Принципы построения и особенности файловых систем OC Linux. Файловая система - обязательная часть любой ОС. От ее архитектуры, возможностей, надежности во многом зависит работоспособность операционной системы. Linux поддерживает несколько различных файловых систем.
Логическая структуризация сетей. Концентраторы. Мосты. Коммутаторы. Маршрутизаторы. Шлюзы. Сетевые службы. Физическая структуризация не решает проблему перераспределения передаваемого трафика между различными физическими сегментами сети и, для эффективной работы сети, необходимо учитывать неоднородность информационных потоков. В сетях большого и среднего размера, для обеспечения эффективной работы, невозможно обойтись без логической структуризации сети. В большой сети информационные потоки неоднородны. Сеть обычно состоит из множества подсетей рабочих групп, отделов, филиалов предприятия. Наиболее интенсивный обмен данными наблюдается между компьютерами, принадлежащими к одной подсети, и только небольшая часть обращений происходит к ресурсам компьютеров, находящихся вне локальных рабочих групп. (эмпирический закон «80/20», в соответствии с которым в каждой подсети 80 % графика является внутренним и только 20 % — внешним.) В связи с широким внедрением технологии intranet характер нагрузки сетей изменился. Многие предприятия имеют централизованные хранилища корпоративных данных, активно используемые всеми сотрудниками, и теперь не редки случаи, когда интенсивность внешних обращений выше интенсивности обмена между компьютерами локальных рабочих групп. Логическая структуризация сети позволяет значительно повысить эффективность обмена особенно в сетях среднего и большого размера, но это связано с использованием дополнительных сетевых средств.
Создание рекомендуемых конфигураций разделов дисков в системах на основе UEFI. 1) Конфигурация по умолчанию Для новых установок по умолчанию программа установки Windows создаст системный раздел EFI (ESP), резервный раздел Майкрософт (MSR) и основной раздел Windows (рис. 1). Структура разделов показана в следующей табл. 1. 2) Восстановление системы Чтобы разрешить конечным пользователям восстанавливать или переустанавливать Windows без удаления средств восстановления, рекомендуется использовать для установки средств восстановления, таких как среда восстановления Windows (Windows RE), раздел, отдельный от раздела Windows.
Установка и конфигурирование веб-сайтов (создание веб-сайта с помощью IIS7.5). Количество возможных веб-сайтов зависит от конфигурации системы, в том числе количества имеющихся в ней процессоров, объема ОЗУ, пропускной способности и т.д. IIS может поддерживать тысячи веб-сайтов на единственном веб-сервере. У каждого веб-сайта, который поддерживается в системе для работы с Интернетом, должен быть общедоступный IP-адрес и зарегистрированное доменное имя. При наличии только одного общедоступного IP-адреса и потребности поддерживать и другие веб-сайты, для предоставления этим сайтам возможности обслуживать пользователей в Интернете можно создавать виртуальные каталоги или пользоваться заголовками хоста (host header). В оснастке IIS Manger (Диспетчер IIS) внутри папки Web Sites (Веб-сайты) доступен объект Default Web Site (Стандартный веб-сайт), представляющий предлагаемый по умолчанию образец веб-сайта. Конечно, его можно использовать для публикации содержимого, однако предпочтительнее создать и настроить собственный, отдельный веб-сайт. Ниже перечислены необходимые шаги: 1. В окне Internet Information Services (IIS) Manager (Диспетчер IIS) щелкните правой кнопкой мыши на узле Sites (Сайты) в панели Connections (Подключения) и выберите в контекстном меню пункт Add Web Site (Добавить веб-сайт). 2. Когда откроется страница Add Web Site (Добавление веб-сайта), введите на ней желаемое имя для веб-сайта, например, pnto.ru. 3. При желании щелкните на кнопке Select (Выбрать) в разделе Application Pool (Пул приложений) и измените связанные с пулом приложений параметры для нового сайта. По умолчанию в раскрывающемся списке пулов приложений предлагается опция DefaultAppPool. 4. В разделе Content Directory (Каталог содержимого) либо введите физический путь к месту, где расположена папка Web Sites (Веб-сайты), либо найдите эту папку, щелкнув на кнопке с изображением троеточия. Примечание. При указании пути к физическому месту размещения каталога с содержимым также допускается выбирать какой-то удаленный сетевой ресурс. В этом случае обязательно удостоверьтесь, что IIS имеет к нему доступ, щелкнув на кнопке Connect As (Подключаться от имени). Затем либо укажите параметры подключения к этому удаленному сетевому ресурсу выбрав конкретную учетную запись пользователя с необходимыми разрешениями, либо выберите опцию Pass-Through Authenti-cation (Сквозная проверка подлинности). 5. В разделе Binding (Связывание) укажите протокол, с помощью которого должен обслуживаться новый сайт (HTTP или HTTPS), IP-адрес, который требуется ему назначить (или оставьте поле IP Address (IP-адрес) пустым), и порт, который он должен прослушивать. 6. На странице Add Web Sites (Добавление веб-сайтов) можно настроить еще один необязательный параметр - заголовок хоста, например, www.pnto.ru. 7. Отметьте флажок Start Web Site Immedia-tely (Запустить веб-сайт немедленно), чтобы после создания сразу же запустить веб-сайт. 8. Проверьте все введенные конфигурационные параметры еще раз (рис. 1) и щелкните на кнопке ОК, чтобы завершить создание нового веб-сайта.
Дескрипторы безопасности в Windows. Дескрипторы безопасности используются в Windows для защиты и аудита ресурсов. Дескриптор безопасности содержит владельца, основную группу, дискреционный список контроля доступа и системный список контроля доступа. Владелец и основная группа. Поля владельца и основной группы содержат идентификаторы безопасности. Владелец — это принципал безопасности, владеющий объектом. Владелец ресурса располагает полным доступом к объекту, включая возможность добавления и удаления разрешений доступа в дескрипторе безопасности. Основная группа содержится в дескрипторе безопасности лишь для обеспечения совместимости с подсистемой POSIX. Система Windows не использует эту часть дескриптора безопасности, если не применяются утилиты, которые оперируют с POSIX. По умолчанию принципал безопасности, создавший объект, записывает в дескриптор безопасности свою основную группу. Основной группой Windows по умолчанию является группа Domain Users. Основная группа подразумевает членство в группе. При входе пользователя операционная система вставляет SID этой группы в маркер пользователя. Атрибут memberOf не перечисляет основную группу, а лишь включает явно назначенное членство в группах. Дискреционные и системные списки контроля доступа. Списки контроля доступа ACL состоят из двух частей. Первая часть списка контроля доступа представляет именованные контрольные флаги. Эти параметры контролируют применение разрешений в списке ACL и правил наследования. Вторая часть списка контроля доступа представляет собственно сам список. Этот список контроля доступа содержит одну или несколько записей управления доступом АСЕ. Флаги управления доступом определяют, каким образом Windows применяет записи управления доступом внутри списка ACL. Изначально Windows использует защищенные и автоматические флаги. Защищенные флаги запрещают модификацию списка контроля доступа путем наследования. Этот флаг является эквивалентом флажка Allow inheritable permissions from parent to propagate to this object (Разрешение наследуемых разрешений доступа). Флаг автоматически разрешает записям управления доступом в списках ACL наследовать разрешения доступа от родительских объектов дочерним.
Технология виртуализации. Глобализация и высокопроизводительные вычисления найдут прямое отражение в вычислительных платформах будущего. Эксперты Intel полагают, что в ближайшем будущем архитектура процессоров и платформ должна двигаться в направлении виртуализованной, реконфигурируемой микропроцессорной архитектуры на уровне кристалла с большим количеством ядер, с богатым набором встроенных вычислительных возможностей, с подсистемой внутрикристальной памяти очень большого объема и интеллектуальным микроядром. Сейчас Intel лидирует во многих технологиях повышения уровня параллелизма для увеличения производительности, которые являются одним из важнейших направлений совершенствования архитектуры микропроцессоров (суперскалярная архитектура, многопроцессорная обработка, переупорядоченное исполнение инструкций, технология Hyper-Threading (HT), многоядерные кристаллы, оптические интерфейсы и др.). Корпорация уже давно перешла на серийный выпуск платформ на базе многоядерных процессоров, в процессе развития естественно число ядер будет становиться все больше. Предложенная специалистами концепция виртуализации платформ способна обеспечить эффективное развитие для мощных, автономных и надежных компьютерных систем. Для работы микропроцессоров будущего потребуется несколько уровней виртуализации. Например, виртуализация необходима для того, чтобы скрыть сложную структуру аппаратного обеспечения от соответствующего программного обеспечения (ПО). Сама операционная система (ОС), ее ядро и ПО не должны "задумываться" о сложном устройстве платформы, о наличии множества ядер, о специализированном аппаратном обеспечении, о множестве модулей кэш-памяти, средствах реконфигурирования и т. п. Они должны "видеть" процессор как набор унифицированных виртуальных машин с глобальными интерфейсами. Такой необходимый уровень абстракции предоставляет именно виртуализация. Виртуализацию платформ можно определить как создание логически разделенных вычислительных систем, которые работают на реальных платформах. Если применить виртуализацию к дисковой памяти и серверам, концепция виртуализации платформ идет значительно глубже и включает все уровни системы - от прикладных программ и ОС до компонентов платформы, процессоров и средств связи (см. рис. 1). Виртуальные платформы легко воспринимаются пользователями и работают так же, как обычные компьютеры. Благодаря тому, что они абстрактны и отделены от физических платформ и друг от друга, виртуальные платформы обеспечивают простую переносимость и в высшей степени интеллектуальное функционирование, они способны скрывать от пользователя свою сложность, но в то же время повышать надежность системы. Виртуализация позволяет создавать менее сложные системы, превращая компьютеры в более удобно управляемые объекты, а такое разделение на части обеспечивает значительно больший уровень безопасности систем, сетей и приложений благодаря изоляции потенциально опасных подсистем от системных ресурсов низкого уровня и от других виртуальных платформ.
Управление резервным копированием в корпоративных системах. Решение проблем, связанных с ростом объемов данных и сложности технических решений, требует тщательного планирования и четко определенной стратегии защиты информации. Когда на кон поставлено многое и при этом приходится учитывать аспекты взаимодействия множества различных вещей (СУБД, приложения, операционные системы, устройства, расположение и т.д.), нахождение верного решения может стать задачей пугающей сложности. Некоторые известные поставщики программного и аппаратного обеспечения учитывают это, дополняя свои бизнес- и ИТ-решения наборами средств защиты информации. Однако в действительности такие средства решают лишь часть проблем и часто требуют расширения до "полного решения", накручивая, таким образом, стоимость администрирования и увеличивая риск возникновения несовместимости каких-то компонентов. Кроме того, многие из этих продуктов сложны в интеграции, изучении и использовании, а также недостаточно гибки для работы в гетерогенных средах. Задачи, решаемые с помощью процедур резервного копирования и восстановления данных в корпоративных системах, являются частью более общего процесса создания эффективной, безопасной и оптимизированной ИТ-инфраструктуры и служб. Оптимизированная ИТ-инфраструктура создается на основе ИТ-стандартов и обеспечивает соответствие им. Каждое повышение уровня оптимизации позволяет существенно снизить затраты на содержание ИТ-инфраструктуры, повысить ее безопасность, доступность и управляемость. Если использовать подход и терминологию, предложенные компанией Microsoft, выделив из общей блок-схемы четвертую группу средств, то возможности, необходимые для осуществления оптимизации работы ИТ-служб, сводятся, с учетом уровня оптимизации, к ниже перечисленным:
Политики ограниченного использования программ. В последние годы одной из наиболее серьезных угроз безопасности стал запуск пользователями неизвестных или недоверенных программ на компьютерах. Во многих случаях пользователи по невнимательности запускают потенциально опасное программное обеспечение. Практика показывает, что миллионы пользователей устанавливают на своих компьютерах вирусы и троянские кони, сами того не желая. Для предотвращения таких последствий предназначены политики ограниченного использования программ, запрещающие пользователям запускать опасное программное обеспечение. Они определяют приложения, которые разрешено или запрещено запускать на рабочих станциях. При установке политик ограниченного использования программ можно определить политику, разрешающую запуск всего программного обеспечения за исключением блокированных приложений. Вы также можете определить политику, запрещающую запуск всего программного обеспечения кроме приложений с явно назначенным разрешением запуска. Хотя второй способ обеспечивает более высокий уровень безопасности, для определения всех приложений, которые разрешено запускать в среде предприятия, может потребоваться много времени. Большинство компаний предпочитают менее защищенный способ, разрешая запускать все программное обеспечение и блокируя лишь некоторые приложения. Тем не менее если вы развертываете набор рабочих станций в среде, где требуется повышенная безопасность, имеет смысл применить второй, более защищенный способ. В процессе создания политики ограниченного использования программ можно отконфигурировать пять типов правил для приложений, являющихся субъектами политики.
Основы сетевых технологий. Адресация компьютеров в локальных и глобальных сетях. Потребность в соединении компьютеров, находящихся на различных расстояниях друг от друга, назрела давно. С появлением сложных глобальных сетей компьютеров, в которых можно было обмениваться данными в автоматическом режиме, были реализованы службы обмена файлами, синхронизации баз данных, электронной почты, распечатки документов на “чужом” принтере и другие, ставшие теперь традиционными, сетевые службы. Одним из главных показателей качества сетевых служб является их удобство (ее прозрачность). Для обеспечения прозрачности большое значение имеет способ адресации, или, как говорят, способ именования разделяемых сетевых ресурсов. Таким образом, одной из важнейших проблем , которую нужно решать при объединении трех и более компьютеров в сеть, является проблема их адресации. К адресу узла сети и схеме его назначения предъявляют следующие требования: 1) адрес должен уникально идентифицировать компьютер в любой сети (от локальной до глобального масштаба); 2) адрес должен быть удобен для построения больших сетей и иметь иерархическую структуру. Почтовые международные адреса хорошо иллюстрируют эту проблему. Почтовой службе, организующей доставку писем между странами, достаточно пользоваться только названием страны адресата и не учитывать название его города, а тем более улицы. В глобальных сетях, состоящих из многих тысяч узлов, отсутствие иерархии адреса может привести к большим издержкам; 3) адрес должен иметь символьное представление и должен быть удобен для пользователей сети, например, Servers1 или www.sura.com. 4) чтобы не перегружать память коммуникационной аппаратуры (сетевых адаптеров, маршрутизаторов, коммутаторов и т. п) адрес должен иметь по возможности компактное представление; 5) схема назначения адресов должна исключать вероятность дублирования адресов, сводить к минимуму ручной труд администратора; К сожалению все эти требования достаточно противоречивы — например, адрес, имеющий иерархическую структуру, будет менее компактным, чем не иерархический ( «плоский», то есть не имеющим структуры). На символьный адрес потребуется больше памяти, чем на адрес-число. На практике обычно используется сразу несколько схем назначения адресов, поэтому компьютер одновременно имеет несколько адресов-имен. Каждый адрес используется в той ситуации, когда соответствующий вид адресации наиболее удобен. Чтобы не возникало путаницы и компьютер всегда однозначно определялся своим адресом, используются специальные вспомогательные протоколы, которые по адресу одного типа могут определить адреса других типов. Основные схемы адресации узлов компьютерной сети В современных компьютерных сетях широко используются следующие схемы адресации узлов сети:
Квоты дискового пространства. Администрирование больших компьютерных сетей, где серверы поддерживают работу сотен пользователей, сопряжено с рядом сложностей. Одна из них - учет дискового пространства сервера, занятого файлами сотрудников компании. Как правило, пользователи, хранящие свои файлы на сервере, мало заботятся об актуальности информации и об уничтожении устаревших или ненужных данных. Множество временных файлов и копий одного и того же файла, находящихся в различных папках, лишь усугубляют ситуацию. В результате в считанные месяцы даже на больших жестких дисках сервера может не оказаться необходимого для работы свободного пространства. Как правило, в больших организациях дерево папок весьма разветвлено, поэтому визуальный контроль расходования дискового пространства пользователями отнимает у администраторов много времени и усилий. Подобная проблема просто решается с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю. В ранних версиях операционной системы Windows NT еще не было штатных возможностей ввести квоту на доступное дисковое пространство, поэтому любой пользователь мог распоряжаться всем пространством жестких дисков компьютера. Уже с Windows 2000/XP и Windows Server 2003/2008 администратор мог квотировать дисковое пространство по каждому тому и для каждого пользователя. (из этого следует, что невозможно задать квоту для отдельных папок или групп.). Система учитывает общее пространство, занимаемое файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем дискового пространства. Важно отметить, что, поскольку квотирование выполняется на уровне тома, не имеет значения, находится ли том на одном физическом жестком диске или на различных устройствах. И наоборот, если на одном физическом диске хранится несколько томов, то квотирование может осуществляться индивидуально по каждому тому. После установки квот дискового пространства пользователь сможет хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более "мягкий" режим ограничений), либо ему будет отказано в записи из-за отсутствия свободного пространства ("жесткий" режим). Квоты можно использовать на локальных и общих дисках (в этом случае общий доступ должен быть разрешен на уровне корневого каталога тома). Сжатие файлов не имеет значения при вычислении занятого пространства - всегда учитывается размер исходного несжатого файла. Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при наличии необходимых полномочий (задаваемых с помощью локальных или доменных групповых политик) у пользователя, устанавливающего квоты. По умолчанию для работы с квотами нужно быть членом группы Administrators. Для установки квоты: 1. Укажите мышью конфигурируемый том и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Properties. Появится окно свойств тома. Перейдите в нем на вкладку Quota (Квота) (рис. 1).
Команды контроллеров жестких дисков для поддержки защиты от несанкционированного доступа. Информационные технологии активно используются и в областях, где необходимо ограничение доступа к информации. Начиная еще со стандарта АТА-3, в набор команд контроллеров жестких дисков введена группа команд защиты. Поддержка команд этой группы определяется содержимым слова (с порядковым номером 128), полученным по команде идентификации. Это слово содержит статус секретности: - бит 0 - поддержка секретности (0 - отсутствует, 1 - имеется); - бит 1 - использование секретности (0 - запрещено, 1 - разрешено); - бит 2 - блокировка режима секретности (0 - отсутствует, 1 - имеется); - бит 3 - приостановка режима секретности (0 - отсутствует, 1 - имеется); - бит 4 - счетчик секретности (0 - отсутствует, 1 - имеется); - бит 5 - поддержка улучшенного режима стирания (0 - отсутствует, 1 - имеется); - биты 6-7 зарезервированы; - бит 8 - уровень секретности (0 - высокий, 1 - максимальный); - биты 9-15 зарезервированы. Если защита поддерживается, то устройство должно отрабатывать все команды группы Security. С точки зрения защиты, устройство может находиться в одном из трех состояний: 1. Устройство открыто (unlocked) - контроллер устройства выполняет все свойственные ему команды. Устройство с установленной защитой можно открыть только командой Security Unlock, в которой передается блок данных, содержащий установленный при защите пароль. Длина пароля составляет 32 байта, а для исключения возможности подбора пароля путем полного перебора имеется внутренний счетчик неудачных попыток открывания, по срабатывании которого команды открывания будут отвергаться до выключения питания или аппаратного сброса. 2. Устройство закрыто (locked) - контроллер устройства отвергает все команды, связанные с передачей данных и сменой носителя. Допустимы лишь команды общего управления, мониторинга состояния и управления энергопотреблением. Из команд защиты допустимы лишь команды стирания (Security Erase) и открывания (Security Unlock). В это состояние устройство с установленной защитой входит каждый раз по включению питания. 3. Устройство заморожено (frozen) - устройство отвергает все команды управления защитой, но выполняет все остальные. В это состояние устройство переводится командой Security Freeze Lock или автоматически по срабатыванию счетчика попыток открывания устройства с неправильным паролем. Из этого состояния устройство может выйти только по аппаратному сбросу или при следующем включении питания. Срабатывание счетчика попыток отражается установкой бита 4 (EXPIRE) слова 128 блока параметров, бит сбросится по следующему включению питания или по аппаратному сбросу. Производитель выпускает устройства с неустановленной защитой (по включению оно будет открыто). Система защиты поддерживает два пароля: - главный (master password), - пользовательский (user password). В системе защиты имеются два уровня: - высокий (high), - максимальный (maximum). При высоком уровне защиты устройство можно открывать любым из двух паролей. При максимальном уровне устройство открывается только пользовательским паролем, а по главному паролю доступна только команда стирания (при этом вся информация с носителя будет стерта).
Страницы для начинающих. Сетевая технология Ethernet. Популярной сетевой технологией в настоящее время является технология Ethernet. Термин «сетевая технология» определяет согласованный набор стандартных протоколов и реализующих их программно-аппаратных средств (например, сетевых адаптеров, драйверов, кабелей и разъемов), достаточный для построения вычислительной сети. Этот набор представляет собой минимальный набор средств, с помощью которых можно построить работоспособную сеть по технологии Ethernet. Эту сеть можно улучшить за счет выделения в ней подсетей, что потребует кроме протоколов стандарта Ethernet применить еще и протокол IP, и специальные коммуникационные устройства (маршрутизаторы). Улучшенная сеть более надежна и быстродействующая. Термин «сетевая технология» иногда применяется и в расширенном толковании как определение любого набора средств и правил для построения сети, например, «технология сквозной маршрутизации», «технология создания защищенного канала», «технология IP-сетей». Протоколы, на основе которых строится сеть определенной технологии (в узком смысле), специально разрабатывались для совместной работы, поэтому от разработчика сети не требуется дополнительных усилий по организации их взаимодействия. Иногда сетевые технологии называют базовыми технологиями, имея в виду то, что на их основе строится базис любой сети. Примерами базовых сетевых технологий могут служить наряду с Ethernet такие известные технологии локальных сетей как, Token Ring и FDDI, или же технологии территориальных сетей Х.25 и frame relay. Для создания сети в этом случае достаточно приобрести программные и аппаратные средства, относящиеся к одной базовой технологии (сетевые адаптеры с драйверами, концентраторы, коммутаторы, кабельную систему и т. п. ) Соединяя их в соответствии с требованиями стандарта на данную технологию мы получаем работоспособную сеть. Ethernet использует случайный метод доступа к разделяемой среде передачи данных. В качестве такой среды может использоваться толстый или тонкий коаксиальный кабель, витая пара, оптоволокно или радиоволны. В стандарте Ethernet строго определена топология электрических связей (рис. 1). Компьютеры подключаются к разделяемой среде в соответствии с типовой структурой «общая шина». С помощью разделяемой во времени шины любые два компьютера могут обмениваться данными. Управление доступом к линии связи осуществляется специальными контроллерами (сетевыми адаптерами Ethernet). Каждый сетевой адаптер, имеет свой уникальный адрес.
Версия сайта для слабовидящих