Проектирование сети кампуса

 

 

5. Выбор программного обеспечения

 

Для работы предприятия нам потребуются следующие серверы:

1. Файл сервер с FTP;
2. Web, mail сервер;
3. Контроллер домена, DNS;
4. Proxy, DHCP;
5. Сервер баз данных.

 

Подробно о программном обеспечении для серверов.

В качестве операционной системы рекомендуется Gentoo/Linux либо FreeBSD, по причине гибкости настройки и относительной простоты конфигурации.

 

1. Файл сервер

 

В качестве программного обеспечения файл сервера, предлагаю использовать свободный FTP-сервер PureFTPd + Samba. Основное внимание уделяется безопасности и простоте настройки.

Из исходного кода компилировался для Linux, OpenBSD, NetBSD, DragonFly BSD, FreeBSD, Solaris, Tru64, Darwin, IRIX и HP-UX.

Готовые пакеты существуют для Novell, Mandriva, Debian, Ubuntu, PLD Linux, Stampede Linux, Slackware (Slimslack), Multilinux, Sorcerer Linux, Fli4L, ROOT Linux, Gentoo.

Ha BSD системах портирован под DragonFly BSD и FreeBSD (/usr/ports/ftp/pure-ftpd/), OpenBSD (/usr/ports/net/pure-ftpd/) и NetBSD (/usr/pkgsrc/net/pureftpdV), Crux Linux (/usr/ports/contrib/pure-ftpd/).

Отличительной особенностью является то, что сервер не читает настройки напрямую из конфигурационных файлов, а принимает их только из командной строки. Но возможность использования конфигурационных файлов существует.

Функциональные возможности

• Простота установки и конфигурирования.

• Встроенная поддержка UTF-8.

• При подключении по медленным каналам и работе с несколькими серверами возможна работа по FXP протоколу.

• Может выполняться как отдельный демон (standalone mode), так и через супер-сервер inetd.

• Поставляется с программой мониторинга pure-ftpwho (с версии 0.97.7), которая в реальном времени показывает кто скачивает/загружает файлы и с какой скоростью. Возможен запуск pure-ftpwho как CGI приложения с возможностью генерации выходных данных в виде HTML или XML.

• Сообщения сервера на данный момент переведены на 21 язык (в том числе и на русский).

• Поддержка как базового, так и расширенного (например MLST) набора FTP команд.

• Возможность использования различных методов идентификации: unix (для пользователей перечисленных в /etc/passwd), РАМ, LDAP

 

(поддерживаются методы plaintext, Crypt, MD5, SMD5, SHA и SSHA), MySQL, PostgreSQL, PureDB (механизм  самого Pure-FTPd), расширенный (возможность  написать и подключить свой  модуль идентификации). Допустимо  использование нескольких методов  одновременно. Имя пользователя  и пароль будут проверяться  каждым методом последовательно. Проверка завершается и оставшиеся  методы использованы не будут  если пользователь найден (вне  зависимости от того, правильный  пароль или нет).

• Возможен запуск рабочих процессов в chroot-e.

• Создание виртуальных пользователей.

• Задание индивидуальных квот, не связанных с системными, для пользователей (максимальное количество файлов, максимальный размер

каталога, максимальная скорость скачивания/закачивания).

• После загрузки файла на сервер возможен автоматический запуск внешних скриптов или программ (например, для проверки на вирусы, расчет MD5 хэшей файлов, отправка уведомлений о загрузке).

• Возможность создания виртуальных FTP серверов (поскольку ftp протокол не поддерживает обращение к серверу по имени, то для каждого сервера необходим выделенный IP адрес).

• Можно запускать несколько копий сервера с различными конфигурационными опциями.

• Запрет доступа к dot-файлам (имя которых начинается с точки, например, .ssh directories, .bash_history files, .rhosts).

• Создание псевдонимов (алиасы) для директорий. Например, если создать алиас pictures для /home/user/pictures и выполнить команду cd находясь

в /home, то сервер автоматически совершит редирект в /home/user/pictures (конечно при условии, что не существует директории /home/pictures). Может использоваться для быстрого перехода в определенные каталоги (т.е. работать как shortcuts).

• Операции загрузки файлов атомарны.

• Работа по IPv6, в том числе поддержка EPSV/EPRT команд.

• По заявлению авторов Pure-FTPd первый сервер поддерживающий ESTA и ESTP команды.

 

2. Контроллер домена.

 

Samba — программа, которая позволяет  обращаться к сетевым дискам  на различных операционных системах  по протоколу SMB/CIFS. Имеет клиентскую  и серверную части. Является свободным  программным обеспечением, выпущена  под лицензией GPL.

Начиная с третьей версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server, либо как основной контроллер домена

(PDC), либо как член домена. Она  также может быть частью домена Active Directory.

Samba работает на большинстве Unix-подобных  систем, таких, как GNU/Linux, POSIX-совместимых Solaris и Mac OS X Server, на различных вариантах BSD; в OS/2 портирован Samba-клиент, являющийся плагином к виртуальной файловой системе NetDrive. Samba включена практически во все дистрибутивы GNU/Linux.

 

3. Web-сервер.

 

Предлагается поднять на связке Apache, PHP, MySQL.

Apache - свободный веб-сервер.

Apache является кроссплатформенным  ПО, поддерживая операционные системы GNU/Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

Основными достоинствами Apache считаются надёжность и гибкость конфигурации. Он позволяет подключать внешние модули для предоставления данных, использовать СУБД для аутентификации пользователей, модифицировать сообщения об ошибках и т. д. Поддерживает IPv6.

Недостатком наиболее часто называется отсутствие удобного стандартного интерфейса для администратора.

Архитектура

Ядро Apache включает в себя основные функциональные возможности, такие как обработка конфигурационных файлов, протокол HTTP и система загрузки модулей. Ядро (в отличие от модулей) полностью разрабатывается Apache Software Foundation, без участия сторонних программистов.

Теоретически, ядро apache может функционировать в чистом виде, без использования модулей. Однако, функциональность такого решения крайне ограничена.

Ядро Apache полностью написано на языке программирования С.

Система конфигурации

Система конфигурации Apache основана на текстовых конфигурационных файлах. Имеет три условных уровня конфигурации:

• Конфигурация сервера (httpd.conf).

• Конфигурация виртуального хоста (httpd.conf с версии 2.2 extra/httpd-vhosts.conf).

• Конфигурация уровня директории (.htaccess).

Имеет собственный язык конфигурационных файлов, основанный на блоках директив. Практически все параметры ядра могут быть изменены через конфигурационные файлы, вплоть до управления МРМ. Большая часть модулей имеет собственные параметры.

Часть модулей использует в своей работе конфигурационные файлы операционной системы (например /etc/passwd и /etc/hosts).

Помимо этого, параметры могут быть заданы через ключи командной строки.

Мультипроцессорные модели (МРМ)

Для веб-сервера Apache существует множество моделей симметричной мультипроцессорности.

Система модулей

Apache HTTP Server поддерживает модульность. Существует более 400 модулей, выполняющих различные функции. Часть из них разрабатывается командой Apache Software Foundation, но основное количество — отдельными open source-разработчиками.

Модули могут быть как включены в состав сервера в момент компиляции, так и загружены динамически, через директивы конфигурационного файла.

В модулях реализуются такие вещи, как:

• Поддержка языков программирования.

• Добавление функционала.

• Исправление ошибок или модификация основных функций.

• Усиление безопасности.

Часть веб-приложений, например панели управления ISPmanager и VDSmanager реализованы в виде модуля Apache.

Механизм виртуальных хостов Apache имеет встроенный механизм виртуальных хостов. Он позволяет полноценно обслуживать на одном IP-адресе множество сайтов (доменных имён), отображая для каждого из них собственное содержимое.

Для каждого виртуального хоста можно указать собственные настройки ядра и модулей, ограничить доступ ко всему сайту или отдельным файлам. Некоторые МРМ, например Apache-ITK позволяют запускать процесс httpd для каждого виртуального хоста с отдельными идентификаторами uid и gid.

Также, существуют модули, позволяющие учитывать и ограничивать ресурсы сервера (CPU, RAM, трафик) для каждого виртуального хоста.

Функциональные возможности

Интеграция с другим ПО и языками программирования

Существует множество модулей, добавляющих к Apache поддержку различных языков программирования и систем разработки.

К ним относятся:

• PHP (mod_php).

• Python (mod_python, mod_wsgi).

• Ruby (apache-ruby).

• Perl (mod_perl).

• ASP (apache-asp).

Кроме того, Apache поддерживает механизмы CGI и FastCGI, что позволяет исполнять программы на практически всех языках программирования, в том числе С, C++, sh, Java.

Безопасность.

Apache имеет различные механизмы  обеспечения безопасности и разграничения  доступа к данным. Основными являются:

• Ограничение доступа к определённым директориям или файлам.

• Механизм авторизации пользователей для доступа к директории по методу HTTP-Авторизации (mod_auth_basic) и digest-авторизации (mod_auth_digest).

• Ограничение доступа к определённым директориям или всему серверу, основанное на IP-адресах пользователей.

• Запрет доступа к определённым типам файлов для всех или части пользователей, например запрет доступа к конфигурационным файлам и файлам баз данных.

• Существуют модули, реализующие авторизацию через СУБД или РАМ. В некоторых МРМ-модулях присутствует возможность запуска каждого

процесса Apache используя различные uid и gid с соответствующими этим пользователям и группам пользователей.

Также, существует механизм suexec, используемый для запуска скриптов и CGI-приложений с правами и идентификационными данными пользователя.

Для реализации шифрования данных, передающихся между клиентом и сервером используется механизм SSL, реализованный через библиотеку OpenSSL. Для удостоверения подлинности веб-сервера используются сертификаты Х.509.

Существуют внешние средства обеспечения безопасности, например mod_security.

 

4. Mail сервер.

 

Принято использовать связку Exim — Dovecot.

Exim — это агент пересылки  сообщений, используемый в операционных  системах семейства Unix. Первая версия  была написана в 1995 году Филиппом  Гейзелом (Philip Hazel) для использования  в качестве почтовой системы  в Кембриджском Университете. Exim распространяется под лицензией GPL, и каждый может свободно  скачать его, использовать и модифицировать.

Exim придерживается дизайна sendmail, где  один процесс контролирует всю  работу МТА. Такой монолитный  дизайн считается небезопасным, но у Exim прекрасная история безопасности  и ни одной критической уязвимости  с версии 4.хх

Особенности

• Полностью свободный МТА.

• Поддержка виртуальных доменов.

• Очень гибкая система фильтрации почты, основанная на собственных списках контроля доступа (ACL). Позволяет применять множество правил на каждом этапе SMTP-сессии.

• Мощная и интуитивно понятная система отладки, позволяющая эмулировать входящее соединение с полным выводом всей логики обработки письма.

• Поддержка SMTP-аутентификации с использованием множества различных бэкэндов, таких, как LDAP, Dovecot SASL, Cyrus и т. д.

• Поддержка большого списка антивирусного ПО, такого как ClamAV, KAV и т. д.

• Поддержка большого списка антиспамового ПО, такого как Spamassassin, Спамооборона и т. д.

• Поддержка современных видов подписи\верификации почты, таких как SPF и DKIM.

Недостатки

• Производительность ограничена искусственным образом (не более 2000 писем в секунду).

• Работа с почтовой очередью не оптимизирована.

• Монолитный дизайн — один процесс управляет всем.

 

Dovecot.

Свободный IMAP- и РОРЗ-сервер, разрабатываемый в расчёте на безопасность, гибкость настройки и быстродействие.

Особенности сервера

• Поддержка форматов почтовых ящиков mbox и Maildir, а так же собственные форматы dbox и Cydir

• Высокое быстродействие благодаря индексации содержимого ящиков

• Большое количество поддерживаемых механизмов хранения аутентификационой информации (включая LDAP) и самой аутентификации (поддерживается SSL).

• Собственная реализация SASL. Postfix 2.3+ и Exim 4.64+ могут аутентифицироваться напрямую через Dovecot.

• Полная поддержка IMAP ACL для гибкой настройки прав пользователей

• Поддержка общих ящиков и папок (shared mailboxes and folders)

• Расширяемость при помощи плагинов

• Собственный MDA с поддержкой Sieve

• Строгое следование стандартам — Dovecot один из немногих кто проходит тест на соответствие всем стандартам IMAP

• Возможность модификации индексов с нескольких компьютеров — что позволяет ему работать с NFS и кластерными файловыми системами

• Поддерживает различные виды квот

• Поддержка различных ОС: Linux, Solaris, FreeBSD, OpenBSD, NetBSD и Mac OS X

• Простота настройки.

Безопасность В архитектуре Dovecot большое внимание уделяется безопасности.

Автор предлагает €1000 первому, кто обнаружит удалённую уязвимость в Dovecot, которую можно эксплуатировать.

За 3 года не было найдено ни одной проблемы, которую можно считать удалённой уязвимостью.

 

5. Proxy/DHCP сервер.

 

Squid — программный пакет, реализующий  функцию кэширующего прокси-сервера  для протоколов HTTP, FTP, Gopher и (в случае  соответствующих настроек) HTTPS. Разработан  сообществом как программа с  открытым исходным кодом (распространяется  в соответствии с GNU GPL). Все запросы  выполняет как один неблокируемый  процесс ввода/вывода.

Используется в UNDC-like системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.