Добавить в избранное | Сделать стартовой страницей

Большая Linux библиотека для пользователей OS Linux и ПО для нее
Есть что сказать? Нужен совет? Посети наш форум.




Курс молодого сисадмина-2: Advanced Settings.

Автор : Евгений БОБРУЙКО

Сисадмин чем-то напоминает директора какого-нибудь предприятия советских времен. С одной стороны, в границах вверенного ему объекта вроде как всевластен и всемогущ. Но при малейшей оплошности либо невыполнении плана - сразу же в райком на ковер (роль райкома теперь отлично играет руководство фирмы). Плохо работаешь, товарищ, очень плохо! Позавчера в самый ответственный момент машина зависла! Вчера интернет с почтой полчаса не работали! Сегодня принтер не печатал! Будем принимать меры!

"Меры" обычно имеют финансовый характер и выражаются в "усыхании" зарплаты. И никто не хочет слышать о том, что машина зависла потому только, что юзеры прочитали письмо с вложением, зараженным вирусом. Интернет с почтой не "не работали", а отдыхали из-за перегруженности трафика. А принтер не печатал, потому что кто-то "снес"" драйверы... Надо тоже принимать меры!

Откажемся от лирических отступлений с меланхолической жалостью к самому себе и перейдем к решительным действиям. Не хотите по-хорошему - будем по-плохому! В самом деле, кто тут ВЛАСТЕЛИН СЕТИ?! Да я, если захочу, могу тако-о-о-е сделать: Э-э: кстати, а что именно я могу?..

Да, такие случаи, к сожалению, не редкость. Увы, не все родились со знанием настроек протоколов, и не всем по карману пройти специализированные курсы по сетевым технологиям. Вот и получается, что новоиспеченный сисадмин-самоучка, отлично разбирающийся в "железе"" и настройках реестра, абсолютно не готов к сетевой работе - ввиду отсутствия надлежащей практики. Причем заметьте - практика практике рознь: сисадмин, "перекочевавший" с одноранговой сети на сеть с сервером, первое время будет пребывать в легком шоке от дополнительных сложностей, о которых прежде он и понятия не имел.

Кто-то из "горячих голов" (обычно не отягощенных практическим опытом) возмутится: что ж там трудного? Попробовал, поэкспериментировал, пару раз перезагрузил, "перевесил" винду, в конце концов... Забываете, господа "горячие чайники", что дело-то происходит в офисе, а не в квартире! Это дома можно сегодня Windows угробить, а за выходные установить заново. На работе счет обычно идет на секунды. Особенно когда персонал и руководство в этом плане избалованы: попробуй поменять что-нибудь в настройках и перезагрузить сервер - сразу же раздадутся вопли недовольства! Не будем забегать вперед, начнем по порядку.

Разумеется, в одной статье невозможно выложить всю подноготную - с общими правилами и теоретическими выкладками. Посему рассмотрим практическую сторону действий на примере. Итак, условия задачи: неопытному сисадмину "в наследство" достается типичная офисная сеть: сервер, роутер, полтора-два десятка рабочих станций. Роль файлового сервера играет Windows 2000 Server с настроенным DNS. На роутере, как обычно, установлены proxy-server, mail-server. Интернет-канал - скажем, выделенная линия на 33,6 Кбит/с. Локальная сеть - Fast Ethernet 100 Мбит/с. Фирма у нас пусть занимается куплей-продажей чего-либо. Все.

Начнем с социальных факторов, а точнее, с персонала. Как правило, в любой торговой организации основными трудягами являются продавцы-менеджеры, или, как их "ласково" называют сисадмины, манагеры. Они-то и есть главная проблема сисадмина... Точнее, не они сами, а их небрежное и халатное отношение к подведомственному сисадмину объекту. Менеджеры представляют значительно большую опасность для стабильной работы офисной сети, чем обычные пользователи, так как более интенсивно эксплуатируют ее ресурсы:

  • они рассылают существующим и потенциальным клиентам письма с предложениями о сотрудничестве, обычно с вложенным прайсом;

  • такие же письма приходят самим менеджерам;

  • последнее время в моду входит переписка с клиентами по ICQ;

  • менеджеры постоянно ведут поиск информации в интернете.

    Беда состоит в том, что обычно менеджер не уважает труд сисадмина, поскольку не видит его. Наихудший вариант - когда менеджеру удается заработать на очередной поставке несколько сотен у.е. для организации. После похвалы руководства у него появляется ощущение приоритета, порой граничащее с манией величия: "почему у меня эта программа тормозит?", "почему я не могу влезть на такой-то сайт?", "я не хочу делать так, я привык иначе!" и т.д.

    Вступать в конфликт в подобной ситуации не разумно: менеджер, пользуясь временным геройским ореолом, тут же доложит руководству о том, что вы мешаете рабочему процессу и не желаете выполнять свои прямые обязанности.

    Что ж, не будем доводить ситуацию до конфликта. Рассмотрим типичные "случаи на производстве" и то, как с ними бороться посредством элементарных мероприятий.

    Разумеется, мы не будем пересказывать руководства по настройке перечисленных ниже программных продуктов. Отметим только основные, необходимые элементы.

    E-mail

    Наличие почты в торговой организации обязательно. И, так как менеджеров много, а компьютер с доступом в интернет (роутер) один, предполагается наличие почтового сервера для одновременного доступа к почте со всех имеющихся рабочих станций. Программ-серверов огромное множество, но я рекомендую остановить выбор на одной из самых популярных - MDaemon фирмы Alt-N (http://www.mdaemon.com). Благодаря своей функциональности и конфигурируемости, этот продукт стал стандартом де-факто для почтовых серверов предприятий и организаций.

    Обычно в организациях, специализирующихся на торговле, менеджеры ведут своеобразные спам-рассылки: как минимум раз в неделю рассылают клиентам коммерческие предложения с вложением прайса. Размер таких писем составляет в среднем 50-100 Кбайт. Если их не больше 1-2 десятков - это не страшно. Но когда в порыве энтузиазма манагеры пускают в очередь 300-600 писем - самое время бить тревогу. Даже при мощном канале интернет будет часа два мирно "отдыхать". Что уж говорить о слабом канале? Хуже всего то, что минут через десять на вашу голову польется дождь жалоб и претензий на тему "почему не работает интернет?".

    Что делать?

    С менеджером ругаться бесполезно - для него почта "ушла" (в Outlook'e же ее нет!), а на все ваши технические доводы он только пожмет плечами: "Мне же надо как-то работать!"

    Конечно, такая ситуация - неплохой повод для "раскрутки" руководства на более быстрый канал. Но и это не решит проблему в корне: через месяц-другой менеджеры и новый канал поставят на колени. Что же делать? Не обрезать же почту вообще?

    А выход есть! В Mdaemon'е, как и во многих других почтовых серверах, есть функция создания листов рассылки. Заключается она в следующем: на специальный адрес провайдера, именуемый как "smart host", отсылается один вариант письма и список адресов, по которым его нужно разослать. Удобно? Безусловно! Трафик не загружен и письма разосланы: и овцы целы, и волки сыты. Необходимо лишь выяснить, предоставляет ли ваш провайдер такую услугу. Обычно провайдеры ограничивают количество писем в одной рассылке до 40-50.

    Листы рассылки в Mdaemon'e создаются элементарно. В верхнем меню List выбираем New list. Появится окно настройки, показанное на рис. 1. А дальше - по сценарию. В закладке Options вводим имя рассылки, в закладке Members перечисляем все адреса, которые будут удостоены чести получить ваш спам, в закладке Routing ставим переключатель на Route a single copy:, а в открывшемся поле Host Name вводим адрес сервера, который нужно узнать у провайдера (рис. 2). Все.

    Рис. 1.Создание списка рассылки

    Рис. 2. Указание "smart host"

    Теперь на адрес, который мы ввели в закладке "Options", менеджер отсылает скрытую копию письма, предназначенного для рассылки. Вот и все, остальное сделает сервер провайдера.

    Не стоит также забывать, что любая рассылка - это в первую очередь спам и только во вторую - полезная информация. Иной раз, находясь в состоянии творческого подъема, менеджеры начинают рассылать письма на любые попавшиеся на глаза адреса. А, как вы сами понимаете, одно дело, когда это клиент, с нетерпением ожидающий этой информации. Но совсем другое, когда это ни в чем не повинный юзер, регулярно получающий информацию о снижении оптовых цен на крем для бритья. И бедняга начинает бороться с надоедливыми спамерами. Причем методы борьбы бывают пассивные и активные. Пассивные - это всем известные фильтры: юзер просто блокирует входящее письмо. Вам, как сисадмину, никакого вреда это не принесет, разве что вырастет трафик при возврате блокированных писем. Что, впрочем, легко предотвратить - в настройках рассылочного листа в закладке Members внизу есть флажок Automatically remove dead address: (рис. 3). При его установке несуществующие и заблокированные адреса автоматически удаляются из списка адресов рассылки.

    Рис. 3. Автоматическое удаление неактивных адресатов

    Но последнее время начинают входить в моду активные методы борьбы. Выглядит все следующим образом: интернет отлично работает, почта радостно приходит: но не уходит! У сисадмина начинается легкая истерика, а вместе с ней - ковыряния в настройках почтового сервера, перезагрузка роутера, переинсталляция программы и, в конце концов, переустановка "винды", сопровождаемая проклятиями в адрес Билла Гейтса. Но самое интересное, что после нескольких часов кропотливой работы по восстановлению работоспособности роутера все возвращается на круги своя. У сисадмина подкашиваются ноги, девушки из офиса начинают бегать за водой, валерьянкой, нашатырем...

    На саомо деле Билл Гейтс тут совершенно ни при чем. Случай отнюдь не редкий (по крайней мере, лично я наблюдал подобное трижды). Причина нервных тиков кроется в том, что сисадмин не посчитал нужным позвонить провайдеру для получения консультации. Хотя сервисная служба провайдеров и отбивает у пользователей желание звонить при возникновении проблемы с интернетом (поскольку на 999 из 1000 вопросов отвечает фразой "это у вас что-то, у нас все нормально"), бывают и исключения. А произошло вот что. Получатель спама, устав от рассылок, отсылает вашему провайдеру письмо-жалобу по поводу того, что с такого-то адреса ему рассылают нежелательную информацию. И довольно часто провайдер, не удосужившись уведомить вас, блокирует порт исходящей почты - что поделаешь, репутация превыше всего! (тем более что деньги-то вы уже заплатили).

    Лучше всего, конечно, просто не допустить возникновения подобной проблемы. А для этого:

  • лично контролируйте содержимое менеджерских рассылок. По сетевому этикету, текст сообщения должен содержать информацию о том, как отказаться от рассылки, если получатель в ней не заинтересован;

  • обязательно создайте дополнительный ящик abuse@<ваш домен>. Этот адрес по умолчанию принят на всех почтовых серверах провайдеров как своего рода книга жалоб;

  • ну и, разумеется, при любых проблемах с почтой сразу же звоните провайдеру - возможно, это их рук дело.

    Довольно часто пользователи в перерывах от напряженной работы начинают использовать почту не по назначению: отсылают знакомым фотографии с разрешением 600 dpi, песни в формате *.mp3, мультики про Масяню... И пока роутер послушно пересылает мегабайты, остальные пользователи вынуждены ждать окончания сессии. Тот же результат получается, когда пользователи получают по почте большие письма.

    Опять же, ругаться с менеджерами бесполезно - никто ничего не отправлял и не получал: знать не знают, ведать не ведают. Но, как говорится, не хотите по-плохому - по-хорошему хуже будет. Заходим в Setup -> Miscellaneous Options -> Servers. Внизу, под заголовком Data transfer limit, можно установить ограничения на размер входящих и исходящих писем на свое усмотрение (рис. 4).

    Рис. 4. Ограничение максимального размера письма

    Всем сисадминам известна скверная привычка пользователей сходу читать вложения, не проверяя их на вирусы. Можно, конечно, установить антивирусные мониторы, типа антивируса Касперского. Но, во-первых, это довольно дорого. А во-вторых, антивирусные мониторы, не поделив с основной программой приоритет доступа, довольно часто "вешают" как рабочую станцию, так и сервер. Да и пользователи, освоив правую кнопку мышки, убирают антивирусный монитор из автозагрузки и системного трея.

    Что делать?

    Оказывается, при помощи почтового сервера можно довольно эффективно бороться с вирусами в почтовых вложениях, включая даже печально известный Klez. Для этого достаточно настроить фильтры (комбинация клавиш Ctrl+F5). В закладке Admins/Attachments можно ввести названия файлов и расширений, которые будут удаляться из входящего письма (рис. 5). У меня настроено разрешение только для *.rtf, а всякие *.doc, *.pif, *.scr, *.bat, не говоря уже об *.exe, мило "обрезаются". Таким образом я предотвратил у себя на работе вирусную эпидемию. Только не забудьте, настроив фильтр, предупредить пользователей, в каком формате можно получать вложения, иначе поднимется бунт.

    Рис. 5. Фильтрация почтовых вложений

    Интернет

    По мере накопления опыта у сисадмина меняется мировоззрение и ассоциации: говорим "интернет" - подразумеваем прокси-сервер, и наоборот. Прокси-серверов под "винду" также огромное множество. WinGate, WinRoute, WinProxy и т. д. В Windows 98/Me также есть подобие прокси, именуемое "общий доступ в интернет".

    В принципе, мои симпатии, опять же, склоняются к proxy-серверу WinGate фирмы Alt-N. Люблю его за функциональность. Но, дабы меня не обвинили в необъективности и рекламе, рассмотрим более простой чешский продукт WinProxy (http://www.winproxy.cz), который также может использоваться как простенький mail-server.

    В принципе, не имеет значения, каким прокси-сервером пользоваться. Главное - что с ним делать. А задача у нас - облегчить трафик.

    В окне сетевого мониторинга и через статистику определите, какие сайты "не по работе" чаще всего посещают пользователи (рис. 6). Это могут быть анекдоты, гороскопы и прочая ерунда. Также довольно сильно засоряют трафик полюбившиеся юзерам чаты. Запретив доступ к вышеуказанным ресурсам, вы, во-первых, основательно разгрузите трафик, а во-вторых, народ будет больше заниматься делом.

    Рис. 6. Мониторинг посещаемых сайтов

    Firewall

    А без "стены огня" нынче нельзя. И необходимость в ней не ограничивается защитой от хакеров, как думают многие. Хакеры, если будет необходимость, проникнут и через десяток firewall'ов.

    Firewall интересует нас, в первую очередь, как фильтр: пропуск нужной информации и отсеивание ненужной. А последней сейчас море: баннеры, ссылки, скрипты, фреймы, счетчики и т. д.

    Насчет программного продукта - я рекомендую известный AtGuard, (http://www.atguard.com). Большинство сисадминов уже оценило его возможности по достоинству. В принципе, эти возможности велики - можно даже некоторым пользователям разрешать, а некоторым запрещать, к примеру, печатать на принтер. Но эти опции мы пока трогать не будем.

    Установив AtGuard на роутер, вверху экрана мы увидим полоску системных настроек. Далее настроим фильтры и firewall в AtGuard Settings. Интерфейс весьма интуитивен, настройка не вызовет затруднений. Кроме того, в рунете есть множество русскоязычной документации по настройке AtGuard.

    Программа имеет собственную базу адресов - источников баннеров, которую можно (и нужно!) пополнять самостоятельно (рис. 7). В свободные минуты объявляйте охоту на баннеры: загрузите какой-либо кишащий рекламой сайт и действуйте!

    Рис. 7. Фильтрация баннеров по адресам

    Потратив день-два на войну с баннерами, вы с помощью фильтра сможете экономить 40-100 Мбайт в месяц. Это будет тем более кстати, если у вас помегабайтная оплата. Посмотрите на рис. 8: как вы думаете, в каком окне включен фильтр, а в каком нет?

    Рис. 8. Результаты "обрезки" баннеров: (а) и (б)

    Выводы

    Безусловно, это далеко не полный список необходимых мероприятий и возможностей сисадмина по администрированию сети. Давайте, господа сисадмины, делиться практическим опытом - даже незначительный, казалось бы, совет или подсказка может существенно облегчить работу начинающему и неопытному сисадмину.

    Как показывает опыт, юзеров необходимо максимально ограничивать в правах на пользование рабочей станцией. Иначе можно разбудить нездоровое любопытство и интерес к экспериментам, которые для сисадмина обязательно закончатся авралом и переустановкой слетевшей "винды".

    P.S.: немного возвращусь к содержанию предыдущей статьи, параграф "Парадоксы профессии". Мне стал известен еще один способ (помимо контролируемого саботажа), как выйти из незавидного положения, когда руководство считает тебя бездельником. Его мне поведала приехавшая в командировку из Москвы сестра, которая работает программистом в Центробанке. Этим способом с успехом пользуются центробанковские сисадмины. Заключается способ в том, что любое обращение к сисадмину за помощью идет через написание служебной записки: застряла бумага в принтере, залипла клавиша в клавиатуре, засорилась мышка - все через "служебку"! К концу месяца скапливается солидная пачка, которая может быть представлена руководству, как доказательство достаточной загруженности работой.


Обсудить данную тему на нашем форуме "Все о Linux"