Potrebuje užívateľ Microsoft Windows LINUX?
Možno si poviete, že táto otázka je čudná alebo až príliš drzá (to som si aj ja na začiatku myslela, no môj názor sa po príchode na vysokú školu zmenil).
Prvýkrát som sa s OS Linux stretla na prednáške pána Vitteka, u ktorého som absolvovala Linux pre používateľov. Tu som sa naučila ako vytvortiť jednoduchý skript, ako vytvoriť makro, a ako to zhruba funguje. Začala som tým, že som si naištalovala Linux, presnejšie distribúciu Mandriva (nepamätám si presne aká verzia to bola), vlastne som ju neinštalovala ja, ale jeden môj spolužiak, ktorému za to veľmi pekne ďakujem. Musím sa priznať, že prvým dojmom pôsobila na mňa úžasne, no rýchlo som pochopila, že to nie je nič pre mňa. Nič mi tam nefungovalo, dokiaľ som prišla na to, čo všetko si musím doinštalovať... to mi teda trvalo strašne dlho. Teraz je Mandriva skoro prvý operačný systém pre mňa... Momentálne testujem verziu Mandriva 2009, možem povedať, že je vydarená... chválim grafiku, 3D efekty, Mandriva Control Center, jednoduchšia je inštalácia, prostredie je KDE 4.1.x, samozrejme plne funkčný OpenOffice.org 3... toto bolo len na odbočenie...
Ďalej mi pomáhali spolužiaci, ktorí používajú len Linux, ukázali mi, ako čo jednoducho spraviť, kde nájsť čo... Veľmi im za to ďakujem....
Vráťme sa späť k otázke, ktorú sme si položili na začiatku: „Potrebuje používateľ Microsoft Windows Linux?" Operačný systém Microsoft Windows je na trhu jednoznačne v presile (ľudia totiž radi platia...), ľudia ho používajú pri pracovnom nasadení i v domácnosti. Stačí však veľmi málo a problém je na svete.
Predstavte si situáciu, že nemáte nainštalované najnovšie záplaty, alebo nemáte aktuálny antivírusový program a pritom inštalujete čokoľvek z internetu. Prípadne nečistíte pravidelne pevné disky alebo ich často nedefragmentujete, prípadne si komprimujete poštu alebo váš operačný systém nemá dosť veľkú partíciu. Toto sú bežné problémy, s ktorými sa stretáva každý uživateľ.
Príčín, prečo može mať v budúcnosti operačný systém problémy, je veľa. Používateľ by však mal riziká poznať. Najčastejšie sa v súčasnosti vyskytujú tri problémy: vírus, nedostatok miesta a zabudnuté heslo administrátora. Na riešenie zabudnutého hesla stačí použiť staršiu verziu linuxovej distribúcie Austrumi (http://cyti.latgola.lv/ruuni/) a nástroj Offline NT Password & Registy Editor (http://home.eunet.no/pnordahl/ntpasswd ). Operácia sa dá údajne stihnúť za menej ako minútu. Sama som ešte neskúšala túto operáciu, ešte sa mi nestalo, že by som zabudla svoje heslo :-)....
Málo miesta vieme vyriešiť pomocou bootovacieho CD s nástrojom Gparted (http://gparted.sourceforge.net). Pomocou tohto nástroja pohodlne zväčšíte partíciu na úkor ostatných, všetko prebehne hladko, aj dáta zostanú neporušené. Vyvarujte sa tejto operácii počas búrky, výpadok elektrickej energie by mohol vaše dáta riadne poznačiť.
Vírusy či iná podobná háveď spôsobuje užívateľom vrásky. Bežný užívateľ zapne antivirák, ten najde infiltráciu, uloží ju do karantény. Užívateľ spravil všetko, očakáva, že teraz sa problém vyriešil. Avšak nepamätal na to, že vírus sa takto jednoducho nedá odstrániť, že je poznačený v registri a treba ho zmazať najskôr z registra, až potom možme povedať, že sme vírus odstranili úspešne... Keď už nepomáhajú ani obnovovacie body a štart systému je čoraz komplikovanejší, neistejší a pomalší, žačína užívateľ uvažvať o reinštalácii systému. Aj to je riešenie, ale sú tu aj súbory, ktoré potrebujeme a už strácame nádej, že ich dokážeme zálohovať ešte riadnou cestou. Použime jednu z live linuxových distribúcií, ktorá disponuje nástrojom ntfs-3g. Ak sa chystáte oponovať tým, že stačí aj čítanie partície so súborovým systémom NTFS, určite máte pravdu. My sa však pokúsime systém „rozchodiť". Ak poznáme vírus, s ktorým máte tú česť, pokúsime sa ho po nabootovaní Linuxu a prípojení disku lokalizovať manuálne a urobiť potrebné kroky. Má to síce pár rizík, ale občas sa to podarí (ja som to skúšala osobne dvakrát, prvýkrát neúspešne, druhýkrát neúspech; takže u mňa je to 50/50). ideálne by bolo pripojiť infikovaný disk k stroju s plnohodnotným Linuxom a antivírusovými nástrojmi. Vtedy sa šance pomerne zvyšujú.
V každom prípade však dokážeme dáta aspoň uložiť do bezpečia, a ak to inak nepojde tak reinštalovať systém. Podobne si pomôžeme prístupom na disky pri obnove konfiguračného súboru boot.ini, poškodeného pri neuváženej manipulácii. Niekedy sa stáva,že potrebujeme zálohovať celý disk alebo partíciu. Tu môžme spomenúť jednoduchý príkaz dd, alebo aplikáciu G4L až po nástroje využívajúce grafické používateľské rozhranie. Clonezilla (www.clonezilla.org) je open source bootovateľné CD, založené na nástrojoch DRBL (Diskless Remote Boot in Linux), Partition Image, ntfsclonen a slúži na hromadnú inštaláciu a kopírovaním partícii alebo diskov. Na CD sa nachádza buď iba Clonezilla,alebo spolu s Gparted na manipuláciu s partíciami,prípadne so SystemSourceCd z inej vývojárskej dielne.
Prednosťami Clonezilla je podpora mnohých súborových systémov a podpora LWM2 v Linuxe. Serverová verzia obslúži desiatky diskov na rôznych počítačoch v sieti v pribehu veľmi krátkeho času. Nástroj drbl-winroll navyše zmení jednotlivým strojom hostname, pracovnú skupinu aSID při inštalácii Microsoft Windows.
Pc Disk Clone (www.pcdiskclone.com) je podobný nástroj s úlohou migrovať a klonovať systémy na ďalšie disky s podporou raozhraní IDE, SATA, SCSI, USB,FireWire závratnou rýchlosťou 7 GB za minútu. Žial iba vo verzii Professional, ktorá okrem iného podporuje diskz SCSI a nie je zadarmo. Vo Free Edition je rýchlosť dosť pomalá, len 100 MB za minútu. Medzi nimi ešte existueje verzia Standard.
Ako vidieť, rozdielne operačné systémy sa dokážu výborne dopĺňať a preto môžu byť linuxové nástroje vhodným doplnkom vybavenia každého počítačového nadšenca aj profesionála.
Bezpečnosť počítača
Operačné systémy založené na linuxovom jadre boli b procese vývoja na tom s ochranou systému pred útokmi zo siete pomerne dobre. Na druhej strane je pravda aj to, že ovládanie linuxového počítača by propadnému útočníkovi poskytlo slušnú základňu pre ďalšiu činnosť. Navyše mnohé servery poskytujú životne dôležité služby nelinuxových operečných systémov. Na to, aby sme pochopili opisované aplikácie, určené pre ochranu našich počítačov, by sme si mali na začiatok objasniť v krátkosti pojmov.
Každý si asi bude vedieť predstaviť komunikačné rozhranie jako sústavu zásuviek - portov, do ktorých sú propojené rozličné sieťové služby. Navyše rôzne služby používajú odlišné komunikačné protokoly. Teraz si povieme, čo je to firewall. Je to hardware a software slúžiaci na kontrolu a obmedzenie komunikácie na portoch smerom dovnútra alebo von zo siete, prípadne pracovnej stanice. Doslovný preklad je požiarná stena, naznačuje jeho význam.
Filtrovanie pomocou firewall-u prebieha podľa určitývh pravidiel, stanovených používateľov. Tie určujú typ akcie, povoľujú alebo zakazujú tok dát. V najjednoduchšom prípade sa to realizuje na sieťovom rozhraní osobného počítača alebo to slúži na oddelenie celých sietí.
Takmer nijaká komunikácia neprebieha iba jedným smerom. Je preto dôležité povoleným datovým tokom definovať aj povolenie pre celú už začatú reláciu alebo tzv. session. To znamené, že sa pokúsime spojiť napríklad s poštovým serverom a máme to povolené, firewall-u môžeme (a na chod inej služby aj musíme) zadefinovať i povolenia všetkých súvisiacich dátových tokov, teda aj odpovede poštového servera.
V Linuxe sa v minulosti na filtrovanie používal nástroj ipfwadm, neskôr ipchains a nakoniec iptables. A práve nástrojom iptables, ktorý sa historicky datuje od jadra 2.4.x, sa budeme teraz zaobereť. Iptables vytvára tabuľky obsahujúce pravidlá.
Tabuľka filter:
INPUT - pravidlá pre pakety vstupujúce do systému zo siete
OUTPUT - pravidlá pre pakety
odchádzajúce z nášho systému do siete
FORWARD - pre routery a firewall-y, pre bežné stanice nemá význam
Tabuľka NAT (Network Address Translation):
PREROUTING - prichádzajúce pakety
OUTPUT - lokálne generované pakety
POSTROUTING - odchádzajúce pakety
NAT sa použije napríklad na zmeny cieľových a zdrojových adries paketov pri komunikácii s privátnymi sieťami, ktoré používajú tzv. neverejné adresy IP.
Systax nastavenia stavového pravidla si najlepšie ukážeme na konkrétnom prípade:
$iptables -A INPUT -p tcp -dport 80 -m state -state NEW -j ACCEPT
Pre INPUT na vstupe sme pridali stavové pravidlo (-m state), ktoré povolí (-j ACCEPT) začať nové (--state NEW) TCP spojenie (-p tcp) smerovane na port 80 (--dport 80).
Ďalší príklad:
$iptables -A INPUT -p tcp -dport 22 -s 10.10.1.11 -m state -state NEW -j ACCEPT
Na tomto príklade sme už konkrétne definovali aj konkrétnu IP adresu, pre ktorú pravidlo platí. Podobne možeme definovať rozsahy adries, porty a rozsahy portov alebo hardware-ové adresy.
Nasledujúci príkaz filtruje konkrétnu hardware-ovú adresu.
$iptables -A INPUT -m mac -zdrojová_mac -j DROP
Zaujímavý je príkaz na určenie pravidla pre časový interval:
$iptables -A INPUT -m time -timestart 8:00 -timestop 18:00 -Mon,Tue,Wed
-j ACCEPT
Príbuzné pakety patriace do spojenia povolíme príkazom
$iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
Na manipuláciu s programom iptables môžeme použiť tieto najčastejšie parametre:
-A - priradenie pravidla na koniec reťazca
-D - zmazanie pravidla z reťazca
-P - nastaví politiku, inými slovami, čo sa má urobiť, ak paket nevyhovuje inému pravidlu
-p - protokol
-s - zdrojová adresa IP paketu
-d -cieľoá adresa IP paketu
-i -zdrojové sieťové rozhranie
-o -cieľové sieťové rozhranie
-L -vypíše tabuľku nastavení
-X -zmaže reťazec
-F -vymaže všetky pravidlá v špecifikovaných reťaziach
-j -akcia, čiže čo sa má s paketom urobiť, ak vyhovie tomuto pravidlu (napr: ACCEPT)
A tu je zoznam kacií, ktoré môžeme vyvolať:
ACCEPT - povolí precod paketu
REJECT - paket odmietne, prostredníctvom správy ICMP informuje zdroj
DROP - paket zahodí
Iba pre tabuľku NAT:
DNAT - adresa a port, na ktorý sa paket ďalej odošle
SNAT - modifikuje zdrojový adresu paketu podľa parametra - - to -source
MASQUERADE - podobne ako SNAT mení zdrojovú adresua port paketu, ale adresu IP nastaví na adresu firewall-u a port podľa parametra - -to-ports
REDICT - mení cieľovú adresu IP na adresu firewall-u a port podľa parametra - -to-ports
$iptables -t nat -A POSTROUTING -o ethl -j SNAT - -to 10.1.22.1
V tomto prípade paket odchádza (-o) adaptérom eth1 so zmenou IP adresy a posledný príklas slúži na vytvorenie transparentného proxy. Všetkz pakety zvnútra siete sú presmerované z portu 80 a na port 3128.
$iptables -t nat -A PREROUTING -p tcp -i ! eth1 -d !10.10.1.1 - - dport 80 -j
REDIRECT - -to-port 3128
Výpočet parametrov a akcií bol iba stručnýpríklad. Úplný zoznam možnosti najdete na stránke projektu Netfilter www.netfilter.org
Ako ste videli, nastaviť firewall nie je také jednoduché. Pokiaľ prevádzkujete na serveri jednu službu, pravidlá sa dajú pomerne jednoducho nastaviťniekoľkými príkazmi. Ak chcete mať chránenú iba pracovnú stanicu, je to ešte jednoduchšie. Problémz nastávajú až s pribúdajúcimi sližbami a výnimkami. Ako to riešiť? Jedno z mnohých riešení sú skripty: postupne s pribúdajúcimi požiadavkami pridávať pravidlá a testovať ich správnosť. Skript postupne upravujeme do konečnej podoby a bude kedykoľvek pripravený na opakované použitie. Možno ho potom aplikovať aj na iných počítačoch. Finálnu podobu skriptu pridáme do štartovacích skriptov a ochrana počítača je zabezpečená aj po jeho prpadnom reštarte.
Bližšie o aplikácii Firewall Builder, ako aj o nastaveniach, nájdete na domovkej tránke projektu www.fwbuider.org. Nejde len o grafická royhranie k iptables. Za použivateľským prívetivým prostredím (frendly user), ktoré sa skrýva za príkazom fwbuider, sa skrýva ešte niekoľko spustiteľných súborov a modulov, ktoré umožňujú okrem posladania rolí nakoniec pravidlá firewall-u aj skompilovať a naištalovať. Okrem inýho možno nastaviť i politiky pre niekoľko serverov, definovať siete, skupiny, hosty, služby a časové intervaly a potom konfiguráciu zloženú z týchto údajov prípadne aj exportovať alebo importovať.
Aplikácie, ktoré väčším či menším dielom pomáhajú konfigurovať firewall, by sa dali menovať desiatky. Niektoré sú ah súčasťou veľkých linuxových distribúcii (napr. Shorewall v Mandrive) alebo ich grafických prostredí (pre KDE napr. Knerfilter, v GNOME je to Firestarter), niektoré majú ako webové rozhranie alebo ako generátor skriptov (Easy Firewall Generator). Medzi podobné nástroje musíme zaradiť aj pomocné súpravy preddefinovaných skriptov pre iptables.
Konfiguračný pomocníci
Takže už máme linuxovú distribúciu nainštalovanú, vieme ako si „opraviť" počítač, vieme načo je dobré mať linux, kde pracujeme pod Windowsom. Vieme si ho zabezpečiť. V tejto časti sa pokúsime nastaviť nejaké konfiguračné nastavenia.
Medzi najoblúbenejšie služby v linuxových inštaláciach určite patria Apache webserver, FTP (File Transfer Protocol) a Samba. Ak sa ich rozhodnete na svoj linuxový počítač nainštalovať priamo či nepriamo sa stretnete so službami DNS (Domain Name systém), možno aj s DHCP (Dynamic Host Configuration Protocol) a nakoniec si to celé budete musieť zálohovať. Na zálohovanie je vhodný nástroj Rsync.
Konfigurácia webového servera zahrňuje niekoľko fáz. Ak nemáte ešte svoj model servera takpovediac v malíčku, budete musieť inštalovať moduly, pridávať ich do konfiguračného súboru či súborov, nastavovať adresáre a používateľov. Nie každý dostane administrátorske práva (absolútne práva). Prípadne si zvolíte, ktoré počítače na webovú stránku môžu a ktoré nie.
Niekedy je to zamotaný proces, aj malé nezrovnalosti v poradí dokážu úplne zmeniť fungovanie webu. Na zjednodušenie konfiguračných nastavení je určené graficé rozhranie GAdminHTTPD. Aj na spoľavlivú konfiguráciu webového servera Apache (spomínané rozhranie je preň určené), budeme potrebovať určité vedomosti o jeho možnostiach. GAdminHTTPD nám pomôže cez prehľadné formuláre nastaviť základne parametre servera, nastaviť virtuálne servery a pre keždý doplniť špecifické pravidlá (použité moduly, nastavenie prístupu k jednotlivým adresárom, typom súborov (jednoducho všetko, čo musíme inak ručne zadávať do .htaccess)). Pomocou formulára bleskovo vytvoríme nového používateľa a vegenerujeme mu aj heslo. (Ešte na začiatku, keď som sa zozmamovala s Linuxom ja, tak som to vytvárala pomocou príkazu htpasswd, nie je to v shelli práve jednoduché (ale zvládla som to).)
Ani takto vytvorený súbor nemusí byť však dokonalý. Možno budete potrebovať naozaj niekde len v súbore .htaccess doplniť nejakú drobnosť a možno budete na pochybách či potrebujete Order deny, allow alebo Order allow, deny. Aj v takomto prípade je po problémoch, pretože posledná karta obsahuje vztvorený konfiguračný súbor, ktorý možeme upraviť manuálne, alebo si správny reťazec prekopírujeme na požadované miesto. Očakávam, že začnete namieteť, pretože takéto skladanie konfiguračného súboru, je to isté, ako to čo ste robili doteraz, a máte aj pravdu. Predstavte si, že konfigurujete niekoľko serverov vrátane virtuálnych, tieto konfigurácie skutočne šetria čas i námahu.
Inštalačný balík vo formáte RPM je dostupný na stránke www.gadmintools.org. Nájdete tu veľa aplikácii so spoločným prívlastkom GAdmin. Ďalej je tu úplný zoznam serverov (ISC BIND DNS server, ISC DHCPD server, Proftpd standalone server, Samba filesharing, Squid proxy server, RSZNC backup server a klient, Apache webserver, OpenVPN Server / Client ), pre ktoré je určený. Toto je pre distribúciu Fedora (http://www.fedora.cz/).
Pre užívateľov iných platforiem zostáva skompilovať si aplikácie zo zrdojových súborov. Na sránke sú odkazy na alternatívne balíky pre Mandrivu a Debian. Samozrejme, aplikácie sú sírené pod licenciou GNU (General Public License). Ako typ uvádzam este pôvodnú stránku projektu http://mange.dynalias.org/linux.html , je tu niekoľko ďalších nástrojov.
Čo sa týka nastavení linuxu, vyznávam pravdu:„Lepšie raz skúsiť, ako veľakrát čítať."
Za spoluprácu pri tomto kúsku práce ďakujem IT technikov v jednej spoločnosti...
Kolegovia, ďakujem Vám.
Informácie som čerpala aj z časopisu PC Revue
Čo mi dal Váš predmet, Vaše prednášky?
dozvedela som sa veľa zaujímavých vecí
vyskúšala som ako si virtuálne nainštalovať OS
videla som ako funguje virtuálny počítač
vyskúšala som si online prekladanie v benderi a to mi moc nešlo