Вышел из печати апрельский номер журнала «Системный администратор».

Читайте в апрельском номере:

Radius
В статье детально описана настройка популярных серверов протокола RADIUS, используемого для централизованной аутентификации dial-in пользователей. Radius предоставляет широкие возможности управления пользователями и создания системы учёта (биллинга).


Создаем VPN на основе VTUN
Компания, в которой я работаю, довольно быстро развивается, появляются новые филиалы, соответственно, увеличивается количество внутренних сетей. Настал момент, когда появилась необходимость соединить эти разрозненные сети в единое пространство. Нам нужна надежная, безопасная и защищенная от «подглядывания» система связи. Единственной возможностью выполнить все предъявленные требования является создание своей корпоративной VPN. В сети так много сайтов, объясняющих каждому, как престижно иметь в своем распоряжении VPN. Но ни один из них не публикует детального описания, как этого добиться. Побродив несколько дней по просторам Интернета, но так и не найдя подробного описания процесса развертывания VPN, решил написать об этом сам.


Борьба за системные ресурсы
Попробуем проанализировать, из-за чего снижается производительность нашего сервера и сети в целом? Сейчас мы не будем касаться аппаратной стороны вопроса, а затронем лишь программную. В этой статье мы рассмотрим:

повышение производительности сервера;

ограничение пропускной способности канала с помощью Squid;

отказ от приема рекламной информации;

ограничение полномочий пользователей.


Система фильтрации интернет-трафика
Целью данных записок является создание простой в управлении и в то же время гибкой в настройке системы фильтрации интернет-трафика. Строить её мы будем на основе FreeBSD 4.5 + Squid +SquidGuard +Berkeley DB 3.2.9 +Apache. Стоит отметить, что обсуждаемые в этой статье приемы будут работать и на основе Linux. В принципе такой комплекс можно построить на любой Unix-совместимой системе. Главная проблема – необходимость использования версий SquidGuard и Squid для этой системы. Apache можно заменить любым другим веб-сервером или использовать уже существующий веб-сервер. Кстати, веб-сервер можно запустить на отдельной машине под управлением любой операционной системы. Не стоит отчаиваться, если база данных Berkeley DB еще не портирована для вашей платформы. SquidGuard легко может работать и без нее.


Разводной мост на Linux(Bridging Firewalls)
Для подключения телекоммуникационных сетей к Интернету провайдер на целую сеть обычно выделяет всего лишь один реальный IP-адрес, а далее вы организуете у себя компьютер-шлюз, за которым располагаете вашу сетку с адресами вида 192.168.x.x (либо 172.16.0.0/12, либо 10.0.0.0/8) из RFC 1918. На компьютере-шлюзе обычно имеется две сетевые карты, поднимаются прокси-сервера тех или иных сервисов либо NAT (трансляция адресов или маскарадинг), либо всё сразу. Такая конфигурация встречается очень часто, поэтому в литературе хорошо описано, что и как настраивать. Однако в случае, когда все адреса, выделенные провайдером, являются реальными, существует несколько решений по организации сети. В литературе об этом пишут меньше, поэтому об одном весьма удобном способе организации я и попробую рассказать.


Система криптографической защиты информации
Без использования криптографии сегодня немыслимо решение задач по обеспечению безопасности информации, связанных с конфиденциальностью и целостностью, аутентификацией и невозможностью отказа от авторства. Если до 1990 г. криптография обеспечивала защиту исключительно государственных линий связи,то в наши дни использование криптографических методов получило широкое распространение благодаря развитию компьютерных сетей и электронного обмена данными в различных областях: финансах, банковском деле, торговле и т.д.


FreeBSD.Компиляция
Перекомпиляция ядра и самой операционной системы FreeBSD – часть непрерывного процесса обеспечения безопасности интернет-сервера, и хотя у новичка в мире открытых исходников слова "компиляция ядра операционной системы" обычно вызывают благоговейное преклонение перед произносящим их, этот процесс на самом деле не является слишком сложным и тем более таинственным. В статье описывается обычный порядок перекомпиляции системы, ее ядра, а также основные опции и параметры команды make, используемые в процессе компиляции для систем, основанных на процессорах семейства Intel x86. На вашей машине должны быть установлены инструменты разработки –gcc, make и все соответствующие библиотеки и заголовочные файлы.


LIDS
Инструмент администрирования LIDS: защита компьютера под управлением Linux.