книги хакеры / журнал хакер / 153_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
НАЧИНАЕМРАБОТАТЬ
ПоначалуработасИТ-отделомшлаоченьхорошо.Ониненаходилисьв нашемподчинении,ивзаимодействиесводилоськромеоперативнойнеобходимостикобменувнутреннимидокументами.Большоготрудастоилоприучитьадминовнезвонитьпотелефону,высыпаянаабонентаворох непонятныхтерминов(еслияещевсилуобразованиямогуразобраться, тоужемойначальник—нет),аименнописатьписьма.Почемуэтобыло такважно?Во-первых,перепискупрощеподнять,вслучаенеобходимо- сти,ивспомнить,ктокомучтосказал,итемсамымизбежатьперевода стрелок,отмазоктипа«яже/неговорил»ивконечномитогесэкономить времяиснизитьнапряженностьвслучаечего.Организоватьобмен документамипоэлектроннойпочтенамнепозволилапрофессиональнаяпаранойя:нетакдавномыпотерялимногоденегпоещенедоконца выясненнымпричинам,ииспользоватьдляобменаконфиденциальной информациейпочтовыйсервер,расположенныйзатысячукилометровна территориидругойкомпании,намказалосьопасно.
Такимобразом,нашазадачасводиласькследующему:
1.Организоватьнаблюдениезаперемещениемдокументовпосети илокальнонакомпьютерах—сюдавходиттакжеконтрольпечати, контролькопированиядокументовнасменныеносители,включая сотовыетелефоны.
2.Наблюдениезапользователямивинтернете—какиесайтыпо- сещают,скемпереписываютсяпокорпоративнойпочте,etc.
3.Резервноекопированиеинформации,составляющейкоммерческуютайну.Этонеотменялобэкапированиявсегопрочего,отсерверовдоконфигурацийсетевогооборудования,однакомынастаивалинаотдельнойпроцедурекопированияважнойинформации отдельногоеехранения.
Помимоэтого,такжеподнималисьвопросыорганизацииантивируснойзащиты(намоментначалаработупользователейстояли индивидуальныеантивирусы,безовсякогоцентрализованного обновления),запускасобственныхweb-иmail-серверов,запускwsus, организацияVPNмеждуHQифилиалами,новдальнейшемэтизадачи былипочтиполностьюпереданыИТ.
Отдельнопросотовыетелефоныикоммуникаторы.Этизамечательныедевайсывызывалиунасоченьмногобеспокойства.Помимо того,чтоонимогутиспользоватьсякакфлешки,ониещемоглисоздать дополнительныйникакнеконтролируемыйканалсвязисинтернетом. Инсайдер,подключившийсвоюмашинучерезтелефонкинтерне-
туивыдавшийсообщникамсвойвнешнийIP-адрес,могзапросто устроитьвеселуюжизнь,дажепростопередавуправлениемашиной болеекомпетентномузлоумышленнику.Особенноостроэтапроблема стоялавсамомначаленашейдеятельности—ксожалению,ситуация былатакова,чтонетольковсеUSB-портыбылиоткрыты,ноиправа администраторабылиумногихпользователей—тяжелоенаследство отпредыдущегоИТ-отдела,избавитьсяоткоторогоновыйсоставне спешилпонекоторымпричинам,аунаснедоходилирукидажевсеэто проверить.Вотужточно,покагромнегрянет—мужикнеперекре- стится.Такчтозадачанесколькорасширялась,ипреждечемначинать затыкатьвозможныеканалыутечкиинформации,стоилозаняться банальнойгигиеной.Имелиместоследующиепроблемы:
1.Пользователисправамиадминистратора—причинаихвозникно- вениязаключаласьвпользователях,любящихставитьсторонний софт,админах,нелюбящихбумаги,инас,которыенавсеэтопросто необращаливнимания.Впроцессевыясненияпричиноказалось, чтопослетого,какбухгалтерампорезалиправа,начальникИТимел разговорсруководствомпоповодупользователей,которыечто-тоне моглисделать.ПослеэтогоИТрешилинесвязыватьсяивыдатьвсем админскиеправа.Главнойихошибкойвэтойситуациибылото,что онирешилисделатьвсе«простотак»,нискемнепосоветовавшись.
2.Портыкоммутаторовуровнядоступа.Онибыливключенывсе,в томчислеинеиспользуемые.Никакогоportsecurityнанихна- строенонебыло.Никтоэтимнезанимался—ИТпостояннорешало проблемывирусныхэпидемий,возникающихиз-зап.1,амынаэто простозабили,списавнаИТ.
Снастройкойportsecurityнакоммутаторахбыласвязанаещеодна
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
Борьбазабезопасностьw Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
проблема—руководствофирмылюбилоноситьвИТсвои(инетолько) ноутбуки«длянастройки/починки»,такчтоихпериодическиприходилосьвтыкатьвсетьпредприятия.Итак,мыприступиликработе.
Послетогокакмы,совместносИТ,определилипереченьпроблем, настолруководствулегдокумент,подписанныйначальникамиотделов ИБиИТ,подназванием«Политикаинформационнойбезопасности».
Сампосебедокументвесьмапространенирасплывчат,иглавнымвнем былоопределениезонответственностидвухотделов.Порезультатам, отделИТотвечалзаработоспособностьвсехтехническихсредствивсе сопутствующиемероприятия,такиекакразработкаполнойдокументациинаинформационнуюсистемупредприятия,разработкаинструкций пользователям,плановдействийпривыходетехникиизстрояипри возникновенииугрозынеработоспособноститехническихсредств,а отделИБотвечалзаразработкуиподдержаниевактуальномсостоянии документов,регламентирующихработупользователейсинформацией ограниченногораспространения,правилнастройкисредствзащиты(к средствамзащитыбылоотнесенофактическивсечтоможно—отанти- вирусовдоIDS),атакжеконтрольсоблюденияэтихправил.Последний пункт—контрольсоблюденияэтихправил—вызвалуменянекоторые сомнения:вовсемотделетольконесколькочеловекбылидостаточно компетентны,чтобывыполнятьего,остальныеимелинесколькодругую направленность.Темнеменее,оставлятьполностьювопросзащитыинформации,циркулирующейвЛВС,наодинотделбылонецелесообразно:отсутствиеконтролирующегооргана(четкоосознающегограницы контроля)слишкомчастоприводитктому,чтоправиласоблюдаются лишьнабумаге.Крометого,немаловажнымпунктом«Политики...» былото,чторуководствообоихотделовмоглоподписыватьдокументы, болеедетальнорегламентирующиепорядокэксплуатациитехнических средствисредствзащиты,атакжепорядокработысинформацией ограниченногораспространения,иэтидокументыимелиюридическую силу,т.е.онибылиобязательныкисполнениювсемисотрудниками. Отдельнохочузаметить,чтоданныйпунктнестоитпротаскивать«прицепом»,астоитцеленаправленнообращатьнанеговниманиеруковод- ства—иначевдальнейшем,когдаповалятжалобыотпользователей назаблокированныеUSB-порты,порезанныеправаипрочее,избежать неприятныхразговоровнатему«почемуне?..»будетсложно.Если руководительосознанноподпишеттакойдокумент,этофактически развяжетрукиобоимотделам—вдальнейшемпринятиедокументов значительноупростится,иприэтомонибудутиметьполнуюсилу.
Следующимшагомпослеразработкииподписания«Политикиинформационнойбезопасности»былоопределениеперечняактуальных угрозкаксвязанныхсИТ,такинесвязанных.Чтозначитактуальных? Нувпринципе,количествоугрозограниченотольковашейфантазией. УтечкапоканалуПЭМИН(этокогдавкилометреотвасставитсяантенна ипоэлектромагнитномуизлучениюсвидеокартывосстанавливается картинкасмонитора)тожевозможна,воттольконасколькозатраты наоборудованиесоответствуютстоимостиинформации?Разрешить этотвопросможетпомочьтолькожизненныйопытистандарты—как отечественные,такимеждународные.Опятьже,нужноучитыватьи отечественнуюспецифику,тоестьорганизовывать«защитуотдурака». Переброшенныйналичныйящикпроектдоговоравоткрытомвиде прекраснопроиллюстрируетэтукартину.Такжеважнонесписыватьсо счетовпользователейнатомосновании,чтоониеле-елесправляются скомпьютером:частоотпользователянетребуетсямногознать,чтобы создатьнеконтролируемыйканалутечкиинформации.Видеале— стоитрассчитывать,чтоворганизацииработаетинсайдерсуровнем
ОРГАНИЗОВАТЬОБМЕН ДОКУМЕНТАМИПОЭЛЕКТРОННОЙ ПОЧТЕНАМНЕПОЗВОЛИЛА ПРОФЕССИОНАЛЬНАЯПАРАНОЙЯ
ХАКЕР 10/153/2011 |
129 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
|
|
|
|
to |
BUY |
SYN/ACKm |
|||
w Click |
|
||||||||
|
|
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
подготовки,равномуровнюподготовкивашихспециалистов,илидаже выше.Такжеважнымбылоразделениезонответственности—каждый изотделовмогсосредоточитьсянатом,чтоемуболеезнакомо:ИТна угрозах,связанныхсинформационнойинфраструктурой,амы—на организационныхвопросах,непосредственнозадачахконтролянад информационнымипотокамиинаписанииинструкций.
ОПЫТ,СЫНОШИБОКТРУДНЫХ
Дальшеначалисьтрудности.Деловтом,чтотеметоды,которыепрекрасноподходятдляорганизацийспреимущественнобумажным документооборотом,довольнотрудноприменитьвслучае,еслибольшая частьдокументовциркулируетвэлектронномвидеиникакойсистемы электронногодокументооборотанеразвернуто,тоестьдокументооборот сводитсякналичиюпапкисфайламинасервере.Вводитьворганизации ещеисистемудокументооборота,неимеяуверенности,чтоонапере- кроетхотьсколько-нибудьсущественнуючастьнашихпотребностей, былослишкомдорого.ПодключатьдлярешенияэтойзадачиИТбылоне- актуально:контрользадокументооборотом—этонеихпрофиль,ионибы простонесмогливыбратьподходящеепофункционалурешение.Витоге мыостановилисьнавыбореиздвухвариантов—либоиспользованиело- кальныхсредствзащиты(преимущественноотечественныесертифици- рованныерешения),либосетеваяDLP-система.Обавариантаимелисвои плюсыиминусы,вчастности,сертифицированныесредствапозволялив дальнейшемобойтисьменьшейкровьюприработепозащитеперсональныхданных,сетевыежеDLPгораздоудобнеевобслуживанииирешают болееширокийспектрзадач.Крометого,вданномвопросенампри- ходилосьучитыватьмнениеИТ-отдела,посколькуэксплуатацияданных продуктовоставаласьпоихчасти:мытольковырабатывалитребования. Нашотделотдавалпредпочтениесертифицированнымрешениям—ска- зывалосьпрофессиональноенедовериеруководстваотделаккоммерческимпродуктам(нашеруководство,какисолиднаячастьбезопасников
внебольшихконторах,вышлаизсиловыхведомств),ИТ-отделже, наоборот,большетяготелккоммерческимпродуктам.Справедливости радидолженотметить,чтокоммерческиеDLP-системыгораздолучше отвечалинашимтребованиям,предлагалиболеебогатыйфункционали простобылиудобнеевработе.Единственным,посути,преимуществом отечественныхрешенийбылоналичиесертификата,которыйоказывал нанашотделпочтимагическоевоздействие.Витогебылприняткомпромиссныйвариант.Посколькусертифицированныесредствазащиты необходимоприменять,толькоимеявприцеледальнейшуюаттестацию потребованиямГСЗИ(государственнойсистемызащитыинформации), азащитакоммерческойтайныпочтиникакнерегламентирована,мы решилииспользоватьсертифицированныесредствазащитыинфор- мациитам,гдеонидействительнонужны,—накомпьютерах,которые
вдальнейшемвошливсоставнашейИСПД(информационнойсистемы персональныхданных),ноэтоужесовсемдругаяистория,выходящая зарамкиданнойстатьи.Длязащитыжекоммерческойинформациимы использовалиWebsenceDSS.
ПОЛЕЗНЫЕДОКУМЕНТЫ
Приопределениивозможныхканаловутечкиинформациитебепригодятсяследующиекниги:
1.«Специальныетребованияирекомендациипотехниче- скойзащитеконфиденциальнойинформации(СТР-К)».
2.Руководящийдокумент«Автоматизированныесистемы.Защитаавтоматизированныхсистемотнесанкционированногодоступа».
3.«GrayHatEthicalHacker’sHandbook».
Всекнигиоченьпростонагугливаются,СТР-КиРД— прямонасайтеФСТЭК.Первыедвекнигинужныскорее безопасникам,апоследняя—админам.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ДЕЛАНАЛАЖИВАЮТСЯ
Нашедальнейшеевзаимодействиебылорегламентированоипротекаловспокойнойобстановке.Посути,оносводилоськтому,чтонаи- болеекомпетентныйввопросахИТбезопасникполучалотИТ-отдела документациюнаиспользуемыесредствазащиты,консультировалсяпонепонятнымвопросам,иотделИБ,имеяпредставлениеотом, чтоможносделатьсиспользованиемэтихсредств,вырабатывал требованиякихнастройке.Также,повозможности,длясотрудников ИБсоздавалисьучетныезаписи,позволяющиемониторитьправильностьнастройкисредствзащитыипринеобходимостиоставлять оповещениедляадминистратораотом,чтонеобходимоизменитьв настройках.Изначальнопланировалосьвестиподобнуюпереписку традиционнымспособомипроводитьееповнутреннемудокументообороту,однакоотэтойидеипришлосьотказаться:требовалось оперативноевзаимодействие,авнутреннийдокументооборотоставлялзадержкувденьилидва.Еслибымырешилисьнаэто,время настройкиоборудованиярастянулосьбынанесколькомесяцев.
Крометого,мыполностьюотказалисьотарендысерверову третьихлиц,тоестьразвернулисобственныеweb-иmail-сервера. Этоупростилозадачуконтроляделовойперепискисотрудников, аразвернутаяDLP-системапозволилаизбежатьиспользования личныхпочтовыхящиковдляделовойперепискибезприменения драконовскихмертипаполногозапретадоступакстороннимmail-
сервисам.Этотвариант,насамомделе,рассматривался,однакобыл отвергнутпонесколькимпричинам.Однойизнихбылото,чтосотрудник,которыйощущаетконтрольнадсвоимидействиями,будет какминимумнедоволен,чтопонизятеголояльность,аинсайдера видимыйконтрользаставитвестисебягораздоаккуратнее,аэто затруднитегообнаружение.
ВЫВОДЫ
Какиеизвсегоэтогоможносделатьвыводы?Во-первых,залогом успешноговзаимодействияотделовявляетсяподтвержденноедокументальноразграничениеполномочий.Этосамыйважныймомент: никтонехочетделатьзакого-тосвоюработу,такчтоподходитьк этомувопросустоитсовсейтщательностью.Приэтомнужнопониматьразницумеждуинформационнойбезопасностьюсточкизрения ИТ-специалистаиинформационнойбезопасностьюсточкизрения безопасника.Впринципе,этотвопросужеподнималсявстатье,но
повторюсь:ИТ-безопасность—этостабильностьработыинформацион- нойинфраструктуры,аИБ-безопасность—контрольнадоперациямис важнойинформацией.Задачипересекающиеся,ноневключающиеся однавдругую.Оченьважноопределитьпорядоквзаимодействия междуотделами—прямоеподчинениеодногоотделадругомуврядли приведеткчему-тохорошему.Поэтомуодинизважнейшихмоментов— нужнобытьготовымкдиалогу.Ненужноупиратьсярогомизаочносчитатьсобеседникаидиотом.Еслиобестороныготовыдоговариваться,то никакихпроблемвзаимодействияневозникнет.z
130 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
||
|
|
|
C |
|
|
E |
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
|
|
to |
BUY |
SYN\ACKm |
||||
w Click |
|
|||||||||
|
|
|||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
INFO
ОсистемахOCS InventoryиGLPI подробнееможно прочитатьвстатье «Ставимнаучет железоисофт»в ][06.2010).
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
Сергей«grinder»Яремчук (grinder@tux.in.ua)w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ОБЗОРИНСТРУМЕНТОВ ДЛЯРАЗВЕРТЫВАНИЯ ИУПРАВЛЕНИЯLINUX
Повелитель
сети
ПодуправлениемLinuxработаюткаквысокопроизводительныекластеры,такиодиночные серверы.Иеслиуправление настройкамиОСвпоследнем случаеневызываеткаких-либо вопросов(достаточносистемныхутилит),токогдасерверов становитсянесколькодесятков, админуприходитсяискатьинструменты,которыеспособны сделатьэтоделобыстро,удобно,наглядноифункционально. Рассмотримнаиболееизвестныепроекты,обеспечивающие развертываниеиуправление Linux-сетью.
WWW
Сайтпроекта Symbolic: opensymbolic.org
СайтпроектаFunc: fedorahosted.org/ func
СайтпроектаСobbler: fedorahosted.org/ cobbler
Сайтпроекта Certmaster: fedorahosted.org/ certmaster
Сайтпроектаsmolt: smolt.fedoraproject.org
СайтпроектаPulse2: pulse2.mandriva.org
Сайтыпроекта Spacewalk: fedorahosted.org/ spacewalk, spacewalk.redhat. com.
СИСТЕМАЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯSYMBOLIC
До недавнего времени для Linux не было проектов, обеспечивающих админа удобной средой для установки и управления большим количеством ОС. Конечно, имеются системы, позволяющие легко развернуть ОС с определенными настройками (Kickstart, AutoYaST и JumpStart, PXE), сконфигурировать и управлять (Cfengine, Puppet, Func), системные утилиты и скрипты на bash. Но они требуют времени на изучение и к тому же не очень наглядны в работе. Последнее в больших средах очень важно, ведь часто сеть обслуживают админы разного уровня, а визуализация значительно упрощает процесс настроек и понимание ситуации. Удобный интерфейс позволит снизить процент ошибок и делегировать права более разумно.
Сегодняситуациявкорнеизменилась—дата-центры,облачные технологии…ивездемывстречаем*nix.Рынокпростокричит,требуя нужныеинструменты,иразработчикинезаставилисебядолгождать.
ВСТРЕЧАЙТЕ:SYMBOLIC!
СредауправленияLinuxсистемамиSymbolic(opensymbolic.org)позиционируетсякакрешениеуровняпредприятияиобеспечиваетполный циклподдержки,начинаяотустановкиизаканчиваяобслуживанием операционнойсистемы:
•быстроеразвертываниеикопированиеОС;
•удаленноевыполнениесистемныхкомандискриптовнаBash,Perl, Python,Groovyидругих,сконтролемрезультата;
132 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ПовелительwсетиClick |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
СписокдоступныхоперацийдлявыбраннойсистемывSymbolics
•аутентификацияпользователейприпомощиLDAP,Kerberos, Kerberos+LDAP(ActiveDirectory)ивнутренняяБД;
•управлениерабочимстоломудаленнойсистемыприпомощиVNC;
•управлениеиучетпользователей,физических,виртуальныхсерверовикластеров;
•сборотчетовилисообщенийнаRSS(озавершенныхоперациях);
•сертифицированRedHatApplicationStack,чтопозволяетснизить расходынасозданиеиподдержаниевеб-приложенийисоответ- ствующейархитектуры.
ПоддержкасистемымодулейискриптовпозволяетлегкорасширятьвозможностиSymbolic(последниевызываютсяоднимнажатием). Управлениебольшимколичествосистемделегируетсянескольким администраторам,каждыйизкоторыхполучаетдействительнонеобходимыеправа.
Всенастройкивыполняютсяприпомощипростогоипонятноговебинтерфейса,поддерживающеготехнологиюAjax.Ксожалению,онне локализован,новсеоперациипрозрачны,илюбойадминбезпроблем разберетсясзаложеннымипринципами.
Ноестьиминус.Управлениеограниченоисключительнодистрибу- тивами,совместимымисRedHat/Fedora.Причинапроста—Symbolic интегрируетвсеберяддругихинструментов,разрабатываемыхв рамкахэтихпроектов:YUM,Func(fedorahosted.org/func),Cobbler (fedorahosted.org/cobbler),Certmaster(fedorahosted.org/certmaster), Smolt(smolt.fedoraproject.org).СредиописанныхнадругомдистрибутивеможнозапуститьтолькоSmolt,обеспечивающийсборданныхоб оборудованиисклиентскихсистем.Кромеэтого,дляраспространения настроексредиподчиненныхсистемиспользуетсяPuppet.
НаписанSymbolicнаJava.РаспространяетсяполицензииGNUGPL. Предлагаетсянескольковерсий,нотолькоOpenSourceнеобходимо разворачиватьсамостоятельно,остальныеявляютсяпредынсталлируемымиипоставляютсяпозапросу.
НесмотрянаточтоSymbolicразрабатываетсяврамкахFedora,в репозитарияхнужногопакетанет.Ктомужепроектдвагоданепро- являлникакойвнешнейактивностииRPM-пакетысобранылишьдля раннихверсийFedoraиRedHat.
Поэтому при установке в последних Fedora 15 и RedHat6/CentOS6 возможна только сборка из исходных текстов. Для удовлетворения зависимостей для некоторых версий дистрибутивов потребуется подключить репозитарии EPEL и Extras. Сам процесс установки сложным (для админа с некоторой подготовкой) назвать нельзя, в весьма подробной документации достаточно четко всё расписано, просто большое количество настроек требует внимательности. В частности, потребуется установить и настроить (правкой конфигов) системы Certmaster и Func, которые построены по
клиент-серверной схеме. После установки пакета symbolic следует запустить скрипт symbolic-setup, помогающий произвести первичные настройки. После ответа на все вопросы можно регистриро-
ВпоследнемрелизеPulse2добавленавозможностьсозданиядисковыхобразов
ваться, набрав в браузере адрес сервера и порт 8081 (http://example. org:8081/symbolic).
ИНВЕНТАРИЗАТОРPULSE2
Не только компания RedHat разрабатывает инструмент управления ИТ-средой. В недрах Mandriva подготовили свой вариант, получивший название Pulse 2 (pulse2.mandriva.org), рассчитанный на сети разного размера — вплоть до 100 тыс. компьютеров. Главная его особенность — работа в гетерогенной среде. Поддерживаются наиболее популярные дистрибутивы Linux (RedHat/Mandriva/Debian/ Ubuntu), Mac OSX, HP-UX, IBM AIX, Solaris и Windows от 2k/XP/2k3/ Vista/2k8/Se7en (только x86). Причем все они могут быть как клиентами, так и сервером (сервер написан на Python, фронтенд — на PHP). Уже это выделяет Pulse 2 среди других OpenSource-решений. При ближайшем знакомстве раскрывается секрет: основой для Pulse 2 служит другой французский проект OCS Inventory NG (подробнее — в статье «Ставим на учет железо и софт» в ][ 06.2010), клиентские модули которого перенесены сюда практически без изменений. При развертывании могут использоваться данные, собранные системой учета компьютеров и комплектующих — GLPI (glpi-project.org). Предусмотрена возможность простой интеграции с системой мониторинга Nagios. Серверная часть логически разделена на несколько компонентов, отвечающих за свой участок, все они подробно расписаны в документации. Основные функции Pulse 2 позволяют производить:
•инвентаризациюоборудованияиустановленногоПОссохранениемистории;
•установкуПОиобновленийнаотдельныйкомпьютерилигруппу;
ОкноуправлениясервисамивPulse2
ХАКЕР 10/153/2011 |
133 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
|
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
to |
BUY |
SYN/ACKm |
|
|||
w Click |
|
|
||||||||
|
|
|
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
НастройкафункцийуправлениявSpacewalk
•формированиегруппкомпьютеровстатическиилидинамически (позаданномукритерию);
•удаленнуюдиагностикуслужб,контрользасостояниемобъектовв распределеннойсреде;
•удаленноеуправлениеприпомощивстроенногоVNC-клиента;
•выполнение команд и скриптов немедленно или в запланированное время с получением отчета о результате;
•просмотржурналовисобытийнавыбранныхсистемах;
•управлениеучетнымизаписямииконтрольполитикипаролей.
Впоследнейверсии1.3.0вPulse2интегрированLinboxRescue Server(подименемPulse2ImagingServer).Теперьадминистратор можетсоздавать(резервировать)иразвертыватьдисковыеобразы (официальноподдерживаютсяLinuxиWindows)наудаленныхкомпью- терах.Длясвязи«клиент—сервер»используетсязащищенныйSSH. Вразветвленныхсетяхуменьшитьтрафикпозволяетспециальный InventoryProxySSL.
СистемалегкоинтегрируетсясMandrivaDirectoryServer(mds. mandriva.org).Управлениепроизводитсяприпомощивеб-консоли, написаннойприпомощистандартногодлядистрибутивовнабазе MandrivaфреймворкаMMC(MandrivaManagementConsole).Консоль оченьпроставработе,онахотяинелокализована,новсетермины понятныиобщеупотребительны,пользовательсбазовыманглийским вполнеможетразобратьсясособенностямиработы.Крупныезначки менютакжепомогаютсориентироватьсявихназначении.Возможно тонкоеделегированиеправнесколькимадминистраторамприпомощисписковACL.
Длязагрузкидоступныисходныекодысommunity-версиипро- дукта,распространяемойполицензииGNUGPL.Большимплюсом являетсядоступностьготовогообразадляVMwareнабазеMandriva EnterpriseServer5спредустановленнымPulse2(оченькруто— полноценнопротестироватьрешение,неустанавливаяего).
ПоумолчаниювнастройкахVMwareуказано256МбОЗУ,ябы рекомендовалегоувеличитьхотябыдо512Мб,иначепридажеотносительнонебольшойнагрузкесерверможно«обвалить».Пакетыи документациядляклиентовдоступнычерезвеб-браузер,достаточно лишьнабратьIP-адресилиимясервераPulse2.
ДляподдерживаемыхдистрибутивовLinuxпредлагаютсярепозитариипакетов.Процессустановкивнешневыглядитзапутанным— потребуетсяустановитьсхемудляLDAPинастроитьMySQL.Почему-то разработчикиневыкладываютготовыхфайлов,поэтомупридется вводитькомандывручную.Всешагиподробнорасписанывдокументации,ипридолжнойвнимательностипроцедураразвертывания происходитбезпроблем.
ВЫХОДИМВОТКРЫТЫЙКОСМОС
Основой Spacewalk (fedorahosted.org/spacewalk, spacewalk.redhat. com) является открытый по GPLv2 продукт Red Hat Network
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Satellite Server, разрабатываемый с 2001 г. и доступный по подписке. Это решение призвано обеспечить весь жизненный цикл ИТ-инфраструктуры, построенной на Linux. В нем реализованы все самые современные разработки, релизы выходят чаще Satellite, за сборками следит само сообщество, а не специалисты из RedHat. Официальная поддержка отсутствует, только форум. Но в отличие от Satellite, Spacewalk работает не только на производных от RHEL/ Fedora, а также и на SLE/openSUSE и Debian. Хотя «чужаки» под-
держиваются в ограниченном режиме и только в качестве клиентов. Есть информация (spacewalk.redhat.com/solaris) о возможном подключении клиентов Solaris.
Проектактивен,обновлениявGitпоступаютчутьлинеежечасно.ИспользуяSpacewalk,администраторможет:
•устанавливатьиобновлятьОСиПО;
•разворачиватьОСнавиртуальныемашиныXenиKVM;
•собиратьираспространятьсобственныепакеты;
•управлятьнастройкамиираспространятьготовыеконфигурационныефайлы;
•устанавливатьОСприпомощиKickstart-файловиAutoYaST;
•запускать,останавливатьинастраиватьвиртуальныемашины;
•производитьинвентаризациюимониторингоборудованияиПО;
•автоматизироватьрядзадачсистемногоадминистрирования;
•группироватьсистемыиделегироватьролипоуправлению администраторам.
ПостроенSpacewalkпоклиент-сервернойсхеме,когдасервер,под- ключаяськподчиненнымсистемам,отдаетсоответствующиекоманды. Дляуправленияиспользуетсялокализованныйвеб-интерфейс,хотя, чтобыразобратьсясзаложеннымипринципами,придетсянемногополоматьголову.Документациявэтомвопросепомогаетлишьотчасти.
ИспользованиеспециальногоSpacewalkProxyпозволяетраспространятьнастройкиисобиратьданныевгеографическираспределенныхсетях.Серверможетбратьинформациюобучетныхзаписях изLDAP.ВдокументациипроцессподключениякLDAPописанвесьма подробно,данготовыйLDIF-файл,поэтомувслучаетакойнеобходи- мостисвязатьихможнобезпроблем.Кромеэтого,списокпользовате- лей,какиряддругихнастроек,можнозагрузитьчерезCSV-файл.
Удобно,чтоодинсерверможетобслуживатьнесколькоорганизаций,длячегоихнужнопростодобавитьчерезменю.
Информацияхранитсявбазеданных,вкачествекоторойможно использоватьPostgreSQLилибесплатнуюOracle10gExpressEdition.В промышленнойсредеразработчикипокарекомендуютиспользовать решениеотOracle—здесьсказываетсянаследиеSatellite,носкаж- дымновымрелизомподдержкаPostgreSQLулучшается.
ВОЗМОЖНОСТИGOSA2
Задачейномеродинлюбогоадминаявляетсяуправлениеучетнымизаписямиидоступомкнесколькимсервисам.Связатьвместе OpenSource-решениябезопределенногоопытаоченьтяжело.Здесь можнообратитьсякпроектуGOsa2(oss.gonicus.de),которыйпозво- ляетреализоватьединуюсистемууправленияИТ-инфраструктурой, основаннуюнаLDAP.Удобныйинтерфейспозволяетуправлять системнымиучетнымизаписямииправамипользователейигрупп UNIXиSamba,компьютерамиицелымрядомсетевыхслужб—DHCP, DNS,HTTP,SMTPиприложениями,VoIP,спискирассылокитакдалее. СистемаплагиновдаетвозможностьсобратьконфигурациюGOsaпод любыетребования.Внастоящеевремяреализованоболее30плагинов,обеспечивающихцентрализованноеуправлениеприпомощи GOsa:Squid,DansGuardin,rsyslog,Postfix,Courier-IMAP,Maildrop, GNARWL,Cyrus-SASL,OpenSSL,Asterisk,Nagios,OPSI,Netatalk,FAI, SOGo,OpenGroupware,Kolab,Scalix,ISCDHCP(позволяющегоиспользоватьLDAP),WebDAV,PureFTPd,PPTP,Kerberos.
134 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
УСТАНОВКАSPACEWALK
Оченьудобно,чтопроектподдерживаетсвойрепозитарий,этонапорядокупрощаетразвертываниевRedHat/CentOS/Fedora.Кромеэтого, доступенисходныйкод(вGit)иежедневныесборки,содержащиепоследниеизменения.ДляDebianпредлагаетсястороннийрепозитарий.
Вкаждомконкретномдистрибутивеподготовительныедействиячуть отличаются,дляFedora15процессустановкиSpacewalkвыглядиттак:
# rpm -Uvh http://spacewalk.redhat.com/yum/1.5/Fedora/15/x86_64/ spacewalk-repo-1.5-1.fc15.noarch.rpm
Такжепотребуетсярепозитарийjpackage.
# cat > /etc/yum.repos.d/jpackage-generic.repo << EOF [jpackage-generic]
name=JPackage generic baseurl=http://mirrors.dotsrc.org/jpackage/5.0/generic/free/ enabled=1
gpgcheck=1
gpgkey=http://www.jpackage.org/jpackage.asc EOF
ОбновляемполитикиSELinux:
# rpm -Uvh 'http://kojipkgs.fedoraproject.org/packages/selinux-
policy/3.9.16/35.fc15/noarch/selinux-policy-targeted-3.9.16-35.
fc15.noarch.rpm' 'http://kojipkgs.fedoraproject.org/packages/
selinux-policy/3.9.16/35.fc15/noarch/selinux-policy-3.9.16-35.
fc15.noarch.rpm'
Теперьможноустанавливать.Врепозитариидляэтогопредлагают двапакета,которыевыбираютсявзависимостиотБД.Длятестовых целейподойдетPostgreSQL.Взависимостяхпакетовсамабазаданныхнеуказана,чтодаетнамвозможностьподключитьSpacewalkкуже работающемусерверу:
# yum install spacewalk-postgresql postgresql-server
ПослеустановкивсехпакетовконфигурируемPostgreSQL,создав базуданных,изапускаемпрограммунастройки:
# spacewalk-setup --disconnected
Скриптзапроситданныедляподключениякбазеданных(сервер, названиеипользователя),создасттаблицыисгенерируетсертификат.Еслиразворачиваетсянесколькосерверов,удобнеезаранеесоздатьфайлответов(вWikiнасайтеестьпример),которыйиподсунутьв spacewalk-setup.
ПросмотрспискаустановленныхпакетоввSpacewalk
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ПовелительwсетиClick |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
GOsa2позволяетцентрализованноуправлятьдоступомксервисам
ПосвоимвозможностямSpacewalk—оченьпродвинутаясистема управления,апоэтомунастроеквинтерфейсеоченьмного.Чтобы упроститьадминуработу,используютсяспециальныеуровниабстрак- ции—системныегруппы,каналы,полномочияитакдалее.Витогене- котороевремяпридетсяпотратить,чтобыосвоиться.Здесьпомогают подсказкивпервомокнеипредупреждения,которыесистемавыдает, есличто-тооказываетсяненастроенным.
Послеустановкисписокклиентскихсистемпуст.Втомчислене подключенсамсервер,накоторомразмещенSpacewalk.ВсеобновленияиПОраспространяютсячерезканалы,ккоторымпривязывается группакомпьютеров.Поэтому,преждечемподключитьклиентскую систему,необходимосоздатьхотябыканал.Переходимв«КаналыÆ УправлениеканаламиПОÆСоздатьновыйканал»,вводимимяивыбираемвспискеархитектуру.
Далеегенерируемключактивации,припомощикоторогоклиент аутентифицируетсебянаконкретномсервере.Админможетсгенерироватьлюбоеколичествоключей,втомчислеивручную,указавзначение.Ключможетиспользоватьсяодинразилимногократно(если эторазрешеновустановкахключа).Выбираем«СистемыÆКлючи активацииÆСоздатьключактивации».Послезаполнениявсехполей вполе«Ключ»получаемнужноезначение.Первойцифройстоитпрефиксорганизации,еготакженеобходимоиспользовать.
Переходимкклиентскойсистеме.Подключаемнужныйрепозита- рийиустанавливаемутилитыrhn-*.ДляFedora15командатакая:
#rpm -Uvh http://spacewalk.redhat.com/yum/1.5/Fedora/15/x86_64/ pacewalk-client-repo-1.5-1.fc15.noarch.rpm
#yum install rhn-client-tools rhn-check rhn-setup rhnsd m2crypto yum-rhn-plugin
ДляподсоединенияксерверуSpacewalkиспользуетсякоманда rhnreg_ks,впараметрахкоторойуказываетсяURLсервераиключ активации.Форматвызоватакой:
#rhnreg_ks --serverUrl=http://example.org/XMLRPC \ --activationkey=<ключ-активации>
Теперьновыйкомпьютерпоявитсявсписке«Системы»,откудауже можноуправлятьегонастройками.
ЗАКЛЮЧЕНИЕ
Используя одно из описанных решений, можно без проблем справиться с парком Linux-машин. Как решить, какое из них использовать? Зависит от конкретной ситуации. При построении с нуля хороший выбор — Spacewalk. Для гетерогенной сети альтернативы Pulse 2 нет. z
ХАКЕР 10/153/2011 |
135 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
|
|
|
|
to |
BUY |
SYN/ACKm |
|||
w Click |
|
||||||||
|
|
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
Игорь«Spider_NET»Антонов
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
(http://vr-online.ru)w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Корпоративный Drupal
ДЕЛАЕМ
КОРПОРАТИВНЫЙ ПОРТАЛ.БЕСПЛАТНО
Drupal—бесплатнаяпуленепро- биваемаясистемауправления содержимымсайта(посовмести- тельству—CMF),продолжаетак- тивноразвиватьсяиобзаводиться новымфункционалом.Еенестесняютсяиспользоватьдлясвоих проектовкрупныекомпании,государственныеорганизации.Drupal оченьпопуляренпристроитель- ствеинтернет-ресурсов,нопри разработкевнутреннихкорпоративныхпорталовегонезаслуженнообходятстороной.
VIDEO
Нанашемдискетебя ждетвидеоурокпо созданиюкорпоративногопортала,которыйяподготовил специальнодляэтой статьи.
ОСОБЕННОСТИETHERNET-ПОРТАЛА
Навнутреннийкорпоративныйпорталобычновозлагаютсязадачи,от- личныеоттех,чтоберутнасебяинтернет-ресурсы.Разнятсякаксами задачи,такимногиетехнологическиенюансы.Например,вотличие отвнешнегоресурсавнутреннемунетребуетсясуперуникальный дизайн,илисвободнаярегистрацияпользователей,илиспособность выдерживатьвысокиенагрузки.Гораздоважнееобеспечитьресурс функциями,необходимымидляулучшенияпроизводительностисо- трудников—пользователейресурса.Изнаиболеетипичныхзадач, возлагаемыхнавнутреннийсайт,можновыделить:
1.Документооборот.Невсекомпанииготовыпокупатьотдельные решениядляавтоматизациидокументооборота.Многиерешают этузадачупутемиспользованиявнутреннегосайта.Ведьневсем нужнафункциональнаяидорогаясистемаэлектронногодокументооборота.Вомногихслучаяхреальнообойтисьболеепростыми решениями.Например,припомощифункционаласовременныхсистемуправлениясодержимымвполнереальнособратьпростенькуюсистемудокументооборота,которойхватитдлянуждсредней компании.
2.Блоги.Сегодняимипользуютсявсе:начинаяотпростыхпользователейизаканчиваяруководителямикрупныхкомпаний.Наethernetпорталахфункцияблогингатакжевостребована.Оченьчасто функция«блог»являетсяключевойдлявнутреннегопортала.
3.Социальнаясеть.Еслираньшепонятие«социальнаясеть»применялосьисключительноктакимизвестнымпроектам,какFacebook, «ВКонтакте»,«Твиттер»,тосегоднясоциальнаяприправастала популярнойинавнутреннихресурсах.Чемкрупнеекомпания,тем большеейтребуетсяделитьпользователейнагруппы,которые(группы)зачастуюмогутиметьопределенныесвязисдругимигруппами. Витогеполучаетсятипичнаяархитектурасоциальнойсети.Таким
136 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СписокгруппвOpenAtrium
образом,поддержкасоциализации—одноиззначимыхтребований, применяемыхквнутреннимкорпоративнымпорталам.
4.Календарь+бизнес-процессы.Одновремявнашейстране многиесистемныеадминистраторыдляподнятиякорпоративных почтовыхсерверовиспользовалиMSExchange.Посвоемуопыту могусказать,чтодлякрупныхорганизацийэтоотличноерешение. Однакоиз-заеестоимостиExchangeсовсемнепокарманусредним организациям.ЯзаговорилоExhangeнеслучайно.Вкомпаниях,в которыхмнедоводилосьработатьигдевкачествепочтовикабыл установленMSExchange,достаточноактивноиспользовались календаривMSOutlook.Удобноесредство,позволяющеебыстро спланироватьсвойденьилиорганизоватьочередноймитинг.С развитиемвеб-технологийвсёбольшекомпанийсталиперено- ситьуправлениеделамивweb.Организации,имеющиевсвоем распоряженииethernet-ресурс,могутвозложитьнафункционал внутреннегоресурсаведениекалендаря,планированиевстреч, составлениеToDo-листов,даипростопланированиеработыпод- разделений/сотрудников.
5.Оперативноепредоставлениеинформации.Какдлямногих ранеерассмотренныхзадач,особуюключевуюрольиграетразмеркомпании.Чембольшекомпания,темтруднееорганизовать хорошеевзаимодействиессотрудниками.Публикациязадач, распоряжений,плановираспределениеэтогопластаинформации определеннымлицам(вспоминаемпросоциальнуюсоставляю- щую)—однаизключевыхфункцийвнутреннегоресурса.
6.Помощьновенькимсотрудникам.Новыйсотрудниквкомпании— этоодновременнорадостьиголовнаяболь.Рассказатьструктуру бизнес-процессов,происходящихвкомпании,познакомитьскол- лективом,объяснить,чтогденаходится,—всёэтотребуетогром- ногоколичествавремени.Особопродвинутыекомпаниирешают этупроблемуприпомощивнутреннегоресурса.Требуетсялишь одинразсоздатьнаборправил,фотографийидругихнеобходимых вещей,чтобывхождениевколлективновенькихсотрудниковбыло максимальнопростымидругимспециалистамнетребовалосьтратитьсвоевремянапредоставлениеинформации,которуюновый сотрудниквсостоянииполучитьсамостоятельно.
7.Хранилищеинформации.Централизованноехранилищеобщей информации—мечтакаждойкомпании,идовольночастоэту функциювозлагаютнавнутреннийкорпоративныйпортал.В любойкомпанииимеетсябольшоеколичествообщейинформации:распоряжения,требования,правила,графикаит.д.Весьэтот массивданныхдолженбытьхорошосгруппированидоступенвсем сотрудникам.Внутреннийсайт—идеальноеместодляразмеще- ниявсехэтихданных.
8.HelpDesk.Даннаяфункцияособенноактуальнадлякомпаний, которыесодержатвсвоемштатесреднийпочисленностиIT-отдел. Ethernet-ресурспозволяетвсемпользователямвудобнойформе взаимодействоватьсIT-специалистамииоставлятьимзаявки.Как
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
КорпоративныйDrupalw Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
правило,заявкимогутиметьнесколькостатусов,комментариеви т.д.Всяэтаинформацияможетвудобнойформепросматриваться идоступнакакдляисполнителей(вданномслучаеIT-отдела),таки дляруководства.
8.Форум.Корпоративныефорумыподобнообычныминтернетфорумампризнаныобеспечитьлюдейвозможностьюобщатьсяна различныетемы.Говоряприменительноквнутреннимресурсам,форумыдолжныпредоставлятьсотрудникамвозможность общатьсянапрофессиональныетемы.Какпоказываетпрактика, использованиефорумоввкупесживымобщениемположительно влияетнарабочийпроцесс.
Представленныйсписокфункцийнеявляетсяисчерпывающим.Здесь лишьперечисленынаиболеевостребованныевозможности,иименно стакимикорпоративнымипорталамивашемупокорномуслугеприходилосьвстречатьсянапрактике.Знаясписокзадач(требований), становитсявозможнымподобратьоптимальноерешение.
ПОТОМУЧТОDRUPAL!
Drupalвсегдаславилсясвоейстабильностью,богатымифункциональнымивозможностямиибезопасностью.Самасистемамалочего умеет,нозасчетбогатогорепозиториямодулейегофункционалможно допиливатьвнужнуюсторону.МодуливDrupal—главноеегопреиму- щество.Во-первых,ихоченьмного,аво-вторых—архитектураэтой CMSнастолькопродумана,чтокаждыймодульможетвлиятьналюбой участоксистемы.ИменнопоэтомуDrupalвыгодноотличаетсяотконкурентов,ведьблагодарямасштабируемойархитектурефункционал системыможетбытьнетолькорасширен,ноипереработан.Несмотря насерьезныеплюсы,уDrupalимеетсяодинбольшойминус—система «изкоробки»полностьюголаяинаразработкуновогорешенияснуля можетпотребоватьсяслишкоммноговремени.Причинтутнесколь- ко,носамыеглавныеизних—опытисложность.Drupalнепохож
намногиесистемыидеологически,из-заэтогоприходитсясначала хорошопознакомитьсяссистемойилишьпослеэтогоприступатьк разработке.ИменнопоэтомувзятьивоттаксразуразвернутьполноценныйвнутреннийпорталнаDrupalнельзя.Нареализациювсех перечисленныхвышефункцийснуляпотребуетсямноговремени.К счастью,сообществонежелаломиритьсястакимположениемдели разныеегопредставителяпредставилисвои,специализированные сборкиDrupal.
НЕОБЫЧНЫЙDRUPAL
ПочисленностисообществоуDrupalпростоколоссальное.ИдеологияDrupalвсегдаподразумевала,чтолюбуюзадачуможнорешить разнымиспособами.Наверное,поэтомувариантоврешениязадачис именем«корпоративныйпортал»такжемного.Каждыйтакойвариант включаетвсебя:
1.CMSDrupal.ГолыйDrupal,которыйлюбойжелающийможетскачатьсофициальногосайтаdrupal.org.
ПланированиесобытийвDrupalCommons
ХАКЕР 10/153/2011 |
137 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
P |
|
|
|
|
|
NOW! |
o |
|
|||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
to |
BUY |
SYN\ACKm |
|
||||
w Click |
|
|
|||||||||
|
|
|
|||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DashboardвOpenAtrium
2.Наборнеобходимыхмодулей.Авторысбороксамостоятельноподбирают/разрабатываютнаборнеобходимыхмодулей.Готовыемодуливосновномберутсяизофициальногорепозиторияинередко подвергаютсядоработке.Помимонихвсоставсборокпрактически всегдавходяторигинальныеплагины,которыенедоступныврепозитории.Иногдапопадаютсяоченьинтересныевещи,ихвполне можноприменитьдлядругихпроектов.
3.Профильнастроек.Готовыйпрофильпозволяетразвернутьполностьюработоспособныйпроект.Применительнокнашемуслучаю— корпоративныйпортал.
OPENATRIUM
http://openatrium.com/
OpenAtrium—проект,специальноориентированныйнасоздание внутреннихпорталов.МногиежурналистывсвоихобзорахпозиционируютOpenAtriumкакпродукт,предназначенныйдляуправления проектами.Этоошибочноемнение.Да,впервуюочередьOAпозиционируетсякакудобнаясистемадляколлективногоуправленияпроектами,ноничтонемешаетвоспользоватьсяимвкачествеплатформы дляинтранет-портала.ВлюбомслучаеOAпостроеннаDrupal,азначит, всегдаможновоспользоватьсямощнымивозможностямиDrupalдля управленияконтентом.ВсвязисэтимOAзаслуженноможносчитать законченнымрешениемдляразвертыванияинтранет-порталов. ПроектOAдостаточномолодой.Перваяальфапоявиласьв2009г.,и
стехпорпоследовалвагонималенькаятележкатакихжетестовых версий.Несмотрянастатус«альфа»,OAсталнабиратьпопулярность иприменятьсядляразличныхпроектов.Досвоейпервойстабильной версии(1.0)проектдорослишьвиюлеэтогогода.
КЛЮЧЕВЫЕВОЗМОЖНОСТИ
•Коллективныеблоги.ЛюбойпользовательсистемыOpenAtrium имеетвозможностьвестиперсональныйблог.Кегоуслугамвсе необходимыеблоггеруфичи:теги,удобныйwysiwyg-редактор, поддержкакомментариевит.д.
ДОРАБОТКАФУНКЦИОНАЛА
Представленныевобзоререшенияполностьюготовыкработе, новполневозможно,вампотребуетсярасширитьихфункционал.ПосколькувосновевсехсистемлежитстандартныйDrupal,становится возможнымрасширятьфункционалпутемустановкидополнительных модулейизбогатогорепозиторияdrupal.org/project.Например,тотже OpenAtriumзасчетстороннихмодулейлегкорасширяетсядосистемы документооборота.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
•Группы.Всепользователивсистемемогутбытьразделены/разбросаныпогруппам.Длякаждойгруппыпользователейсоздается отдельноерабочеепространство.
•Календари.Планированиесобытий,организациявстреч—реше- ниевсехэтихзадачвозлагаетсянакалендари.Внешнекалендари выглядятсимпатичноичем-тонапоминаютполюбившийсямногим GoogleCalendar.
•Чат.Дляобщениявнутрикомандывреальномвремениимеется достаточношустрыйweb-based-чат.
•Трекерзадач.ТрекерпомогаеторганизоватьToDo-листы,раз- делитьвсезадачинапроекты,расставитьприоритетыипередать созданныезадачиопределеннымпользователям.
•Документы.Функцияпозволяеторганизовыватьподшивкидокументов.Вполнесгодитсядляорганизациипростогохранилища документов.
•Wiki.Дляопределенныхзадачнеобходимоиметьвозможность оперативногомногократногоредактирования/созданияновых страниц.ЭтузадачувсегдаудобнорешатьприпомощипроверенноговременемWiki.
•Продуманныйинтерфейс.Drupalвообще-товсегдаругализа ужасныйинтерфейс...Реально—еслисмотретьначистыйDrupal, товсправедливостьэтоймаксимыстановитсялегкоповерить.ВOA жеинтерфейсдовольнохорошопроработан,испервоговзглядане скажешь,чтопередтобойсистема,построеннаянаосновеDrupal’а.
ПОПУЛЯРНЫЕСБОРКИDRUPAL
СпециализированныесборкиDrupalимеютсянетолькодлясоздания интранет-сайтов.Естьмассадругихпроектов,созданныхнаоснове Drupal.Наиболеепопулярныеизнихперечисленыниже.
•ConferenceOrganizingDistribution(http://drupal.org/project/cod)— полностьюготовоерешениедлябыстрогопостроениясайтовконференций.Реализованавозможностьрегистрацииучастников, добавлениядокладов,атакжеустановкисоциальныхсвязеймежду участниками.Сборкаужепроверенавременемиуспешноиспользуетсядляорганизациитакихконференций,какDrupalLA,Drupal KievCamp.
•ArrayShift(http://drupal.org/project/arrayshift)—сборказаточенана созданиесайтавродеstackoverflow.com.Сборкаполностьюготовак работе,исеепомощьюможнобыстроразвернутьрабочийсайт.
•DrupalSocialNetwrokframework(http://drupal.org/project/dsnf_install)
—специальнаясборка,предназначеннаядляпостроениясайтов— социальныхсетей.Этусборкунельзясчитатьполностьюготовойк использованию,ноонадаетхорошийфундаментдлястроительства полноценнойсоциальнойсети.
•DrupalBin(http://drupal.org/project/drupalbin)—пакет,предна- значенныйдлясозданиясайтовпообмену/хранениюпрограммного кода.Натакомсайтелюбойпользовательможетбыстроопубликоватькодиполучитьнанеголинк.Отличноерешениедлясоздания снипетовихранениянайденногокода.
•ELMS(http://drupal.org/project/elms)—полностьюготоваясборка дляразворачиваниясистемыуправленияобучением(разработка планаобучения,созданиеспециализированныхкурсовит.д.).
Сборкавключаетдлясебяоригинальныемодули.
•eRecruiter(http://drupal.org/project/recruiter)—дистрибутивдля созданиясайтов,ориентированныхнапоискработы.Стоитотме- тить,чтовнастоящиймоментдоступналишьбета-версия,поэтому создатьполноценныйсайтдляпоискаработынеполучится.Однако ничтонемешаетвоспользоватьсяидеямиразработчиковидопилитьсистемуподсебя.
•Single-useblog(http://drupal.org/project/single_user_blog)—пакет длясозданияперсональныхблогов.Вполнеможнорассматривать какпростуюальтернативуWordPress.
138 |
ХАКЕР 10/153/2011 |