VFAT - это файловая система Linux, которая совместима с файловой системой Microsoft FAT-32 с поддержкой длинных имен. Может использоваться для систем с двойной загрузкой, форматирования дискет и других переносных носителей информации.

Существует несколько методов инсталляции Red Hat Enterprise Linux - используя загрузочный компакт-диск, используя загрузочную дискету, используя жесткий диск, установка по сети.

Инсталляция по сети. Установочные средства Red Hat Enterprise Linux должны быть доступны для сетевой установки через протоколы HTTP, FTP или NFS или инсталляции через локальное хранилище. Сетевая установка может запускаться с загрузочного CD-ROM, загрузочного флеш-диска, или с помощью сетевой карты. Установка с жесткого диска работает только с файловых систем ext2, ext3 и FAT.

Для установки системы на множество компьютеров разработчики Red Hat изобрели метод, названный Kickstart2). При использовании этого метода создается единственный файл, содержащий ответы на все вопросы, которые задаются при обычной установке Red Hat Linux. Файлы инсталляции могут храниться на одном сервере и читаться отдельными компьютерами в процессе инсталляции.

Установка Red Hat Enterprise Linux 4 путем обновления предыдущей версии. Прямое обновление поддерживается с Red Hat Enterprise Linux версий 2.1 и 3 для систем, работающих на процессорах семейства x86 и с версии 3 для систем на AMD64, EM64T и Itanium.

Двойная загрузка Linux и Windows 2003 заключается в том, чтобы добавить Linux в качестве одного из вариантов загрузки в меню загрузчика Windows.

Резюмируя сказанное, можно отметить, что современный Linux требует современных аппаратных ресурсов, даже больше чем Windows, это касается и оперативной памяти, и дискового пространства. Обе ОС поддерживают все процессоры фирм Intel и AMD. Процессоры IBM Power поддерживаются только Red Hat Linux, очевидно это политика компании IBM, активно продвигающей ОС Linux.

Системы поддерживают различные варианты установки, обновления предидущих версий и автоматизированную установку. За счет этого небольшая группа администраторов сможет справиться с установкой ОС на большом количестве компьютеров в масштабах корпорации за сравнительно короткий промежуток времени.

2.2 ФАЙЛОВЫЕ СИСТЕМЫ

АРХИТЕКТУРА EXT3

К основным понятиям файловых систем в мире Linux относятся: блок загрузки (boot block), суперблок (superblock), индексный (информационный) узел (inode), блок данных (data block), блок каталога (directory block), косвенный блок (indirection block).

Блок загрузки содержит программу для первоначального запуска Linux. На жестком диске по физическому адресу 0-0-1 располагается главная загрузочная запись (master boot record, MBR), включающая внесистемный загрузчик, таблицу описания разделов диска и сигнатуру MBR.

Все пространство раздела диска разбивается на блоки фиксированного размера, кратные размеру сектора - 1024, 2048 и 4096 байт. Размер блока указывается при создании файловой системы на разделе диска. Меньший размер блока позволяет экономить место на жестком диске, но также ограничивает максимальный размер файловой системы. Все блоки имеют порядковые номера. С целью уменьшения фрагментации и количества перемещений головок жесткого диска при чтении больших массивов данных блоки объединяются в группы. Блоки Linux -это видимо аналог кластеров Windows.

Файловая система ext3 имеет следующую структуру, показанную на рисунке 6 в приложении, которая включает суперблок, описатель группы карта блоков, карта информационных узлов, таблица информационных узлов, блоки данных.

В суперблоке содержится общая информация о файловой системе, такая как общее число блоков и inode-ов в файловой системе, число свободных блоков и inode-ов в файловой системе, размер блока файловой системы, количество блоков и inode-ов в группе, размер inode, идентификатор файловой системыя. номер первого блока данных.

Для повышения устойчивости создается несколько копий суперблока, но при монтировании используется только одна.

Каждая группа имеет свой дескриптор группы. Карты блоков и информационных узлов -- это массивы битов, которые указывают на блоки или информационные узлы соответственно. Таблица информационных узлов содержит информацию о выделенных для данной группы блоков в информационных узлах.

Блоки данных -- это блоки, содержащие реальные данные.

Базовым понятием файловой системы является информационный узел, information node, или inode. В информационном узле, изображенном на рисунке 7 в приложении, хранится вся информация о файле, кроме его имени. Эта информация представляет собой последовательность 32-х битных номеров блоков, содержащих данные файла. Первые 12 номеров - это прямые ссылки на информационные блоки (direct blocks number). 13-й номер является косвенной ссылкой (indirect blocks number). В нём находится адрес блока, в котором хранятся адреса информационных блоков. 14-й номер - двойная косвенная ссылка (double blocks number), 15-й номер - тройная косвенная ссылка (triple blocks number).

Это специальная структура, которая содержит информацию об атрибутах и физическом расположении файла. Атрибутами файла являются его тип, права доступа к нему, идентификатор владельца, размер, время создания. Размеры файлов приведены в таблице 2.5.

Максимальная длина имени файла составляет 254 символа. Имя может содержать практически любые символы, кроме: / \ ? > < | " *. Linux чувствительна к регистру символов, поэтому file.txt, FILE.TXT и File.txt -- совершенно разные имена файлов.

Таблица 2.5.

Максимальные размеры файлов

Размер блока файловой системы Размер файла Размер файловой системы

1 килобайт 16 гигабайт (234) 2 терабайта (241)

2 килобайта 256 гигабайт (238) 8 терабайт (243)

4 килобайта 2 терабайта (241) 16 терабайт (244)

8 килобайт 2 терабайта (241) 32 терабайта (245)

Существует три режима журналирования файловой системы:

Режим data=writeback В этом режиме файловая система ext3 не выполняет какого либо журналирования данных.

Режим data=ordered. В этом режиме файловая система ext3 формально журналирует только метаданные, но логически метаданные и блоки данных группируются в единый модуль, называемый транзакцией.

Режим data=journal обеспечивает полное журналирование и метаданных, и самих данных.

Файловая система EXT3 не поддерживает прозрачного сжатия данных, как, впрочем, и шифрования.

Дисковые квоты могут быть сконфигурированы как для отдельных пользователей так и для групп [19]. Такая гибкость дает возможность предоставить каждому пользователю небольшую квоту для ведения своего файла, позволяя выделить проекту, над которым работает группа большее дисковое пространство. Дополнительно есть возможность устанавливать квоты не только на количество расходуемых дисковых блоков, но и на количество информационных узлов inode, это позволяет контролировать количество создаваемых файлов.

Права доступа к файлам.Списки контроля доступа поддерживаются только в последней версии, вместо этого права доступа к файлу или к каталогу описываются тремя восьмеричными цифрами, левая из этой тройки - права владельца, средняя - права группы, правая - права всех остальных. Каждая из этих восьмеричных цифр представляет собой битовую маску из трех битов. Эти биты отвечают за права на чтение, запись и исполнение файла или каталога. Если установлена единица - доступ разрешен, если ноль - запрещен. Таким образом, права доступа к файлу, описанные цифрой 644, означают, что владелец может писать и читать файл, группа и остальные пользователи - только читать. Для обозначения разрешений применяют коды прав доступа, трехбитовый набор записывается в виде символов rwx, r - чтение, w - запись, x - выполнение.

Посмотрим, что означает чтение, запись и выполнение файла с точки зрения функциональных возможностей.Чтение: возможность просмотра содержимого файла, возможность чтения каталога.Запись: возможность добавить или изменить файл, возможность удалять или перемещать файлы в каталоге.Выполнение: возможность запуска программы, возможность поиска в каталоге в комбинации с правом чтения, приложение, рисунок 8.Все создаваемые файлы и каталоги не наследуют разрешения от родительского каталога, а получают разрешения, зависящие от маски, заданной утилитой umask, если конечно они не указываются при создании файла.При создании символьной ссылки ей устанавливаются полные права для всех пользователей, и при обращении к файлу через ссылку эти права не ограничиваются правами на сам файл. Поэтому каждый раз при создании ссылки нужно задавать разрешения.

Для совместно используемых несколькими пользователями каталогов трудно с помощью трех прав задать специфические права доступа. Для того чтобы удалять из каталога файлы могли только те, кто их создал, существует stycky-бит. Например, права доступа вида drwxrwxrwxt содержат букву “t”, это значит что stycky-бит установлен. Использование битов доступа SUID позволяет пользователям запускать программы с использованием прав владельца, а установка бита SGID -с использованем прав группы владельцев. Для таких файлов вместо бита выполнения “x” устанавливается бит “s”.Списки контроля доступа ACL появились в версии Red Hat Enterprise Linux 4, при установке соответствующего пакета и монтирования, они работают только в файловой системе ext3 и доступны через NFS и Samba.Используется два типа списков контроля доступа: ACL доступа и ACL по умолчанию. ACL доступа это список разрешений для конкретного файла или каталога. ACL по умолчанию может быть ассоциирован только с каталогом, и применяется для файлов в каталоге, если каталог не имеет установленных ACL доступа. Списки контроля доступа могут быть сконфигурированы для группы, пользователя, через маску эффективных прав, и для пользователей, которые не состоят в группах для файла.Выглядит это все весьма удручающе: приложение, рисунок 9.Обратной совместимости с предыдущими версиями Linux не поддерживается, при доступе к каталогам они просто игнорируют назначенные ACL.Сетевой доступ обеспечивают слжбы NFS и Samba.Сетевая файловая система NFS (Network File System) позволяет монтировать файловые системы на удаленных компьютерах. При этом создается ощущение, что эти файловые системы являются локальными, если не считать, конечно, скорости соединения. После монтирования вы сможете непосредственно обращаться к файлам этой файловой системы.

Второй вариант предоставления файлов и принтеров в общий доступ - это использование сервера Samba. Операционные системы Windows, OS/2 и Linux могут обмениваться файлами через сервер Samba по протоколу SMB (Server Message Block). Данный сервер позиционируется как альтернативный файловый сервер в сетях Microsoft.В апреле 2003 г. Независимая компания VeriTest, проводящая тесты на профессиональном уровне, произвела замеры производительности файловых серверов под управлением операционных систем Windows Server 2003 и Red Hat Linux Advanced Server 2.1. Для тестирования использовалась рограмма NetBench 7.02.Схема тестовой установки показана на рисунке 10 в приложении. Конфигурации тестируемых систем показаны в таблице.

Конфигурации операционных систем

ОС Windows Server 2003 Enterprise Edition Red Hat Linux Advanced Server 2.1

Служба SMB (CIFS) File and Printer Sharing for Microsoft Networks SAMBA version 2.2.7

Файловая система NTFS EXT3

Измеренная пропускная способность в Мегабит/секунду, в зависимости от количества клиентов Windows XP Professional с Service Pack 1, приведена в приложении на рисунке 11.Монтирование дисков и томов, ссылки.Linux имеет единую иерархическую структуру каталогов. Все начинается с корневого каталога, обозначенного как “/”, а затем разветвляется в подкаталоги.Перед тем, как читать или записать файл в раздел Linux, этот раздел нужно смонтировать. Для этого нужно указать раздел диска, каталог куда монтировать, и формат файловой системы. Есть каталоги, которые называются стандартными. Иногда их еще называют системными. В них находятся файлы, необходимые для управления и сопровождения системы, а также стандартные программы. Описание стандартных каталогов сведено в таблицу 2 в приложении 1.Ссылки позволяют хранить один и тот же файл, но под разными именами. Linux поддерживает два типа ссылок: жесткие и символические.Каждый файл в файловой системе Linux имеет свой индекс. Индекс - это уникальный номер файла. Жесткие ссылки привязываются к индексу файла. Жесткие ссылки можно организовывать только в рамках одной файловой системы.Резюмируя вышесказанное, можно отметить, что обе системы имеют относительно большие максимальные размеры файлов и файловой системы, при этом показатели NTFS гораздо выше. Запас по размеру несомненно важен, так как объемы информации растут очень быстро.Несмотря на то, что для файловой системы ext3 не существует задокументированного лимита на длину пути к файлу, существуют ограничения со стороны программ. Была протестирована возможность работы с файлами с длинными путями. В качестве операционной системы использовалась операционная система SUSE Linux 9.2, файловая система ext3, графическая оболочка KDE 3.3.0. Было действительно возможно, переходя из каталога в каталог, создать довольно длинные пути к файлам. При этом Linux использует относительные пути, и все работает корректно. Однако при длине пути уже более 1000 символов открыть файл по абсолютному пути (например через ссылку на рабочем столе) невозможно ни пакетом OpenOffice, ни Adobe Acrobat, выдаваемая ошибка показана на рисунке 12 в приложении 1. Если создать линк на каталог с большим путем, то выдается ошибка об отсутствии прав доступа. Длина пути до 1000 символов в ОС Linux, как мне кажется, вполне достаточна для работы, а вот ограничение до 255 символов в библиотеке Windows Win32API действительно недостаточно, и мне приходилось сталкиваться с этим на практике.

Что касается безопасности, то набор разрешений Windows позволяет решать задачи практически любой сложности, а традиционный набор Linux из чтения, записи и выполнения уже устарел и требует доработки. Так например, на практике был случай когда требовалось создать файловый ресурс для общего пользования с неизменной структурой каталогов, средствами Windows это осуществимо, средствами Linux - нет.

Современные системы уже не обходятся без списков контроля доступа, здесь их реализация в Windows сделана просто идеально, в то же время ОС Linux все еще пользуется стандартный набор владелец-группа-все, списки контроля доступа добавляются опционально, как видно, реализованы неудобно.

Журналирование является неотемлемой части системы высокой надежности, только такие системы могут выжить на современном рынке, поэтому обе файловые системы имеют реализацию журнала, однако стоит отметить что в ОС Linux есть возможность выбора режима работы журнала, а в ОС Windows только один режим.

Тесты производительности файловых серверов являются не только показателем самой файловой системы, но сетевых протоколов. Здесь системы Windows показывают двухкратное превосходство над Linux. А от скорости работы файловой системы зависит производительность всех остальных сервисов.

2.3 УЧЕТНЫЕ ЗАПИСИ И ГРУППЫ

2.3.1 УЧЕТНЫЕ ЗАПИСИ WINDOWS SERVER 2003

При создании учетной записи ей присваивается идентификатор безопасности SID (security identifier) - это уникальный номер, отождествляющий учетную запись пользователя, группы либо компьютера. Обычно SID выглядит так: S-1-5-21-1659004503-193565697-854245398-1002. Active Directory позволяет создать 10 миллионов объектов.

Свойства учетной записи можно использовать при поиске пользователей по каталогу, а также в других приложениях в качестве атрибутов объектов. Вкладки свойств содержат:

Имя, инициалы, фамилию, отображаемое имя, описание, размещение офиса, номер телефона, адреса электронной почты и веб-страниц, домашний адрес пользователя, абонентский ящик на почте, город, штат или область, ZIP-код или индекс, страна или регион, имя входа, разрешенное время входа, компьютеры, на которых разрешено выполнять вход, параметры паролей учетной записи, срок действия учетной записи, путь к профилю, путь к сценарию входа, домашняя папка, телефонные номера пользователя, должность, отдел, компания, начальник, параметры служб терминалов, раздел COM+, список сертификатов X.509, список групп, которым принадлежит пользователь, разрешения объекта пользователя.

Имеются четыре категории групп, существующих по умолчанию:

Группы из папки Встроенные используются для предоставленя стандартных разрешений пользователям, выполняющим в домене административные функции. К этим группам относятся Операторы учета, Администраторы, Операторы архива, Гости, Построители доверия входящих лесов, Операторы настройки сети, Пользователи журнала производительности, Пользователи системного монитора, Доступ пред-Windows 2000, Операторы печати, Пользователи удаленного рабочего стола, Репликатор, Операторы сервера, Пользователи лицензий служб терминалов, Пользователи, Группа авторизации доступа Windows.

Группы из папки Пользователи используются для назначения разрешений по умолчанию пользователям, выполняющим в домене определенные административные функции. Перечислим их: Издатели сертификатов, Администраторы DNS, Группа сервиса поддержки, Серверы RAS и IAS, Клиенты telnet, DNSUpdateProxy, Администраторы домена, Компьютеры домена, Контроллеры домена, Гости домена, Пользователи домена, Владельцы-создатели групповой политики, Администраторы предприятия, Администраторы схемы.

Группы специальных сущностей существуют на всех компьютерах. Членство в этих группах контролируется операционной системой. Администраторы могут устанавливать разрешения на доступ к ресурсам для этих групп, но не могут просматривать или изменять их состав. Понятие области действия к ним неприменимо. Членство в группах специальных сущностей определяется тем, как компьютер используется, а не тем, кто с ним работает. К этим группам относятся: Анонимный вход, Прошедшие проверку, Удаленный доступ, Контроллеры домена предприятия, Все, Интерактивные, Сеть, Служба, Пользователи сервера терминалов.

Встроенные локальные группы имеются на всех автономных серверах, серверах-членах домена и рабочих станциях. Эти группы созданы для предоставления пользователям прав на выполнение системных задач в рамках одного компьютера. К этим группам относятся: Администраторы, Операторы архива, Гости, Группа сервиса поддержки, Операторы настройки сети, Пользователи системного монитора, Пользователи журналов производительности, Опытные пользователи, Операторы печати, Пользователи удаленного рабочего стола, Пользователи сервера терминалов, Пользователи.

Управление рабочей средой пользователя. Рабочая среда пользователя состоит из настроек рабочего стола, настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений. Для управления средой пользователя используются профили пользователей, сценарии входа в систему и групповые политики.

Профиль пользователя - это совокупность папок и данных, содержащих информацию о текущем окружении рабочего стола пользователя, настройках приложений, а так же личные данные. Профили бывают локальные, перемещаемые, обязательные и временные.

Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, который запускается при каждой регистрации пользователя в системе или выходе из нее.

Сервер сценариев Windows (Windows Scripting Host, WSH). Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript.

Групповыми политиками называются совокупности параметров конфигурации пользователей и компьютеров, регламентирующие их взаимодействие с программами, сетевыми ресурсами и операционными системами в рамках организации. Групповые политики можно устанавливать в отношении компьютеров, сайтов, доменов и подразделений.

2.3.2 УЧЕТНЫЕ ЗАПИСИ RED HAT LINUX

При установке системы, в файле /etc/passwd создаются стандартные пользователи:

root, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, gopher, ftp, nobody, rpm, vcsa, ntp, canna, nscd, rpc, postfix, named, amanda, postgres, sshd, rpcuser, nobody, pvm, apache, xfs, desktop, gdm, mysql, webalizer, mailman, mailnull, smmsp, squid, ldap, netdump, pcap, ident, privoxy, radvd, fax, wnn.

При установке системы, в файле /etc/group создаются стандартные групы:

Root, bin, daemon, sys, adm, tty, disk, mem, kmem, wheel, mail, news, uucp, man, games, gopher, dip, ftp, lock, nobody, users, rpm, utmp, floppy, vcsa, ntp, canna, nscd, rpc, postdrop, postfix, named, postgres, sshd, rpcuser, nfsnobody, pvm, apache, xfs, desktop, gdm, mysql, webalizer, mailman, mailnull, smmsp, squid, ldap, netdump, pcap, ident, privoxy, radvd, fax, slocate, wnn.

Red Hat Linux использует схему первичных пользовательских групп (UPG), которая делает управение группами проще. Группа UPG создается каждый раз при добавлении пользователя в систему, и имеет такое же имя, как и пользователь для которого она была создана, и пользователь является единственным членом группы.

Схема UPG делает надежной установку разрешений по умолчанию для вновь создаваемого файла или каталога, которая позволяет пользователю и его группе делать модификации в файле или каталоге.

Теневые пароли. В многопользовательской среде очень важно использовать теневые пароли. Это усиливает безопасность файлов аутентификации системы путем перенса зашифрованных хешей паролей из всеобще читаемого файла /etc/passwd в /etc/shadow, который может прочесть только пользователь root. Теневые пароли позволяют хранить информации о возрасте паролей и использовать файл политики безопасности.

В Red Hat Linux имена учетных записей пользователей существуют главным образом для удобства пользователей. Внутренне система использует номерные идентификаторы. Для пользователей идентификаторы назвыаются UID, для групп GID. Идентификаторы UID и GID задаются из диапазона 0...65534. Желательно идентификаторы назначать не произвольным образом, а системно. Идентификаторы должны быть глобально уникальны в одной организации если необходимо использовать общие ресурсы в сети. Иначе контроль доступа будет функционировать неверно, особенно если файлы аутентификации на сервере и на рабочей станции различны в UID и GID, которые они содержат, неправильное применение разрешений может привести к проблемам безопасности.

Управление рабочей средой пользователя.

Пользователи Linux предпочитают пользоваться графическим интерфейсом пользователя (GUI). Для этого Red Hat Linux включает графическую систему X Window, которая использует клиент-серверную архитектуру. Для полноценной работы на X клиенте должны функционировать два класса приложений: графическая среда рабочего стола и оконный менеджер.

Наиболее используемыми средами рабочего стола являются GNOME и KDE, они создают общее графическое окружение пользователя, внешний вид рабочего стола и обеспечивают единый способ взаимодействия между приложениями.

Резюмируя сказанное, можно сделать выводы, что ОС Linux не ориентирована на крупные компании, так как идентификаторы пользователей на могут быть больше 65 тысяч, в то время как в Windows таких иденитификаторов может быть 10 миллионов, и служба Active Directory позволяет избежать таких ошибок, как назначение в Linux двум пользователям одного UID.

Приведенные свойства учетной записи пользователя показывают на большое количество параметров Windows, что позволяет гибко управлять параметрами пользователей. В Linux набор свойств гораздо скромнее и, мне кажется, недостаточен для современных требований бизнеса.

Для удобства администрирования обе ОС имеют встроенные наборы пользователей и групп с предопределенными полномочиями, это экономит массу времени при предоставлении прав. Отдельно стоит отметить наличие в ОС Windows групп специальных сущностей, значительно повышающих гибкость управления.

Для управление рабочей средой пользователя Windows использует мощное средство - групповые политики, в то же время в Linux управление рабочей средой возможно с помощью скриптов и управления домашними каталогами.

2.4 ЯДРО

2.4.1 АРХИТЕКТУРА СИСТЕМЫ WINDOWS

В большинстве многопользовательских операционных систем приложения отделены от собственно операционной системы: код ее ядра выполняется в привилегированном режиме процессора (режиме ядра), который обеспечивает доступ к систеным данным и оборудованию. Код приложений выполняется в непривилегированном режиме процессора (пользовательском режиме) с неполным набором интерфейсов, ограниченным доступом к системным данным и без прямого доступа к оборудованию.

Windows Server 2003, как и большинство Unix систем, является монолитной операционной системой, большая часть ее кода и драйверов используют одно и то же пространство защищенной памяти режима ядра. Windows не является операционной системой на основе микроядра в классическом понимании этого термина. Компоненты операционной системы полностью защищены от сбойных приложений, поскольку такие программы не имеют прямого доступа к коду и данным привилегированной части операционной системы . Упрощенная архитектура показана на рисунке 13 в приложении.

Существует четыре типа пользовательских процесса:

Процессы поддержки системы, не являющиеся сервисами Windows:

Процессы сервисов - носители Windows-ервисов, такие как Spooler, SQL server, Exchange server.

Пользовательские приложения - бывают шести типов: для 32-разрядной Windows, для 64-разрядной Windows, для 16-разрядной Windows, для 16-разрядной MS-DOS, 32-разрядной POSIX и 32-разрядной OS/2.

Подсистемы окружения - реализованы как часть поддержки среды операционной системы, предоставляемой пользователям и программистам.

В Windows пользовательские приложения не могут вызывать родные сервисы операционной системы напрямую, вместо этого они работают с одной или несколькими DLL- подсистемами. Их назначение заключается в трансляции документированных функций в соответствующие внутренние вызовы системных сервисов.

Windows включает следующие компоненты режима ядра:

Исполнительная система Windows, содержащая базовые сервисы операционной системы, которые обеспечивают управление памятью, процессами и потоками, защитой, ввод-вывод и взаимодействие между процессами.

Ядро, содержащие низкоуровневые функции операционной системы, которые поддерживают планирование потоков, диспетчеризацию прерываний и исключений, синхронизацию нескольких процессоров;

Драйверы устройств, в состав которых входят драйверы аппаратных устройств, транслирующие пользовательские вызовы функций ввода-вывода в запросы, сетерые драйверы и драйверы файловых систем;

Уровень абстрагирования от оборудования, изолирующие ядро, драйверы, и исполнительную систему Windows от специфики оборудования на данной аппаратной платформе

Подсистема поддержки окон и графики, реализующая функции GUI

Windows рассчитана на разные аппаратные платформы, включая как Intel x86, Intel Itanim IA-64, AMD x86-64 и Intel x64 (EM64T).

Переносимость достигается двумя способами:

Windows имеет многоуровневую структуру. Специфичные для архитектуры процессора или платформы низкоуровневые части системы вынесены в отдельные модули. Благодаря этому высокоуровневая часть системы не зависит от аппаратных платформ. Ключевые компоненты, обеспечивающие переносимость - ядро и уровень абстрагирования от оборудования HAL.

Подавляющее большинство компонентов Windows написано на C, и лишь часть из них на C++. Язык ассемблера применялся только для частей программы, требующих исключительного быстродействия.

Симметричная многопроцессорная обработка

Одна из ключевых целей разработки Windows была поддержка многопроцессорных компьютерных систем. Windows поддерживает симметричную многопроцессорную обработку SMP, в этой модели нет главного процессора, операционная система, как и пользовательские потоки, может выполняться на любом процессоре и все процессоры используют одну и ту же память. При асимметричной многопроцессорной обработке ASMP система выбирает один из процессоров для кода ядра операционной системы, а другие процессоры выполняют только пользовательский код. Windows Server 2003 поддерживает два новых типа многопроцессорных систем: логические процессоры (hyperthreading) и нетипичная архитектура памяти NUMA.

Windows в NUMA- системе по-прежнему работает как SMP - система, в которой все процессоры имеют доступ ко всей памяти, просто доступ к памяти, локальной для узла, осуществляется быстрее, чем к памяти в других узлах.

АРХИТЕКТУРА LINUX

Самое большое достоинство Linux -- открытый процесс разработки. Поскольку исходный код ядра свободно доступен всем, любой может вносить изменения, которые станут доступными опять-таки всем.

Скотт Максвелл писал5): “Если вы отыскали ошибку, лучше исправить ее самостоятельно, нежели просить кого-либо сделать это. Если вы размышляете о повышении производительности либо о добавлении новых возможностей, проще сделать это самостоятельно. Когда обнаруживается дыра в системе безопасности, «залатывайте» ее самостоятельно и не ждите, пока этим займется поставщик ОС.”

Ядро Linux написано на языке С и ассемблере. Был найден обычный компромисс между этими двумя языками: код на С более переносим и прост в поддержке, тогда как код на ассемблере обеспечивает большую скорость выполнения. В общем случае ассемблер в ядре используется только в тех местах, где наиболее критичным показателем является скорость, либо там, где требуется реализация кода, специфичного для конкретной платформы.

В основном ядро Linux -- монолитное, однако оно не является чистым монолитным ядром. Монолитный проект ядра достаточно модульный внутри, поэтому внесение изменений и дополнений не вызывает особых трудностей.

Упрощенная архитектура Linux-подобной ОС, со всеми низкоуровневыми деталями, какие только могут понадобиться для платформенно-независимой ОС. Стоит подчеркнуть две характерные особенности ядра:

Ядро отделяет прикладные приложения от аппаратных средств.

Часть ядра учитывает специфику архитектуры и аппаратуры, другая же часть ядра является переносимой.

Архитектуру ядра представлена на рисунке 14 в приложении.

Ядро достигает переносимости, частично за счет применения по отношению к себе тех же самых трюков, что и по отношению к пользовательским приложениям. Это означает, что подобно тому как ядро отделяет пользовательские приложения от аппаратных средств, определенная часть ядра обеспечивает отделение оставшейся части ядра от той же аппаратуры. Благодаря такому разделению, и приложения, и часть ядра, становятся переносимыми.

Независимая от архитектуры часть кода в общем случае определяет интерфейс для низкоуровневой, зависящей от архитектуры части.

Таким образом, перенос ядра на новую платформу сводится к идентификации возможностей, наподобие рассмотренных выше, и реализации их, как того требует новая платформа.

Переносимость пользовательских приложений получает дальнейшую поддержку посредством слоя между приложениями и ядром -- стандартной библиотекой С (libc). Приложения никогда не взаимодействуют с ядром напрямую, а только через libc.

Способ взаимодействия с ядром через libc является независимым от архитектуры, причем libc предохраняет пользовательский код от излишней детализации. По причине существования вышеупомянутого механизма, все пользовательские приложения, и даже большая часть библиотеки С, взаимодействуют с ядром способом, не зависящим от архитектуры.

Операционная система, состоящая из ядра Linux, почти полностью изолировании от всех прикладных программ. Ядро функционирует в зацищенном режиме процессора, известном как режим ядра. Пользовательские программы, такие как Web-обозреватели, почтовые клиенты и игры запускаются вне режима ядра в пользовательском режиме. Ядро имеет прямой, неконтролируемый доступ к системным ресурсам, таким как память, процессор, периферия. Запросы пользовательских приложений перехватываются ядром посредством системных вызовов интерфейса syscall. Этот интерфейс проверяет данные, поступающие от пользовательских программ, прежде чем передать их в ядро. Таким образом осуществляется защита от краха ядра от некорректно написанных программ.

В дополнение к различию между режимами, ядро и пользовательские программы занимают различные области памяти. Каждый процесс имеет свое виртуальное адресное пространство четыре гигабайт, где в большинстве случаев ядро занимает один гигабайт памяти, программа получает три гигабайта. Программы пользовательского режима не имеют прав доступа к памяти ядра напрямую.

К поддерживаемым аппаратным платформам относятся:x86 основная 32-битная архитектура Intel, эта категория включает процессоры AMD и других производителей, однако Red Hat Enterprise Linux 4 не может быть установлен на компьютеры с процессорами Intel 386 или 486. В зависимости от версии WS, AS или ES, поддерживается от 2 до 16 процессоров, и оперативную память от 256 мегабайт до 64 гигабайтItanium Процессоры Itanium это 64-битные процессоры от фирмы Intel. Red Hat поддерживает архитектуру Itanium2 с одним или 8 процессорами и оперативной памятью от 512 мегабайт до 32 гигабайт. AMD64. Это 64-битная архитектура от фирмы AMD. Поддерживается от 1 до 4 процессоров и от 512 мегабайт до 16 гигабайт оперативной памяти. IBM архитектура. Red Hat Enterprise Linux 4 поддерживает серверы S/390 и серверы eServer серий zSeries, iSeries, pSeries от компании IBM.В системах с симметричной мультипроцессорной обработкой процессоры должны распределить работу так, чтобы не мешать друг другу, и при этом они не должны затрачивать на эту координацию так много времени, что дополнительная производительность процессора будет почти полностью израсходована.Ядро Linux версии 2.4 поддерживает модель NUMA, для которой время доступа к различным участкам памяти может быть разным для разных процессоров.

Резюмируя сказанное, можно отметить, что обе системы обе системы имеют монолитное ядро и имеют микроядерную архитектуру, в привелигированном режиме работает лишь ядро.Изоляция ядра от пользовательских приложений способствует значительному увеличению надежности работы системы и расширяемоти.Операционные системы Linux являются системами с открытым кодом, но для того, чтобы администраторы могли самостоятельно исправить дыры в безопасности или улучшить производительность системы, они должны обладать знаниями, по крайней мере, не меньшими, чем разработчики корпорации Red Hat. Открытость кодов ядра или основных сервисов не является преимуществом, так как при последующей установке на систему новых патчей или сервис-паков, изменения затираются, либо приводят к нарушению работоспособности. Кроме того, изменение кода системных программ влечет за собой возможные бреши в безопасности и стабильности работы системы.Обе системы имеют хорошую переносимость за счет использования языка С, трансляторы котрого есть почти во всех компьютерах.

Операционные системы обладают хорошей масштабируемостью за счет поддержки многопроцессорных систем.

2.5 СЕТЕВАЯ ИНФРАСТРУКТУРА

СЕТИ WINDOWS

В Windows Server 2003 реализована поддержка стеков протоколов TCP/IP, NWLink и AppleTalk.

Стек протоколов IPX/SPX представляет стек, разработанный корпорацией Novell специально для операционной системы NetWare. Microsoft разработала собственный стек протоколов, совместимый с IPX/SPX, он получил название NWLink.

Для поддержки клиентов Apple Macintosh в Windows Server 2003 реализован стек протоколов AppleTalk.

Архитектура стека протоколов TCP/IP, реализованного в рамках операционной системы Windows Server 2003, предствлена в приложении на рисунке 15. Условно можно выделить четыре уровня данной реализации.

Уровень приложений. На этом уровне функционируют приложения, нуждающиеся в доступе к сети. При этом приложения для обращений к сети могут использовать любой из поддерживаемых системой прикладных интерфейсов.

Уровень прикладных интерфейсов. Прикладные интерфейсы представляют собой стандартизированные точки доступа к сетевым компонентам операционной системы. Операционной системой Windows Sewer 2003 поддерживается целый ряд разнообразных прикладных интерфейсов (NetBIOS, WNET/WinNET, Windows Socket, RFC).

Реализация транспортных механизмов. На этом уровне функционируют транспортные протоколы, отвечающие за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер.

Интерфейс сетевых драйверов. Интерфейс сетевых драйверов позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров.

Служба DNS в Windows Server 2003 обладает общими функциональными возможностями, перечисленными ниже.

Поддержка Active Directory. Служба DNS используется как основной механизм обнаружения ресурсов в Active Directory-доменах. При этом процесс репликации зон осуществляется непосредственно средствами Active Directory.

Интеграция со службами WINS и DHCP.

Поддержка протокола динамического обновления.

Поддержка инкрементных передач зоны между серверами. Икрементная передача зоны позволяет копировать только сведения об изменениях.

Поддержка новых типов ресурсных записей.

Выборочное перенаправление запросов.

Распределение нагрузки - технология Round Robin.

Упрощенные зоны (Stub Zones). Упрощенная зона представляет собой фрагмент зоны, содержащий только записи полномочных DNS-серверов.

Улучшенные механизмы обеспечения безопасности службы DNS. Был добавлен целый ряд функциональных возможностей, направленных на защиту этой службы от различных атак типа "отказ в обслуживании".

Поддержка протокола DNSSEC (DNS Security Extensions). Позволяет DNS-серверам выступать в качестве дополнительных носителей DNSSEC-совместимых защищенных зон.

Поддержка подписанных зон в Windows Server 2003 не реализована.

Поддержка механизма EDNSO (Extension Mechanisms for DNS). Механизм EDNSO позволяет использовать UDP-пакеты размером больше 512 октетов.

Использование групповых политик для управления настройками DNS на клиентских компьютерах и контроллерах домена.

Реализация службы WINS в Windows Server 2003 характеризуется функциональными возможностями, перечисленными ниже.

Постоянные соединения. Каждый WINS-сервер может быть настроен на обслуживание постоянного соединения с одним или большим количеством партнеров репликации.

Расширенная фильтрация и поиск записей.

Динамическое стирание записей и множественный выбор.

Проверка записей и проверка правильности номера версии.

Возможность экспорта базы данных WINS.

СЕТИ LINUX

ПомимоTCP/IP, существует ряд альтернативных стеков протоколов, которые также поддерживаются в Linux, три наиболее часто используемых стека: AppleTalk, IPX и NetBEUI.Стек протоколов AppleTalk создавался компанией AppleTalk параллельно с разработкой сетевого оборудования LocalTalk. Он нашел применение в компьютерах Macintosh.IPX (Internetwork Packet Exchange -- межсетевой обмен пакетами) был разработан специалистами Novell как низкоуровневый транспортный протокол. IPX и SPX составляют основы стека протоколов.NetBEUI был разработан для обеспечения взаимодействия в небольших сетях, не больше 256 компьютеров.Стек TCP/IP рассматривается как четырехуровневая модель, этими уровнями являются уровень приложений, транспортный, сетевой и канальный, рисунок 16 в приложении.Канальный уровень состоит из аппаратных и программных средств, в форме сетевых адаптеров, кабелей и драйверов. Сетевой уровень выполняет маршрутизацию пакетов.Транспортный уровень отвечает за контролирование потоков данных между двумя конечными точками. Уровень приложений состоит из программных средств, которые используют нижние уровни для предоставления необходимого функционала. Реализацией DNS в Red Hat Linux является BIND (Berkeley Internet Name Domain). BIND 9 поддерживает следующие возможности:Стандарт динамических обновлений. Уведомления об изменениях зоны.Инкрементальная передача зоны.Обновления с TSIG-подписями. Динамические обновления с TSIG-подписями содержат криптографическую подпись автора. Если происходит ретрансляция таких сообщений, то подпись сохраняется.

Round Robin: распределение нагрузки, включает функциональность, когда DNS-сервер возвращет записи в различном порядке в различных ответных сообщениях.

Предпочтения. Идея в том, чтобы отдавать предпочтение серверам, попадающим в интервалы, ближе расположенные к точке отсчета, но при этом считать серверы в пределах одного интервала эквивалентными.

2.6 БЕЗОПАСНОСТЬ

WINDOWS SERVER 2003

Аудит событий в отношении успешных или неудачных операциях записывается в журнал безопасности. Политика аудита позволяет отслеживать такие категории событий, как регистрация с данными учетной записи, управление учетными записями, обращение к службе каталогов, события регистрации, обращение к объекту, изменение политики, применение привилегий, отслеживание процессов и системные события.

Аутентификация происходит с использованием логина и пароля или смарт-карты. Поддерживается шесть типов входа в систему: интерактивно, через сеть, в качестве пакетного задания, как сервис, хранителя экрана, анонимно. При интерактивном входе в систему используется комбинация Ctrl+Alt+Del не перехватываемая никаким другим процессом кроме системы безопасности winlogon.

Существует два протокола аутентификации NTLM или Kerberos. Kerberos используется по умолчанию, при недоступности контроллера домена используется NTLM. В Windows Server 2003 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows Server 2003.

Использование памяти. В Windows используется страничная организация памяти, поэтому страница - наименьшая единица защиты на аппаратном уроне. Предусмотрено четыре основных способа защиты памяти. Во-первых, доступ ко всем общесистемным ресурсам данных возможен лишь из режима ядра. Во-вторых, у каждого процесса имеется индивидуалоное закрытое адресное пространство, защищенное от доступа других процессов. В-третьих, все процессоры, поддерживаемые Windows, предоставляют различные формы защиты памяти, например, страницы кода помечаются атрибутом ”только для чтения”. В-четвертых, совместно используемые объекты имеют списки контроля доступа ACL. Так же попытка передачи управления приведет к запрету доступа к памяти, если процессор поддерживает функцию ”запрет на выполнение” DEP.

Для шифрования используется CryptoAPI, предоставляющая доступ приложений к криптографическим функциям FIPS-140, инфраструктуре открытых ключей, управлению мандатами и сертификатами. Поддерживаются протоколы шифрования FIPS 46-3 DES, FIPS 140-2, FIPS 46-3 3DES, FIPS 197 AES, FIPS 140-2 PKCS#1, FIPS-198 SHA-1, FIPS 140-2 Hash, FIPS-180-2 SHA-1, SHA-256, SHA-384, SHA-512, DH.

Для безопасного управления используются роли - комбинации групп и привилегий, которыми они обладают. Групповые политики осуществляют централизованное конфигурирование большого количества рабочих станций в корпоративной сети. В том числе организована политика паролей.

Коммуникации. Для поддержки безопасных сетевых сайтов используются протоколы 128-бит SSL/TLS, IPSec и Kerberos версии 5 . Поддерживается сетевые протоколы безопасности SSL версий 2.0 и 3.0.

Защита данных реализует политику дискреционного управления доступом и происходит на основе идентификаторов защиты SID а не имени субъекта безопасности. Предоставляются сервисы: избирательный контроль доступа, контроль доступа Web, контроль доступа процессов, контроль и защита информационных потоков и защита остаточных данных.

Заключение

Согласно статистическим данным корпорация Microsoft удержит доминирующую позицию на мировом рынке серверных операционных систем в течение по крайней мере пяти лет. ОС Linux поддерживается крупнейшими мировыми производителями компьютерных систем. Помимо IBM здесь можно выделить Hewlett Packard и Sun Microsystems, продвигающих Linux на рынок серверных операционных систем. Следует отметить, что крупные производители обладают достаточными финансовыми ресурсами и политической волей для повышения качества Linux и укрепления ее позиций.

В данной работе были рассмотрены две самые распостраненные системы, это ОС Windows Server 2003 и Red Hat Linux Enterprise 4.

Современные ОС имеют массу сервисов и функций, и оценка характеристик даже одной сетевой ОС может по объему информации занять не одну книгу, поэтому были рассмотрены наиболее важные подсистемы сетевой ОС.

От эффективности алгоритмов управления локальными ресурсами компьютера во многом зависит эффективность всей сетевой ОС в целом. Поэтому, характеризуя сетевую ОС, были приведены важнейшие особенности реализации ядра, файловых систем, сетевых сервисов и безопасности:

Современный Linux требует современных аппаратных ресурсов, даже больше чем Windows, это касается и оперативной памяти, и дискового пространства. Остается только утешаться тем, что мощности современных компьютеров постоянно увеличиваются.

Системы поддерживают различные варианты установки, обновления предидущих версий и автоматизированную установку. За счет этого небольшая группа администраторов сможет справиться с установкой ОС на большом количестве компьютеров в масштабах корпорации за сравнительно короткий промежуток времени.

Обе системы имеют относительно большие максимальные размеры файлов и файловой системы, при этом показатели NTFS гораздо выше. Запас по размеру несомненно важен, так как объемы информации растут очень быстро. Поэтому максимальные размеры файловых систем следует увеличить до недосягаемых величин.

Несмотря на то, что для файловой системы ext3 не существует задокументированного лимита на длину пути к файлу, существуют ограничения со стороны программ, при длине пути уже более 1000 символов открыть файл по абсолютному пути невозможно. Тем не менее, длина пути до 1000 символов в ОС Linux, как мне кажется, вполне достаточна для работы, а вот ограничение до 255 символов в библиотеке Windows Win32API действительно недостаточно, и требует доработки.

Что касается безопасности файловой системы, то набор разрешений Windows позволяет решать задачи практически любой сложности, а традиционный набор Linux из чтения, записи и выполнения уже устарел и требует доработки. Так например, в моей практике был случай когда требовалось создать файловый ресурс для общего пользования с неизменной структурой каталогов, средствами Windows это осуществимо, средствами Linux - нет.

Современные системы уже не обходятся без списков контроля доступа, здесь их реализация в Windows сделана просто идеально, в то же время ОС Linux все еще пользуется стандартный набор владелец-группа-все, списки контроля доступа добавляются опционально, как видно, реализованы неудобно. Здесь ОС Linux нуждается в доработке.

Журналирование является неотемлемой части системы высокой надежности, только такие системы могут выжить на современном рынке, поэтому обе файловые системы имеют реализацию журнала, однако стоит отметить что в ОС Linux есть возможность выбора режима работы журнала, а в ОС Windows только один режим. Требуется доработка ОС Windows.

Тесты производительности файловых серверов являются не только показателем самой файловой системы, но сетевых протоколов. Здесь системы Windows показывают двухкратное превосходство над Linux. А от скорости работы файловой системы зависит производительность всех остальных сервисов.

ОС Linux не ориентирована на крупные компании, так как идентификаторы пользователей на могут быть больше 65 тысяч, в то время как в Windows таких иденитификаторов может быть 10 миллионов, и служба Active Directory позволяет избежать таких ошибок, как назначение в Linux двум пользователям одного UID.

Приведенные свойства учетной записи пользователя показывают на большое количество параметров Windows, что позволяет гибко управлять параметрами пользователей. В Linux набор свойств гораздо скромнее и, мне кажется, недостаточен для современных требований бизнеса.

Для управление рабочей средой пользователя Windows использует мощное средство - групповые политики, в то же время в Linux управление рабочей средой возможно с помощью скриптов и управления домашними каталогами.

Обе системы обе системы имеют монолитное ядро и имеют микроядерную архитектуру, в привелигированном режиме работает лишь ядро. Изоляция ядра от пользовательских приложений способствует значительному увеличению надежности работы системы и расширяемоти.

Операционные системы Linux являются системами с открытым кодом, но для того, чтобы администраторы могли самостоятельно исправить дыры в безопасности или улучшить производительность системы, они должны обладать знаниями, по крайней мере, не меньшими, чем разработчики корпорации Red Hat. Открытость кодов ядра или основных сервисов не является преимуществом, так как при последующей установке на систему новых патчей или пакетов обновлений, изменения затираются, либо приводят к нарушению работоспособности. Кроме того, изменение кода системных программ влечет за собой возможные бреши в безопасности и стабильности работы системы.

Обе системы имеют хорошую переносимость за счет использования языка С, трансляторы котрого есть почти во всех компьютерах.

Операционные системы обладают хорошей масштабируемостью за счет поддержки многопроцессорных систем.

Базовыми протоколами Windows и Linux являются протоколы стека TCP/IP и архитектура его реализаций почти одинакова.

Система доменных имен DNS является основой организации именования и взаимодействия систем в локальных и глобальных сетях.

В ОС Windows репликация зон может осуществлятся с помощью Active Directory, и первичных DNS-серверов может быть несколько. За счет этого повышается гибкость и отказоустойчивость таких сетей. Ограничения на использование ресурсов реализованы недостаточно гибко.

В ОС Linux используется сервер BIND, который используется очень долго, и имеет богатый набор функций для управления нагрузкой и трафиком, однако первичный DNS-сервер может быть только один.

Безопасность является одним из главных направлений всех современных операционных систем, поэтому обе системы имеют средства аудита, аутентификации и шифрования. Для разграничения доступа применяется избирательный контроль доступа.

Обе системы для аутентификации используют протокол Kerberos. В ОС Windows, в отличие от Linux, аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows Server 2003.

Функциональность пути доверительных отношений предотвращает перехват имени и пароля с прмощью комбинации Ctrl+Alt+Del реализована только в ОС Windows.

В обеих системах обнаруживаются бреши в безопасности, и в ОС Linux их значительно больше, возможно это объясняется открытостью кода. Чтобы исправить дыру в безопасности в Windows требуется в два раза меньше времени, чем в Linux. А вот это не понятно чем объясняется. Как видно из представленных данных, не существует абсолютно безопасных операционных систем. Даже одна вовремя незакрытая уязвимость может привести к печальным последствиям, поэтому необходимо регулярно следить за выходом новых обновлений операционной системы и оперативно устанавливать необходимые исправления.