Мечта сисадмина

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Мечта сисадмина

Одна из задач, которую постоянно приходится решать системному администратору, – учет работы пользователей в Интернете, фильтрация ненужного трафика для повышения безопасности и отсеивания ненужного содержания, распределение полосы между пользователями и плюс сбор отчетных данных о том, кто, где и сколько. Для админа со стажем это обычно не является трудной задачей, уже в распоряжении имеются собственноручно написанные скрипты, автоматизирующие эту рутинную работу, правда, постоянно меняющиеся данные, конечно, вносят некоторый ажиотаж, да и возни, особенно поначалу, бывает предостаточно, в общем, результирующий КПД оставляет желать лучшего. А вот для новичка в мире UNIX это может стать большой проблемой. OC Linux можно критиковать за недружелюбие к начинающему пользователю, за плохую поддержку оборудования, но практически всегда можно найти дистрибутив, если не полностью подходящий под определенную задачу, то хотя бы частично ее решающий. Итак, знакомтесь: СensorNet (http://www.intrago.co.uk/products/censornet.php). Дистрибутив, базирующийся на Debian, предназначен для организации доступа в Интернет, для управления и мониторинга пользователей к Интернету. Представляет собой OpenSource-альтернативу коммерческим и далеко не бесплатным продуктам вроде WebSense, SurfControl, I-Gear, N2H2 и прочим подобным проектам.

Возможности, предоставляемые CensorNet:

• Фильтрация контента по URL, ключевым словам и фразам, расширениям файлов, типам MIME, изображениям и пр.
• Управление доступом на уровне пользователя (не фильтруется, фильтруется, не разрешает, приостановка или только по «белому» списку).
• Управление доступом на уровне компьютеров (разрешен, запрещен, приостановка).
• Интернет-доступ по расписанию для пользователей, групп и компьютеров.
• Возможность создания своих «белого» и «черного» списков и возможность ограничить пользователя, например, только ресурсами из разрешенного списка.
• Ограничение предельной полосы для пользователей, групп и машин.
• Детальный отчет по каждому пользователю.
• Изменение (allow, deny) доступа к веб-сайтам на «лету».
• Подтверждение подлинности при помощи NT PDC, Active Directory и Samba.
• Автоматическое определение компьютеров в локальной сети.
• Поддержка UPS.
• Интегрированный firewall с NAT и кеширующий веб-сервер.
• Простая инсталляция и настройка посредством удобного веб-интерфейса.
• Никаких ограничений по числу пользователей, компьютеров.
• Хорошая документация, понятная и новичку.

И все это совершенно бесплатно.

Опционально также возможен удаленный контроль работоспособности и создание RAID-1 SCSI и автоматическое обновление списка запрещенных сайтов. Но это уже не за бесплатно. Так, возможность пользоваться Black List Software Update (BLUD) стоит уже 150 у.е. на 12 месяцев. Хотя при желании некоторые опциональные функции и многое другое можно установить и настроить уже вручную. Давайте познакомимся поближе.

Получение дистрибутива и его установка

Получить СensorNet можно двумя способами: купить CD-ROM и самому скачать с сервера. Как вы понимаете, второй вариант наиболее подходящий в наших условиях. Но сразу скачать не получится. Сначала необходимо зайти в раздел GPL Downlod и заполнить форму, указав рабочий e-mail, на который должна прийти ссылка на Download Centre. После чего вы получите два письма: одно вышепомянутое с сcылкой, а второе с благодарностью за интерес к дистрибутиву и пожеланиями наладить обратную связь с разработчиками для уточнения вопросов, связанных с дальнейшим совершенствованием СensorNet, и, естественно, разрешения трудных моментов, связанных с эксплуатацией. В разделе Download можно найти как сам дистрибутив, на момент написания статьи это была версия 3.1r6 размером 160 Мб, а также патчи и некоторые дополнения к предыдущим версиям, плюс старые стабильные версии дистрибутива и документация по всем вопросам, даже таким, как настройка Symantec Live Update с CensorNet. После закачки записываем ISO-образ на болванку, и можно загружаться.

Для установки потребуется отдельный компьютер с двумя сетевыми картами и с жестким диском, подключенным к первому IDE Master, причем все данные на диске будут уничтожены, о чем и предупреждает (два раза) соответствующая надпись при инсталяции. Сама установка заключается в автоматической разбивке диска, форматировании разделов под файловую систему ext3 (всего создается два раздела корневой в начале диска и в конце swap) и распаковке на них одного большого архива с CD-ROM, после чего устанавливается загрузчик LILO. Вот в принципе и все. При желании все эти операции можно провести и вручную без разрушения данных на жестком диске, если есть необходимость сначала изучить работу на своем компьютере или просто добавить еще утилит в архив. На этом установка собственно и заканчивается, далее вынимаем выехавший CD-ROM и перезагружаемся уже нормально с жесткого диска.

В ходе загрузки системы обратите внимание на диагностические сообщения о найденном оборудовании. Теперь для настройки системы воспользуемся утилитой, названной CensorNet Configuration Tool (CCT). Ее можно вызвать несколькими cпособами, и все они, естественно, требуют прав суперпользователя. При первом входе в систему регистрируемся как root и пароль root, который тут же необходимо сменить при помощи passwd. И для запуска CCT вводим команду setup. Навигация в CCT осуществляется при помощи стрелок, перемещение между пунктами выбора Tab (), пробелом включается/выключается нужная опция, и Enter завершает процесс выбора данного пункта. Теперь можно, выбрав соответствующий пункт  (рис. 1):

Рисунок 1

• В System Locale Setting изменить клавиатурную расскладку и временной пояс, последний влияет на отчеты, поэтому не игнорируйте данную опцию.
• В Network Configuration сконфигурировать сетевые устройства (установить драйвера для карт в автоматическом или, если не получится, ручном режиме, список всех поддерживаемых можно найти на сайте; ввести IP-адреса для каждой; значения IP-адресов для двух DNS-серверов и gateway; изменить сетевое имя компьютера – по умолчанию sensornet).
• В DHCP Service Configuration при необходимости включить и отконфигурировать DHCP-сервис (диапазоны разрешенных IP-адресов и время использования IP-адреса компьютером (по умолчанию и максимальное)).
• В User Authentication Configuration выбрать метод аутентификации пользователя (Windows NT PDC, Windows 2000 Active Directory и Internal Sensornet – Samba, последний по умолчанию, но при наличии первых двух рекомендуется использовать именно их, да и для больших сетей samba метод будет неудобным), при этом при выборе нужного пункта активируются дополнительные поля для заполнения (пароль и имя пользователя, домен, резервный и основной PDC и пр.).
• В Web Cache Configuration настроить параметры веб-кеша, если вы уже используете данный сервис и не желаете его перенастраивать, то достаточно выбрать пункт «Use Parent Cache» и указать необходимые параметры (hostname и порты), при выборе пункта «Use for ALL request» SensorNet будет кешировать все запросы, а во вкладке Advanced можно установить размер кеша.
• Настроить firewall. По умолчанию все входящие подключения заблокированы, кроме порта 22, предназначенного для удаленного администрирования по SSH, если не знаете, как работать с настройками firewall, то во вкладке Advanced можно отключить SSH или, наоборот, разрешить доступ всем извне (хотя это и не лучшая идея), но этот пункт может понадобиться, если уже имеется установленный и настроенный firewall.
• Вкладка System Maintenance предназначена для системного обслуживания и, наверное, наиболее часто используемый пункт при эксплуатации SensorNet. Здесь можно просканировать сеть на обнаружение работающих компьютеров и присоединение их к SensorNet (Probe LAN for Windows Workstation), перечитать список пользователей в PDC или Windows 2000 (Retrieve User-list from Windows Domain Controller), очистить веб-кеш (Flush the Squid Web Disk-Cache), при этом Squid перезапускается, а вся информация удаляется, перестроить внутреннюю базу данных (Rebuild Internal SensorNet Database), отключение пользователя admin, который нужен для удаленного администрирования (первоначальный пароль admin также нужно сменить) Reset Web Admin Area Access, в System Tuning можно синхронизировать диск, установить кратный вход (Multiple Login Sensitivity) для «кочующих» пользователей, установить максимальное количество пользователей (Set user access level cache size) и последними двумя пунктами можно остановить или перезагрузить SensorNet и выйти в shell.
• Для изменения пароля пользователям root, admin и веб-админ можно воспользоваться пунктом Change Password  (рис. 2).

Рисунок 2

• При оплате сервиса BLUD его нужно активировать в пункте B.L.U.D Configuration, после этого SensorNet будет автоматически его загружать в установленное время.
• Последний пункт APC UPS Setting позволит настроить параметры источника бесперебойного питания (если его нет на последовательном порту, то SensorNet каждый раз будет ругаться при загрузке), установив тип, подключение к порту, параметры автоматической остановки системы при разрядке батарей.

Дальнейшая работа

После настройки всех необходимых параметров можно, предварительно выключив компьютер, отсоединить клавиатуру и монитор. Компьютер с установленным CensorNet устанавливается вместо маршрутизатора, т.е. между локальной сетью и провайдером (рис. 3). Всю дальнейшую настройку параметров можно производить при помощи SSH (Secure Shell) или CensorNet Administration Area утилиты удаленного веб-администрирования. Доступ к последней возможен только из внутренней сети. Для этого необходимо настроить веб-браузер для работы с proxy, некоторые рекомендации для различных веб-браузеров рассмотрены в документе «browser_config_guide», который имеется на сайте. Для IE, например, выбираем «Сервис –> Свойства обозревателя» вкладка «Подключение», нажимаем кнопку «Установить», далее выбираем подключение через локальную сеть – «Ручная настройка proxy-сервера» и в окне HTTP вводим IP-адрес CensorNet-сервера, порт 8080 и для остальных сервисов ставим галочку в пункте «Один прокси-сервер для всех протоколов» (рис. 4) («Tools –> Internet Option –> Сonection –> LAN Settings –> Use a Proxy Server –> Advanced»).

Рисунок 3

Рисунок 4

Теперь, набрав в строке браузера IP-адрес или имя компьютера CensorNet, попадаем в утилиту конфигурирования. Первоначально запрашивается логин и пароль. В целях безопасности входите в систему как root только при первоначальной настройке, далее при подключении через SSH регистрируйтесь как admin, а при работе через веб-интерфейс только как web_admin. В случае перехвата пароля вред, причиненный системе, будет меньше. Я надеюсь, что в дальнейшем можно будет использовать защищенное подключение при помощи https. Пользоваться CensorNet Administration Area особого труда не составит. Рабочее пространство состоит из нескольких вкладок (Home, Reports, Users, Workstations, Content Filter, Site Filters, Filetype Filters, Image Filter рис. 5-5с), если подвести мышкой к соответствующему пункту, то появляется выпадающее меню с пунктами для настройки параметров, при помощи которых и можно провести основные настройки, в том числе и создать резервную копию CensorNet или восстановить все нажатием одной кнопки. Все вопросы освещены довольно подробно в документе CensorNetv3-UserGuide. При необходимости защищенного соединения можно прямо отсюда при помощи Java-апплета вызвать SSH. На этом, пожалуй, знакомство с этим замечательным дистрибутивом и закончим. Как видите, СensorNet позволяет более продуктивно использовать ресурсы Интернета, существенно сокращать время, связанное с администрацией сети, и тем самым освобождает администратора для решения других насущных задач.

Рисунок 5

Рисунок 5a

Рисунок 5b

Рисунок 5c.