книги хакеры / журнал хакер / 106_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
>> ХАКЕР.PROto BUY |
|
|
|
m |
|||||
w Click |
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
«Антивирусы, автоматически проверяющие все открываемые файлы на лету, брандмауэры и прочие защитные механизмы на сервере лучше всего не устанавливать»
Внешне Win2k3 очень похож на XP
•DNSClient(«DNS-клиент»)—Microsoftпугаетнас,чтоеслиотключить этуслужбу,токомпьютернесможетраспознаватьдоменныеимена. Чепуха!Практическивсесетевыеприложениязанимаютсяраспознанием доменныхименсамостоятельно,имненеизвестнаниоднапрограмма, котораябынапрямуювзаимодействоваласDNS-клиентом.Авотслужба ActiveDirectoryбезнегоработатьнебудет,этоточно.
•ErrorReportingService(«Сервиссоставленияотчетовобошибках»)стоит прищемитьнакорнюкакзлостногостукача,собирающегоинформацию обошибкахиотправляющегоеевMicrosoft.
•HelpandSupport(«Помощьиподдержка»)—ещеоднаабсолютноненуж- наяслужба,отключениекоторойникомунеповредит.
•IPSECServices(«СервисыIPSEC»)идутвмусорку,потомучтоимсовершеннонечегоделатьврамкахлокальнойсети,когдазлоумышленнику прощесестьзакомпьютер,чемврезатьсявкабель.
•LogicalDiskManager(«Менеджерлогическихдисков»)реальнонужен толькотем,кто,следуязаветамMicrosoft,обновилобычныедискидо динамическихиобзавелсяпроблемамипополной.Всемостальнымэта службадолампочки.
•NetworkLocationAwareness(NLA)—ещеодинбесполезныйстукач,сле-
дящийзасостояниемсетиипосылающийуведомленияслужбамWindows FirewallиInternetConnectionSharing,которыенафайловомсерверетакже стоитотключить.
•RemoteRegistry(«Удаленныйдоступкреестру»)—зачемнамудаленный доступкреестру?Выключаемнемедленно.Ареестромбудемрулитьчерез физическийдоступилиутилитытипаRAdmin.
•WirelessConfiguration(«Беспроводнаяконфигурация»)—отключаем, еслилокальнаясетьпостроенанавитойпаре,аненановомодныхWi-Fi адаптерах.
Примечание:отключениенекоторыхслужбможетпривестиктому, чтосервервообщеоткажетсязагружаться.Непаникуй!Простозайдив RecoveryConsole(«Консольвосстановления»)ивоспользуйсякомандой enable,принимающейдвааргумента:имязапускаемойслужбыитип запуска,например:enableeventlogservice_auto_start.
Еслитынеуверенвсвоихдействиях,товместоотключения(disabled) службывыбирайручнойтипзапуска(manual),которыйнасамомделене совсемручной,апростоподразумеваетвозможностьзапускаслужбыиз другихслужб,которыевнейнуждаютсяикоторыебезнеемогутработать неправильноилинеработатьсовсем.Еслипослепереводаслужбыв manualприследующейзагрузкесервераонавсе-такистартовала(статус Started),значитимеютсянеустраненныезависимостиипереводитьеев disabledследуетсоченьбольшойосторожностью.
Такжеможнопопробоватьостановитьслужбупрямонарабочемсервереи посмотреть,чтоизэтогополучится.Кстатиговоря,вотличиеотпредыду-
щихверсий,Win2k3препятствуетотключениюжизненноважныхслужб (например,службыудаленноговызовапроцедур—RPC,накоторойдер- житсявсяподсистемаwin32),такчтоможносмелоэкспериментировать.
Шаг шестой: отказ от антивирусов
Антивирусы,автоматическипроверяющиевсеоткрываемыефайлына лету,брандмауэрыипрочиезащитныемеханизмынасерверелучшевсего неустанавливать.Поверьмоемупечальномуопыту.СампосебеWin2k3
—довольнонадежнаяштука,инаисправномжелезеонаработаетбез перезагрузокгодами,авотзащитныесистемывнедряютсявядронастольконеумело,чтоголубыеэкраныпоявляютсясзавиднойрегулярностью, особеннонадвуядерныхпроцессорахиSMP-системах.
Можно,конечно,отключитьвсепроактивныекомпоненты,оставиводин лишьантивирусныйсканер,вызываемыйпорасписанию(некоторые администраторыименнотакипоступают),новседеловтом,чтосканер (дажезапущенныйсминимальнымприоритетом)серьезнотормозитработусервера,вызываянедовольствопользователей.Теоретическиможно спланироватьрасписаниетак,чтобысканерзапускалсятольковночное времяилиповыходным,ноиногдафирмамприходитсяработатьвавральномрежимеиночью(неговоряужеовыходных),исервертуттормозить будетсовсемнекстати.
Антивирусов,установленныхнарабочихстанциях,вполнедостаточнодля обеспечениянадлежащегоуровнябезопасности,темболеекогдафайловомусерверузакрытдоступвинтернет.
Шаг седьмой: создание резервных копий
СразужепослеустановкиWin2k3настоятельнорекомендуетсясоздать резервнуюкопиюсистемыспомощьюутилитыMSBackup(смотристатью «Реставрируемокна»),позволяющейвосстановитьупавшийсерверза несколькоминутбезнеобходимостиегопереустановки.
Такжеполезноподключитьксерверуещеодинжесткийдиск,установить нанегоWin2k3(илисделатькопиюсистемногодискаспомощьюNorton Ghost)и...физическиотключитьегодолучшихвремен.Тогдаприкрахе системымысможемнемедленнопереключитьсянарезервныйдиск, простопереткнувшлейфы.
Заключение
Разумеется,тонкостиустановкииработысWin2k3этимнеисчерпываются,ивперединасждетмного«интересных»дней,нештатныхситуацийи головоломныхпроблем.Нобезвыходныхситуацийнебывает,такчтоне стоитопускатьсвойхвостипасоватьпередсложностями.Этодажехорошо,чтожизньтакаясложная.Иначебынам,администраторам,пришлось быразделитьучастьмамонтов.z
xàêåð 10 /106/ 07 |
149 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.Pro
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|||
|
|
|
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
|
|
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обменник
eXchaNge: надеЖная СиСтема обмена Сообщениями на базе wiNDOwS
На раннем этапе развития интернета возможности систем обмена информацией были ограничены, а пользователи крайне неприхотливы. Но времена изменились, и сегодня администратору требуется
обеспечить простую и безопасную работу с различными видами сообщений (электронными письмами, голосовыми месседжами, факсами) независимо от местонахождения клиента. Стандартом де-факто построения единой системы обмена сообщениями является Exchange. В этой статье мы разберем особенности последней версии сервера Exchange 2007.
подготовительные Мероприятия
ЗапоследниедесятьлетбыловыпущенонескольковерсийExchangeServer (4.0,5.0,5.5,2000и2003),каждаяизкоторыхполучилаобновленные функции.ВыходExchange2007(ранееизвестногокакExchange12)тожене сталисключением.Приегоразработке,котораяначаласьещедопоявленияверсии2003,былипроанализированыиучтенытенденциипоследних летипожеланияпользователейиадминистраторов.
УстановкаExchangeникогданебыласложнойзадачей,еслизаранеепроанализированасетьивыполненывсеусловия.Дляпроверкиготовности следуетиспользоватьинструментExchangeServerBestPracticesAnalyzer
—ExBPA(technet.microsoft.com/en-us/exchange/bb288481.aspx),хотяон большеполезенприобновленииипоследующейдоводкесистемы, чем при первичной установке. Далее следует убедиться, что используемая среда отвечает всем требованиям. Одни требования касаются
150 |
xàêåð 10 /106/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Создание обслуживаемого домена
аппаратнойипрограммнойчасти,другие—настроекActiveDirectoryи сервисов,участвующихвработеExchange.
ПриустановкеExchange2007будутсозданыуниверсальныегруппыбезопасности,которыемогутсуществоватьтольковдоменах,находящихсяв основномрежимеWindows2000Serverиливболеесовершенномрежиме. Есликонтроллердоменанаходитсявсмешанномрежиме,установкабудет прервана.Чтобыизменитьфункциональныйуровеньдомена,открываем оснастку«ActiveDirectory—доменыидоверие»,находимвдеревеконсоли свойдоменивконтекстномменюпункт«Повыситьфункциональныйуровеньдомена».Выбираем«ОсновнойрежимWindows2000»или«Windows Server2003»инажимаемкнопку«Повысить».Длявсехдоменоввлесу ActiveDirectory,гдебудетустановленExchange2007,междулесамидолжны бытьустановленыдоверительныеотношения.
Контроллердомена,являющийсяхозяиномсхемы(Schemamaster)и глобальнымкаталогом(GlobalCatalog),долженработатьподуправлениемWindowsServer2003сустановленнымпакетомобновленийSP1или SP2.Естественно,необходимаужеработающаяDNS-инфраструктура. Но,вотличиеотпредыдущихверсий,администраторуненужновручную подготавливатьActiveDirectory,всенеобходимоесделаетмастервовремя установки.Идажеесликакие-либотребованиянебудутвыполнены, мастервыдаствсенадлежащиерекомендациипоисправлениюситуации.
ЗапустивнаSchemaMasterфайлsetup.exeсключом/PrepareAD,можно подготовитьдоменвручную,ноеслиорганизацияужеиспользуетранние версииExchange,следуетиспользоватьключи/PrepareLegacyExchangePe rmissionsи/PrepareSchema.Стоиттакжеотметить,чтоневсероли,вкоторыхможетвыступатьExchange,требуютобязательногоналичияAD.
Вконце2005годабылообъявлено,чтодляувеличениямасштабируемости
ипроизводительностиExchange2007будетработатьтолькона64 разрядныхпроцессорах.Ведьприиспользовании64 разряднойадресациисервер можнооснаститьбольшимобъемомоперативнойпамяти,котораяможет бытьиспользована,например,длякэшированиястраницбазыданных,да
иодругихпараметрах,вродемаксимальногоразмерафайла,заботиться ужененужно.Такойшагвызвалмножествоспоров,и,хотясегоднявспискеприсутствуют32 битныесистемы,важноучесть,что32 разряднаяверсияExchange2007предоставляетсятолькодлятестированияиобучения, дляпроизводственныхсредонанепредназначена.Дляработыследует устанавливатьииспользоватьтолько64 разряднуюверсию.
Итак,дляустановкинампотребуетсякомпьютерспроцессоромкласса x64,поддерживающимIntelEM64TилиAMD64(нонепроцессорцы Itanium).РекомендуемымобъемомОЗУявляется2Гбплюс5Мбнакаждыйпочтовыйящик.Раздел,вкоторыйустанавливаетсяExchange,должен бытьотформатированподфайловуюсистемуNTFSииметьнеменее1,2Гб
Этап проверки готовности сервера
свободногоместа.Вотличиеотпредыдущихверсий,Exchange2007имеет встроенныеслужбыSMTP(SimpleMailTransferProtocol),адляпередачи сообщениймеждусерверамивнутриорганизациииспользуетсяMAPI,
поэтомуслужбыNNTP(NetworkNewsTransferProtocol)иSMTPнедолжны бытьустановлены.Длянекоторыхролейпонадобитсявключитьили установитьсетевойдоступкCOM+,настроитьслужбуIIS.Кромеэтого,в системедолжныбытьустановленытриобязательныхпродукта:Microsoft
.NETFramework2.0(go.microsoft.com/fwlink/?linkid=63033),MMC3.0 (support.microsoft.com/?kbid=907265)иWindowsPowerShell1.0(support. microsoft.com/kb/926139).ЕслимастерустановкиExchangeнеобнаружит наличиеэтихкомпонентов,ссылкидляихустановкибудутприведеныв сводномэкране.Установленныекомпонентыбудутнеактивныиподсвеченысерымцветом.
Установка Exchange 2007
Установочныйфайлразмеромпочти700Мбможноскачатьнасайте Microsoftпослерегистрации.Дляустановкипонадобятсяправаадминистраторадомена.Распаковываемархивизапускаемнаходящийсявнутри файлsetup.exe.Мастерустановки,которыйзапускаетсяпослевыбора «УстановитьMicrosoftExchange»,имеетинтуитивныйинтерфейс,поэтому сампроцессдостаточнопонятендаженовичку.
УстановкаExchangeстоитчетвертойпосписку,первыетрипункта должныбытьвыполнены(отмеченысерым).Далеепринимаемусловия лицензионногосоглашения,решаем,следуетлиотправлятьотчетыоб ошибкахвMicrosoft,ивыбираемвариантустановки.Доступныобычная ивыборочнаяустановки.Первыйвариантподходитдлябольшинства случаев,будутустановленывсероли,заисключениемEdgeTransport.Если нужнонастроитьработуExchangeвкластере,выбратьконкретныероли сервераилиустановитьтолькоконсольуправления,следуетиспользовать второйвариант.Хотябольшинствопараметровможноперестроитьпосле установки.ВследующемокневводимимяорганизацииExchange,приустановкепервогосервераорганизацииэтотпараметробязателен.Вимени организациинедолжнобытьспециальныхсимволов,атакженачальныхи конечныхпробелов.
Настранице«Параметрыклиента»указываем,используетсялинаклиентскихкомпьютерахOutlook2003илиболееранний.Есливыбранответ «Да»,насерверепочтовыхящиковбудетсозданабазаданныхобщихпапок (PublicFolders).ПрииспользованииOutlook2007общиепапкинеявляютсяобязательными,принеобходимостиэтотпараметрможноизменитьв ужерабочейсистеме.
Переходимкответственномуэтапу«Проверкаготовности»,входекоторогосистемаисервербудутпроверенынаготовностькустановкеExchange.
xàêåð 10 /106/ 07 |
151 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.PRO
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СводныйэкранустановкиExchange
Здесьужепотребуетсяподключениекинтернету.Всегобудетпроверено 4элемента.Еслитестнепройден,можнопройтипоссылке«Рекомендуемоедействие».Послеустраненияошибокследуетнажатькнопку «Повторитьпопытку».Есливсетестынаготовностьпройдены,появится кнопка«Установка»,нажатиекоторой,собственно,изапуститустановкуExchange.Взависимостиотвыбранныхролейэтотпроцессзаймет определенноевремя,поокончаниижмемкнопку«Готово».
Пятымшагомвменюустановкиявляетсязагрузкаобновлений Exchange.ПосленеезапускаетсяконсольуправленияExchangeиможно приступатькнастройкеегоработы.
Процедуры, выполняемые после установки
ДляуправленияExchange2007администраторможетзадействовать несколькоинструментов:консольуправленияExchange(ранееExchange SystemManager),средууправленияExchange(команднаяконсоль
Exchange,ранееMonad),оснастку«ActiveDirectory—пользователии компьютеры»иExBPA.Консольуправленияявляетсяосновныминструментом,хотядляавтоматизацииповторяющихсязадачлучшеиспользоватькоманднуюконсоль.Всеоперациирассмотретьнеполучится,тем болеечтовзависимостиотиспользуемойсхемыонимогутотличаться, поэтомуразберемнаиболеетипичныенастройки,чтобы,быстросориентировавшись,можнобылосразуприступитькработе.
ПослеустановкиExchange2007рекомендуетсяпроверитьправильность инсталляции.Этоможносделать,запустивкомандлетGet-ExchangeServer всредеуправления.Ондолженпоказатьсписоквсехролейсервера.Если вовремяустановкивозниклиошибки,источникпроблемыможновыявить,заглянуввотчеты,которыенаходятсявкаталогеExchangeSetupLogs раздела,кудаустанавливалсяExchange.Простоищемстроки,содержащие слово«Ошибка».Каквариант—всеподобныесообщенияможноотобрать командой«Get-SetupLogc:\exchangesetuplogs\exchangesetup.log-error».
Кромеэтого,следуетиспользоватьиExBPA,которыйможновызватькак черезменю«Пуск»,такивыбравпункт«Анализаторсоответствиярекомендациям»вконсолиуправленияExchange.Послепервогозапускаконсолиследуетвнимательноознакомитьсясзаданиямивовкладке«Завершениеразвертывания»,онипомогутвнастройкеразличныхпараметровдля установленныхролейсервера.
Всеролисервераможнонайти,открыввкладку«Конфигурацияорганизации».Выбрав«Почтовыеящики»,настраиваемпараметрыпочтового ящика,которыебудутприменятьсяковсейорганизации.Каждаявкладкапредставляетсобойоднуизфункцийпочтовогоящика.Так,в«Списке адресов»представленыполучатели,сгруппированныепонекоторым признакам.Выбраввправойколонкессылку«Создатьсписокадресов»,
Выбор типа установки
можносоздатьновыесписки.Вэтойжеролинастраиваютсяуправляемыепапкииполитики,которыепомогаютихсгруппировать.Управляемыепапкибываютдвухвидов:поумолчанию(например,«Входящие»)и настраиваемые.Каждыйвиднастраиваетсявсвоейвкладке.Поумолчаниюсоздаетсяавтономнаяадреснаякнига(OAB),вкоторуювключены всеклиенты.Такаякнигапозволяетклиентамэлектроннойпочты просматриватьспискиадресовбезподключенияксерверуExchange. Выбрав«Создатьпараметрыуправляемогосодержимого»,можнозадать настройки,которыебудутконтролироватьобработкусодержимого указанныхуправляемыхпапок,напримерсрокхранениясообщений, ихпересылкунадругойадрес.НастройкиОАВ(обновление,поддержка клиентов,спискиадресов)изменяютсяводноименнойвкладке.Впункте«Клиентскийдоступ»настраиваютсяполитикипочтовыхящиков ExchangeActiveSync,определяющие,какпользователисмогутиспользоватьмобильныеустройствадляподключенияксерверуExchange. ПослеустановкиExchangeбудетприниматьиотправлятьпочтутолько дляодногодомена.Еслиорганизацияиспользуетнесколькодоменов,ихнеобходимоавторизовать.Дляэтогоследуетнастроитьроль «Транспортныйсервер-концентратор».Здесьнескольковкладок.Так, в«Обслуживаемыхдоменах»можнопросмотретьсписоктекущихдоменовипринеобходимости,выбрав«Создатьобслуживаемыйдомен»,
добавитьостальныедоверенныедомены.Послепринятияпочтыстаких доменовExchangeможетдоставитьееполучателю,передатьнасервер электроннойпочты,расположенныйвдругомлесу,илиотправитьна пограничныйсервер,которыйадресуетеепоназначению.Вовкладке «Правилатранспорта»задаемусловиянасоответствие,покоторым будутпроверятьсявсесообщения(отправитель,получатель,темаипрочее).В«Политикахадресовэлектроннойпочты»определяетсяформат поумолчаниюдляпсевдонимовпользователей.ВExchange2007для подключениякудаленнымсистемамэлектроннойпочтыиспользуются отправляющиесоединителиSMTP,которыесоздаютсявовкладке«Соединителиотправки».Запустивсоответствующиймастер,необходимо указатьудаленныйSMTP-узелимаршруткнему.
Добавление администраторов и пользователей
Послеустановкибудутсозданытригруппыадминистраторов Exchange со своими ролями, предназначенными для выполнения определенных операций. Это «Администратор организации», «Администратор получателей» и «Администратор Exchange с правами на просмотр». Чтобы добавитьновую роль илиизменить разрешение, следует выбрать «Конфигурацию организации», затем вправом окне «Действия» нажать «Добавить администратора». В появившемся окне указываем
152 |
xàêåð 10 /106/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Инструменты консоли управления Exchange
пользователя(илигруппу),которыйбудетдобавленвкачествеадминистратора,егорольиподчиненныйсервер.Удалитьлюбуюгруппуможно вэтойжевкладке.
ВовремяустановкиExchangeбудетсозданпочтовыйящикадминистратора,дляостальныхпользователейящикнеобходимосоздатьсамостоятельно.Дляэтогопереходимвовкладку«Настройкаполучателей»,появитсямастерсозданияпочтовогоящика.Напервомшагенеобходимо определитьтиппочтовогоящика,внашемслучаеэто«Почтовыйящик пользователя».Затемвыбираемтиппользователя.Здесьвозможныдва варианта.ЕслипользовательужезарегистрированвAD,товыбираем «Существующийпользователь»иуказываемеговследующемокне.Иначеотмечаем«Новыйпользователь»ивокне«Сведенияопользователе» вводимвсюнеобходимуюинформацию:подразделение,имядлявхода, парольипрочее.Опциональноможносделатьтак,чтобыприпервой регистрациипользовательсменилпароль.Указанныйпарольдолжен удовлетворятьтребованиямполитик,иначесозданиепочтовогоящика завершитсясошибкой.Просмотретьполитикиможнов«Политика безопасностидоменаПараметрыбезопасностиПолитикиучетных записейПолитикапаролей».Теперьпереходимкшагу«Параметры почтовогоящика»,гдевводимпсевдоним,выбираемсерверExchange, группухраненияпоумолчанию,базуданныхиполитикипочтовыхящиков.Далеечитаемсводкупараметров,есливсеустраивает,нажимаем «Создать».ВсводкетакжеможнопросмотретькомандусредыуправленияExchange,котораябылаиспользованаприсозданиипочтовогоящика.Удалитьпочтовыйящикещепроще:отмечаемеговокне«Настройка получателей»инажимаемкнопку«Удалить»вокне«Действия». Дваждыщелкнувполюбойучетнойзаписи,можнопросмотретьиотредактироватьеесвойства.Большинствовкладокповторяютпараметры, введенныеприсозданиипочтовогоящика,ноестьидругие.Например, вовкладке«Функциипочтовогоящика»можноактивироватьилиотклю-
читьOutlookWebAccess,ExchangeActiveSync,единуюсистемуобмена сообщениями(требуеткорпоративнойлицензии),MAPI.Вовкладке «Параметрыпотокапочты»задаютсяпараметрыдоставки(пересылкаи делегированиеразрешений),ограниченияразмерасообщений,ограничениядоставкисообщений.Последнеесвойствопозволяетуказать,кому разрешено,акомузапрещеноотправлятьсообщенияполучателю.Если пользовательимеетнесколькоадресов,ихзаносятв«Адресаэлектроннойпочты»,основнойадресбудетвыделенжирнымшрифтом.Выбрав пункт«Квотыхранилища»вовкладке«Параметрыпочтовогоящика», длятекущегопользователяможноустановитьперсональныенастройки дляразныхсостоянийпочтовогоящика(предупреждениеизапретна отправку/получение)ивремяхраненияудаленныхэлементов.
Создание почтового ящика
МызатронулилишьчастьнастроекExchange.Ксожалению,всевозможностиврамкаходнойстатьиописатьневозможно.НонасайтеMicrosoft имеетсядостаточнодокументацииполюбомувопросу.Крометого,в комплектеидетподробнаясправка,переведеннаянарусскийязык.Из русскоязычныхресурсовябыпорекомендовалсайтwww.msexchange.ru. Успехов.z
Ролисервера
Exchange2007
ВраннихверсияхExchangeвключалдвесерверныероли:внешние серверыобслуживалисоединениясклиентами,анавнутренних серверахрасполагалисьпочтовыеящики.ВExchange2007администраторудлявыборадоступноуже5ролей:
1.Клиентскийдоступ(ClientAccessServer,CAS)—аналогвнешнего сервераExchange2003,сервервыступаетпосредникомдляклиентскихсоединенийипредоставляетслужбуOWA.
2.Сервер-концентратор(HubTransport)—выполняетобработкувсе- говнутреннегопотокапочты,применяетполитикумаршрутизации сообщенийиобеспечиваетихдоставкувпочтовыеящики.
3.Серверпочтовыхящиков—главныйузел,накоторомразмещены базыданныхобщихпапокипочтовыхящиков;здесьтакжесоздается автономнаяадреснаякнига.Часторолисерверапочтовыхящикови CASобъединяют.
4.Серверединойсистемыобменасообщениями(UnifiedMessaging)
—занимаетсяобменомголосовымисообщениями,передачейфаксов иэлектроннойпочты.
5.Пограничныйтранспортныйсервер(EdgeTransport)—размеща- етсявдемилитаризованнойзоне(DMZ)вкачествепромежуточного узлаиSMTP-ретранслятора;егозадача—обработкавсегопотока почтыизащитаотспама/вирусов.Такиесерверынеобязательно должныбытьчастьюAD.
Наодномкомпьютереможноразвернутьнесколькосерверныхролей (кромеEdgeTransport).Администрированиеролейвыполняется отдельно,сменуролейможнопроизводитьдинамическибезпереустановкиExchange.Еслисерверныеролибудутразвернутынанескольких компьютерах,устанавливатьихнужновпорядке,указанномвыше.
xàêåð 10 /106/ 07 |
153 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.Pro
СЕРГЕй «gRindeR» яРЕМчуК
/ GRINDER@UA.FM /
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Возьмииндейца подзащиту
обеСпечиваем безопаСноСть инфраСтрУктУры веб-Сервера
По последним данным британской компании Netcraft, самым популярным веб-сервером в интернете является Apache - его доля на рынке за последние 3 года постепенно увеличивалась и сегодня составляет 67%. Успех Apache объясняется стабильностью его работы, наличием хорошей репутации в плане безопасности и простотой в администрировании. Но нельзя забывать, что обычно Apache используется не один, а в связке LAMP – Linux, Apache, MySQL и PHP/Perl. Поэтому сегодня мы выясним, как можно повысить безопасность LAMP с помощью ModSecurity, Suhosin, модуля mod_chroot и встроенных средств индейца.
настраиваеМ ApAcHE
НесмотрянарепутациюкомпонентовLAMP,сегоднятолькоислышно оPHPinclude,SQLinjection,Crosssitescripting(XSS)идругихатаках,на-
правленныхнавеб-сервисы.СогласностатистикеWebApplicationSecurity Consortium(www.webappsec.org/projects/whid/statistics.shtml),именно онизанимаютпервыеместапоколичествузафиксированныхинцидентов.Средиосновныхпричинтакойнегативнойтенденцииназывают широкуюдоступностьинструментов,необходимыхдляпроведенияатаки, инедостаточноевниманиесостороныразработчиковсайтовквопросам безопасности.Условноможновыделить2фактора,снижающихбезопасность:ошибкивадминистрированиииошибкивпрограммировании веб-ресурса.Снимиибудемразбираться.Советыирекомендацииданы применительнокUbuntu/Debian.Подправиврасположениефайлов,их можноиспользоватьивлюбомдругомдистрибутиве.Поумолчанию веб-сервернескрываетназваниеоперационнойсистемы,своюверсиюи информациюонекоторыхустановленныхмодулях.Всеэтозлоумышленникможетиспользоватьприподготовкеатаки.Чтобысделатьиндейца менееболтливым,вконфигурационныйфайлapache2.conf(внекоторых дистрибутивахhttpd.conf)необходимодобавитьследующиестроки:
ServerSignature Off
ServerTokens Prod
ДирективаServerSignatureотвечаетзавыводинформациивнизустраницы,напримерстраницыошибки404илилистингафайловкаталога.Что
именновыводится,определяетServerTokens,значениекоторойпоумолчаниюFull.ПриустановкевProd[uctOnly]будетвыведеноназваниесервера Apacheбезномераверсии,безинформацииомодуляхиверсииопераци- оннойсистемы.Каквариант—можносразузалезтьвисходники(файл httpd.hвApache1.3иap_release.hв2.x)ипередкомпиляциейподправить информациюпосвоемуусмотрению.Внекоторыхстатьяхрекомендуют запускатьвеб-серверподотдельнойучетнойзаписью,приводявкачестве примераnobody.Запускнесколькихразличныхсерверовподэтимпользователемделаетегонеменеемогущественным,чемroot,поэтомудля запускалюбогосервераследуетиспользоватьотдельнуюучетнуюзапись. Например,вUbuntuинекоторыхдистрибутивахэтоwww-data:
$ sudo grep User /etc/apache2/apache2.conf User www-data
Создаемпользователя,отименикоторогобудетзапускатьсяиработать веб-сервер:
$sudo adduser --no-create-home --disabled-password \ --disabled-login www-data
Затемвконфигурационномфайлеуказываем:
User www-data
Group www-data
154 |
xàêåð 10 /106/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xch |
|
n |
e |
|
|||
|
|
|
|
a |
|
|
|
|
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
||||||
w Click |
to |
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Редактируем Makefile
Теперьустанавливаемнеобходимыеправа:
$ sudo chown -R root:root /etc/apache2
$ sudo /etc/apache2 -type d | xargs chmod 755 $ sudo /etc/apache2 -type f | xargs chmod 644
Аналогичныекомандывыполняемдлякаталогов/var/log/apache2(здесь хранятсяжурналы)и/var/www(соответствуетDocumentRootвUbuntu). Нетникакихпрепятствийдлятого,чтобыубратьиправоначтениеконфигурационныхфайловApache:
$ sudo chmod -R go-r /etc/apache2
Поумолчаниюиндеецзагружаетдовольнобольшоеколичествомодулей. Чтобыпросмотретьте,чтоскомпилированывместесApache,используй apache2ctl-lилиapache2-l.Ксожалению,лишнееизполученногосписка убираетсятолькопутемполнойпересборкииндейца.Всединамически загружаемыемодули(DynamicSharedObject)можнопросмотреть,введя:
$ sudo grep — R LoadModule /etc/apache2/*
Внимательноизучаемполученныйсписокивконфигекомментируемто,что ненужно.Вотсписокмодулей,которыеможнобезболезненноотключить, естественно,убедившись,чтоонидействительнонаминеиспользуются: mod_imap,mod_autoindex,mod_include,mod_info,mod_userdir,mod_status. Apacheподдерживаетдватипааутентификации:basicиdigest(обеспечиваетсямодулемmod_auth_digest).Впервомслучаепарольпередаетсявоткрытомвиде.Прииспользованииэтоготипааутентификацииузлоумышленникаестьвозможностьперехватитьлогинипарольиполучитьдоступ ковсей«охраняемой»области.ВdigestпередаетсяResponse,которыйпредставляетсобойконтрольную(обычноMD5)суммуоткомбинациилогина, пароля,запрашиваемогоURL,методаHTTPистрокиnonce,генерируемой серверомприответе.Строкаnonceпозволяетсделатьэтустрокупоистине уникальной.Длявключенияdigest-аутентификациииспользуем:
AuthType Digest
ОднойизособенностейApacheявляетсяиспользованиетиповогодоступа, когдамногиепараметрылибоустанавливаютсяпоумолчанию,либо наследуютсяотродительскогокаталога.Чтобыизбежатьнеприятностей, следуетпринудительноограничитьвыполнениеCGI-скриптов,SSI(Server SideIncludes)включений,индексированиякаталогаиследованиесимволическимссылкам.Дляэтоговописанииресурсанеобходимодеактивироватьследующиедирективы:
Options All -Indexes -Includes — ExecCGI -FollowSymLinks
Либоотключитьвсесразу:
Правила ModSecurity
Options None
Чтобызлоумышленникнесмогпрочитатьвременныеиликонфигурационныефайлы,используйследующуюконструкцию:
<Files «(^\.ht|~$|\.bak$|\.BAK$)”> Order Allow,Deny
Deny from all </Files>
Невсегдавеб-серверилиотдельныйресурсдолжныбытьвидныизсети. Например,используетсяпрокси,либоэтовнутреннийсерверкомпании. Еслинетвозможностизакрытьдоступбрандмауэромилииспользовать отдельныйинтерфейс,тогдадоступкресурсуследуетограничитьнаосно- ванииIP-адресаилидиапазонаIP-адресов:
Order Deny,Allow
Deny from all
Allow from 192.168.0.0/24
НесмотрянаточтодирективаSatisfyимеетвсегодвапараметра—Allи Any,онапредоставляетвозможностьболеегибкоконтролироватьдоступ кресурсу.Например,намнужно,чтобыдоступкприватнойпапочкемогли получитьтолькозарегистрированныепользователиитолькосуказанных адресов.Какэтосделать?Оченьпросто:
Order Deny,Allow
Deny from all
Require valid-user
Allow from 192.168.0.0/24
Satisfy All
Адлятогочтобыпользователивнутреннейсетимогливообщенерегистрироваться,ставимвместоAllAny.
Еслиизменитьзначениянекоторыхпараметров,можносмягчитьэффект DoS-атаки.Например, Timeout определяет, в течение какого времени сервер будет ожидать ответа клиента. В более ранних версиях Apache значение этой директивы равнялось 1200 секундам, затем оно было уменьшено до 300 сек. Мы можем спокойно его урезать, например, до 60сек(этоотразитсятольконапользователяхсплохимсоединением):
Timeout 60
Поумолчаниюразмерклиентскогозапросанеограничен.Этообстоятельство такжеможетбытьиспользованодляорганизацииDoS-атаки.Администратор всилахпринудительноуказатьразмерзапросавпределахот0(неограничен) до2147483647байт(2Гб)какдлявсегосервера,такидляотдельныхресурсов. Например,чтобыограничитьразмерзапроса100килобайтами,пишем:
xàêåð 10 /106/ 07 |
155 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.PRO
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Запрашиваем список модулей
LimitRequestBody 102400
Если клиент загружает на сервер некоторые данные (например, содержимоезаполненныхформ),тоэтотпараметрследуетскорректировать. Для противодействия атакам «Отказ в обслуживании» существу-
ет целый ряд директив: LimitRequestFields, LimitRequestFieldSize и LimitRequestLine, MaxRequestsPerChild, MaxClients и некоторые
другие. При необходимости, возможно, их значения стоит пересмотреть, выставив оптимальные для конкретных условий. Как вариант
— для борьбы с DoS-атаками можно применять специальный модуль mod_evasive(www.zdziarski.com/projects/mod_evasive).
Устанавливаем ModSecurity
Значительноповыситьзащищенностьвеб-ресурсаможноспомощью ModSecurity.Этотпроект,созданныйИваномРистикомв2003году, позволяетзащищатьвеб-приложениякакотизвестных,такиотещене- известныхатак.ModSecurityработаетввидемодулявеб-сервераApache, либовавтономномрежиме.Егоиспользованиепрозрачно,установкаи удалениенетребуютизменениянастройкисервисовисетевойтопологии. Крометого,приобнаруженииуязвимогоместатеперьнетнеобходимости правитьисходныекоды,создаваяновыеошибки,—достаточнодобавить правило,запрещающеевредоноснуюкомбинацию.
Врепозитариинекоторыхдистрибутивовужевключеннужныйпакет, следуетпоискатьчто-товродеmod-security.ВDebianдостаточнодобавить в/etc/apt/sources.listновыйрепозитарий:
deb http://etc.inittab.org/~agi/debian/libapache-mod- security2/ etch/
Изатемможноинсталлировать:
#apt-get update
#apt-get install libapache2 mod-security2
УстановитьModSecurityизисходныхтекстовтожепросто.Длясборки необходимызаголовочныефайлыApache,поэтомузабираемисходные текстывеб-сервераизрепозитарияилиссайтапроекта:
$ sudo apt-get apache2 src libxml2 dev
Еслииспользуются исходные тексты,взятые с сайта проекта, то перед компиляцией mod_security следуетсконфигурировать веб-сервер командой ./configureс нужными параметрами (для работы модуля понадобится ‘--enable-unique-id’), а затемвыполнить следующиедействия:
$ wget — c www.modsecurity.org/download/modsecurityapache_2.1.1.tar.gz
$ tar xzvf modsecurity-apache_2.1.1.tar.gz $ cd modsecurity-apache_2.1.1/apache2
ТеперьредактируемMakefile:
$ mcedit Makefile
#Меняем apxs на apxs2 (APache eXtenSion tool) APXS = apxs2
#Каталог с исходными текстами Apache
top_dir = /home/grinder/source/httpd-2.2.4
Компилируеммодуль,останавливаемApache,устанавливаеммодуль:
$ make
$ sudo /etc/init.d/apache2 stop
$sudo make install
Вконфигурационныйфайлвеб-серверадобавляемдвестрочки:
LoadFile /usr/lib/libxml2.so
LoadModule security2_module /usr/lib/modules/mod_ security2.so
Дляудобствавсенастройкиmod_securityлучшевынестивотдельный файл,взявзапримерготовыйшаблониподключивеговapache2.conf директивой:
Include /etc/apache2/mod_security.conf
Копируемшаблониправим:
$ sudo cp modsecurity-apache_2.1.1/modsecurity.conf- minimal /etc/apache2/mod_security.conf
$ sudo mcedit /etc/apache2/mod_security.conf <IfModule mod_security2.c>
SecRuleEngine On
...
SecFilterDefaultAction "deny,log,status:430" </IfModule>
Активируеммодульmod_unique_id:
$ sudo a2enmod unique_id
ТеперьможнозапускатьApache:
$ sudo /etc/init.d/apache2 start
Есливсеработаетнормально,можнодобавлятьправила.Командаразработчиковуделяетбольшоевниманиеусовершенствованиюкодаmod_security, оставляясозданиеправилнаоткуппользователю,поэтомуоригинальный конфигурационныйфайлимеетвсегонесколькорулесетов,находящихсявпод- каталогеrules.Насайтепроекталежитотдельныйархивmodsecurity-core-rules. Дляподключениявходящихвегосоставправилдостаточноскопироватьвсе conf-файлывкаталог/etc/apache2ивсекцииmod_security2.cуказать:
Include rules/*.conf
Include rules/blocking/*.conf
Подключатьвсесразунестоит.Некоторыеправилатребуютредактированияподконкретныеусловия,лучшеразбиратьсяпостепенно.
Защищаем PHP с помощью Suhosin
ЗадачапроектаSuhosin(www.hardened-php.net/suhosin)—защитасер-
веровипользователейотцелогорядаизвестныхпроблемвприложениях иядреPHP,таккакsafe_modeпомогаетдалеконевсегда.СамSuhosin
156 |
xàêåð 10 /106/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
ХАКЕР
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|||
.PROBUY |
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Проверяем правильность закачки
состоитиздвухнезависимыхчастей,которыемогутиспользоваться какраздельно,такисовместно.Перваячасть—небольшойпатчкядру, осуществляющийнизкоуровневуюзащитуструктурданныхотпереполнениябуфера,уязвимостиформатнойстрокииошибоквреализации функцииrealpath,присущейнекоторымплатформам,атакжеотдругих потенциальныхуязвимостейядраPHP.Втораячастьреализованаввиде расширения,котороефактическииосуществляетвсюосновнуюзащиту, принеобходимостиегооченьпростодоустановитьвужерабочую системубезполнойпересборкиPHP.Сполнымспискомвозможностей можнопознакомитьсянасайтепроектаwww.hardened-php.net/suhosin/ a_feature_list.html.
Вслучаенарушенияустановленныхправилвозможнаблокировкапере- менных,отсылкаопределенногоHTTP-кодаответа,перенаправление браузерапользователя,выполнениедругогоPHP-скрипта.Всесобытия заносятсявжурналы,длячегоможетиспользоватьсяsyslog,своймодуль иливнешнийскрипт.ПоследниеверсиирасширенияSuhosinсовместимы практическисовсемиверсиямиPHP.
УстановкаSuhosinвключаетвсебя2этапа:наложениепатчанаPHPс последующейегопересборкойикомпиляциямодулярасширения.Хотя возможнаисборкасовстроеннымрасширением.Чтобынебылопроблем сзависимостями,вUbuntuпередначаломустановкирекомендуюдать командуsudoapt-getbuild-depphp5.
СкачиваемPHP,затемпатчsuhosinподиспользуемуюверсиюPHPимодуль расширения.Всеэтораспаковываем,накладываемпатчикомпилируем:
$ tar xvjf php-5.2.3.tar.bz2
$ gunzip suhosin-patch-5.2.3-0.9.6.2.patch.gz $ cd php-5.2.3
$ patch -p 1 -i ../suhosin-patch-5.1.6-0.9.5.patch
$ ./configure [--enable-so и другие параметры при необ-
ходимости] $ make
$ make test
$ sudo make install
Теперьсобираеммодульрасширения:
$ tar xzvf suhosin-0.9.20.tgz $ cd suhosin-0.9.20
$ phpize
$ ./configure --prefix=/usr/lib/php5/20060613+lfs/ $ make
$ make test
$ sudo make install
Проверитьсборкуможно,введякоманду:
$ php — v
PHP 5.2.3 with Suhosin-Patch 0.9.6.2 (cli) (built: Jul 26 2007 11:35:13)
ВсенастройкиSuhosinпроизводятсявфайлеphp.ini.Патчподдерживаеттолькоопциирегистрации,поэтомупервойзаписьюобязательно подключаеммодульsuhosin.so(ондолженбытьвиденпеременной
LD_RUN_PATH):
extension=suhosin.so
Послеустановки Suhosin будет работать с настройками по умолчанию, которые достаточны, но, возможно, не оптимальны для твоей конфигурации.
Строим chroot
Дляпостроенияchroot-окружениянампонадобитсямодульmod_chroot (core.segfault.pl/~hobbit/mod_chroot).ВрепозитарииUbuntuонприсут-
ствует:
$ sudo apt-get install libapache2 mod-chroot
Параллельнобудетустановленпакетmod-chroot-common,содержащий документацию(/usr/share/doc/mod-chroot-common).Длясамостоя-
тельнойсборкиmod_chrootдостаточнораспаковатьсвежескачанный архививвестикомандуapxs2-ciamod_chroot.c.Далееследуетуказать, чторабочийкаталогтеперьявляетсякорневым,тоестьвapache2.conf прописываем:
<IfModule mod_chroot.c> LoadFile /lib/libgcc_s.so.1 PidFile /var/run/httpd.pid ChrootDir /var/www DocumentRoot /
</IfModule>
ЗначениеDocumentRootизменяемс«/var/www»на«/»ивсессылкина ресурсыдаемотносительнокорня.Вapache2.confнезабываемподключитьмодуль:
LoadModule chroot_module /usr/lib/apache2/modules/mod_ chroot.so
ЛибовUbuntuправильнее:
$ sudo a2enmod mod_chroot
ПрииспользованииApache2понадобитсясоздатькаталогдляPID-файла.
$ sudo mkdir -p /var/www/var/run
$ sudo chown -R root:root /var/www/var/run
$ sudo ln -s /var/www/var/run/httpd.pid /var/run/httpd. pid
Перезапускаеминдейцаипроверяемработу.
Этодалеконевсе,чтоможносделатьдлязащитыLAMP.Такжеследует учесть,чтоприведенныесоветынемогутгарантироватьабсолютной безопасности(такогопростонебываетвприроде)хотянесколько уменьшитьрисконипозволяют.Крометого,внекоторыхсредахчасть параметровможетвызыватьпроблемыиливлиятьнапроизводительность.Поэтомукихиспользованиюследуетподходитьосторожно,вводя измененияпостепенноитщательнотестируярезультат.Универсальный советпо-прежнемуодин:следуетизучатьдокументациюивключать толькото,чтонужно.z
xàêåð 10 /106/ 07 |
157 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
||||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||
w Click |
to BUY |
|
>> |
|||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.Pro
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
воССтановление wiNDOwS SerVer 2003 поСле тяЖелых ранений
Windows Server 2003 — достаточно надежная и неприхотливая система, средняя наработка на отказ которой составляет несколько лет. Для борьбы с падениями народ вовсю использует Norton Ghost, Acronis TrueImage и другие платные утилиты, плохо работающие (или совсем неработающие) с SCSI-дисками/ RAID-массивами, а о штатном MS Backup никто и слушать не хочет — все сразу начинают махать руками и гнать волну. Плох же тот мастер, кто не знает свой инструмент! Мыщъх использует MS Backup уже более семи лет и со всей ответственностью заявляет, что это отличное средство восстановления системы, обладающее огромным скрытым потенциалом, о котором мы сейчас и расскажем.
очемупадаетWin2k3?Причинынасамомделеразличны, П иеслипопытатьсяогласитьвесьсписок,тополучится
здоровенныйталмуд,поэтомуперечислимлишьнаиболее значимыеизних:
•установка«кривого»программногообеспечения(пакетовобновлений, прикладныхприложений,драйверовит.д.),вызывающаяконфликтыразнойстепенитяжестии/иливедущаякразрушениюкритическиважных структурданных;
•сбоипитанияи/илидефектыоборудования,нарушающиецелостность системногокода/данных;
•вирусные эпидемии и хакерские атаки, завершающиеся внедрением нестабильно работающего руткита;
•ошибкиоператора,удалившегожизненноважныесистемныефайлы, отключившегобазовыеслужбыилисделавшегодругуюглупость.
Такжеприходитсясталкиватьсясфизическимиотказамижесткогодиска, контроллераRAID-массива,разрушениемглавнойзагрузочнойзаписи, boot-сектораидругимикатастрофамипланетарногомасштаба,требую- щимидлявосстановленияданныхнетолькосоответствующихнавыков, нои(врядеслучаев)весьмадорогостоящегооборудования.
Ксчастью,такиепроисшествияслучаютсянечасто.Внашихрассуждениях
158 |
xàêåð 10 /106/ 07 |