2020. október 29., csütörtök

Gyorskeresés

Útvonal

Cikkek » Számtech rovat

Számítógépek menedzselése DRBL/Clonezilla SE-vel

Hogyan készíts fel 40 gépet az érettségire 1 óra alatt!? Ízelítő a DRBL/Clonezilla SE + DRBL-Winroll lehetőségeiből.

[ ÚJ TESZT ]

A DRBL-Winroll telepítése

Most fogjunk egy munkaállomást, és telepítsük kedvünk szerint! Erről a legelején már írtam, nálam Win10 van, Office 2016, … stb. Tegyük meg a megfelelő beállításokat, és utána kezdjünk neki a DRBL-Winroll telepítésének!

Mindenek előtt töltsük le a DRBL-Winroll legutolsó, stabil verzióját a következő címről:
https://sourceforge.net/projects/drbl-winroll/files/stable/1.7/

Ez a leírás készítésekor az 1.7.2-248 volt.

Majd futtassuk a telepítőt!

Szokásos képernyőkép fogad, kattintsunk is a „Next” gombra!

Nem lesz ez olyan „Tovább-Tovább-Kész” típusú telepítés, néhol majd meg kell állni, álmélkodni és gondolkodni, de ez most nem az a pont ;o)
Szóval fogadjuk el a license-t, persze csak saját felelősségre és tovább!

Na itt most meg lehet állni álmélkodni, de csak egy pillanatra. A Main elől nem vehetjük ki a pipát (értelemszerűen), hiszen épp azt szeretnénk telepíteni.
Az „Add ssh exception at firewall” felirat elől viszont ki lehet venni a jelet, ha nem fogunk SSH szolgáltatást engedélyezni. A DRBL-Winroll ugyanis telepít (ha kérjük) egy SSH szervert a kliensre, melynek segítségével utasításokat adhatunk ki számukra a DRBL szerverről. Így tulajdonképpen központilag menedzselhetővé válik az egész géppark. Mi épp ezt szeretnénk, úgyhogy pipa marad, menjünk tovább!

A következő megint nem egy sok gondolkozást igénylő ablak, a telepítés helyét adhatjuk meg általa. Szerintem egyszerűen csak menjünk tovább, jó lesz ez így. Kattintsunk az „Install” gombra!

Elindul a telepítés, mely kisvártatva megnyit egy újabb konzolos ablakot. Innentől kezdve már résen kell lennünk!

Ok, hát nem pont erre a részre gondoltam. Most csak nyomjunk le egy tetszőleges billentyűt, hogy folytathassuk a munkát! A gyengébbek kedvéért: a tetszőleges billentyű nem lehet módosító billentyű, tehát pl. Shift, Ctrl vagy Alt. (Ez tuti, kipróbáltam :D)

Itt csak annyira álljunk meg, és vegyünk egy kis levegőt, hogy biztosak legyünk, még nem telepítettünk Cygwint előzőleg a gépünkre. A DRBL-Winroll ugyanis ezt használja.
A képernyőn látható felsorolásban nem szerepel a Windows 10 a támogatott operációs rendszerek között, de működik azzal is. Mint fent látható, épp arra telepítem ;o)
Na! Nyomjunk le egy „tetszőleges” billentyűt és haladjunk tovább!

Megjelenik néhány új sor a konzolablakban, néhány pedig eltűnik…
Ahogyan írja is, telepítés közben nem kell tennünk semmit. Fogadjunk szót!
Menjünk tovább!

Megkezdődik a Cygwin telepítése. Ez kicsit tovább tart, de közben egy státuszablakban és a konzolablakban is figyelemmel kísérhetjük a folyamatot. Figyeljünk minden megjelenő sorra, és próbáljuk is megjegyezni azokat! Ennek később nagyon fontos szerepe lesz!
:D Na jó, csak vicceltem, inkább vegyük kézbe megint azt a bűvöskockát! :D

Itt az automatikus tartományba való beléptetéssel kapcsolatban kérdez valamit, de nem értem pontosan mit. Elfogadom az alapértelmezés szerinti "N"-et.

Az egyik ok, ami miatt a DRBL-WinRoll telepítésébe belefogtunk, hogy ne legyen két azonos nevű gép a hálózaton, még csak véletlenül sem. Fogadjuk el az auto-hostname funkció telepítését!

A DRBL-Winroll automatikusan fog minden gépnek más-más nevet generálni. Itt el kell döntenünk, hogy ez mi alapján történjen és hogyan.

Hirdetés

[1] Az IP cím utolsó hat karakterét fogja használni.

[2] A MAC address utolsó hat karakterét fogja használni a gépnevekben.

[3] Egy fájlból veszi a különböző gépneveket.

Mivel én jobban szeretem gépelnevezés tekintetében a saját, számomra már jól bejáratott sémákat követni, ezért én a 3. opciót választom, de ha valakinek csak az a lényeg, hogy különböző gépnevek legyenek a hálózaton, akkor megfelelő választás lehet az első két lehetőség is.

Itt kiválaszthatjuk, hogy a gépeink automatikusan bekerüljenek-e munkacsoportba. Jelen pillanatban nálam még nincs tartománykezelés, ezért én most egyszerűen csak berakom őket egyetlen munkacsoportba.

Kiválaszthatjuk, mi alapján kapják a gépek a munkacsoport nevét. Az 1-es lehetőséget választom, mind ugyanabba a nagy boldog családba kerül majd bele.

Akkor adjuk meg a munkacsoport nevét! Nálam marad a workgroup az egyszerűség kedvéért.

A hálózat beállítása következik. Nálam DHCP szerveren keresztül kapnak a gépek IP címet, a MAC addressük alapján, tehát az 1-es opciót választom.

A 2-es pont szerint eljárva, egy helyi fájlban konfigurálhatjuk a hálózati beállításokat. Elég sokrétűnek tűnik a dolog, itt is beállíthatjuk az IP címeket a MAC addressek alapján.

A 3-as egyszerűen nem foglalkozik a hálózati beállításokkal.

Ha automatikusan tartományba szeretnénk léptetni a gépeinket, akkor azt itt tehetjük meg. Nálam ez még nem játszik, úgyhogy én a nemet választom.

A DRBL-Winrollal együtt telepíthetjük a Munin rendszermonitorozó programot is. Ez egy központi Munin szervernek küld 5 percenként adatokat a számítógépről. Ez hasznos lehet pl. akkor, ha szeretnénk a winchesterek állapotát figyelemmel kísérni. Én most nem telepítem, de nem rossz dolog, ha érettségi előtt látjuk, melyek a kevésbé megbízható, elöregedett gépek. Én csak a szerverek monitorozására használom ezt a szolgáltatást.

Windowsos környezetben minden gépnek, felhasználónak, csoportnak, tartománynak van egy biztonsági azonosítója (SID, Security IDentifier). Itt van egy rövid leírás a dologról: https://www.windows-commandline.com/get-sid-of-user/. Ettől függetlenül, nem tudom, ez a kérdés pontosan mire vonatkozik. Nem tudom, miért jó az nekem, ha a Winrollhoz ezt engedélyezem, vagy miért nem jó, ha nem.

Most inkább elfogadom az alapértelmezés szerinti értéket, azaz „No”. Haladjunk!

Itt van lehetőség az sshd telepítésére. Ha elfogadjuk, gyakorlatilag korlátlan hatalmunk lesz a gépek fölött. Bármikor kiadhatunk különböző parancsokat a munkaállomásoknak.
Erősen ajánlott!

A telepítés lényegében befejeződött. Nyomjunk le egy gombot a billentyűzeten.

Itt annyit tudhatunk meg, hogy létrehozott egy .ssh mappát a rendszergazda részére, amelyben a publikus kulcsok fognak tárolódni. Ez azért fontos, mert ide kell majd bemásolnunk a DRBL szerver publikus kulcsát, ha azt szeretnénk, hogy jelszavak megadása nélkül tudjon kommunikálni a munkaállomásokkal. Illetve nem ebbe, hanem az Adminéba, de erről majd később.
A többi nem annyira lényeges. Ha nem írja, eszembe se jutott volna piszkálni a cyg_server felhasználó jelszavát :)
Menjünk tovább!

És megint…

Most már hivatalosan is tudhatjuk, hogy telepítettük a DRBL-Winrollt.

Egy utolsó apróság, a tűzfal beállítása az SSH számára.

A telepítő utolsó képernyőképe, csak hogy egy ilyen is legyen.

Fakultatív program: finomhangolás

Tulajdonképpen készen vagyunk, az image másolása után használható is a rendszer, de a kényelem és főleg a biztonság kedvéért érdemes elvégezni még a következő lépéseket.

Valamikor, még az elején azzal kezdtem, és a telepítésben is eddig végig azt tartottam szem előtt, hogy minden számítógép pontosan azt a gépnevet kapja, amit én szeretnék. Ehhez, létre kell hoznunk egy hosts.conf nevű fájlt, ami a gépek MAC addresseit és a gépneveket tartalmazza. Ez az állomány alapértelemezés szerint a C:\cygwin\drbl_winroll-config mappában található. Alant látható egy példa az én fájlomból:

##############################################################
# #
# This script is created by winoll-setup.bat #
# #
# Author: Chen-kai Sun <ceasar@nchc.org.tw> #
# License: GPL #
# NCHC Free Software Labs , NCHC ,Taiwan #
# #
##############################################################

#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# Note:
# 1. Standard characters : A-Z, a-z, 0-9, - (not include ,)
# 2. Replace dot(.) symbol with dash(-) as IP or MAC format.
#
# For example:
#
# 192-168-1-1 = IP-01 # Hostname by IP
# 00-0C-29-4E-4F-52 = PC-52 # Hostname by MAC
#
50-65-f3-4a-c3-8f = A01
50-65-f3-47-55-90 = A02
50-65-f3-49-06-ed = A03

Valahogy ilyen formában kell megadni a gépneveket. Én itt a példában MAC address alapján osztottam ki, de IP cím szerint talán előnyösebb, mert ha valamelyik MAC address megváltozik, akkor elég a szerveren átírni a megfelelő fájlok tartalmát (pl. dhcpd konfigurációs állomány), ezzel a fájllal pedig már nem kell foglalkozni.

Mostantól kezdve tehát teljes urai vagyunk az egész gépparknak. A klienseken futó SSH szerver segítségével azt csinálunk velük, amit csak akarunk. Minden olyan beállítást vagy telepítést, amit el lehet végezni parancssorból, pillanatok alatt, kényelmesen meg tudunk csinálni. Ehhez fogjuk használni a szerveren a drbl-doit utasítást. Sajnos a parancssorban meg kell adni a kliensek helyi rendszergazdájának nevét és jelszavát.
Például, ha le akarjuk állítani azt a három gépet, amelyek eddig a konfigurációban szerepeltek, az így néz ki:

drbl-doit -h ”192.168.64.1 192.168.64.2 192.168.64.3” -u Admin -p adminjelszava poweroff

A -h paraméter után, idézőjelek között meg kell adnunk azoknak a gépeknek az IP címeit, amelyekkel a műveletet szeretnénk elvégezni. Az IP címeket szóközzel kell elválasztani egymástól.

A -u paraméter után annak a felhasználónak kell megadni a nevét, aki rendszergazda jogosultsággal rendelkezik a kliensen. Nálam ez az Admin nevű felhasználó. Lehetne az alapértelmezés szerinti rendszergazda is, de az alapból le van tiltva a Windows 10-ben, és én nem aktiváltam.

A -p paraméter után pedig meg kellene adni az adminisztrátor jelszavát(!) is. Ezt itt közvetlenül, csak úgy(!). Nem kell mondanom mekkora biztonsági kockázatot jelent ez, főleg akkor, ha még valamilyen shell script-be is bele szeretnénk tenni. Nos, ezért kell még megcsinálni a további lépéseket.

A jelszó után pedig a kliensnek elküldendő utasítás áll: poweroff

Ahhoz, hogy ne kelljen parancssorban mindig megadnunk az adminisztrátor jelszavát, szükségünk lesz egy titkosító kulcsra.

Ellenőrizzük, hogy a /root/.ssh könyvtárban van-e id_rsa és id_rsa.pub nevű fájl. Ha nincs, generálnunk kell

A DRBL-Winroll telepítési útmutatójában erre ez az utasítás szerepelt:

ssh-keygen -d

Csakhogy ez nem működik, mert ez egy régi paraméter, amit az ssh-keygen már nem támogat.

Erre az információra itt bukkantam rá: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=116879

Helyette a „-t dsa” paraméter használatát javasolják. Tehát a parancs helyesen:

ssh-keygen -t dsa

Így már menni fog.

Közbevetőleg, beszúrok ide még egy linket, amit keresgélés közben találtam: https://security.stackexchange.com/questions/5096/rsa-vs-dsa-for-ssh-authentication-keys

Hátha másnak is hasznos lehet.

A parancs futtatásának eredménye:

A generálás során megadhatjuk, hová kerüljenek a kulcsok. Alapértelmezés szerint a /root/.ssh mappá teszi be őket. Ezt így is hagytam.
Ezután jelszavazhatjuk a kulcsunkat, ha szeretnénk. Én most ezt is hanyagoltam. Így, ha most valaki bejut a szerverbe és megszerzi a kulcsaimat, korlátlan hatalma lesz felettem és a szerver felett. ;o)
Végül kiírja az eredményt, készen vannak a kulcsaink. Egy privát és egy publikus kulcs.

A publikus kulcsot át kellene másolni a Windows munkaállomás rendszergazdájának cygwines .ssh mapájába. Nálam az Admin felhasználó a rendszergazda, így ide kellene másolni C:\cygwin\home\Admin\.ssh

Csakhogy ez a mappa nem létezik. Telepítéskor ugyanis a Cygwin csak a beépített rendszergazdával számol, így magyar Windows esetén létrehoz egy C:\cygwin\home\Rendszergazda\.ssh mappát.

Legegyszerűbb megoldás, ha ezt az .ssh mappát átmásoljuk az Admin mappájába, mert ha ott létre akarjuk hozni, nem fog menni. Legalább is grafikus felületről nem. Ha mi szeretnénk létrehozni, akkor azt csakis parancssorból tehetjük meg, pl. így:

c:
cd \cygwin\home\Admin
mkdir .ssh

A lényeg, hogy rendelkezzünk egy .ssh mappával a rendszergazdánk a cygwines home könyvtárában. Most pedig másoljuk át ide a szerveren lévő publikus kulcsot és nevezzük át authorized_keys-re!

Az egyik lehetőség a scp parancs használata. Adjuk ki az alábbi parancsot a szerveren:

scp /root/.ssh/id_dsa.pub Admin@192.168.64.60:/home/Admin/.ssh/authorized_keys

Ez a szerver /root/.ssh mappájából az id_dsa.pub fájlt át fogja másolni a 192.168.64.60 IP című munkaállomás Admin felhasználójának .ssh mappájába, authorized_keys néven. Közben egyszer (még utoljára) bekéri az Admin jelszavát.

Ugyanezt az eredményt érhetjük el a következő utással is:

ssh-copy-id -i /root/.ssh/id_rsa.pub Admin@192.168.64.60

Ez is bekéri természetesen a jelszót, de utána már nem szükséges megadni semmilyen ssh vagy drbl-doit utasításban sem, amit a szerverről adunk ki.

Próbáljuk is ki:

ssh Admin@192.168.64.60 ipconfig

Ha kiadjuk ezt az utasítást, akkor a szerver konzolján meg kell jelennie a munkaállomás hálózati konfigurációjának. Ha valamit elrontottunk, akkor viszont az utasítás kérni fogja az Admin felhasználó jelszavát, és csak akkor fut le az ipconfig, ha megadtuk.

Ok, a rendszerünk készen áll a bevetésre. Van tehát egy működő DRBL/CLonezilla SE szerverünk és van egy feltelepített, klónozásra kész munkaállomásunk.

Akkor most készítsünk egy lemezképet (image-et) a munkaállomásról!

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Hirdetés

Copyright © 2000-2020 PROHARDVER Informatikai Kft.