Linux E X P R E S

Facebook

5+1 operačních systémů pro profesionálního administrátora ve firmě

linux_secure.png

Pokud je náplní vaší práce podpora koncových uživatelů výpočetní techniky, můžete jistě potvrdit fakt, že její podstatnou součástí je často řešení „neřešitelných“ problémů. Na tyto pestré úkony existuje mnoho specializovaných nástrojů a peníze, které za jejich licence zaplatíte, jsou nemalé. Přinášíme několik tipů, jak posílit svou odbornou pověst a peníze firmě ušetřit. 


Jde třeba o odvirovávání počítačů, záchranu dat z pevných disků počítačů či přípravu počítačů k odprodeji a tomu předcházející odborný výmaz dat. Musíte zvládnout i vícenásobnou instalaci či zálohu. A víte, že můžete potěšit svého šéfa tím, že vykážete úsporu financí bez snížení komfortu na vaší či uživatelské straně?

Zaměstnejte „živý“ Linux

Když jsem před lety objevil linuxový svět, velmi rychle jsem narazil na specializované linuxové distribuce, které bylo možno spouštět z média, v té době především z CD nebo DVD. Dnes se do toho zamotala i USB média, na principu to ale nic nezměnilo. Setkáte se tak s označením live distribuce. Jejich podstatnou výhodou je, že se dají spustit přímo bez nutnosti nějaké instalace na cílový počítač a přinášejí funkce, které lze snadno a hlavně ihned používat. Stačí jen navštívit příslušnou stránku dané distribuce, stáhnout si obraz disku (v ISO formátu) a vypálit jej na médium, případně spustit instalační program, který obraz převede na USB.

Osobně mám radši CD/DVD médium, celá operace převodu obrazu disku mi přijde jednodušší. Nevýhodou se může zdát nutnost mít v počítači příslušnou optickou mechaniku, ale v době externích modelů v ceně pár stokorun to problém není. CD/DVD má další nevýhodu, že start systému je v porovnání s USB médiem pomalejší.

Možná si vzpomenete na letitý reklamní slogan, že vlasy stačí jen umýt a jít. Podobně jsou na tom i specializované live distribuce Linuxu – stačí jen distribuci spustit, provést daný úkon a jít. Pokud opravdu pracujete v komerčním prostředí, jistě si říkáte, proč by vás vlastně měl Linux zajímat, když všechny systémy vaší firmy jsou stavěny na systémech od firmy Microsoft? Právě v tom, že jejich použití je jednoduché, jednorázové a pokud nechcete, nezanechá po sobě vůbec žádné stopy.

A skoro bych zapomněl na jednu podstatnou informaci. Všechny zde popisované distribuce jsou k dispozici legálně a zdarma. Při jejich používání se nevystavujete riziku žádných postihů souvisejících s licenčními poplatky apod. A je jedno, jestli jste ve firmě jako správce jediný nebo máte tým třeba pěti lidí a třeba stovky počítačů.

Pět na stole ve většinou anglických...

Jako ostřílený matador firemního prostředí můžu svou praxi shrnout do celkem pěti základních a zásadních problémů. Vůbec nerozhoduje, zda potřebujete něco na firemní hardware nebo se do vaší přízně „vetře“ nějaký kolega či kolegyně, který potřebuje pomoci s domácím počítačem. Určitě nesmím zapomenout na problém, kdy je počítač „asi“ zavirovaný, chová se divně, otevírají se divné stránky v internetovém prohlížeči a vůbec se to chová nějak divně. A přitom antivirák tam je a funguje, jen to neumí vyléčit. Pak je občas zapotřebí „vytáhnout“ z NTFS oddílu nějaká data, ale Windows prostě nestartují. Vytáhnout disk z počítače však není možné.

Jako rychlý tip na získání dat z nefunkční instalace Microsoft Windows můžu doporučit externí rámeček na pevný disk připojitelný přes USB. Vyžaduje to ale znalost toho, jaké rozhraní je použito u onoho konkrétního pevného disku. Pak stačí rámeček připojit k jakémukoliv počítači a data se opět objeví.

Velmi často pak firemní správci operují s počítači, které opouštějí firmu, a potřebují mít jistotu, že na nich žádná data nezůstanou. Proč k tomu nevyužít „schválené“ algoritmy (ve smyslu schválené vládními organizacemi), se kterými máte jistotu toho, že po jejich využití už nebudou data na disku běžným způsobem čitelná?

Opačným problémem je zase možnost využití standardizovaného obrazu disku pro jednotný hardware v rámci jeho nasazení ve firmě. Při představě, že máte například dvacet počítačů a máte na všech nastavit jednotné prostředí v průběhu například dvou dnů, se můžete zpotit. Se specializovanou aplikací je to celkem triviální.

A proč nevyužít obstojně konfigurovatelný nástroj, kterým si můžete vytvořit prostředí obsahující vámi používané aplikace? Máte jeden balíček a vždy s sebou. Abych ještě vysvětlil nadpis – aplikace jsou povětšinou v angličtině, ale u správců bych to jako problém nevnímal.

Tip první: Dr. Web LiveCD pobije potvůrky a je z Ruska

Každý trochu lepší záškodnický program svou činnost v systému maskuje. Uživatelé si instalují antivirové programy a ty si někdy neumějí poradit s nákazou, protože je příliš „zalezlá“ v systému. Což takhle nástroj, který provede kontrolu systému bez jeho spuštění? To je právě kouzlo Linuxu, speciálně živých distribucí.

Před lety spatřila světlo distribuce, která se velmi jednoúčelová. Na její domovské stránce můžete stáhnout LiveCD nebo LiveUSB verzi. Jak již bylo řečeno, stáhněte si ISO verzi a vypalte ji na CD. ISO obraz má asi 240 MB. Pak vložte médium do mechaniky a nastartujte z něj počítač.

Dr.Web – boot CD Dr.Web – boot CD

Po několika desítkách sekund se před vámi objeví kompletní prostředí s integrovaným antivirovým programem. Každý den na stránce najdete novou verzi ISO obrazu, protože vždy obsahuje nejposlednější aktualizovanou verzi antivirové databáze. Ale můžete použít i libovolně starý obraz, protože pokud máte k dispozici připojení k internetu, lze provést aktualizaci antivirové databáze přímo. Je to paradox, protože systém spouštíte z média, které neumožňuje zápis. Databáze je stažena do operační paměti a odtud se i používá.

Spuštěný Dr.Web Spuštěný Dr.Web

Ovládání programu je velmi snadné, protože tvůrci přidali i tzv. průvodce, kteří vám pomohou při spouštění typických úloh. Vlastně ve finále spíše potřebujete jen zaktualizovat databázi virů a provést skenování. Všechny pevné disky počítače jsou pak připojeny automaticky a zahrnuty do prohledávání bez ohledu na to, jaký souborový systém používají. Distribuce je zaměřena na počítače s operačním systémem Microsoft Windows a pracuje s disky formátovanými pod FAT, FAT32 či NTFS.

Spuštěný Dr.Web a jeho průvodci Spuštěný Dr.Web a jeho průvodci

Tip druhý: SystemRescueCD – dobrý sluha, ale špatný pán

Úplně poprvé jsem domovskou stránku projektu navštívil ve chvíli, kdy jsem potřeboval provést nestandardní rozdělení pevného disku a dodávané integrované nástroje Microsoftu nebyly úplně to pravé. Distribuce mi nabídla program GParted. Nicméně prakticky vzápětí jsem zjistil, že SystemRescueCD lze využívat jako sofistikovaný nástroj i v úplně jiných případech.

První „kouzelnický“ zásah jsem provedl ve chvíli, kdy bylo nutno vytáhnout data z poškozené instalace Microsoft Windows. Po startu distribuce z média skončíte v konzoli. Na obrazovce můžete vidět nápovědu pro připojování oddílů disku, včetně NTFS. Při zadávání příkazů jsem si vždy vzpomněl na to, že v dobách dominance MS DOSu se systém vlastně neovládal jinak.

SystemRescueCD po náběhu v konzoli SystemRescueCD po náběhu v konzoli

Přechod do grafického prostředí vám umožní použít i ještě jiné nástroje, jako je například již zmiňovaný grafický program na správu oddílů GParted nebo internetový prohlížeč.

SystemRescueCD v grafickém prostředí SystemRescueCD v grafickém prostředí

Pojďme se však vrátit ještě na úplný začátek, respektive do chvíle, kdy startuje váš počítač s vloženým médiem. Na obrazovce vidíte textovou nabídku. Je zde několik možností, jak start SystemRescueCD upravit pro konkrétní počítač.

Úvodní obrazovka SystemRescueCD Úvodní obrazovka SystemRescueCD

Pokud spustíte systém z nabídky číslo 2, bude využita dostupná operační paměť a do ní se přenese obraz systému. Má to výhodu v tom, že vše poběží výrazně rychleji. Je to ovšem vykoupeno delším nabíháním systému, protože přenos obrazu disku do operační paměti chvíli trvá.

SystemRescueCD je velmi dobrá distribuce s mnoha zajímavými funkcemi, je však nutné si řádně promyslet, jestli je daná operace s diskem vašeho počítače ta, kterou chcete provést. Leckdy jsou změny nevratné (například při dělení disků apod.)

Tip třetí: Darik's Boot and Nuke – mazání ve stylu CIA a FBI

V naší firmě vyřazené počítače nabízíme k odprodeji zaměstnancům. Před jejich fyzickým předáním musíme pevný disk počítače vymazat, a to tak, aby nebylo možné data zpětně obnovit. Navíc nakupujeme počítače bez licence k operačnímu systému, ta je pokryta globální celofiremní smlouvou. Odprodávané počítače musí mít prázdné pevné disky. A tuto činnost lze automatizovat.

Výhodou distribuce Darik's Boot and Nuke (zkráceně DBAN) je, že to umí, a to hned několika způsoby. Platí i přímá úměra, že čím déle „přemazání“ trvá, tím bezpečnější metoda (respektive složitější obnova smazaných dat) to je. Jednotlivé metody mazání vycházejí ze standardů definovaných např. ministerstvem obrany Spojených států. Lze je pro mazání v tomto úřadě použít a považovat jej za bezpečné.

Distribuci si můžete stáhnout v sekci Download na domovské stránce. Pokud jste si stáhli SystemRescueCd z tipu 2, máte automaticky k dispozici i DBAN. Stačí jen distribuci spustit a zvolit položku A) Run system tools from floppy disk image.

Spuštění DBAN přes SystemRescueCD – výběr při bootu Spuštění DBAN přes SystemRescueCD – výběr při bootu

Z nabídnutých programů pak už jen zvolíte DBAN.

Spuštění DBAN skrz SystemRescueCD – výběr nástroje DBAN Spuštění DBAN skrz SystemRescueCD – výběr nástroje DBAN

Distribuce se spustí, nabídne vám seznam dostupných disků a pak už jen zvolíte metodu mazání.

Tato akce je nevratná, dávejte si dobrý pozor na to, co chcete mazat!

DBAN v akci – mažeme disk DBAN v akci – mažeme disk

Tip čtvrtý: Klonujte s Clonezilla

Ze své praxe můžu potvrdit, že pokud se vám do ruky dostane nový počítač, je radost s ním pracovat. Pokud je jeden, obvykle jej zakoupíte již nakonfigurovaný či případné korekce provedete během několika minut. Pokud však počítačů máte několik, je nutno udělat stejné úpravy několikrát, což může být nudné, pracné a náchylné k chybám.

Klonování počítačů s operačním systémem Microsoft Windows je trochu zapeklité, jelikož používá unikátní tzv. SID (Security Identifier) v rámci sítě. Klonování pomocí Clonezilla nemění tento identifikátor a je nutno jej změnit, jinak budete mít problémy. Ke změně můžete využít utilitu drbl-Winroll. Microsoft nabízí progámek nazvaný Sysprep.

Postup klonování je celkem jednoduchý, musíte však splnit několik požadavků. Potřebujete jeden nainstalovaný počítač, ze kterého vytvoříte obraz disku pro klonování, a druhý počítač, který „nainstalujete“ klonováním, musí být připojen do stejné sítě. Instalační média je lépe mít dvě, jde však využít možnost spustit první počítač, médium vyjmout a pokračovat spuštěním druhého počítače. Po spuštění distribuce Clonezilla připojíte lokální disk a spustíte klonování.

Clonezilla při bootu Clonezilla při bootu

Prostředí vás může trochu zaskočit, protože je k dispozici pouze konzole, nicméně nabízí i průvodce, který vás může provést jednotlivými kroky celého procesu, ať už na zdrojovém počítači, či na cílovém počítači (alias klonu). Ke klonování můžete využít obraz disku (který vytvoříte nebo použijete již existující) nebo provedete klonování napřímo tj. v reálném čase se data přenesou ze zdrojového počítače rovnou na počítač cílový. Obraz disku lze uložit na lokální disk či médium (třeba USB disk), ale také na NFS nebo Samba server. Rozhodně se vyplatí pročíst si dokumentaci.

Protože se pracuje s oddíly pevných disků, je zapotřebí opět zmínit to, že při nesprávném použití můžete přijít o data. Proto platí základní poučka – zálohujte!

Tip pátý: Vlastní systém stále s sebou

Podíváme-li se na linuxové distribuce z pohledu běžného uživatele, který hledá značku „Czech made“, poměrně rychle najde zmínku o Tomáši Matějíčkovi. Je to český vývojář, který již nějakou dobu vyvíjí distribuci nazvanou Slax. Myslíte-li si, že živé distribuce jsou převážně vytvořeny jako specializované nástroje na všemožné konfigurování, podívejte se na Slax. Jedná se o plnohodnotný operační systém běžící z CD/DVD nebo USB flash disku. V základní verzi distribuce najdete vše potřebné pro běžnou kancelářskou práci a prohlížení internetu.

Nejzajímavější je však možnost distribuci upravit tak, aby obsahovala jen a pouze nástroje, které chcete vy. Ve spojitosti s během z USB pak dostáváte možnost mít systém o nepatrné velikosti (v základu) s řadou dodaných modulů. Stačí si ty požadované stáhnout a nakopírovat je do složky modules. K dispozici jsou moduly s aplikacemi jako např. LibreOffice, FTP a Samba server, kompletní LAMP server (Apache, MySQL a PHP) nebo různé bezpečnostní nástroje. Vaší kreativitě se meze nekladou a systém přímo ušitý na míru vám a vaší práci už nemusí být jen přáním.

Spuštěný SLAX Spuštěný SLAX

Tip bonusový: Podporujte svého šerifa

Titulek jsem si vypůjčil z názvu jednoho amerického filmu. Chtěl jsem jen říci, že autoři vytvářející tyto výše popisované specializované nástroje budou rádi, pokud jim na další vývoj přispějete. Proč to neudělat, když vám jejich výtvory ulehčují život?

Nástroje pro profesionály

Všechny v článku uvedené nástroje rozhodně nejsou určeny začátečníkům. Pokud však pracujete na pozici, v jejímž popisu je i správa počítačů, zkuste tyto nástroje aspoň vyzkoušet. Budete překvapeni, jak propracované nástroje jsou k dispozici každému, kdo si je stáhne. Jednotlivé popisy nástrojů v článku také nejsou vyčerpávající a řada dalších funkcí a možností není zmíněna. A samozřejmě, že neustále probíhá jejich vývoj, který nové funkce přidává. Navíc je možno říci, že běh těchto specializovaných nástroj nemusí nutně znamenat nějaké změny na hostitelském počítači (pokud je nechcete). Na druhou stranu lze až příliš lehce nějaké nezvratné změny provést.

Diskuze (11) Nahoru