустановкахключа).Выбираем«СистемыÆКлючи активацииÆСоздатьключактивации».Послезаполнениявсехполей вполе«Ключ»получаемнужноезначение.Первойцифройстоитпрефиксорганизации,еготакженеобходимоиспользовать.

Переходимкклиентскойсистеме.Подключаемнужныйрепозита- рийиустанавливаемутилитыrhn-*.ДляFedora15командатакая:

#rpm -Uvh http://spacewalk.redhat.com/yum/1.5/Fedora/15/x86_64/ pacewalk-client-repo-1.5-1.fc15.noarch.rpm

#yum install rhn-client-tools rhn-check rhn-setup rhnsd m2crypto yum-rhn-plugin

ДляподсоединенияксерверуSpacewalkиспользуетсякоманда rhnreg_ks,впараметрахкоторойуказываетсяURLсервераиключ активации.Форматвызоватакой:

#rhnreg_ks --serverUrl=http://example.org/XMLRPC \ --activationkey=<ключ-активации>

Теперьновыйкомпьютерпоявитсявсписке«Системы»,откудауже можноуправлятьегонастройками.

ЗАКЛЮЧЕНИЕ

Используя одно из описанных решений, можно без проблем справиться с парком Linux-машин. Как решить, какое из них использовать? Зависит от конкретной ситуации. При построении с нуля хороший выбор — Spacewalk. Для гетерогенной сети альтернативы Pulse 2 нет. z

Игорь«Spider_NET»Антонов

ОСОБЕННОСТИETHERNET-ПОРТАЛА

Навнутреннийкорпоративныйпорталобычновозлагаютсязадачи,от- личныеоттех,чтоберутнасебяинтернет-ресурсы.Разнятсякаксами задачи,такимногиетехнологическиенюансы.Например,вотличие отвнешнегоресурсавнутреннемунетребуетсясуперуникальный дизайн,илисвободнаярегистрацияпользователей,илиспособность выдерживатьвысокиенагрузки.Гораздоважнееобеспечитьресурс функциями,необходимымидляулучшенияпроизводительностисо- трудников—пользователейресурса.Изнаиболеетипичныхзадач, возлагаемыхнавнутреннийсайт,можновыделить:

1.Документооборот.Невсекомпанииготовыпокупатьотдельные решениядляавтоматизациидокументооборота.Многиерешают этузадачупутемиспользованиявнутреннегосайта.Ведьневсем нужнафункциональнаяидорогаясистемаэлектронногодокументооборота.Вомногихслучаяхреальнообойтисьболеепростыми решениями.Например,припомощифункционаласовременныхсистемуправлениясодержимымвполнереальнособратьпростенькуюсистемудокументооборота,которойхватитдлянуждсредней компании.

2.Блоги.Сегодняимипользуютсявсе:начинаяотпростыхпользователейизаканчиваяруководителямикрупныхкомпаний.Наethernetпорталахфункцияблогингатакжевостребована.Оченьчасто функция«блог»являетсяключевойдлявнутреннегопортала.

3.Социальнаясеть.Еслираньшепонятие«социальнаясеть»применялосьисключительноктакимизвестнымпроектам,какFacebook, «ВКонтакте»,«Твиттер»,тосегоднясоциальнаяприправастала популярнойинавнутреннихресурсах.Чемкрупнеекомпания,тем большеейтребуетсяделитьпользователейнагруппы,которые(группы)зачастуюмогутиметьопределенныесвязисдругимигруппами. Витогеполучаетсятипичнаяархитектурасоциальнойсети.Таким

СписокгруппвOpenAtrium

образом,поддержкасоциализации—одноиззначимыхтребований, применяемыхквнутреннимкорпоративнымпорталам.

4.Календарь+бизнес-процессы.Одновремявнашейстране многиесистемныеадминистраторыдляподнятиякорпоративных почтовыхсерверовиспользовалиMSExchange.Посвоемуопыту могусказать,чтодлякрупныхорганизацийэтоотличноерешение. Однакоиз-заеестоимостиExchangeсовсемнепокарманусредним организациям.ЯзаговорилоExhangeнеслучайно.Вкомпаниях,в которыхмнедоводилосьработатьигдевкачествепочтовикабыл установленMSExchange,достаточноактивноиспользовались календаривMSOutlook.Удобноесредство,позволяющеебыстро спланироватьсвойденьилиорганизоватьочередноймитинг.С развитиемвеб-технологийвсёбольшекомпанийсталиперено- ситьуправлениеделамивweb.Организации,имеющиевсвоем распоряженииethernet-ресурс,могутвозложитьнафункционал внутреннегоресурсаведениекалендаря,планированиевстреч, составлениеToDo-листов,даипростопланированиеработыпод- разделений/сотрудников.

5.Оперативноепредоставлениеинформации.Какдлямногих ранеерассмотренныхзадач,особуюключевуюрольиграетразмеркомпании.Чембольшекомпания,темтруднееорганизовать хорошеевзаимодействиессотрудниками.Публикациязадач, распоряжений,плановираспределениеэтогопластаинформации определеннымлицам(вспоминаемпросоциальнуюсоставляю- щую)—однаизключевыхфункцийвнутреннегоресурса.

6.Помощьновенькимсотрудникам.Новыйсотрудниквкомпании— этоодновременнорадостьиголовнаяболь.Рассказатьструктуру бизнес-процессов,происходящихвкомпании,познакомитьскол- лективом,объяснить,чтогденаходится,—всёэтотребуетогром- ногоколичествавремени.Особопродвинутыекомпаниирешают этупроблемуприпомощивнутреннегоресурса.Требуетсялишь одинразсоздатьнаборправил,фотографийидругихнеобходимых вещей,чтобывхождениевколлективновенькихсотрудниковбыло максимальнопростымидругимспециалистамнетребовалосьтратитьсвоевремянапредоставлениеинформации,которуюновый сотрудниквсостоянииполучитьсамостоятельно.

7.Хранилищеинформации.Централизованноехранилищеобщей информации—мечтакаждойкомпании,идовольночастоэту функциювозлагаютнавнутреннийкорпоративныйпортал.В любойкомпанииимеетсябольшоеколичествообщейинформации:распоряжения,требования,правила,графикаит.д.Весьэтот массивданныхдолженбытьхорошосгруппированидоступенвсем сотрудникам.Внутреннийсайт—идеальноеместодляразмеще- ниявсехэтихданных.

8.HelpDesk.Даннаяфункцияособенноактуальнадлякомпаний, которыесодержатвсвоемштатесреднийпочисленностиIT-отдел. Ethernet-ресурспозволяетвсемпользователямвудобнойформе взаимодействоватьсIT-специалистамииоставлятьимзаявки.Как

правило,заявкимогутиметьнесколькостатусов,комментариеви т.д.Всяэтаинформацияможетвудобнойформепросматриваться идоступнакакдляисполнителей(вданномслучаеIT-отдела),таки дляруководства.

8.Форум.Корпоративныефорумыподобнообычныминтернетфорумампризнаныобеспечитьлюдейвозможностьюобщатьсяна различныетемы.Говоряприменительноквнутреннимресурсам,форумыдолжныпредоставлятьсотрудникамвозможность общатьсянапрофессиональныетемы.Какпоказываетпрактика, использованиефорумоввкупесживымобщениемположительно влияетнарабочийпроцесс.

Представленныйсписокфункцийнеявляетсяисчерпывающим.Здесь лишьперечисленынаиболеевостребованныевозможности,иименно стакимикорпоративнымипорталамивашемупокорномуслугеприходилосьвстречатьсянапрактике.Знаясписокзадач(требований), становитсявозможнымподобратьоптимальноерешение.

ПОТОМУЧТОDRUPAL!

Drupalвсегдаславилсясвоейстабильностью,богатымифункциональнымивозможностямиибезопасностью.Самасистемамалочего умеет,нозасчетбогатогорепозиториямодулейегофункционалможно допиливатьвнужнуюсторону.МодуливDrupal—главноеегопреиму- щество.Во-первых,ихоченьмного,аво-вторых—архитектураэтой CMSнастолькопродумана,чтокаждыймодульможетвлиятьналюбой участоксистемы.ИменнопоэтомуDrupalвыгодноотличаетсяотконкурентов,ведьблагодарямасштабируемойархитектурефункционал системыможетбытьнетолькорасширен,ноипереработан.Несмотря насерьезныеплюсы,уDrupalимеетсяодинбольшойминус—система «изкоробки»полностьюголаяинаразработкуновогорешенияснуля можетпотребоватьсяслишкоммноговремени.Причинтутнесколь- ко,носамыеглавныеизних—опытисложность.Drupalнепохож

намногиесистемыидеологически,из-заэтогоприходитсясначала хорошопознакомитьсяссистемойилишьпослеэтогоприступатьк разработке.ИменнопоэтомувзятьивоттаксразуразвернутьполноценныйвнутреннийпорталнаDrupalнельзя.Нареализациювсех перечисленныхвышефункцийснуляпотребуетсямноговремени.К счастью,сообществонежелаломиритьсястакимположениемдели разныеегопредставителяпредставилисвои,специализированные сборкиDrupal.

НЕОБЫЧНЫЙDRUPAL

ПочисленностисообществоуDrupalпростоколоссальное.ИдеологияDrupalвсегдаподразумевала,чтолюбуюзадачуможнорешить разнымиспособами.Наверное,поэтомувариантоврешениязадачис именем«корпоративныйпортал»такжемного.Каждыйтакойвариант включаетвсебя:

1.CMSDrupal.ГолыйDrupal,которыйлюбойжелающийможетскачатьсофициальногосайтаdrupal.org.

ПланированиесобытийвDrupalCommons

DashboardвOpenAtrium

2.Наборнеобходимыхмодулей.Авторысбороксамостоятельноподбирают/разрабатываютнаборнеобходимыхмодулей.Готовыемодуливосновномберутсяизофициальногорепозиторияинередко подвергаютсядоработке.Помимонихвсоставсборокпрактически всегдавходяторигинальныеплагины,которыенедоступныврепозитории.Иногдапопадаютсяоченьинтересныевещи,ихвполне можноприменитьдлядругихпроектов.

3.Профильнастроек.Готовыйпрофильпозволяетразвернутьполностьюработоспособныйпроект.Применительнокнашемуслучаю— корпоративныйпортал.

OPENATRIUM

http://openatrium.com/

OpenAtrium—проект,специальноориентированныйнасоздание внутреннихпорталов.МногиежурналистывсвоихобзорахпозиционируютOpenAtriumкакпродукт,предназначенныйдляуправления проектами.Этоошибочноемнение.Да,впервуюочередьOAпозиционируетсякакудобнаясистемадляколлективногоуправленияпроектами,ноничтонемешаетвоспользоватьсяимвкачествеплатформы дляинтранет-портала.ВлюбомслучаеOAпостроеннаDrupal,азначит, всегдаможновоспользоватьсямощнымивозможностямиDrupalдля управленияконтентом.ВсвязисэтимOAзаслуженноможносчитать законченнымрешениемдляразвертыванияинтранет-порталов. ПроектOAдостаточномолодой.Перваяальфапоявиласьв2009г.,и

стехпорпоследовалвагонималенькаятележкатакихжетестовых версий.Несмотрянастатус«альфа»,OAсталнабиратьпопулярность иприменятьсядляразличныхпроектов.Досвоейпервойстабильной версии(1.0)проектдорослишьвиюлеэтогогода.

КЛЮЧЕВЫЕВОЗМОЖНОСТИ

•Коллективныеблоги.ЛюбойпользовательсистемыOpenAtrium имеетвозможностьвестиперсональныйблог.Кегоуслугамвсе необходимыеблоггеруфичи:теги,удобныйwysiwyg-редактор, поддержкакомментариевит.д.

ДОРАБОТКАФУНКЦИОНАЛА

Представленныевобзоререшенияполностьюготовыкработе, новполневозможно,вампотребуетсярасширитьихфункционал.ПосколькувосновевсехсистемлежитстандартныйDrupal,становится возможнымрасширятьфункционалпутемустановкидополнительных модулейизбогатогорепозиторияdrupal.org/project.Например,тотже OpenAtriumзасчетстороннихмодулейлегкорасширяетсядосистемы документооборота.