Мы уже думали купить дополнительно оперативной памяти, но это стоит дорого, а на улице кризис. Поэтому решили пойти другим путем. Главным потребителем памяти на любом веб-сервере, конечно, является сам веб-сервер (тавтология получается какая-то), а у нас используется Apache. После некоторых исследований я решил попробовать nginx. И вот что получилось…

[timh.ru] http://timh.ru/2010/02/16/how-russian-nginx-helped-apache/

С почтой кое-как разобрался. Настроил почтовый сервер в компании на работу с SSL как при получении, так и при отправке. Но что делать с другим трафиком? Было два варианта: настроить VPN-сервер на сервере фирмы и ходить через этот канал (поверх канала, который предоставляет местный провайдер), или же построить шифрованный туннель посредством маленькой программы stunnel. Почему-то OpenVPN не получилось настроить даже после двух дней изучения – признаюсь, был занят отпускными хлопотами, не разобрался – поэтому я вспомнил про stunnel.

Stunnel (веб-сайт stunnel.org) это маленькая программа, которая сидит как на серверной, так и на клиентской стороне, чтобы соединить два порта (клиентский и серверный) шифрованным каналом. Ее часто используют, чтобы добавить “секурный” порт веб-серверу, который не поддерживает SSL, или то же самое – почтовому серверу, работающему только по POP3 и только на 110-м порте. Серверный скрипт “вешается” на порт 443 и передает (внутри сервера) все запросы на порт 80 – в случае веб-сервера. Весь трафик от клиента до сервера идет по надежному каналу, а внутренний трафик никто прослушать уже не сможет, не взломав сам сервер.

Что же надо сделать на стороне клиента? Поставив stunnel на клиентскую машину, можно запрашивать не 80-й порт сервера, а 80-й порт локальной машины, а уже с этого порта будет туннель на 443-й порт сервера. Конечно, тут пример неудачный получился, потому что современные браузеры и так умеют общаться с 443-ми портами веб-серверов. Но в моем случае надо было защитить еще и “аську”. По этой причине я решил, что все программы, работающие с Интернетом, будут использовать прокси, а общаться с прокси буду по защищенному каналу. Следовательно, была выбрана такая архитектура:

1. на сервере прокси-сервер squid слушает запросы на порте 3128, как обычно. Прокси запрашивает пароль при первом входе
2. на сервере stunnel слушает порт 3129 (взят с потолка), перенаправляя все запросы на 3128
3. на клиенте stunnel слушает порт 3128 и соединяется с сервером на 3129 защищенным образом
4. все программы настроены на работу с “прокси-сервером” по адресу 127.0.0.1: 3128.

Теперь все программы общаются с местным прокси “открытым текстом”. Этот текст затем шифруется и отправляется по туннелю на сервер и там обрабатывается. Результат запроса (страницы веба, сообщения от людей и т.п.) возвращаются по туннелю на мою машину. Теперь ни один человек не сможет это перехватить! Конечно теоретически , а практически, может быть, моя машина дырявая.

Но теперь работать стало значительно спокойнее. Думаю, что и дома буду продолжать использовать установленный туннель. Зачем ломать то, что работает, при том, что оно еще и надежнее, чем обычно.

Кому интересно, как я все настроил, то настройки были произведены следующие. Напомню, что работаю в основном с Redhat-серверами и Fedora на десктопе. На обоих концах я установил stunnel (up2date -i stunnel на сервере и yum install stunnel на десктопе). У меня версия 4, поэтому конфигурационные файлы приводятся для этой версии. Внимание! На сайте stunnel.org пока что устаревшая документация, формат команд от третьей версии…

Сервер: файл /etc/stunnel/stunnel.conf

[root@www root]# more /etc/stunnel/stunnel.conf
# Provide the full path to your certificate-key pair file
cert = /etc/stunnel/stunnel.pem
# lock the process into a chroot jail
chroot = /var/run/stunnel/
# and create the PID file in this jail
pid = /stunnel.pid
# change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody

# Configure our secured services
##debug = 7
##output = /var/log/stunnel.log
[ssquid]
accept = 3129
connect = 3128

Всего несколько строчек (не считая комментариев)!

Клиент: тоже /etc/stunnel/stunnel.conf

[tim@localhost ~]$ sudo more /etc/stunnel/stunnel.conf
Password:
cert = /etc/stunnel/stunnel.pem
# chroot = /var/tmp/stunnel

# PID is created inside chroot jail
# pid = /stunnel.pid

#setuid = stunnel
#setgid = stunnel

client = yes

##debug = 7
##output = /var/log/stunnel.log

[3129]
accept = 3128
connect = адрес_IP_сервера:3129

Тоже всего чуть-чуть! Разница только в флаге client=yes и адресе для параметра connect. Архитектура очень прозрачная.

Я также хотел бы помочь тем, кто устанавливает это впервые – я сам испытал это на себе – не сразу понятно, откуда взять нужный stunnel.pem – ключ для шифрования канала. Его можно сгенерировать из веб-интерфейса на stunnel.org, но это если совсем туго и у меня полученный ключ не работал – видимо, сайт генерит его для старой версии 3. Но затем я нашел простое решение для redhat-подобных дистрибутивов. Это, опять же, всего две команды:

cd /usr/share/ssl/certs

make /etc/stunnel/stunnel.pem

Надо только ответить на несколько вопросов скрипта make – отвечать можно произвольным образом, если этот сертификат больше нигде не будет использоваться. На моей локальной машине папки /usr/share/ssl/certs не нашлось (видимо, нужно установить openssl-devel), поэтому я поступил еще банальнее – скопировал на локальную машину файл stunnel.pem, полученный на сервере.

После всего этого надо просто добавить в автозапуск – в redhat-подобных дистрибутивах можно использовать файл /etc/rc.local – я в конец файла добавил строчку stunnel – и все!

После запуска команды stunnel на сервере и на клиенте (это только один раз нужно) туннель устанавливается и можно общаться без боязни прослушивания. Ура!

Итак, если кто еще помнит, первая версия браузера MSIE появилась где-то в 1995 году, практически одновременно с выходом новой ОС от Windows – Windows 95. Тогда версионный номер у браузера уже был 3.0. С более младшими версиями простые пользователи не сталкивались. Как рассказывает статья Википедии, браузер был основан на коде программы Mosaic (это был один из первых браузеров, работавших в графическом режиме – до появления WWW на экранах обычных пользователей, Mosaic можно было встретить в компьютерных центрах научных и учебных заведений, на графических Unix-терминалах). Версия 3.0 браузера MSIE вышла в то время, когда Netscape Navigator был уже очень зрелой программой, со многими возможностями. Netscape была фирмой-новатором, которая изобрела Javascript, фреймы и многие другие атрибуты современного Интернета. Internet Explorer же был невзрачной простенькой программой, которая работала, но была ничем не лучше своего конкурента. Я помню, что в те дни я всегда сразу ставил Netscape 2.0 поверх свежеустановленной Windows 95 и пользовался только Netscape.

Впервые Internet Explorer удивил меня в 1999 году, когда вышла его 5-я версия. Программа работала очень быстро – открывалась моментально и шустро отображала веб-страницы. В то время Netscape уже стал тяжелым, некрасивым (если кто еще помнит интерфейс его 4-й версии) и медлительным. Поэтому Internet Explorer очень быстро стал моим браузером по умолчанию. Его не надо было ставить, он просто был в системе (в Windows 95 была версия 3.0, в Windows 98 – 4.0, в Windows 2000 – версия 5.0, в Windows ME – 5.5, в Windows XP – 6.0). Это было очень удобно для пользователя и о браузере Netscape пользователи довольно быстро забыли. Рыночная доля браузера MSIE подскочила до 95% и выше. “Война браузеров” завершилась. О фирме Netscape надолго забыли, пока она не превратилась в Mozilla и не выпустила ныне популярные продукты Firefox, Thunderbird и Seamonkey.

Популярности MSIE также способствовал тот факт, что для разработчиков Windows-программ фирма Microsoft открыла доступ к объекту-браузеру (таким неуклюжим словом пытаюсь обозвать Active-X компонент, который показывал страницы так же, как это делается в MSIE) и любой мог встроить HTML-браузер на уровне MSIE в свою программу. Легко представить, как быстро программисты привыкли к этому, к встраиванию MSIE в свои программы. Сама система Windows также использовала этот объект-браузер практически везде – например, для красивого показа папок в “Проводнике” (помните, как можно было в Windows 98 использовать Active Desktop или красиво оформить ту или иную папку?). Когда люди спохватились, то было уже поздно, MSIE был везде, он был привычным инструментом и он работал, так что в альтернативах мало кто нуждался.

Тесная интеграция Microsoft Internet Explorer в ОС Windows была причиной антимонопольных процессов и судебных разборок. Microsoft пыталась доказать, что браузер легко удалить, но на деле все было иначе: сколько ни удаляй, компоненты браузера все равно остаются на машине, включая тот объект. Совсем уж без браузера система просто не жила. Это в корне отличается от подхода в Unix (”the Unix way”), когда каждый функциональный объект (да, там для интеграции с другими программами тоже можно было бы написать объект-браузер) можно заменять другими без ущерба для функциональности. И если выходит новая версия функционального объекта, можно заменить его и все программы, его использующие, получат новые возможности или избавятся от прежних багов.

Тесная интеграция MSIE в систему Windows также отрицательно повлияла на ее общую безопасность. Вы наверное слышали или сталкивались сами с тем, что читая очередное письмо по email (просто открывая письмо, а не аттачмент), вы заражали компьютер очередным вирусом-трояном. Почему же так происходит? Потому что почтовый клиент Outlook Express (и многие другие), для удобства как разработчиков, так и пользователей, показывает HTML-письма с помощью объекта-браузера от MSIE. И не закрытый баг в MSIE мог быть использован вирусом несмотря на то, что пользователь ничего не делал, а только прочитал письмо… Вирусы-трояны, пришедшие через MSIE и зависимые от него программы, по разным данным захватили примерно 25% процентов компьютеров, подключенных к Интернету(!). Об этом недавно заявил на экономическом форуме в Давосе видный деятель в Интернете Винт Серф. Именно по этой причине к нам сейчас каждый день приходит так много спама и вирусов – зомбированные компьютеры используются различными спам-командами для рассылки миллионов электронных писем в считанные минуты. Правда, выход, который он предлагает, не очень хорош: он предложил ввести эффективные методы контроля Интернетом, вместо того, чтобы организовать помощь пользователям в переходе на более безопасные варианты использования Интернета. В светском обществе ведь не вводят контроль над сексуальными связями людей, а продают им презервативы, предоставляя людям некоторую свободу действий (можно также коротко процитировать Ветхий Завет: “не прелюбодействуй“, или Нагорную проповедь, как вариант безопасного поведения, но это не тема данной заметки).

Общая система безопасности в ОС Windows также предоставляет пользователю слишком много прав, поэтому работающий с правами пользователя зараженный объект-браузер может причинить много вреда. Как следствие, возникает потеря доверия  у людей и увеличение раздражения при работе с Windows, когда даже трехгигагерцовый компьютер вдруг начинает “тормозить”, а Интернет-канал забиваться ненужным трафиком (отсылкой спама и вирусов разным получателям в спам-базах). Впрочем, некоторые положительные подвижки есть – в Windows XP Service Pack 2 появилась возможность выбрать в качестве браузера по умолчанию браузер стороннего разработчика, например, Firefox, а вместо почтового клиента Outlook Express использовать Thunderbird (эти программы для Windows и других ОС можно скачать на сайте Mozilla.org или Mozilla.ru, если вы предпочитаете русскоязычный вариант). При выборе можно также “запретить” запуск Internet Explorer и Outlook Express. Эти программы еще можно будет запускать, но только по сознательному выбору пользователя – в меню их нигде не будет видно. Впрочем, никто не отменяет работу упомянутого выше объекта-браузера в зависимых от него программах.

Теперь к главному – почему же я назвал статью “Джин в бутылке, MSIE в WINE”? Дело в том, что я на днях работал над очередным сайтом клиента и должен был тестировать сайт в MSIE. Парадокс, но раньше обычно я проверял сайт сначала в MSIE, а потом уточнял, все ли работает в Firefox и Opera. Теперь же все наоборот, код нашей фирмы по умолчанию работает в Firefox + Safari, а под MSIE приходится проверять. Отчасти это связано с тем, что мы работаем на Линукс- и Мак-машинах, но это также связано с тем, что MSIE с некоторыми стандартами веб-разработки от W3C-концорциума работает не так, как другие браузеры. Конечно, многие веб-разработчики из-за рыночной доли “главного” браузера уже оптимизировали сайты под MSIE, поэтому сами разработчики MSIE просто почивали на лаврах и не развивали программу. Но теперь, как мне кажется, они немного отстали. Теперь MSIE кое-где в положении догоняющего, несмотря на то. что все еще работает на компьютерах у около 85% пользователей Интернета.

Ну вот, для того чтобы протестировать сайт в MSIE, раньше мне нужно было запускать Windows (перегружать компьютер или включать виртуальную машину в VMWare Player). Сейчас же, благодаря трудам одного бразильского программиста, я могу запускать MSIE прямо из WINE. Для тех, кто не знает: WINE (WINE is Not an Emulator – циклическая расшифровка в стиле GNU is Not Unix) это система, позволяющая запускать многие Windows-программы в Линуксе. Кроме того, с помощью WINE можно изолировать каждую программу внутри некой песочницы, чтобы она никому не навредила. С легкой руки авторов CrossOver Office (коммерческого продукта, позволяющего удобно работать с Microsoft Office, Adobe Photoshop и другими программами внутри Линукса), в WINE появились так называемые “бутылки” (бутылки, потому что wine по-английски значит вино), в которых можно закупоривать наших джинов, в данном случае Microsoft Internet Explorer.

Итак, с помощью программы IE4Linux, которую можно найти на сервере со звучным для русского уха названием “Татанка” (почти как “тачанка”) можно использовать для веб-разработки аж несколько версий MSIE на одном Линукс-компьютере, MSIE 5.0, 5.5, 6.0. Программа сама качает нужные файлы с сервера Microsoft.com и поставит их в бутылки, из которых потом можно запустить версии браузера набором простой команды, например, ie6 в случае шестой версии.

И вот, заработавшись над очередным сайтом, я бросил взгляд на панель с открытыми задачами и почувствовал дежавю. Вроде бы сижу в Линуксе, а окно у меня такое:

Как будто сижу в Windows! Да, я конечно не работал над сайтом Microsoft.com, просто открыл его, чтобы MSIE было приятнее И было удивительное чувство надежности (а может это неправильное чувство?), что я работаю с джином, но он у меня в бутылке закупорен и безопасен для окружающих.

В любом случае, как вы видите, Microsoft Internet Explorer работает в Линуксе с помощью WINE – а вместе с ним и многие другие программы (также и моя “Цитата из Библии”). В ближайшем будущем я напишу, какие программы я лично запускал через WINE – в последнее время число совместимых с WINE программ растет очень быстро. Многие даже играют в Линуксе в свои любимые игры, которые раньше были доступны только для Windows-пользователей. Джин действительно сидит в бутылке, а MSIE действительно работает в WINE! Ну а о том, как на самом деле вреден MSIE для Windows, я написал в пространном и отвлеченном от заголовка заметки тексте выше. Прошу простить меня за это, не мог удержаться

Для тех, кто заинтересовался, подробная инструкция для установки IE4Linux есть на сайте “Татанка”. В некоторых случаях (на одних машинах так, на других иначе) команда ie6 выдавала у меня ошибку (отсутствие той или иной библиотеки Windows), но это лечится добавлением принудительного “перехода в бутылку” – cd ~/ies4linux/ внутри скрипта ~/bin/ie6. После данного перехода джин приходит в себя окончательно и уже не капризничает. Я сообщу об этой проблеме автору продукта – думаю, что в следующих версиях баг устранится. Я использовал версию 2.0.5 на момент написания этой заметки.

Спасибо за внимание! До новых встреч.