книги хакеры / журнал хакер / 099_Optimized

>>

ХАКЕР

припереключении.Но,какпоказывает практика,помехивсе-такивозникаютичасто интерпретируютсякомпьютеромкакмусор ныйклавиатурныйилимышиныйввод,созда ющийвполнереальнуюугрозупотериданных (надеюсь,ненужнообъяснятьпочему?). Чуть более сложные (а значит, и дорогие) свитчи основаны на электронных ключах

ипомех уже не вызывают, однако и элект ронным, и механическим свитчам присущи серьезные недостатки, а именно крайне ограниченная длина кабеля, в среднем со ставляющая пару десятков метров. При этом на мониторе наблюдается устойчивая рябь,

и1280х1024 — это предельное разрешение. При увеличении длины кабеля до 100 метров, помехи существенно возрастают, и прихо дится переключаться в режим 800x600 или даже хуже. CRT-мониторам хорошо — они работают на (практически) любом разреше нии. А вот LCD изначально затачиваются под одно конкретное разрешение и под всеми ос тальными либо показывают экран размером с почтовую марку, либо занимаются экстрапо ляцией, что тоже не добавляет качества. Корочеговоря,дляудаленногоадминистриро ванияKVM-свитчинепригодны,таккакрадиус ихдействияневыходитзастеныконторы, вкоторойустановленсервер.Ихотятеоре тическивозможностькинутькусоккабеляв соседнийкорпуссуществует,припопыткеее реализациисразужевозникаютпроблемыс безопасностью,посколькуникакойзащиты отнесанкционированногодоступатутнети злоумышленникуничегонестоитзахватить управлениесервером.

ПродвинутыеKVM-свитчиимеютвстроен ныйEthernet-контроллер,позволяющий передаватьинформациюполокальнойсетив открытомилизашифрованномвиде.Естест венно,онистоятнамногодорожеи,чтосамое неприятное,съедаютльвинуюдолюпропуск нойспособности100 мегабитногоEthernet.И дажеесливлокальнойсетиустановленсервер, обеспечивающийвыходвинтернет,админис тратору(дляуправленияиздома)потребуется какминимумDSL-модем(Dial-Upсоединения будетуженедостаточно).

На рынке присутствуют десятки, если не сотни, моделей KVM-свитчей с поддержкой Ethernet и даже со встроенным TCP/IP-сте ком. Достаточно набрать в Гугле слово «KVM»

ипоискать в Sponsored Links модель подешев ле и посимпатичнее.

Кслову,существуетдажеоткрытыйпроект Opengear,бесплатнораспространяющий референснуюсхемувместеспечатнойплатойи

встраиваемойоперационнойсистемой,подко торойвсеэтохозяйствоработает:linuxdevices. com/news/NS8120924667.html.

Как бы там ни было, KVM-свитчи с поддерж­ кой Ethernet реализуют удаленное админис трирование в полном объеме. Вставляем в CD-ROM диск с любимым дистрибутивом, а в дисковод дискету с образом Flash-BIOS и… отключаем дисковод в BIOS (в самом деле, за чем дисковод серверу?!). Он не будет мешать нормальной работе сервера, но если вдруг что-то случится с BIOS (который, кстати, мож но перешивать удаленно с помощью KVM), система после перезагрузки увидит флоп и после подтверждения администратора, пере

данного все через тот же KVM, совершит откат к правильному образу.

Некоторыемоделиматерейреализуютпроце дурувосстановленияBIOSпутемпереключе нияперемычкинаплате.ТутKVMотдыхают, иединственное,чтоможнопосоветовать администратору,—этоневыбиратьтакую платуилииспользоватьинтегрированные устройстваудаленногоуправления,окоторых речьпойдетниже.

Интегрированные

ISA/PCI-платыилиRemoteBoards

Недостатки KVM-свитчей особенно оче видны при администрировании *nix-сер веров, управляемых преимущественно из командной строки, весь ввод/вывод которой свободно вмещается в 9600 бод/сек. Однако даже в текстовом видеорежиме аналоговый видеосигнал требует достаточно широкой полосы пропускания и высококачественных АЦП/ЦАП на свитче, видеокарте и мониторе, в противном случае текст читать будет невоз можно. Иногда некоторые модели свитчей не совместимы с определенными монитора ми/видеокартами или страдают хронической термонестабильностью, то есть меняют свои свойства в зависимости от температуры, вынуждая подстраивать LCD-монитор по мере нагревания/охлаждения всех устройств. Кому это нужно?!

Ктомужепритяжелыхзависанияхсервера спасаеттолько«Reset»,аегочерезKVM-свитч никакненажмешь.Пропрочиепереключате ли,расположенныенаплате,мыужеговорили. Выход—вставитьвнутрькомпьютераспеци альнуюплату,имеющуюфизическийдоступк видеопамятиипрочемуоборудованию. Такиеплатынеимеютустоявшегосяназвания ипроизводятсясравнительнонебольшимко

личествомфирм(преимущественноразмещен ныхвнутригаража),обычномаркирующихих

Схема подключения трех компьютеров к одной консоли через KVM-свитч

как«RemoteBoard».Ноэтоничегонеговоря щееназваниеможетбытьприсвоенопракти ческилюбомуустройству,такчтопризаказе товарачерезинтернетследуетсоблюдать особуюосторожность.

Ачтожегиганты?Почемуонидосихпор игнорируютэтотсекторрынка?Апотому,что нехотятсоставлятьконкуренциюсвоимже серверам.Ведьнастоящийсерверотличается отPC,впервуюочередь,тем,чтоизначально поддерживаетобширныевозможностиудален ногоуправления.Физическийдоступтребуется тольковкритическихслучаях(илиприплано вомтехническомобслуживании).

Чтобы понять, как устроена и как рабо тает Remote Board, необходимо хотя бы в общих чертах разобраться, что происходит в процессе загрузки машины и какую роль при этом играет BIOS. Материнские платы от EPOX хороши тем, что отображают ход загрузки в виде быстро сменяющих друг друга шестнадцатеричных цифр на двух разрядном восьмисегментном индикаторе. Нет, следить за ходом загрузки с помощью индикатора мы не предлагаем (для этого потребовалось бы снимать его на высокос коростную камеру). Намного проще от крыть приложение к мануалу, где перечис лены все цифры вместе с соответствующими им стадиями загрузки системы.

Первым получает управление загрузочный блок (boot-block), который, выполнив иници ализацию критически важных узлов, присту пает к сканированию ISA-шины, отыскивая контроллеры устройств и проецируя ПЗУ

ХАКЕР.PRO

iС USB-клавиатурами и мышами ситуация намного более напряженная, поскольку они еще плохо стандартизирова

/ 160

сетевую карту, благо большинство из них снабжено FlashBIOS и свободное место в нем есть!

Таким образом, существующие модели Remote Board ба зируются либо на автономной PCI-плате, имеющей доступ к PCI-регистрам остальных устройств, либо на видеоили сетевой карте с доработанным BIOS. Наличие внешнего источника питания позволяет «нажимать» на «Reset» через реле или электронный ключ, аналогичным образом посту пая с кнопкой «Power» и перемычками на плате. Разобравшисьсматчастью,обратимсвойвзорквитринам магазиновипосмотрим,чтохорошегоизготовыхизделий нампредлагают.

RemoteInsight

Посоотношениюфункционалаиценыбесспорнымлидером являетсямодельRemoteInsight(отHewlett-Packard)для

PCI-слота,несущаянасвоембортуинтегрированный 10/100 мегабитныйEthernet-контроллер.Поддерживаются кактекстовые,такиграфическиевидеорежимы.Причем графические—вплотьдо1280х1024и256цветоввпридачу

—это,конечно,неTrueColor,номыжене«Шрека»собира емсясмотреть!Управление—мышь,клавиатураитрадици онная(дляэтогоклассаустройств)возможностьудаленного нажатияна«Power»и«Reset».Вкачествеприятногобонуса предлагаетсявиртуальныйдисководиCD-ROM,образ которогоможнозаранееположитьнажесткийдискили передатьпоEthernet.Вродебымелочь,априятно.Компью тер,оснащенныйRemoteInsight,можетвообщенеиметь никакихсъемныхносителей,чтосущественноусиливает безопасность,акбезопасностивHewlett-Packardподходятс головой,незабываяошифровании.Какговорится,свинья невыдаст,а128 битныйSSLбудетснитьсяхакерамвночных кошмарах.Внешнийисточникпитаниятакжевходитвком плект,изаботитьсяоегоприобретенииненужно. Удаленное администрирование осуществляется либо через telnet, либо через web-браузер. Список поддержива емых операционных систем довольно велик и включает

в себя: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard или Enterprise Edition), Novell NetWare 5.1/6.0, Red Hat Advanced Server 2.1, Red Hat Linux 7.3/8.0, SuSE Linux Enterprise Server V7/V8 и многие другие клоны *nix.

Картуможноприобрестивмагазинеилизаказатьпоинтер нетунепосредственновHewlett-Packard.Всеэтоудовольс твиеобойдетсяв$399(ценауказананамоментнаписания статьииможетварьироваться).

Существуютиоткрытыеплатыудаленногоуправления, напримерPCWeasel2000,поставляемаявISA-иPCI-вари антахвместеспринципиальнойсхемойиисходнымкодом прошивкипоценев$250и$350соответственно.Причем вместоEthernet-контроллераимеетсятолькотормозной UART(тоестьконтроллерCOM-порта),аблокпитанияв комплектневходит,всвязисчемстановитсянепонятно,за чтоплатитьтакиеденьги.

Впрочем,небудемнавязыватьвыборчитателю.Opensource имеетстолькожеправнасуществование,сколькокорпора цияHewlett-Packardсовсемисвоимипатентами.z

xàêåð 03 /99/ 07

08)МАРТ03( x

2007