Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

093_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

36.82 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 1112 / 1712 13 14 15 16 17 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

// x-Profile

гостем встреч клуба «2600», а
— постоянным	подписчиком	несколько месяцев спустя
		security-рассылок,	включая
bugtraq.


Известные хобби
,	рисование(училсяв
Чтение	рисование(училсяв		года),
математика(именно		художественнойшколе 3	года),
математика(именно
	отсюдабылвзятникнейм),Искусствен-
ный Интеллект.
Проекты

ра

,а

осенью 2002года SFбыла

приобретена корпорацией

Symantec,

и Леви переехал

Также

в новый офис.

Aleph1

был администратором

очень

популярного

среди

хакеров в 1998-2001

годах сайта http://underground.

org.Тамможно

ты,

былонайтиописание

эксплои-

различныетекстыиутилиты.

уязвимостей

разросся

его стало трудно

Носовременем,когдасайт

поддерживать, и автор посте-

пеннозабросилпроект.В 2001году

ся

портал

умер,а с ним ушел в

винт накоторомхостил-

небытие и весь архив инфы.

«Я ненавижу войны приверженцев разных операционных систем. И считаю эти разборки самой глупой вещью на свете».

5 ноября

1993

года Скотт

Чейзин, недовольный публика-

цией инфы об уязвимостях,

после

спустя лишь несколько недель

обнаружения решил

ресурс,

создать собственный

который быстро реагировал бы

ности и доносил до читателей

на все прорехи в безопас-

мацию.

максимально полную инфор-

Так появился bugtraq

—

почтовая рассылка для

администраторов,

компьютерных

специалистов и

просто

людей,

интересующихся net

багтра-

security. Второй целью

ка стало совместное создание

патчей и заплаток к

разным

программам, поскольку в это

чики не

утруждали

себя

время софтварные разработ-

повышением безопасности своих

творений. Через два

года Скотт решил оставить рассылку

передал ее в руки Aleph1—

жаемых

подписчиков.За

одного из самых давних и ува-

короткоевремя

флуд и превратил багтрак в

Элиасудалилвесь

подписчиков) и

самый популярный (40 тысяч

авторитетный security

ясь его

мейл-лист, остава-

бессменным модератором на

протяжении 5-ти лет.

даже когда высшие чины

подняли вопрос о законности

bugtraq,

намереваясь его прикрыть, Aleph1

заверил всех,

что багтрак не перестанет

если

выходить несмотря ни на что, и,

потребуется, переберется за

пределы США. Все это

сделало его

одной из самых

известных фигур в мире ком-

пьютерной безопасности.

В 1996

году журнал Phrack

опубликовал статью Aleph1

«Smashing The

Stack For Fun and

ним из самых хитовых за всю

Profit». Этот текст стал од-

историю е-мага,вызвав массу

споров и дискуссий. Впервые

ееиспользованиево

уязвимость buffer overflow и

взломахбылирассмотреныстольпод-

робно,и

впервые эта информация стала

В 1999

году

вместе с

доступной всем.

несколькими компьютерными эк-

спертами

Aleph1 стал

одним из

основателей компании

Securityfocus,

сайт которой

тернете

вскоре стал крупнейшим в ин-

источником информации по

компьютерной безо-

пасности.

Элиас занял

должность технического директо-

Заслуги
Элиас Леви не получал			наград за свои тру-
ды, но в 2000	официальных		наград за свои тру-
ды, но в 2000	году авторитетный	компьютерный		портал
	году авторитетный
networkcomputing.com внес
networkcomputing.com внес
	его имя в список 10-ти самых
важных для сети людей
	десятилетия. z

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

xàêåð 09 /93/ 06	/ 109

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

>> сцена

РуВап как это было

История становления русскоязычного WAPа

Привет, комрад! Как часто ты заходишь на wap-сайты со своего мобильного телефона? Наверняка парутройку раз в день: проверить почту, скачать свежие мелодии и игрушки, да мало ли еще зачем? А задумыты, откуда вообще произошел вап, с чего все начиналось? Если тебе интересно об этом узнать,

ьше.

П	упоминаниеоWAPдатирует-	Зарождение РуВапа	сайты мобильных операторов: wap.beeline.ru,
	1997 года, когда три ли-	1999-2001 год. В то время как за рубежом	wap.mts.ru,wap.nwgsm.ru…Именносихпомо-
	мобильного мира — Ericsson,	плодились и размножались разнообразные	щью начали раскручиваться первые мобиль-
	и Nokia, — а также фирма Unwired	буржуйские WAP-сайты, создаваемые как	ные порталы, такие как wap.gala.net.
	концепцию объединения	крупными интернет-компаниями, так и люби-
	и мобильной связи. Несколько	телями-одиночками, российские операторы	ТаквыгляделообщениевГала-чате
месяцев спустя, в январе 1998, они основали		сотовой связи только начинали внедрять ус-
некоммерческую организацию WAP Forum		лугуCSDдлядоступавWAP.Люди,заставшие
(www.wapforum.org), занимающуюся про-		то время, помнят, что до заявленной опсоса-
движением этой идеи. Принята она была,		ми скорости 9,6 Кбит/сек было еще далеко.
надо сказать, на ура, и в течение следующего		Но тем не менее российские поисковики,
полугодия участниками проекта стало боль-		почтовикиипрочиесервисысталиактивноот-
шинствокрупныхпоставщиковсотовойсвязи		крывать свои представительства в WAP'е. Это
и МТ (на данный момент в консорциум входит		были (и есть) wap.mail.ru, wap.aport.ru, wap.
более500организаций).Вмае1998годабыла		ya.ru, wap.rambler.ru и т.д. C помощью этих
опубликована первая редакция WAP — v.1.0,		сайтов стало возможным зайти с мобильника
— в которой было множество ошибок и неточ-		в свой почтовый ящик, почитать свежие ново-
ностей. На их исправление ушел год, и в июне		сти, узнать курсы валют и котировки акций.
1999 Форум представил вторую версию про-		Это, конечно, было здорово, но пользоваться
токола — WAP v.1.1. Последняя версия v.2.0		такими сайтами могли лишь деловые люди
появилась в январе 2002 года, а организация		с хорошим достатком, так как в те далекие
WAP Forum вскоре стала частью Open Mobile		времена трубки с поддержкой WAP 1.1 стои-
Alliance (OMA).		ли очень дорого. Не оставались в стороне и

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

/ 110	xàêåð 09 /93/ 06

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P					BUY

				to
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

// РуВап: как это было

ru), за ним шли форум kidrock (сегодня — ад-

мин seclub.org) и galli (galli.ru). Каждый завле-

кал посетителей по-своему: Шем, к примеру, писал каждому онлайн-пользователю в приват приглашение зайти в его раздел :). Все шло хорошо: люди знакомились, общались, встречались. Через год я написал собствен- нуюwap-модификациюдляphpBB,имыстали ее продавать всем желающим. С тех пор форум pslink стал уже не таким экслюзивным, и его популярность стала угасать. Сейчас он находится на wapforum.ru, но уже полгода


			или больше не работает.
			Первые энтузиасты
	Тот самый Mypuk					Dizzy, один из
			2003 год ознаменовался появлением			основателей wap.

			буржуйского конструктора сайтов		до сих пор действу-	wab.ru
Мобильные сообщества		mywap.o2.co.uk, довольно примитивного, но			ющий wap.pslink.ru),

С 2001 по 2003 мобильные операторы внед-		альтернативы на тот момент не было. Тут же			с помощью которых
ряют тестовую и пока еще бесплатную услу-		появились желающие создать свою стра-			раскручивались вап-сайты. Они активно рек-
гу GPRS. Естественно, качество пакетной		ничку в вапе. Их (и мои, признаюсь, тоже)			ламировались в чатах, особенно на gala.net, в
передачи данных первое время оставляло		творения были ужасными, так как кириллицу			гостевых книгах других сайтов и на форумах.
желать лучшего, но все же скорость была го-		данный сервис не поддерживал. Примеры ты			Это привлекало до 500 пользователей в день.
раздо выше, чем у CSD. В это же время стали		можешь посмотреть на shem.mywap.o2.co.			Затем появляется поддержка wml-страниц на
появляться доступные мобильные телефоны		uk (первый сайт Shem'а) и bespredel.gala.net.			знаменитом бесплатном хостингеnm.ruивап-
с поддержкой WAP и GPRS (Siemens ME45,		mywap.o2.co.uk (фанатский сайт чата на gala.			мастера, у которых имелся компьютер, быст-
SL45, SL45i, M50). Благодаря появлению этих		net). Только смотреть советую не с компа че-			роосозналивсюпрелестьсозданиясайтовна
мобильников, а также ссылкам на WAP-пор-		рез Оперу, а с черно-белого мобильного те-			большом экране и полноценной клавиатуре.
талах Билайна, МТС и Мегафона, начал рас-		лефона — так ты лучше поймешь атмосферу			Мобильные конструкторы были заброшены,
кручиваться один из первых мобильных чатов		того времени. Сотни вап-мастеров сооруди-			а на смену им пришли такие популярнейшие
-— wapchat.gala.net. Я до сих пор вспоминаю		ли свои паги на конструкторе майвапа. Это			сайты,какvagan666.nm.ru,mans.nm.ruиdizzy.
бессонные ночи с сименсом в руках, прове-		было очень трудоемкое занятие, так как все			nm.ru (создатели этих проектов теперь адми-
денные в этом замечательном месте. Уже в		тексты и ссылки приходилось набирать с			нистрируют портал wap.wab.ru), libertywap.
2003 году в галанетовском чате одновремен-		телефона, оформление было стандартным			nm.ru (прообраз lwap.ru, теперешнего wapp.
но находились до 1000 пользователей он-		(сайты отличались по внешнему виду лишь			ru). В 2003 году появился и первый русский
лайн: такая цифра непосильна даже сейчас		картинкой на главной странице), неразбор-			конструктор wap.wapservis.ru, но особой по-
многим современным интернет-порталам.		чивый транслит, вечные тормоза из-за пере-			пулярности он не имел из-за ограниченных
Стоит упомянуть еще об одном сообществе-		груженности сервиса и т.д. Но все измени-			возможностей.
форуме на wap.pslink.ru, который был осно-		лось с появлением чешского конструктора			Прошло полгода. Администраторы хостин-
ван летом 2003 года на базе движка phpBB.		WAP-сайтов wlist.sk (или wlist.cz).			га nm.ru перекрыли доступ к своим сайтам
Именно из-за него я забросил чат на gala.net..		Первым о нем сообщил Slavik (автор super.			абонентам БиЛайн, в результате этого посе-
У этого форума были все основные функции		wlist.sk) на форуме pslink. Реакции наших вап-			щаемость многих вап-сайтов значительно
большого собрата, десятки активных тем и		перов не пришлось долго ждать: основная			уменьшилась. Ведь людей, сидящих в вапе,
сообщений.Главнойфишкойэтоймобильной		масса сайтов быстро перебралась с mywap.			в то время было абсолютное большинство.
конференции была возможность создания		o2.co.uk на серверы братьев-славян. Пона-			Думаю, именно этот факт послужил причиной
своих личных подфорумов. Для этого надо		чалу конструктор был бесплатным и имел
было набрать определенный лимит постов и		гораздо больше возможностей по сравне-
убедить админа в соответствующей теме в по-		нию с предшественником. Slavik даже на-
лезности нового форума. Основные разделы		шел способ писать по-русски через unicode,
были неинтересными, а вот о личных фору-		символами типа &1072#. Впервые поддержка
мах пользователей стоит рассказать подроб-		кириллицы появилась только через год, вмес-
нее. Именно из них вышли админы наиболее		те с введением оплаты за предоставляемые
известных нынче вап-сайтов. Самым посеща-		услуги. Еще одной замечатель-
емымипопулярнымразделомбылфорумсне-		ной особенностью wlist.sk была		Встреча завсегда-
хитрым названием «shem» (более 10-ти тысяч		возможность вставки счетчиков
				таев Гала-чата
сообщений.СейчасегоавторShemвместесо		рейтингов (в то время работали

мной и Нео является админом портала WaPP.		рейтинги ourwap.ru, blindazh.ru и

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

xàêåð 09 /93/ 06	/ 111

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Таквыглядитпопу- лярныйвап-портал

увеличения числа регистраций вап-сайтов в доменах второго уровня (.ru, .com, .net). Естественно, появлялись и другие бесплатные сервисы, поддерживающие вап, но они быстро умирали. Например, тот же narod. ru поддерживал wml-странички, хотя на этот «народный» мобильный сайт можно было зайти только по ссылке вида http://site.narod. ru/index.wml, где index.wml не прописывался как главная страница.

Вап-скандалы

Оченьважноупомянутьоещеодномзарубежном билдере: http://tagtag.com. В нем можно делать вап-сайты прямо с компьютера, эмуляторвапприлагается.Именносэтогоконструктора начинается история популярнейшего в то время сайта wap.mypuk.ru, админ которого свои первые опыты с вапом проводил по адресу: http://tagtag.com/mypuk. Когда wap. mypuk.ru стал падать в рейтингах, Александр Мурадов (Mypuk) предложил сотрудничество Мансу и Dizzy (адреса их бывших сайтов я уже упоминал). Ребята сделали Мурику нормальный чат, динамические загрузки, даже планировали открыть свой вап-конструктор. Но через пару месяцев появились первые партнерские программы, и Мурик в одиночку стал

Конструкторwap-сайтов			Приглашениенаwapchat
зарабатывать на этом большие деньги. Манс			клуб. Мурик даже временно заменил индекс-
и Диззи продолжали работать бесплатно, а			ную пагу на полную информацию о митинге с
Мурик их обманывал, говоря, что партнерс-			призывом пройти по ссылке и поучаствовать
кие ссылки — это просто услуга «дружест-			в акции. Как ты думаешь, какой сайт после
венным сайтам знакомых». Конечно, обман			месяца бесплатной рекламы стал самым по-
раскрылся, ребята ушли и в августе 2004			пулярным во всех рейтингах? :) Акция протес-
года основали один из самых посещаемых			та, кстати, успеха не принесла: в ней приняли
на сегодня вап-проектов wap.wab.ru. Ваб.ру			участие, если не ошибаюсь, всего около 200
получил хорошую раскрутку благодаря ка-			человек. Представитель БиЛайна тактично и
чественному вап-конструктору, а мурик.ру,			решительно парировал все аргументы про-
из-за непомерной жадности и лени своего			тестовавших людей.
админа, стал постепенно терять постоянных
клиентов.			Все меняется,
В это время в мире вапа происходят и другие			когда приходят они...
интересные вещи. В конце 2003 года извес-			Деньги... В 2004 году на вап-рынок вышли
тный веб-сайт www.siemens-club.ru откры-			первые мобильные партнерские программы
вает свое представительство в WAP — wap.			по продаже мобильного контента (в то время
siemens-club.ru. Сайт постепенно набирает			это были только java-игрушки — другие виды
обороты, но не поднимается в рейтингах			платных вап-развлечений появились позже).
выше средних мест. Зимой 2004 года сотовый			Сначала они не имели успеха, но с появлени-
оператор БиЛайн вводит оплату за GPRS-			ем у людей нормальных телефонов, подде-
трафик вместо абонентской платы в 3 дол-
лара ежемесячно. Конечно, недовольство
миллионов абонентов «пчелайна» не знало
границ. Умные люди из сименс-клуба реши-
ли навариться на этом и организовали акцию
протеста против повышения стоимости тари-
фов. Вся «важная» информация о предсто-
ящем митинге была размещена на их сайте,
и авторы призвали админов других проектов
разместить на нее ссылки. Так как о прода-
же мобильного контента
тогда мало кто еще знал,

десятки самых популяр-		Манс, один из осно-
ных вап-сайтов дали на		вателей wap.wab.ru
своих главных	страни-

цах линки на	сименс-

/ 112

xàêåð 09 /93/ 06

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		чества продаж единиц контента.		и
		В результате притока денег число вап-сай-		дизайн мобильного сайта стал по-настояще-
		тов резко выросло, появилась жестокая кон-		муактуальным),вмобильныхчатахисервисах
		куренция — никто никому не нужен, каждый		знакомств зарождается новая любовь и раз-
		сам за себя. Естественно, в результате этого		биваются чьи-то сердца. Люди находят дру-
		появился очень прибыльный сегодня рынок		зей и ссорятся... А что будет дальше? Думаю,
		вап-рекламы. То есть сайты с хорошей посе-		уже через год все мобильные сайты будут
		щаемостьюпродаютссылкинасвоихглавных		цветными и адаптированными под мобильные
		страницах другим сайтам. Причем если в 2005		телефоны с большим разрешением экрана.
		году цены начинались от 300 рублей в день, то		Появятся новые виды сервисов и мобильных
		сегодняонисоставляютужедо6500условных		услуг, администраторы WAP-сайтов станут
			единиц в месяц. Рост прибыли	зарабатывать еще больше, популярные сай-
	Автор популярного		от продаж мобильного контен-	ты станут еще популярнее, само собой, поя-
			та тому немало способствовал.	вятсяновыепорталысогромнымтрафиком.В
	раздела Shem на
рживающих java, постепенно			Качество вапа также намного	общем, те, кто говорил, что вап — это мертво-
	gala.net
стали завоевывать вап-ры-			выросло. Появились бесплат-	рожденный ребенок, глубоко ошибались. z


нок. Первой компанией, за-			ные сервисы, удобные вап-
пустившей вап-партнерки, была ЛКС со сво-		конструкторы (http://builder.port.ru), разделы
ими проектами mediamobile.ru и playfon.ru. На		с загрузками мп3-песен покруче любого веб		Ссылкипотеме
крупнейших сайтах в обязательном порядке		мп3-портала (http://wapp.ru/downloads/mp3).
сталипоявлятьсяссылкисназваниями:«Хиты		В общем, с приходом денег пришла цивилиза-
осени 2004!», «Java-игры! Халява» и прочее.		ция:).Водномизлетнихномеров][вPC_ZONE		http://openmobilealliance.org/tech/affiliates/
Одновременно с этим намного увеличилось		ищи подробную статью про заработок в вап, а		wap/wapindex.html — спецификации всех
число регистраций доменных имен, имеющих		пока учи матчасть: языки разметки вап-стра-		релизов всех версий WAP
в своем названии слово «wap». Например, мы		ниц wml и xhtml.		http://wapp.ru — пример одного из популяр-
зарегали wapp.ru 29 декабря 2004 года и по				нейших WAP-сайтов
сей день успешно с ним работаем. В 2005 ко-		Год 2006. Что дальше?		http://xhtml.ru/ — для тех, кто решил строить
личество партнерских программ еще больше		Сегодня на WAP-сайты заходят миллионы		WAP 2.0 сайт
увеличилось, наиболее примечательными из		людей в день, в них вкладывается огромное		http://computerbooks.ru/download/wml/
них были mmska.ru и wap.wapix.ru. Медиамо-		количество денег, проводятся ежемесячные		wmlbook1.rar — классный учебник WML
байл с плейфоном намного от них отстали по		рекламные аукционы на крупных сайтах, в
части качества партнерских сайтов и коли-		вап приходят работать лучшие программисты

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

>> unixoid

олисниченко

/ dhsilabs@mail.ru /

Каждому сервису — крейсерный ход

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Руководство по оптимизации работы сетевых сервисов

Сегодня мы поговорим об оптимизации работы различных сетевых программ. Практически каждый сетевой сервис имеет свои директивы управления производительностью. Значения по умолчанию рассчитаны на всех: и на домашний компьютер, на котором тот или иной сервис используется только для эксперимента, и на сервер большого предприятия, доступ к которому получают сотни пользователей одновременно. Совершенно очевидно, что данные значения не могут быть оптимальными именно для твоего случая. В этой статье мы поговорим, как выжать максимум производительности из Apache, ProFTPD, Samba и OpenSSH.

всех доступных реализаций FTP- И серверов я остановил свой выбор ProFTPD.Еслитыотдаешьпред- wu-ftpd, pure-ftpd или vsftpd, то не

волнуйся: их настройка будет аналогична. Открываем файл конфигурации, в данном случае /etc/proftpd.conf. Первое, что бросается в глаза,—этодирективаServerType.Онаможет принимать значения standalone или inetd. По умолчанию используется первое значение, означающее, что сервер будет работать автономно, а не через xinetd. Если по какой-то причине в твоем конфиге установлено значение inetd, то без промедления замени его на standalone. В автономном режиме производительность FTP-сервера заметно выше, поскольку он постоянно загружен в память

и ожидает подключения. В режиме inetd FTPсервер вызывается суперсервером xinetd по мере поступления запроса. Ясно, что во втором случае для обработки запроса требуется больше времени.

Не кажется ли тебе, что авторизация на сервере занимает слишком много времени? Этот процесс можно существенно ускорить, отключив директивы IdentLookup и UseReverseDNS:

IdentLookups off

UseReverseDNS off

Первая директива подразумевает использование протокола ident для идентификации клиента.Посколькуданныйпротоколвсерав-

но уже не используется, IdentLookups можно выключить с чистой совестью.

Вторая директива позволяет определять доменные имена подключившихся клиентов по их IP-адресам. Поскольку разрешение имен занимаетвремя,толучшеегоотключить—так авторизация на сервере будет проходить намного быстрее.

С этим разобрались, идем дальше:

• MaxClients число[сообщение] — задает максимальное число одновременно работающих клиентов. Сколько клиентов может одновременно выдержать твой сервер, зависит не только от самого сервера, но и от пропускной способности канала. Чем «шире» канал, тем с большим числом клиентов может справиться сервер.

/ 114	xàêåð 09 /93/ 06

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to

w Click										m
w Click										m
w
	w								o
	.							.c
		p					g
			df	-x		n		e
				-x	cha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to	BUY
	w Click				to						m
	w Click										m
	w
		w								o
		.							.c
//			p					g
				df			n		e
					-x cha
	Каждому сервису — крейсерный ход

Разницамеждусинейикраснойлиниямигово-		ПроизводительностьSSHиHPN-SSH
ритопотраченномвпустуюпотенциалепропуск-
нойспособности
• MaxClientsPerHost число[сообщение] — мак-	следовательно, никто не сможет и скачать		Индеец на стероидах
симальное число клиентов от одного узла.	этот файл.		Как и у сервера ProFTPD, у Apache есть ди-
Если ограничение будет превышено, то	• MaxStoreFileSize — максимальный размер		ректива MaxClients, определяющая макси-
пользователь увидит сообщение, заданное	файла, загружаемого на сервер пользова-		мальное количество клиентов, которые мо-
необязательным параметром [сообщение].	телями. Тут все зависит от «ширины» кана-		гут одновременно работать с сервером. Это
Значение зависит от каждого конкретного	ла и места на диске. На твое усмотрение.		не просто число клиентов, это еще и число
случая. Рекомендую разрешить доступ трем	Если у сервера «узкий» канал, то можно		Апачей, одновременно запущенных на твоем
клиентам от одного узла.	попробовать несколько улучшить ситуацию		сервере (то есть каждому соединению соот-
• MaxClientsPerUser число[сообщение] — мак-	с помощью следующих директив:		ветствует своя копия Апача). Представь, что
симальное число клиентов от одного пользо-	• RateReadBPSбайт-в-секунду— задает мак-		ты установил значение «30», а зайти на твой
вателя. Можно указать значение «1».	симальную скорость чтения информации с		сайт одновременно пытаются, скажем, сразу
•MaxConnectionRate — позволяет указать	сервера в BPS (область действия — сервер,		35 пользователей. Выходит, 5 пользователей
количество соединений в секунду. Данный	VirtualHost, Global, Anonymous, Directory).		окажется «за бортом». С	другой стороны,
параметр сильно зависит от ширины канала,	• RateReadFreeBytes байт — указанное ко-		если ты установишь значение с большим за-
поэтому конкретное значение порекомендо-	личество байтов учитываться не будет		пасом, скажем, «150» или даже «200», а на
вать не могу. Если установить «1», то за одну	(область действия — сервер, VirtualHost,		твой сайт одновременно заходят только 5-10
секунду с сервером можно будет установить	Global, Anonymous, Directory).		человек, то это будет непростительным рас-
только одно соединение.	• RateReadHardBPS off \| on — определяет,		точительством системных ресурсов. Зачем
• MaxHostsPerUser число[сообщение] — мак-	ждать ли ему после исчерпания первых		тебе 190 индейцев-бездельников? Они толь-
симальное количество узлов на одного поль-	бесплатных байт, пока средняя скорость не		ко съедят драгоценные системные ресурсы
зователя. Предположим, что Вася Пупкин	опустится до RateReadBPS, или нет.		(процессорное время, оперативную память).
хочет нас обхитрить. Он раздал свой пароль	• RateWriteBPS байт-в-секунду — скорость		Поэтому нужно определить максимальное
всем своим знакомым, и теперь они будут	записи информации на сервер в BPS (об-		число пользователей, которое когда-либо на-
пытаться зайти под логином Васи с разных	ласть действия — сервер, VirtualHost,		ходилосьнасервереодновременно.Этомож-
компьютеров. Мы этого сделать не позволим,	Global, Anonymous, Directory).		но сделать с помощью программы WebAlizer
поскольку установим значение «1» для этого	• RateWriteFreeBytes байт — то же, что и		или любого форума, например PHPBB.
параметра.	RateReadFreeBytes, но для записи.		Но, кроме MaxClients, есть еще и другие ди-
• MaxInstances число — максимальное чис-	• RateWriteHardBPS off \| on — то же, что и		рективы управления производительностью.
ло одновременно запускаемых процессов	RateReadHardBPS, но для записи.		Например, StartServers,	MaxSpareServers,
в режиме standalone. Во избежание прове-	• TransferRate — заменяет старые директи-		MinSpareServers. Как уже отмечалось выше,
дения успешной DoS-атаки, рекомендую	вы Rate* и позволяет задать максимальную		для каждого нового соединения создается
уделить должное внимание выбору значе-	скорость передачи данных (чтения/записи).		новая копия процесса сервера. Директива
ния для этого параметра (опять-таки за-	Использовать директивы Rate* иногда даже		StartServers задает такое количество копий,
висит от ширины канала и возможностей	предпочтительнее, поскольку можно ука-		которое будет создано при запуске исход-
сервера). В своем конфиге я установил	зать отдельно скорость чтения и скорость		ной копии сервера. При этом исходная копия
«MaxInstances 30».	записи, что бывает полезно, если сервер		сервера получает запросы и передает их сво-
• MaxLoginAttempts число — сколько раз	подключен по асинхронному каналу.		бодным копиям. Это позволяет равномерно
пользователь может ввести пароль. После	Также немного времени можно выиграть,		распределить нагрузку между отдельными
последней попытки сервер разорвет соеди-	если из строки формата протокола удалить		процессами и повысить производительность
нение. Рекомендуемое значение — «3».	модификатор «%h» (строка протоколиро-		сервера. Однако на практике все не так хоро-
• MaxRetrieveFileSize — максимальный раз-	вания задается директивой LogFormat). Это		шо, как хотелось бы. Существенного прирос-
мер получаемого файла. Можно не устанав-	имя узла клиента, но, как мы знаем, для раз-		та производительности можно добиться толь-
ливать, потому как файлы, загружаемые то-	решения имени нужно сделать DNS-запрос,		ко в случае большой загрузки сервера. По
бой на сервер, будешь контролировать ты	а на это требуется время.		умолчанию запускается пять копий сервера.
сам, а файлы, которые загружают пользо-	Правильно	установив вышеуказанные	Если число поступающих запросов превыша-
ватели, определяются с помощью директи-	параметры, можно добиться существен-		ет количество запущенных копий сервера, то
вы MaxStoreFileSize. Если никто не «зальет»	ного прироста в производительности		запускаются дополнительные процессы-сер-
на сервер файл размером, скажем, в 1 Гб,	FTP-сервера.		веры. Эти процессы не завершаются после

xàêåð 09 /93/ 06	/ 115

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

>> unixiod

System-config-httpd:настройкабыстродействия

System-config-httpd:опциикаталогавиртуальногосервера

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

обработки своего запроса, а продолжают	Танцуем самбу еще быстрее	portable.html). Но перед тем, как устанавли-
висеть в памяти. Директива MaxSpareServers	В главном конфигурационном файле Samba	вать HPN-SSH, нужно произвести неболь-
позволяет указать максимальное число таких	(smb.conf) присутствует параметр «wide	шой тюнинг стека TCP/IP. Об этом подробно
процессов. Если это количество превышено,	links».Еслиустановитьегов«no», топроизво-	рассказывается на страничке www.psc.edu/
то лишние процессы завершаются. Если ко-	дительность службы снизится приблизитель-	networking/projects/tcptune/.
личество «серверов на подхвате» меньше,	нона30%,таккакСамбанебудетследоватьпо	Прибавка производительности достигает-
чем задано директивой MinSpareServers, то	символическимссылкамвнеэкспортируемой	ся за счет изменения размера буферов SSH
запускаются дополнительные копии. Для ра-	области. Чтобы определить, где находится	или за счет отключения шифрования при
боты этих директив необходимо, чтобы сер-	ссылка—вобластииливнеобласти,—Самба	передаче файлов. Также есть патч, позво-
вер был запущен в автономном режиме.	сначала следует по символической ссылке, а	ляющий полностью отключить шифрование
Директива Timeout задает промежуток вре-	затем выполняет так называемый «directory	при передаче файла (все мы понимаем, что
мени в секундах, в течение которого сервер	path lookup» для определения, где заверши-	с точки зрения безопасности это нецеле-
продолжает попытки возобновления приос-	лась ссылка. Данная операция занимает 6 до-	сообразно).
тановленной передачи данных. Значение ди-	полнительных системных вызовов на каждый	Заставить работать SCP быстрее очень
рективы Timeout распространяется не толь-	файловый lookup, а таких запросов Самба	просто: скачиваем и распаковываем исход-
ко на передачу, но и на прием данных. Если	делает очень много.	ники,забираемпатч,применяемего(см.man
требуется передавать большие файлы, то	Производительность Самбы во многом за-	patch). После этого нужно перекомпилиро-
следует увеличить данное значение. Но, если	висит от того, правильно ли настроены па-	вать OpenSSH. Разумеется, если OpenSSH
у тебя самый обычный Web-сервер, на кото-	раметры стека протоколов TCP/IP. Если	установлен из RPM, то перед выполнением
ром не лежат ISO-образы последних дистров,	размер запросов и ответов не фиксирован,	всех этих действий нужно удалить соответс-
фильмы и прочие тяжеловесные файлы, мож-	то рекомендуется применять TCP с опцией	твующий RPM-пакет. Причем применить
но уменьшить значение таймаута до 30секунд	TCP_NODELAY:	патчи и перекомпилировать OpenSSH нуж-
(по умолчанию оно равно 300 секундам).		но как на сервере, так и на клиенте, иначе
Немного повысить производительность мо-		все без толку.
	socket options = TCP_NODELAY
гут KeepAlive-соединения, так называемые		На страничке проекта HPN-SSH можно найти
постоянные соединения. Схема обычного со-	Тесты показывают, что Samba при больших	несколько патчей. Для большинства пользо-
единения: подключились, отправили запрос,	нагрузках работает в 3 раза быстрее, чем без	вателей подойдет патч HPN-11, который яв-
получили ответ, отключились. А вот в случае	указания этой опции. Если Samba использу-	ляется своеобразным компромиссом между
с постоянными соединениями за одно соеди-	ется в локальной сети (а в большинстве слу-	производительностью и безопасностью. При
нение можно отправить несколько запросов	чаев так оно и есть), то рекомендуется также	скачивании патча обрати внимание на его
и получить ответы. Поскольку процедура под-	указать опцию IPTOS_LOWDELAY:	версию — она зависит от версии твоего па-
ключения/отключения для каждого запроса		кета OpenSSH. Для того чтобы задействовать
отсутствует, это позволяет повысить произ-		HPN-11 после перекомпиляции OpenSSH,
	socket options = IPTOS_LOWDELAY TCP_NODELAY
водительность. Включить постоянные соеди-		укажи в командной строке параметр '-R' для
нения можно за счет директивы KeepAlive, а	Хочешь выжать из Samba еще больше? Тог-	scp или '-r' для ssh.
с помощью KeepAliveTimeout установить тай-	да установи следующие параметры буфе-	Патч «HPN-11 with None Cipher» вообще от-
маут для постоянного соединения (рекомен-	ризации: SO_RCVBUF, равный 8192, и SO_	ключает шифрование при передаче файлов.
дуемое значение — 10-20 секунд).	SNDBUF, равный 8192, как показано ниже:	Шифруются только имя пользователя и па-
Чтобы твой индеец заработал еще быстрее,		роль, которые передаются по сети. После
отключидирективуHostnameLookups.Сервер		успешной аутентификации шифрование не
	socket options = TCP_NODELAY SO_RCVBUF=8192
Apache ведет журнал доступа других компью-		используется, и файлы передаются по сети в
	SO_SNDBUF=8192
теров. Если включить данную опцию (on), то		открытомвиде.Этодовольноопасно,ноесли
в журнал будет записано доменное имя ком-	Десятикратное ускорение SSH	передается объемная и не конфиденциаль-
пьютера-клиента. Если эта опция выключена	На страничке www.psc.edu/networking/	ная информация (например, музыка или ви-
(off), то в журнал попадет IP-адрес клиента.	projects/hpn-ssh/ можно скачать патчи (про-	део),тоэтотпатчвсе-такиоправдываетсебя.
Включение данной опции замедляет работу	ект HPN-SSH), ускоряющие копирование по	После применения патча отключить шифро-
сервера, так как требуется дополнительное	SCP в 10 раз! Конечно, патчи применяются	ваниеможноспомощьюопции'-z'командной
время на ожидание ответа от сервера DNS.	к исходникам OpenSSH (www.openssh.com/	строки (как для ssh, так и для scp). z
/ 116		xàêåð 09 /93/ 06

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

>> unixoid

Евгений Зобнин ака j1m

/ j1m@list.ru /

Под защитой песочного демона

Особенности функционирования ssh в chroot-окружении

Когда возникает вопрос об организации доступа к удаленной машине, лучшего решения, чем ssh, не найти. Как волшебная палочка, ssh делает друзей гостями, а недругов выставляет за дверь. Но в неумелых руках волшебство может превратиться в черную магию и обернуться против своего хозяина. Добрый волшебник Мэрлин расскажет, как этого превращения не допустить и уберечь себя от того, что скрывается внутри ящика Пандоры.

родолжая тему изолированных ок- П ружений времени исполнения, или попросту «песочниц», предлагаю твоему вниманию очередную статью в этом,

уже можно сказать, цикле. В прошлый раз мы рассмотрели преимущества технологии jail, средства для создания виртуальных серверов в ОС FreeBSD. В том материале акцент был сделан на самой технологии виртуализации, а пример с ssh приведен только для де- монстрациипрактическойпользыjail-окруже- ний. Сегодня мы немного изменим круг наших интересов (если, конечно, никто не против) и

поместимвегоцентрсамssh-сервер,аchroot- окружение будем использовать только как средство достижения заветных целей. Кроме того, в качестве рабочей платформы сегодня будет выступать Linux, лидер по количеству продаж и установок .

Перед нами стоит задача организации удаленного доступа к нашей машине. Мы должны раздавать аккаунты недоверенным пользователям в большом количестве и без проверки личной информации. Само собой, предоставление доступа такому контингенту потребует особых мер защиты, потому как трудно опре-

делить истинные намерения человека только по его имени и IP-адресу. Правильной настройки ssh-сервера и брандмауэра в данном случае не достаточно, необходимо ограничение пользователя уже внутри самой системы. Поэтому лучшим решением будет помещение юзеров в изолированную среду, chroot-окру- жение, с обрезанием всего, что может быть использовано в корыстных целях.

Свобода свободе рознь

Итак, вооружившись знаниями и взяв в руки флаг «Не допустим браконьерства!», отправ-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

/ 118	xàêåð 09 /93/ 06

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 1112 / 1712 13 14 15 16 17 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202417.06 Mб21088_Optimized.pdf
#
20.04.202416.84 Mб15089_Optimized.pdf
#
20.04.202423.33 Mб12090_Optimized.pdf
#
20.04.202427.85 Mб12091_Optimized.pdf
#
20.04.202426.82 Mб13092_Optimized.pdf
#
20.04.202436.82 Mб12093_Optimized.pdf
#
20.04.202422.64 Mб12094_Optimized.pdf
#
20.04.202463.61 Mб12095_Optimized.pdf
#
20.04.202448.08 Mб12096_Optimized.pdf
#
20.04.202435.47 Mб13097_Optimized.pdf
#
20.04.202456.87 Mб12098_Optimized.pdf