Самоучитель
системного администратора

2.2. Защита хоста

Каждый сервер или рабочая станция должны быть защищены от вредоносного программного обеспечения, от попыток сетевых атак и т. п. Поэтому наличие программ защиты хоста является крайней необходимостью.

Вопросам защиты информации посвящена глава 9 этой книги. В этом разделе отметим только то, что к функциям программ защиты хоста обычно относят:

  • антивирусную защиту, защиту от вредоносного кода;
  • контроль доступа к компьютеру из сети и контроль трафика изнутри наружу (межсетевой экран);
  • защиту от сетевых атак (анализ передаваемых по сети пакетов);
  • контроль устройств и приложений (разрешение/запуск приложений, блокировка/доступ к устройствам).

Функции межсетевого экрана в настоящее время встроены во все операционные системы. Можно говорить о разном уровне функциональности, удобства управления и т. д., использовать дополнительное ПО, но это уже определяется требованиями к уровню безопасности и опытом администратора.

Иностранные пользователи в основном используют бесплатные версии антивирусного программного обеспечения. К сожалению, в нашей стране практика иная, хотя имеющиеся бесплатные продукты и обеспечивают необходимый уровень защиты. Можно упомянуть бесплатные антивирусы Microsoft Security Essentials, Avast!, AVG, Avira AntiVir и многие другие.

Функции защиты от сетевых атак обычно необходима в корпоративных сетях. Индивидуальные персональные компьютеры достаточно просто закрыть от любого входящего трафика средствами межсетевого экрана.

Аналогично, контроль устройств и приложений востребован системными администраторами. На рис. 2.7 показано сообщение системы в ответ на попытку пользователя подключить запрещенное устройство.

Рис. 2.7.
Блокировка устройств с помощью Symantec Endpoint Protection

Обратите внимание, при выборе решения необходимо искать приложения, которые позволяют блокировать все устройства по типу (например, все USB-сменные носители) и разрешать при этом подключение по серийному номеру. В противном случае пользователи найдут способ обойти эти ограничения.

Средства резервного копирования

Наличие подсистемы резервного копирования и соблюдение регламентов операций создания копий данных является требованием к каждой информационной системе. Программы резервного копирования, включаемые в состав операционной системы, большей частью пригодны только для защиты данных личных документов и аналогичной информации.

Какой же опционал должен быть включен в программное обеспечение резервного копирования? Можно назвать следующие возможности:

  • Возможность восстановления всей системы с нуля и на новое оборудование.

    Программа резервного копирования должна позволить администратору быстро и путем простых операций подготовить и восстановить систему на новом оборудовании. Понятно, что подобные ситуации не будут встречаться часто, но эта возможность сведет к минимуму возможные простои. На рис. 2.8 показано одно из окон настройки конфигурации восстановления системы на новое оборудование в программе резервного копирования Symantec NetBackup. Администратору достаточно просто добавить в предложенном окне новые драйверы оборудования к имеющейся конфигурации.

Рис. 2.8.
Окно настройки параметров конфигурации для восстановления системы

  • Поддержка прикладных программ, эксплуатируемых в организации.

    Корпоративная программа резервного копирования должна выполнять задачу сохранения данных для всех программ, которые используются в организации. Это касается серверов баз данных, почтовых программ различных производителей, ERP -систем, если таковые присутствуют в системе, и т. д.

      Примечание

      ERP-система (англ. Enterprise Resource Planning System — система планирования ресурсов предприятия) — это интегрированная система на базе ИТ для управления внутренними и внешними ресурсами предприятия.

  • Программа резервного копирования должна позволять создавать гибкий график операций.

    Администратор должен достаточно просто настраивать график полного и частичного резервного копирования для каждого продукта и быть уверенным, что в случае сбоя (например, временной недоступности сервера) операция будет повторена через заданные промежутки времени.

    Кроме того, администратор не должен выполнять несколько последовательных операций при восстановлении данных: программа должна самостоятельно объединить полные и промежуточные копии на требуемый момент времени.

  • Возможность гранулярного восстановления.

    На практике резервные копии данных часто используются для того, чтобы восстановить случайно удаленные пользователями отдельные файлы или вернуть информацию к предыдущему состоянию.

    Удобно, если такая функциональность доступна самим пользователям, чтобы они не привлекали администраторов для решения указанных задач (конечно, с необходимым контролем прав доступа).

  • Развитая отчетность.

    Отчетность по результатам выполнения операций является немаловажным свойством. Быстрое получение сведений об ошибках операций, о составе резервных копий, об использовании объемов устройств хранения и т. п. помогает администратору принимать верные решения по управлению системой.

  • Поддержка ленточных библиотек (опционально).

    В большей части организаций операция резервного копирования выполняется на дисковые устройства. Это быстро, достаточно дешево. Но если требуется хранить данные годами, то в такой ситуации конкурентов у ленты нет и сегодня. Но магнитная лента требует и особого обращения к себе: специальных условий хранения, периодических перемоток и т. п. Поэтому ленточные библиотеки применяются только в крупных организациях или в специализированных целях.

  • Дедупликация данных (опционально).

    Технология дедупликации подразумевает исключение дублирования хранимых данных. Данные разбиваются на блоки, для них вычисляется хэш-функция.

    И если выполняется попытка записи нового блока, который уже совпадает с тем, что хранится в системе (совпадают значения хэш-функций), то вместо повторной записи всех данных блока записывается только указатель на существующие в системы блоки.

    Дедупликация может сократить размер хранимых данных, особенно если по регламенту резервного копирования организации должно создаваться и храниться много промежуточных копий (например, если требуется сохранять ежедневные копии в течение месяца).

      Примечание

      Разработано несколько технических решений дедупликации, например, для блоков данных постоянной длины и переменной (последнее более приспособлено к небольшим изменениям данных). Но это не имеет принципиального значения при данном рассмотрении.

    Уменьшая объемы хранения данных, технология резко повышает требования к надежности систем хранения. Если при "обычных" копиях выход из строя одного блока данных приводил к ошибке в одном файле, то при использовании дедупликации такая ошибка может привести к гораздо серьезным последствиям.

    Дедупликация полезна и в том случае, если резервное копирование выполняется по медленным каналам (например, удаленных клиентов по сети Интернета). В таких ситуациях может помочь выполнение дедупликации на стороне клиента: на систему хранения в таком случае будут передаваться только уникальные блоки и информация по дедуплицированным.

  • Возможности резервного копирования виртуальных машин (опционально).

    Современные программы резервного копирования позволяют сохранять данные с виртуальных машин с помощью агента, устанавливаемого на гипервизор, без установки агентов резервного копирования на каждую виртуальную машину.

    Если администратор хочет использовать такую возможность, то он должен предварительно уточнить, для каких операционных систем и приложений подобная функциональность поддерживается, и сравнить стоимость лицензий такого решения с суммарной стоимостью лицензий агентов на каждой виртуальной машине.

  • Дополнительные корпоративные функции (опционально).

    Программы резервного копирования могут включать дополнительные функции, позволяющие снизить нагрузку на производственные системы во время операций или имеющие какой-либо дополнительный функционал. Например, при наличии в информационной системе устройств хранения, подключенных по сети SAN, на таком устройстве могут создаваться мгновенные снимки данных, которые будут копироваться на устройство резервного копирования по линиям FC (fiber channel — оптоволоконный канал), а выполнять само копирование — для разгрузки производственного сервера — можно с другого сервера.

      Примечание

      SAN (англ. Storage Area Network — сеть хранения данных) — представляет собой архитектурное решение для подключения внешних устройств хранения данных, таких как дисковые массивы, ленточные библиотеки, оптические приводы к серверам таким образом, чтобы операционная система распознала подключенные ресурсы как локальные.

Такие возможности специфичны для каждого продукта.

Электронный офис

Наличие программ текстового редактора, электронных таблиц и т. п. стало фактическим стандартом для персонального компьютера. Большинство пользователей не задумываются о требуемой функциональности от этих продуктов и той цене, которую приходится платить за эти программы.

Можно уверенно сказать, что подавляющая часть пользователей не использует возможности, заложенные в последних версиях продуктов. Для текущей работы с документами полностью достаточно той функциональности, которая присутствует в бесплатных версиях.

Наиболее известной версией бесплатного офисного пакета является OpenOffice.

    Примечание

    В связи с тем, что компания Sun Microsystems вошла в состав Oracle, у сообщества были опасения в сохранении для этого продукта статуса бесплатного. В итоге появился продукт LibreOffice, по сути это клон OpenOffice, но с публичной лицензией. Через некоторое время Oracle передал открытому сообществу права на OpenOffice. Таким образом, это решение остается бесплатным для использования.

OpenOffice бесплатен для применения. В его состав входят:

  • текстовый процессор OpenOffice.org.Writer (аналог Microsoft Word);
  • редактор формул OpenOffice.org.Math (в пакете Microsoft Office используется как встроенный объект);
  • редактор рисунков OpenOffice.org.Draw;
  • редактор электронных таблиц OpenOffice.org.Calc (аналог Microsoft Excel);
  • редактор презентаций OpenOffice.org.Impress (аналог Microsoft PowerPoint).

Интерфейс программы полностью напоминает Microsoft Office в том варианте, который был до появления ленточного интерфейса (рис. 2.9). Лично автору этот интерфейс более удобен в работе, чем новый, но это, конечно, дело вкуса.

Рис. 2.9.
Окно документа Microsoft Office в программе OpenOffice. На рисунке показан счет, созданный на основе шаблона Microsoft Office

OpenOffice позволяет редактировать документы Microsoft Office (в том числе и последних версий — .docx и аналогичных), свой же собственный формат документов стандартизован в нашей стране.

Продукт локализован. Можно скачать базовый дистрибутив с сайта http:// download.openoffice.org/ и использовать его совершенно свободно и бесплатно.

Обратите внимание, что есть и сборка продукта от Инфра-ресурс (http:// i-rs.ru/download), являющаяся коммерческим продуктом. Как написано на сайте, "InfraOffice.pro генерирует предупреждения при подписи, сохранении или отправке документа со скрытой информацией (правки, комментарии, поля и т. п.) и/или персональными данными, предоставляя средства автоматизации для их удаления''. Если вам нужна эта функциональность, то вы можете заплатить за такой продукт, но лично я не вижу смысла в такой версии. Базовый продукт удовлетворяет обычно полностью всем потребностям пользователей.

OpenOffice может быть использован на предприятиях с централизованным управлением по групповым политикам. Рекомендации по разворачиванию групповых политик для OpenOffice подробно описаны на сайте http://openofficetechnology.com/.

Причины сохранить Microsoft Office, конечно, могут быть. Например, часть прикладного программного обеспечения осуществляет экспорт информации в документы Microsoft Word. Сложности сформировать документы OpenOffice нет, однако это просто не предусмотрено в программе. Или часть бухгалтерских отчетов формируется в Microsoft Excel, причем шаблоны поставляются внешней организцией и содержат сценарии на VisualBasic, при преобразованиях которых часто возникают проблемы.

Электронная почта

Если для индивидуального пользователя часто достаточно почтового ящика на любом из бесплатных серверов Интернета, то серьезность организации проявляется и в наличии собственного почтового домена, когда в правой части адреса указывается имя собственного домена организации.

Самый простой способ организации подобного почтового обслуживания заключается в размещении сервера на ресурсах Интернет-провайдера. После регистрации собственного доменного имени достаточно доплатить еще небольшую сумму и оформить услугу почтового обслуживания. Преимущества такого варианта: надежность (решения провайдера выполнены в отказоустойчивом варианте), доступность из любой точки Интернета, возможность простейшей обработки сообщений (например, фильтрация спама и т. п. — зависит от конкретных условий).

Однако в последнее время от почтового сервера ждут не только обмена сообщениями, но и поддержки функциональности организации групповой работы: наличие календаря и планирования встреч, общих папок хранения сообщений и документов, единых списков контактов и т. п. Частично данный функционал можно реализовать и на бесплатных почтовых ящиках, например, в Gmail можно вести календарь, а если в качестве клиента использовать обозреватель Chrome, то и получать оповещения на рабочий стол о предстоящих событиях и т. п. Однако более функциональными являются локальные решения, которые можно выбрать и настроить под конкретные пожелания.

    Примечание

    Gmail (от Google Mail) — бесплатная услуга электронной почты от американской компании Google. Предоставляет доступ к почтовым ящикам через веб-интерфейс и по протоколам POP3, SMTP и IMAP.

    Chrome — браузер, разработанный компанией Google на основе свободного браузера.

Среди коммерческих решений корпоративной работы можно отметить Lotus от IBM и Exchange Server от Microsoft.

Сервер и клиенты Lotus присутствуют в версиях как для Linux-систем, так и для Windows. Отличительной особенностью Lotus является построение продукта как распределенной базы данных. В результате, используя Lotus как транспортную систему, легко реализуются такие приложения, как, например, учет и регистрация входящей корреспонденции, заявлений и т. п.

Exchange Server можно установить только на серверы Windows, а основной клиент — Microsoft Outlook — так же предназначен для стационарных и мобильных Windows-систем. Преимущество данного варианта организации корпоративного обслуживания — в интеграции всей линейки продуктов Microsoft. Единый интерфейс всех продуктов офиса, типовое управление, легкость обмена данными.

Эти перечисленные чуть ранее продукты являются коммерческими, и их внедрение часто не по карману небольшим организациям. В то же время существует ряд бесплатных продуктов, которые поддерживают возможности групповой работы, в частности:

  • eGroupware (http://www.egroupware.org/);
  • Group-Office (http://www.group-office.com);
  • Open-Xchange (http://mirror.open-xchange.org/ox/EN/community/);
  • Scalix (http://www.scalix.com, бесплатная версия имеет некоторые ограничения функциональности по сравнению с коммерческим вариантом);
  • Kolab (http://www.kolab.org);
  • OGo-OpenGroupware (http://www.opengroupware.org/);
  • Zimbra (http://www.zimbra.com/);
  • Open Source Outlook MAPI Connector (http://www.openconnector.org/).

Так, автор уже много лет эксплуатирует в различных организациях систему корпоративной работы Zimbra Collaboration Suite Open Source Edition (ZCS). Архитектура этого продукта представлена на рис. 2.10.

Рис. 2.10.
Архитектура ZCS

В Zimbra Collaboration Suite Open Source Edition реализованы, например, следующие возможности:

  • Электронная почта, позволяющая создавать и отправлять почтовые сообщения, отслеживать сообщения с помощью функции "Разговор", присоединять вложения, осуществлять поиск сообщений и вложений по конкретным характеристикам или указанному тексту, создавать собственные папки и теги для систематизации почты, создавать фильтры для направления входящей почты по различным папкам.
  • Функция "Адресная книга", позволяющая создавать собственные списки контактов и использовать контакты пользователей из службы каталогов домена Windows.
  • Функция "Ежедневник" (с возможностью создания и управления несколькими ежедневниками), позволяющая планировать встречи и собрания, просматривать расписания занятости других пользователей.
  • Функция "Задачи", позволяющая создавать списки задач, устанавливать приоритеты и отслеживать выполнение.
  • Функция "Папки документов", позволяющая хранить в почтовом ящике документы пользователя и предоставлять их в совместный доступ с назначением прав для конкретных пользователей.
  • Функция "Портфель", позволяющая создавать документы средствами ZCS и т. д.

Отметим также, что все почтовые сообщения в ZCS проверяются на сервере антивирусной программой и программой блокировки спама. И весь этот комплект функций абсолютно бесплатен!

Для работы с ZCS по стандартным почтовым протоколам (POP3, IMAP, HTTP/HTTPS, SMTP/SMTPS) можно использовать любые почтовые клиенты. Корпоративная функциональность доступна либо в собственном бесплатном клиенте, либо при использовании веб-интерфейса (рис. 2.11).

Рис. 2.11.
Пример веб-интерфейса ZCS

Свободное программное обеспечение

Типовые задачи в настоящее время успешно можно решать только при помощи бесплатного программного обеспечения. Список доступных программ постоянно пополняется. Поэтому следующую таблицу (табл. 2.2) приведу, скорее, как некую стартовую точку, которая должна показать существующие возможности.

Таблица 2.2.
Перечень некоторых бесплатных программ для Windows

Название

Примечание

OpenOffice

Пакет программ офиса, включает текстовый процессор, программы для работы с электронными таблицами, базами данных, презентациями. Форматы документов совместимы с продуктами Microsoft Office

Firefox

Google Chrome

Обозреватели Интернета. Особенность этих программ в том, что для них созданы тысячи различных дополнений, расширяющих функциональность обозревателя: различные записные книжки, блокировщики рекламы, переводчики и т. п. Поэтому не ограничивайтесь загрузкой самой программы, а обязательно расширьте ее возможности установкой дополнений.

Интерфейс русский

GIMP

Графический редактор — в некотором смысле аналог Adobe Photoshop. Работает со слоями, содержит множество инструментов и фильтров для обработки изображений, различные кисти и т. п.

Интерфейс русский

ImageBurn

InfraRecorder

Программы для записи, копирования CD- и DVD-дисков. Работают с аудио-, видеодисками и дисками с данными и с их образами.

Русский интерфейс загружается дополнительно

NanoCAD

Базовая САПР-платформа для различных отраслей. Свободно распространяемая

FreeCommander

Файловый менеджер. Для тех, кто привык работать с панелями Norton'a.

Интерфейс русский

7Zip

Архиватор. Может распаковать архивы форматов ARJ, CAB, CHM, CPIO, DEB, DMG, HFS, ISO, LZH, LZMA, MSI, NSIS, RAR, RPM, UDF, WIM, XAR и Z.

Есть русскоязычный интерфейс

CCleaner

Мощная программа для чистки реестра системы. Интерфейс англоязычный

Avast!

AVG

Avira

PCTools Antivirus

Некоторые антивирусные программы, лицензия которых предусматривает бесплатное применение в некоммерческих целях. В коммерческих целях можно использовать ClamWin, но он не содержит антивирусного монитора в реальном режиме времени (позволяет сканировать файлы). В то же время на его основе созданы антивирусные серверы, сканирующие весь входящий трафик организации (как почтовый — см. раздел "Zimbra Collaboration Suite", так и трафик Интернета (см. "Антивирусная проверка HTTP-трафика')

ZoneAlarm

Персональный межсетевой экран

COMODO (Internet Security)

Система персональной защиты, включающая межсетевой экран и антивирусную проверку

PC Tools Firewall Plus

Межсетевой экран для Windows, включая версии Windows 7 и 2008, как 32-битной, так и 64-битной архитектуры

Ad-Aware Free

Программа для защиты от вредоносных кодов (SpyWare, mailware и т. д.)

PDF creator

PDF converter

Утилиты устанавливают в системе PDF-принтер: печать на этот принтер создает документы в формате PDF (исключается необходимость в программе Adobe Acrobat)

Foxit Reader

Легкая альтернатива Acrobat Reader (то же бесплатной программы)

Babiloo

GoldenDict

Программы-переводчики

Inkscape

Редактор векторной графики, сходный по возможностям с Illustrator, Freehand, CorelDraw

Cuneiform

Программа оптического распознавания символов

Codendi

Collabtive

dotProject

eGroupWare

KForge

и др.

Программное обеспечение управления проектами, основанное на Web-интерфейсе. Поддерживает обычно управление ресурсами, контакты, систему обмена сообщения, отслеживания событий, управления документами и т. д. Сравнительную характеристику продуктов можно уточнить на странице http://en.wikipedia.org/wiki/ List_of_project_management_software

SugarCRM

community/sugarcrm-community.html)

Бесплатная версия коммерческого пакета управления отношениями с клиентами (CRM)

Alfresco

Система управления документами (Enterprise Content Management)


Рейтинг@Mail.ru