Számítógépterem hatékony üzemeltetése kea@turul.banki.hu Keszthelyi András Budapesti Műszaki Főiskola, Keleti Károly Gazdasági Kar, Szervezési és Vezetési Intézet Mottó: Az embert a (gépies) munkától való iszonya készteti gondolkodásra Absztrakt Adott egy főiskolai számítógépterem harminc - különféle - pc-vel és Linux operációs rendszerrel. Ezt a géptermet kell hatékonyan, azaz a lehető legkevesebb élőmunka árán üzemeltetni. Különleges célprogramok használata nélkül, az operációs rendszer alapparancsainak segítségével, lehetőleg nem interaktív, hanem kötegelt módban. Az üzemeltetés esetünkben három fő tevékenységcsoportot jelent. Leggyakrabban a hallgatói munkakörnyezet alaphelyzetbe állítását kell elvégezni. Időnként fölmerülnek igények egyes beállítások megváltoztatására, frissítésekre, újabb programok telepítésére. Végül, de egyáltalán nem utolsósorban időnként újra kell telepíteni az egész géptermet. A részletesen ismertetendő megoldások és munkafogások segítségével minhárom tevékenységcsoport feladatait az adott körülmények között a lehető legkevesebb interaktivitással oldom meg. Problémafölvetés Főiskolai géptermünk sok esztendős története során számos változáson ment keresztül. Ezek a változások a gépek darabszámát, azok típusát, továbbá a rajtuk futó operációs rendszer alkalmazásait egyaránt érintették. Jelenleg harminc, részben különféle személyi számítógép van a gépteremben. A gépteremben az idők folyamán használt Windows operációs rendszerek (Win95, Win98, NT Workstation, Win2K) közös tapasztalata volt, hogy a félév elején telepített és beállított gépek használati értéke a félév folyamán lassan vagy gyorsan, egyenletesen vagy hirtelen csökkent, minden félév elején újratelepítettünk minden egyes gépet. Némelyeket időnként a félév közben is, mert az volt az egyszerűbb. Változó sikerű küzdelmet folytattunk a vírusok és férgek ellen. Évekkel ezelőtt megérlelődött az az elhatározás, hogy az operációs rendszert leváltjuk, és kipróbáljuk a Linuxot. Ennek számos oka volt: a könnyebb, gyorsabb, egyszerűbb karbantarthatóság reménye (a fent vázolt tapasztalatok alapján); A HALLGATÓK LÁSSANAK PÉLDÁT A SZABAD SZOFTVEREK ASZTALI GÉPEKEN, IRODAI KÖRNYEZETBEN VALÓ ALKALMAZHATÓSÁGÁRA, SŐT PRÓBÁLJÁK IS KI AZOKAT; AZ ÁLLANDÓ VÍRUS-, FÉREG- STB. FERTŐZÉS ÉS FŐKÉNT TOVÁBBTERJESZTÉS MEGSZÜNTETÉSE; A JOGTISZTASÁG BIZTOSÍTÁSA (A CAMPUS LICENC ÚN. UPGRADE LICENC, VISZONT NINCS TOVÁBBI HARMINC RÉGEBBI, ENNEK ALAPJÁUL SZOLGÁLÓ WINDOWS-LICENCÜNK). A GÉPEKRE A KÖVETKEZŐ ÖSSZEÁLLÍTÁS KERÜLT: SLACKWARE LINUX ALAPTELEPÍTÉS, ENNEK OKA A SZEMÉLYES ROKONSZENV;
OPENSSH; A KÉSŐBBI KÖZPONTILAG IRÁNYÍTOTT KARBANTARTÁS MIATT SZÜKSÉGES; LEGFRISSEBB STABIL GRAFIKUS KISZOLGÁLÓ (X11R7); LEGFRISSEBB ABLAKKEZELŐ (KDE); BÖNGÉSZŐK: FIREFOX, KONQUEROR ÉS OPERA; IRODAI PROGRAMCSOMAG: OPENOFFICE; EGYÉB KELLÉKEK. A SLACKWARE DISZTRIBÚCIÓT ELŐNYBEN RÉSZESÍTŐ SZEMÉLYES ROKONSZENV EGYRÉSZT ABBÓL FAKAD, HOGY A TELEPÍTŐ CD ELŐSZÖR PARANCSSORI PROMPTOT AD, TEHÁT VÉGSZÜKSÉG ESETÉN HASZNÁLHATÓ AZ ÜZEMSZERŰ RENDSZERINDÍTÁSI FOLYAMAT HELYREÁLLÍTÁSÁHOZ IS. MÁSRÉSZT PEDIG NINCS EGY, A WINDOWS REGISTRY-RE EMLÉKEZTETŐ ÁLTALÁNOS BEÁLLÍTÁSI FÁJL, AMELYBŐL IDŐNKÉNT A RENDSZER ÚJRAGENERÁLJA AZ EGYES KONFIGURÁCIÓS FÁJLOKAT (MINT PL. A SUSE ESETÉBEN). ÖSSZESSÉGÉBEN ÚGY ÉRZEM, HOGY MINDEN SZEMPONTBÓL ELŐNYÖS ÉS HATÉKONY KÖZÉPÚT. NEM WINDOWS-SZERŰEN TÚLAUTOMATIZÁLT, AMELYBE KÖRÜLMÉNYES ÉS NEHÉZKES BELENYÚLNI (SUSE, UBUNTU), UGYANAKKOR MESSZE NEM A MINDENT NULLÁRÓL H (LINUX FROM SCRATCH) FELFOGÁS MEGTESTESÍTŐJE. A HELYI PATA MEREVLEMEZEKEN KÉT PARTÍCIÓ VAN, EGY KISEBB AZ OPERÁCIÓS RENDSZER SZÁMÁRA (6 GB), ÉS A MARADÉK MINT MUNKATERÜLET (HDA1 ÉS HDA2, SATA LEMEZEGYSÉG ESETÉN ÉRTELEMSZERŰEN SDA1 ÉS SDA2). A HALLGATÓI ALAPKÖNYVTÁR IS AZ OPERÁCIÓS RENDSZER SZÁMÁRA FENNTARTOTT PARTÍCIÓN TALÁLHATÓ, DE TARTALMAZ EGY LINKET, AMELY A NAGYKITERJEDÉSŰ MUNKATERÜLET HALLGATÓK SZÁMÁRA FENNTARTOTT KÖNYVTÁRÁRA MUTAT. EZEN MUNKATERÜLETEN TALÁLHATÓ MÉG EGY KALYHA H NEVŰ KÖNYVTÁR IS, PÉLDÁUL A MENTETT ALAPBEÁLLÍTÁSOK, MUNKAKÖRNYEZET ADATAINAK TÁROLÁSÁRA. MINDKÉT PARTÍCIÓN REISERFS FÁJLRENDSZER VAN, A MÁSODIK CSATOLÁSI PONTJA A /MNT/HDA2. MINDEN GÉPEN EGY DARAB HALLGATÓI HOZZÁFÉRÉS VAN, EZT HASZNÁLJÁK EGYSÉGESEN, NEM SZEMÉLYRE SZABOTTAN. A GÉPTEREM HASZNÁLATI MÓDJA, JELLEGE ÉS MENNYISÉGE UGYANIS NEM INDOKOLJA AZ EGYES HALLGATÓK SZÁMÁRA A KÖZPONTI HITELESÍTÉST ÉS AZ EGYÉNI MUNKAKÖRNYEZETET. A FELHASZNÁLÓNÉV, A GÉPTEREM SZOBASZÁMÁBÓL MERÍTVE AZ ÖTLETET: T224, AZ ALAPKÖNYVTÁR ENNEK KÖVETKEZTÉBEN A /HOME/T224. CSAK WINDOWSON FUTÓ, AZ OKTATÁSHOZ SZÜKSÉGES PROGRAMOK SZÁMÁRA KÉT MEGOLDÁS VAN. AZ ELSŐ EGY VMWARE VIRTUÁLIS SZÁMÍTÓGÉPEN (HTTP://WWW.VMWARE.COM/) EGY NONPERSISTENT H VIRTUÁLIS LEMEZEGYSÉGRŐL FUTÓ WINDOWS 98, AMELY SAMBA SEGÍTSÉGÉVEL ELÉRI A HALLGATÓ SAJÁT HELYI KÖNYVTÁRÁT, ÉS SEMMILYEN EZT MEGHALADÓ HÁLÓZATI KAPCSOLATA NINCS. A NONPERSISTENT H ÁLLAPOT AZT JELENTI, HOGY A VIRTUÁLIS SZÁMÍTÓGÉP KIKAPCSOLÁSA UTÁN A VIRTUÁLIS LEMEZEGYSÉG EREDETI ÁLLAPOTÁBAN MARAD, ÉS SEMMILYEN VÁLTOZTATÁS NEM ŐRZŐDIK MEG RAJTA. ENNEK AZ AZ ÁRA, HOGY AZ ALKALMAZÁSOK ÁLTAL HASZNÁLT LEGUTÓBBI FÁJLOK LISTÁJA UGYAN NEM TUD FRISSÜLNI, CSERÉBE VISZONT A WIN98 AKÁR ÉVEKIG EGYENÉRTÉKŰEN MŰKÖDŐKÉPES MARAD. MÁSIK MEGOLDÁSKÉNT ÜZEMELTETÜNK EGY DARAB WINDOWS 2003 KISZOLGÁLÓT, AMELYET A GÉPTEREMBŐL TÁVOLI ASZTAL KAPCSOLATON (RDESKTOP) KERESZTÜL LEHET ELÉRNI. ILYMÓDON HASZNÁLJÁK A HALLGATÓK PL. AZ INFOR:COM VÁLLALATIRÁNYÍTÁSI RENDSZERT. Volt egy rövid, szerencsés időszak, amikor a gépteremben húsz darab, teljesen egyforma számítógép működött. Ekkor merült föl az a gondolat, hogy a gépterem karbantartását amennyire csak lehetséges, önműködővé, kötegelt módban végezhetővé kellene tenni. Ez
elsősorban azt jelentette, hogy szerettem volna megtakarítani a gépenkénti külön telepítést, annál is inkább, mert csak egyetlen gépben volt CD-olvasó. A többi gépből ezt takarékossági okokból kihagytuk (egy további, jó gépet nyertünk evvel). A gépterem üzemeltetése három fő tevékenységcsoportot jelent. Leggyakrabban a hallgatói munkakörnyezet alaphelyzetbe állítását kell elvégezni. Időnként fölmerül az igény egyes beállítások megváltoztatására, programfrissítésekre, újabb programok telepítésére, esetleg csak a géppark egy részén. Végül, de egyáltalán nem utolsósorban, időnként érdemes újratelepíteni az egész géptermet. A továbbiakban részletesen ismertetett munkafogások segítségével minhárom fő tevékenységcsoport feladatait az adott körülmények között a lehető legkevesebb interaktivitással oldom meg. A továbbiak megértéséhez és esetleges alkalmazásához aránylag kevés linux-ismeretre van szükség. Ha azonban valaki elszánja magát arra, hogy fejest ugrik a mély vízbe, számítson arra, hogy a használat során kerülhet számos olyan helyzetbe, amelyeket az alábbiakban nem érintek. Mindig az Élet szolgáltatja ugyanis a legnagyobb meglepetéseket... Számítógépek klónozása A cím pontosabban - sajnos - nem a hardver, hanem a telepített operációs rendszer és alkalmazásainak klónozását jelenti. Magyarán arról van szó, hogy ha egy gépen elvégeztük sikerrel az operációs rendszer és a szükséges alkalmazások telepítését, beállítását, akkor ezt a műveletsort ne kelljen minden egyes gépen megismételni. Ez a műveletsor ugyanis szükségképpen időigényes és interaktív, tehát gépenkénti ismétlése igen sok időt igényelne, az interaktivitás következtében a telepítést végző személynek végig ott kell ülnie minden egyes gép előtt a művelet során. Ráadásul fennáll annak a veszélye is, hogy egyes gépeken esetleg egyes beállítások nem a megkívántak lesznek véletlen emberi hiba következtében. Pontosan ez a fajta munka az a gépies tevékenység, amelyet a leginkább szerettem volna kiküszöbölni. Ez a vágy nem előzmények nélkül való, hiszen hasonló megoldást már a Linux előtti időkben is, windows-környezetben lehetett csinálni - példának okáért - Norton Ghost felhasználásával. Első klónozási kísérletem során ezt az eljárást próbáltam lemásolni a linuxos környezetben, természetesen mindenféle célprogram használata nélkül. Ennek lehetőségét az teremtette meg, hogy minden gépben teljesen azonos merevlemez volt, tehát az alaptelepítést tartalmazó gép merevlemezét szektoronként másolva a többi gépre, ott is egyenértékűen működő rendszert kaptam. Itt a merevlemezek azonos típusa, pontosabban azonos lemezgeometriája a lényeges, mert ennek hiányában a fájlrendszer és a lemez fizikai beosztása közötti megfeleltetés megszűnik. A módszer lényege röviden összefoglalva a következő volt. A mintatelepítés és alapbeállítások elvégzése után a rendszerpartíción (hda1) addig írattam csupa nulla bájtot egy fájlba, amíg az összes szabad hely el nem fogyott, majd ezt a fájlt töröltem. Evvel elértem azt, hogy a szabad hely csupa nulla bájtot tartalmazván hatékonyabban volt tömöríthető. A teljes partícióról készítettem egy lemezlenyomatot (disk image), miután CD-ről indítottam rendszert. dd if=/dev/hda1 gzip -c9 > /mnt/hda2/kalyha/hda1.img.gz Ez a teljes partíció adattartalmát tömörítette egyetlen fájlba. Az egyforma lemezgeometriát kihasználva ezt a fájlt lehetett minden további gépen kicsomagolni és kiírni a hda1 partícióba. Viszonylag időigényes művelet volt (30-45 perc gépenként), mert a teljes partíciót kellett
kitömöríteni és fizikailag végigírni. Az időtényezőn kívül a másik probléma, hogy ez a módszer csak azonos lemezgeometria esetén használható, márpedig az idő múlásával egyre több különböző merevlemez lett a gépteremben. Hatékonyabb módszerre volt tehát szükség. Ez a hatékonyabb módszer azon alapul, hogy nem muszáj lemezlenyomatot használni a klónozáshoz, némi elővigyázattal a fájlrendszer is másolható. A fő lépések a következők: a mintatelepítés fájlrendszerének tömörítése; nfs kiszolgáló beüzemelése; rendszerindító hajlékonylemez készítése; segédprogramok előkészítése; maga a klónozás. A mintatelepítés tömörítése. Első lépésként a cd-olvasóval bíró gépen megcsináltam a telepítést (Slackware 12.0). A telepített anyag hozzávetőleg 2 GB helyet foglal el a 6 GB-os hda1 partíción. Igen fontos körülmény, hogy a mintatelepítés alapértelmezett futási szintje az X nélküli többfelhasználós mód legyen (run level 3), mert a különféle videókártyák és monitorok miatt különben a klónozott gépek esetleg nem indulnának el. A második partíció ekkor üres. A telepítés és a szükséges (alap)beállítások után a gépet újraindítjuk a telepítő cd-ről, a két partíciót csatoljuk - mondjuk - a /mnt/hda1 és a /mnt/hda2 pontokra. A második, üres partícióra megcsináljuk a hda1, a telepített és beállított rendszer lenyomatát: mégpedig a fájlrendszer-lenyomatot: tar -C /mnt/hda1 -czf /mnt/hda2/kalyha/hda1files.tgz./* Ennek a tömörített fájlnak a mérete 1-1,5 GB között van, a tömörítési aránytól, illetve a ténylegesen telepített összetevőktől függően, ugyanis itt csak a tényleges adatmennyiség számít, az üres hely semmilyen formában nem kerül bele a tömörített állományba. Ez a fájl lesz a klónozás alapja. A következő lépés az nfs-kiszolgáló beüzemelése a tömörített anyagot (és a mintatelepítést) tartalmazó gépen. A kernelnek képesnek kell lennie az nfs-kiszolgálásra (File Systems, Network File Systems pont alatt állítható be kernelfordításkor), illetve ügyféloldalon (kliens) ismernie kell az nfs-t, különben nem tudja csatolni. A kiszolgáló gépen (10.66.24.1) az /etc/exports fájl tartalma: /mnt/hda2/kalyha 10.66.24.0/255.255.255.0(ro,no_subtree_check) /mnt/hda2/kalyha 127.0.0.1(ro,no_subtree_check) Ez szabályozza, hogy az nfs kiszolgáló mely könyvtárakat mely ügyfeleknek szolgáltatja, esetünkben a lehetséges ügyfelek lehetnek a 10.66.24.xxx IP-című gépek és saját maga (localhost), géptermi gépeink ugyyanis a helyi hálózatok számára fenntartott (privát) címtartományból kapnak IP-címet. Ezután az exports -r parancs frissíti az exportálandó könyvtárak listáját, ettől fogva ezek elérhetők a gépterem többi gépéről, illetve saját magáról (ellenőrzés céljából). Majd el kell indítani a portmapper programot és a hálózati fájlrendszer kiszolgálóprogramjait: rpc.portmap
rpc.nfsd rpc.mountd Ellenőrzési lehetőség az rpcinfo -p parancs kiadása. Válasza hosszabb-rövidebb lista jó esetben, rossz esetben pedig hibaüzenet. Ezután ellenőrzésképpen megpóbálhatjuk ugyanezen a gépen csatolni hálózati fájlrendszerként a kiajánlott könyvtárat (feltéve, hogy a /mnt/aux könyvtár mint csatolási pont létezik): mount localhost:/mnt/hda2/kalyha /mnt/aux -t nfs Ezután után a mintagépen a /mnt/aux-ban is látnunk kell a /mnt/hda2/kalyha tartalmát. Az esetleges mount version older than kernel üzenet tapasztalataim szerint nem jelent problémát. Ha ez sikeres, akkor feltehetően a klónozandó gépekről is sikerülni fog csatolni a kiajánlott könyvtárat. A rendszerindító hajlékonylemez elkészítése a következő lépés. Fölmerül a kérdés, hogy miért hajlékonylemez, amikor az már jószerivel teljesen a feledés homályába merül. A gépekben nincs CD-olvasó. USB-csatlakozó van ugyan minden gépben, de van olyan gépünk is, amelyik nem tud USB-eszközről rendszert indítani. Emellett a hajlékonylemezes rendszerindítás, pont a kicsiny lemezméret miatt összetettebb feladat. Két hajlékonylemezre van szükség. Az egyik tartalmazza a kernelt, a másik a root fájlrendszert. Az előbbit könnyű megcsinálni, ha gépeinkre amúgy is saját fordítású kernelünk van: annak beállításai közül egyszerűen kihagyunk minden fölöslegest (pl. hang-, videótámogatás, szükségtelen fájlrendszerek stb.). Ami mindenképpen kell, az nfs és a reiserfs (vagy amilyent használni szeretnénk) fájlrendszer támogatása, a hálókártyák meghajtói és az initrd támogatás. A sikeres kernelfordítás után (make menuconfig; make -s dep; make -s bzimage) adott egy bzimage nevű állományunk az arch/i386/boot könyvtárban (vagy az arch/x86/boot-ban) a linux forrásfa gyökeréhez képest. Ennek mérete értelemszerűen nem lehet nagyobb, mint a hajlékonylemezé. A kernelnek tudnia kell, hogy a root fájlrendszert a /dev/fd0-ról kell betöltenie, ráadásul floppycsere után. A rdev parancs pont erre idomítja. Mivel lehet, hogy több kísérletet is kell végezzünk, egyszerűbb egy parancsfájlba írni a szükségeseket: #!/bin/bash if [ $# -eq 0 ]; then echo "paraméter a kernel bináris neve!" exit 1 fi rdev $1 /dev/fd0 rdev -R $1 0 rdev -r $1 49152 Ezután kernel kiírható egy floppyra. Sok fölösleges bosszúságtól kíméljük meg magunkat, ha előbb formázzuk a lemezt, és eleve kicseréljük, ha az ellenőrzés hibát jelez, sőt: ha azt halljuk (!), hogy ismétlődően "nekifut" egyes sávok ellenőrzésének: fdformat /dev/fd0 dd if=bzimage of=/dev/fd0 bs=512 Root fájlrendszert tartalmazó hajlékonylemezt taláhatunk esetleg a telepítő cd lemezünkön,
vagy keresünk valahol az interneten. Ennek tartalmát minimálisan változtathatjuk, de figyelembe kell venni a rendszerkönyvtárak problémáját (változatszámok, illetve puszta meglétük). Az eljárás lényege (feltéve, hogy a root fájlrendszer lenyomata egy rootfs.img nevű fájlban van): mount rootfs.img /mnt/aux -o loop,rw Ezután lehet másolni az /mnt/aux-ba, amíg fér:) Ha több gépet kell telepíteni, érdemes a szükséges parancsokat egy parancsfájlba összeírni, az még biztosan elfér, esetleg ha a hálózati kártyánk valami különlegesebb fajta, annak a meghajtó modulját is oda lehet tenni. A /mnt/aux lecsatolása után az img fájlt tömöríteni kell: gzip -c9 rootfs.img > rootfs.img.gz A tömörített fájl mérete megintcsak nem haladhatja meg a floppy befogadóképességét, egy másik floppyra a kernellel megegyezően lehet kiírni. Tapasztalatom szerint hozzávetőlegesen 4 MB méretű lenyomat még tömöríthető úgy, hogy pont elférjen egy hajlékonylemezen. A következő lépés a segédprogramok előkészítése. Szükségünk lesz ugyanis még néhány olyan dologra, amelyek a hajlékonylemezen nem férnek el, így trükkösen kell biztosítani rendelkezésre állásukat. Ha reiserfs fájlrendszert kívánunk használni, szükségünk van a mkreiserfs programra. A lilo azért szükséges, mert a partíciós táblát nem lehet másolni az esetleges lemezkülönbözőségek miatt, enélkül viszont nem lesz rendszerindítás (vagy lilo helyett grub, ha az jobban tetszik). A hdparm azért szükséges, mert már a nagy adattömeg másolása előtt szeretnénk gyorsítani a lemezegység működését. Mivel ezek nem férnek el a root fájlrendszert tartalmazó hajlékonylemezen, ezért ezeket az nfs révén kiajánlott könyvtárba kell elhelyezni, mégpedig statikusan fordított módon, különben nem fognak működni a különböző verziójú futásidejű programkönyvtárak összeférhetetlensége miatt. Az mkreiserfs, a lilo és a hdparm forráskódját le kell tölteni, ezeket statikus linkeléssel fordítani. Ehhez a Makefile állományokban a CFLAGS és LDFLAGS változók kiegészítendők a -static kitétellel. Sikeres fordítás után (./configure; make) a frissen leford ott programot a mintag en nfs-sel el hetőv tett k yvt ba kell m olni (/mnt/hda2/kalyha). Mondjuk legyen a nev mkreiserfs_static, hdparm_static lilo_static, nehogy k őbb kevered legyen. UTOLSÓ LÉPÉSÜNK KÖVETKEZIK, MAGA A KLÓNOZÁS. AZ EGYES GÉPEKNEK TÁMOGATNIUK KELL SORRENDBEN ELSŐ HELYEN A HAJLÉKONYLEMEZRŐL VALÓ RENDSZERINDÍTÁST (CMOS SETUP). A KERNEL LEMEZÉVEL KEZDJÜK, A KERNEL BETÖLTŐDÉSE UTÁN KÉRI A MÁSODIK LEMEZT ( INSERT FLOPPY WITH ROOT FS AND PRESS ENTER VAGY HASONLÓ ÜZENETTEL). A GYÖKÉR FÁJLRENDSZER (ROOTFS) BETÖLTŐDÉSE UTÁN A MÁSODIK LEMEZ IS KIVEHETŐ. A hálózati kapcsolat felélesztése: IFCONFIG ETH0 10.66.24.2 UTÁNA A PORTMAPPERT KELL INDÍTANI: RPC.PORTMAP EZUTÁN JÖN AZ NFS CSATOLÁS: MKDIR -P /MNT MOUNT 10.66.24.1:/MNT/HDA2/KALYHA /MNT -T NFS EKKOR A /MNT ALATT A MINTAGÉPEN KÖZZÉTETT TARTALMAT KELL LÁSSUK (HDA1FILES.TGZ, MKREISERFS_STATIC, HDPARM_STATIC, LILO_STATIC). HA EZ SIKERÜLT, AKKOR LÉPHETÜNK TOVÁBB.
A HDPARM_STATIC A MEREVLEMEZ GYORSABB MŰKÖDÉSÉT EREDMÉNYEZŐ BEÁLLÍTÁSOK ELVÉGZÉSÉRE HIVATOTT: /MNT/HDPARM_STATIC -C1 -D1 -U1 /DEV/HDA FIGYELEM! VIGYÁZAT! ELŐZŐLEG MINDENKÉPPEN MEG KELL VIZSGÁLNI, HOGY MIT BÍRNAK MEREVLEMEZEINK! MINDENKÉPPEN ÉRDEMES PONTOSAN MEGVIZSGÁLNI ÉS KIKÍSÉRLETEZNI EZT, MERT A LEMEZEGYSÉG SEBESSÉGÉBEN AKÁR TÍZSZERES SZORZÓT (VAGY OSZTÓT;) IS JELENTHET. EZUTÁN ELŐBB PARTÍCIONÁLNI KELL A KLÓNOZANDÓ GÉP MEREVLEMEZÉT (FDISK /DEV/HDA), KIVÉVE, HA A MEGLÉVŐ PARTÍCIONÁLÁS PONT MEGFELELŐ. EZUTÁN A /DEV/HDA1-ET FORMÁZNI KELL, PONTOSABBAN AZ ÜRES FÁJLRENDSZERT LÉTRE KELL RAJTA HOZNI: /MNT/MKREISERFS_STATIC /DEV/HDA1 CSATOLJUK EZT EGY ÚJ CSATOLÁSI PONTBA: MKDIR -P /MNT1 MOUNT /DEV/HDA1 /MNT1 MAJD INDUL A KIBONTÁS: CD /MNT1 TAR -XZPS --SAME-OWNER -F /MNT/HDA1FILES.TGZ VÉGÜL A LILO BEÁLLÍTÁSA: /MNT/LILO_STATIC -V -R /MNT1 EVVEL A LÉNYEG MEG IS VAN: A /DEV/HDA1 LECSATOLÁSA UTÁN A GÉP ÚJRAINDÍTHATÓ. ÚJRAINDÍTÁS UTÁN BE KELL ÁLLÍTANI AZ ÚJONNAN KLÓNOZOTT GÉP IP-CÍMÉT ÉS NEVÉT (/ETC/RC.D/RC.INET1.CONF, /ETC/HOSTNAME). EZT MEGTEHETNÉNK ÚJRAINDÍTÁS ELŐTT IS, DE A RENDELKEZÉSÜNKRE ÁLLÓ ESZKÖZÖKKEL EZ CSAK IGEN KÖRÜLMÉNYESEN LENNE MEGOLDHATÓ. SEGÍTHET AZONBAN, HA AZ IFCONFIG PARANCSTÓL A LILO_STATIC PARANCSIG A FENTIEKET ELHELYEZZÜK EGY CÉLIRÁNYOS PARANCSFÁJLBAN A ROOT FÁJLRENDSZER HAJLÉKONYLEMEZÉN. EGYSZERRE TÖBB GÉPET ÚGY ÉRDEMES KLÓNOZNI, HOGY AMIKOR A KERNEL (ELSŐ HAJLÉKONYLEMEZ) BETÖLTŐDÖTT, ÉS A HELYÉRE BETETTÜK A MÁSODIK LEMEZT, A SORON KÖVETKEZŐ GÉPET MÁR INDÍTJUK AZ ELSŐ LEMEZZEL, AMÍG PEDIG A MÁSOLÁS-KICSOMAGOLÁS MEGY, AZ ELŐZŐ GÉPEN JAVÍTJUK AZ IP-CÍMET ÉS A GÉPNEVET. 100 MBIT/S SEBESSÉGŰ HÁLÓZATON NÉHÁNY PERC (!) ALATT LEFUT A MÁSOLÁS-KICSOMAGOLÁS, HA A GÉPTEREMBEN (AZ ELSŐ SWITCH-CSEL BEZÁRÓLAG) NINCS SZÁMOTTEVŐ HÁLÓZATI ADATFORGALOM A KLÓNOZÁS KÖZBEN. HA EZ VALAMILYEN OKNÁL FOGVA NEM BIZTOSÍTHATÓ, AKKOR MEGFONTOLANDÓ EGY ALKALMAS HOSSZÚSÁGÚ KERESZTKÁBEL ELKÉSZÍTÉSE, KÖZVETLEN GÉP-GÉP KAPCSOLATHOZ. TERMÉSZETESEN NEM BIZTOS, HOGY AZ ILYMÓDON KLÓNOZOTT GÉPEK MINDEGYIKE PROBLÉMAMENTESEN FOG MŰKÖDNI, EKKOR MÉG MINDENKÉPPEN HÁTRA VAN A GRAFIKUS FELÜLET INDÍTÁSA, ILLETVE AZ EHHEZ SZÜKSÉGES HARDVERFÜGGŐ BEÁLLÍTÁSOK. EGYETLEN KÖVETELMÉNYT LEHET SZABNI A KLÓNOZANDÓ GÉPEKKEL, ILLETVE A MINTATELEPÍTÉSSEL SZEMBEN: A MINTAGÉPEN TELEPÍTETT RENDSZER KERNELE, HÁLÓZATI KAPCSOLATA ÉS SSH KISZOLGÁLÓJA EL KELL TUDJON INDULNI MINDEN TOVÁBBI GÉPEN IS. HA A RENDSZER ELINDUL CSAK SZÖVEGES ÜZEMMÓDBAN, X NÉLKÜL, MINDEN TOVÁBBI, ESETLEGES GÉPFÜGGŐ BEÁLLÍTÁST MÁR TÁVOLRÓL IS EL TUDUNK VÉGEZNI, AKÁR KÖTEGELT MÓDBAN, HISZEN MINDEN TOVÁBBI BEÁLLÍTÁS ELVÉGZÉSE KÖZÖNSÉGES SZÖVEGFÁJLOK ÉRTELEMSZERŰ MÓDOSÍTÁSÁT IGÉNYLI (PL. /ETC/X11/XORG.CONF, /ETC/RC.D/RC.GPM STB.). EZEK ELVÉGZÉSE A
KARBANTARTÁS SSH-VAL C. RÉSZBEN FOGLALTAK ALAPJÁN GYORS ÉS KÖNNYŰ. A hallgatói munkakörnyezet alaphelyzetbe állítása MIVEL A HALLGATÓK A MUNKAKÖRNYEZETÜKET (ALAPKÖNYVTÁR, HOME DIRECTORY) NEM SZEMÉLYRE SZABOTTAN HASZNÁLJÁK, ARÁNYLAG GYAKRAN MERÜL FÖL AZ A PROBLÉMA, HOGY AZ ASZTAL BEÁLLÍTÁSAI, A RAJTA LÉVŐ IKONOK, AKÁR AZ EGYES ALKALMAZÁSOK INDÍTÁSI BEÁLLÍTÁSAI NEMKÍVÁNATOS MÓDON MEGVÁLTOZNAK. ÉRDEMES, SŐT SZÜKSÉGES TEHÁT IDŐNKÉNT EZT VISSZAÁLLÍTANI ALAPHELYZETÉBE. EZT ÚGY OLDOTTAM MEG, HOGY AZ ALAPKÖNYVTÁR MINTATELEPÍTÉS ÉS ALAPBEÁLLÍTÁSOK ELVÉGZÉSE UTÁNI ÁLLAPOTÁT MENTETTEM. TAR -C /HOME/ -CZF /MNT/HDA2/KALYHA/T224.TGZ T224 EZ A PARANCS A MÁSODIK PARTÍCIÓ KALYHA NEVŰ KÖNYVTÁRÁBAN LÉTREHOZ EGY DARAB TÖMÖRÍTETT FÁJLT, AMELY TARTALMAZZA A TELJES HALLGATÓI MUNKAKÖNYVTÁRAT. EBBŐL LEHET HELYREÁLLÍTANI AZ EREDETI ÁLLAPOTOT A KÖVETKEZŐKÉPPEN: RM -RF /HOME/T224 TAR -C /HOME -XZPS --SAME-OWNER -F /MNT/HDA2/KALYHA/T224.TGZ AZAZ ELŐBB LETÖRÖLJÜK TELJES EGÉSZÉBEN A MUNKAKÖNYVTÁRAT, MAJD A MENTETT VÁLTOZATOT KICSOMAGOLJUK A KORÁBBI HELYÉRE, AZ EREDETI HOZZÁFÉRÉSI BEÁLLÍTÁSOK GONDOS MEGŐRZÉSÉVEL. AZ ESETENKÉNTI TÖRLÉS MIATT CÉLSZERŰ AZT A HÁZIRENDET KIALAKÍTANI ÉS BETARTA(T)NI, MISZERINT A HALLGATÓK MUNKATERÜLETE AZ /MNT/HDA2/HELY NEVŰ KÖNYVTÁRBAN VAN, AMELYRE AZ ALAPKÖNYVTÁRBAN LÉVŐ, UGYANCSAK HELY NEVŰ LINK MUTAT. EZ AZ ALAPHELYZETBE ÁLLÍTÁS ELVÉGEZHETŐ BÁRMIKOR EGYEDILEG, CSAK ARRA KELL FIGYELNI, HOGY A HALLGATÓI HOZZÁFÉRÉS NE LEGYEN HASZNÁLATBAN, AZAZ A HALLGATÓI HOZZÁFÉRÉSSEL AZ ADOTT GÉPEN ÉPP SENKI NE LEGYEN BEJELENTKEZVE. AZ ALAPKÖNYVTÁR HELYREÁLLÍTÁSA ÖNMŰKÖDŐEN IS ELVÉGEZHETŐ, PÉLDÁUL A RENDSZERINDÍTÁSKOR. EHHEZ A FENTI KÉT PARANCSOT A RENDSZERINDÍTÁS SORÁN VÉGREHAJTÓDÓ VALAMELYIK ALKALMAS PARANCSFÁJLBAN KELL ELHELYEZNI, ESETÜNKBEN AZ /ETC/RC.D/RC.LOCAL-BAN. TEKINTETTEL ARRA, HOGY ITT ALIG PÁR MEGABÁJTNYI ADATRÓL VAN SZÓ, A MŰVELET IDŐIGÉNYE ELHANYAGOLHATÓ. Karbantartás ssh-val AZ SSH (OPENSSH) NEMCSAK ARRA JÓ, HOGY A HELYI TERMINÁL ÉS A TÁVOLI GÉP KÖZÖTTI ADADTFORGALMAT TITKOSÍTJA (BELEÉRTVE A BEJELENTKEZÉSHEZ ESETLEG SZÜKSÉGES JELSZÓT IS), DE KÖTEGELT MÓDBAN IS HASZNÁLHATÓ. VÉGTELEN RUGALMASSÁGA RENDKÍVÜLI LEHETŐSÉGEKET NYÚJT ARRA IS, HOGY A TÁVOLI GÉPEKEN VÉGZENDŐ MŰVELETEKET, KARBANTARTÁST KÉNYELMESEBBEN, EGYSZERŰBBEN ÉS GYORSABBAN CSINÁLHASSUK MEG. ENNEK ELŐKÉSZÍTÉSÉT ÉS NÉHÁNY PÉLDÁJÁT MUTATOM BE AZ ALÁBBIAKBAN. AZ SSH EGYIK NAGY ELŐNYE, HOGY A TÁVOLI GÉPRE VALÓ BEJELENTKEZÉSNÉL A TÁVOLI GÉP ÉS A FELHASZNÁLÓ AZONOSÍTÁSÁT A SZOKVÁNYOS JELSZÓ HELYETT RSA-KULCSOK ALAPJÁN IS ELVÉGEZHETI, MEGTAKARÍTVA EVVEL JELSZAVAK BEÍROGATÁSÁT, AMI A KÖTEGELT MUNKÁNÁL ALAPVETŐ KÖVETELMÉNY. EHHEZ AZONBAN SZÜKSÉGES, HOGY SAJÁT NYILVÁNOS KULCSUNKAT ELHELYEZZÜK A TÁVOLI GÉPEKEN. SAJÁT GÉPÜNKÖN TEHÁT CSINÁLJUNK EGY RSA-KULCSPÁRT (HA MÉG NEM LENNE: SSH-KEYGEN -T RSA), ANNAK NYILVÁNOS FELÉT PEDIG HELYEZZÜK EL A MINTATELEPÍTÉSEN A
RENDSZERGAZDA KÖNYVTÁRÁNAK MEGFELELŐ HELYÉN (/ROOT/.SSH/AUTHORIZED_KEYS). SAJÁT GÉPÜNK KULCSÁT UGYANCSAK EL KELL HELYEZNÜNK A MINTATELEPÍTÉSEN (/ROOT/.SSH/KNOWN_HOSTS). Ekkor saját gépünkről be tudunk jelentkezni a mintatelepítésre: ssh root@10.66.24.1 Ha RSA-kulcsunkat nem védjük külön jelszóval, illetve az ssh kiszolgáló a távoli gépen nem ragaszkodik a kettős hitelesítéshez, akkor ez a bejelentkezés semmilyen jelszó megadását nem igényli, semmilyen interaktív elemet nem követel meg. Ez teremti meg a lehetőséget a gépterem kötegelt módban történő karbantartására. Természetesen a fenti parancs még így is túl hosszú. Helyezzük el a /etc/hosts fájlunkban a következőket: 10.66.24.1 pc1 10.66.24.2 pc2... 10.66.24.30 pc30 Ekkor már (rövid) névvel is hivatkozhatunk gépeinkre (ssh root@pc1). Azonban még további egyszerűsítésre is van lehetőségünk. Legyen saját gépünkön saját felhasználói nevünk mondjuk valaki. Legyen továbbá egy /home/valaki/sh könyvtárunk, amelyben parancsfájlokat (shell script) tárolunk, és ez legyen benne a keresési útvonalban. Ezen könyvtárban hozzunk létre egy parancsfájlt (és adjunk magunknak x jogot rá), mondjuk ssh-oda néven, tartalma legyen: #!/bin/bash if [ $# -eq 0 ]; then user="root" else user=$1 fi host=`basename $0 ssh $user@$host Ezután hozzunk létre harminc (illetve ahány géptermi gépünk van) linket, amelyek mindegyike erre a parancsfájlra mutat, és amelyek megegyeznek a gépek neveivel (pc1,..., pc30). ln -s ssh-oda pc1... ln -s ssh-oda pc30 Ezt a parancsot persze unalmas harmincszor egymás után kiadni, tehát használjunk parancssori ciklust (a jel a sorfolytonoss ot mutatja): LET I=1; WHILE ((I<31)); DO LN -S SSH-ODA PC$I;»»»» LET I=I+1; DONE EZUTÁN A - MONDJUK - ÖTÖDIK GÉPTERMI GÉPRE RENDSZERGAZDAKÉNT A KÖVETKEZŐ PARANCCSAL JELENTKEZHETÜNK BE: PC5 ENNYI, ÉS NEM TÖBB, RENDSZERGAZDAI PARANCSSORUNK VAN A PC5 NEVŰ GÉPEN. KILÉPÉS A CTRL-D-VEL, MIVEL A LOGOUT PARANCS LEÍRÁSÁT SOKALLJUK. (TALÁLÓS KÉRDÉS: A FENTEBB
EMLÍTETT /ETC/HOSTS FÁJL TARTALMÁT IS ELŐ LEHETNE ÁLLÍTANI ILYMÓDON?) A TOVÁBBIAKHOZ AZT KELL TUDNI, HOGY AZ SSH-VAL NEMCSAK INTERAKTÍV PARANCSÉRTELMEZŐT INDÍTHATUNK A TÁVOLI GÉPEN, HANEM TÁVOLI PARANCSKIADÁSRA IS VAN LEHETŐSÉG. A KÖVETKEZŐ PARANCS AZ ÖTÖDIK GÉP /ROOT KÖNYVTÁRÁNAK TARTALMÁT LISTÁZZA SAJÁT MONITORUNKRA: SSH ROOT@PC5 "LS -L A MACSKAKÖRMÖK KÖZÖTT TERMÉSZETESEN (MAJDNEM) BÁRMILYEN PARANCS SZEREPELHET, PONTOSVESSZŐVEL ELVÁLASZTVA ESETLEG TÖBB IS. A HELYI GÉPRŐL A TÁVOLI GÉPRE (VAGY FORDÍTVA) FÁJLOKAT MÁSOLHATUNK AZ SCP PARANCCSAL. A SCP CONFIG/T224/PC5/ETC/XORG.CONF ROOT@PC5:/ETC/X11/ PARANCS A SAJÁT GÉPÜNKRŐL, A /HOME/VALAKI/CONFIG/T224/PC5/ETC KÖNYVTÁRBAN LÉVŐ XORG.CONF FÁJLT MÁSOLJA AZ ÖTÖDIK GÉPRE A /ETC/X11/ KÖNYVTÁRBA. AZAZ, HA KORÁBBRÓL MÁR TUDJUK, HOGY AZ ADOTT GÉP SAJÁTOSSÁGAIT (VIDEÓKÁRTYA, MONITOR, EGÉR) FIGYELEMBE VÉVE MILYEN XORG.CONF-RA VAN SZÜKSÉG, ÉS AZT ELRAKTÁROZTUK, AKKOR A FENTI EGYETLEN PARANCCSAL ODAMÁSOLJUK, ÉS MÁR LEHET IS GRAFIKUS FELÜLETET INDÍTANI RAJTA (A STARTX PARANCCSAL VAGY A /ETC/INITTAB FÁJLBAN AZ ALAPÉRTELMEZETT FUTÁSI SZINT ÁTÁLLÍTÁSÁVAL). KÖTEGELT MÓDÚ KARBANTARTÁSI MŰVELETEKHEZ AZ ALÁBBI SZERKEZETŰ PARANCSFÁJLT HASZNÁLOM: #!/BIN/BASH FOR I IN 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20»»»» 21 22 23 24 25 26 27 28 29 30; DO ECHO "PC$I" SSH ROOT@PC$I "KILLALL -9 FIREFOX; KILLALL -9 FIREFOX-BIN" DONE A CIKLUSMAGBAN LÉVŐ PARANCS EZ ESETBEN MINDEN GÉPTERMI GÉPEN KILÖVI A FIREFOX BÖNGÉSZŐT, MERT - TEGYÜK FEL - AZ ÓRAI MUNKÁHOZ EZ FÖLÖSLEGES, MÉGIS HASZNÁLNI PRÓBÁLJÁK A HALLGATÓK. BÁRMILYEN MÁS PARANCS IS ÁLLHAT NYILVÁN A CIKLUSMAGBAN, AZ ELŐTTE LÉVŐ ECHO UTASÍTÁS CSAK ARRÓL TÁJÉKOZTAT BENNÜNKET, HOGY ÉPPEN MELYIK GÉP VAN SORON. A CIKLUSMAGBAN ÁLLHAT SCP UTASÍTÁS IS, AMENNYIBEN EGYES FÁJLOKAT SZERETNÉNK A SAJÁT GÉPÜNKRŐL MINDEN, VAGY MAJDNEM MINDEN GÉPTERMI GÉPRE MÁSOLNI. AZ SCP /ETC/HOSTS ROOT@PC$I:/ETC/ CIKLUSMAGBELI PARANCS HATÁSÁRA MINDEN GÉPTERMI GÉPRE ODAKERÜLNEK A GÉPTERMI GÉPEK IP-CÍMEIT ÉS NEVEIT TARTALMAZÓ ADATOK A SAJÁT MAGUNK SZÁMÁRA MÁR ELKÉSZÍTETT FÁJLBÓL. FÖLMERÜL A KÉRDÉS, HOGY MIÉRT A FENTI FOR CIKLUST HASZNÁLOM, ÉS MIÉRT NEM AZ ELEGÁNSABB WHILE CIKLUST. AZÉRT, MERT EBBEN AZ ESETBEN LEHETŐSÉGEM VAN EGYES GÉPEKET KIHAGYNI OLYMÓDON, HOGY EGYSZERŰEN SZÓKÖZZEL FELÜLÍROM A SZÁMUKAT A CIKLUSFEJBEN. A GÉPEK PILLANATNYI ELÉRHETŐSÉGÉNEK VIZSGÁLATA AZ ALÁBBI PARANCSFÁJL FUTTATÁSÁVAL TÖRTÉNIK, AZ EREDMÉNY A PING_VAN (AZ EREDMÉNYTELENSÉG A PING_NINCS) ÁLLOMÁNYOKBAN OLVASHATÓ. #!/BIN/BASH
VAN=PING_VAN.TXT NINCS=PING_NINCS.TXT IF [ -F $VAN ]; THEN RM $VAN FI IF [ -F $NINCS ]; THEN RM $NINCS #...EZT IS FI # HA VAN KORÁBBRÓL, LETÖRÖLJÜK... LET I=1 WHILE ((I<31)) ; DO ECHO "PC$I..." IF PING -C 1 PC$I 2>&1 > /DEV/NULL; THEN ECHO PC$I >> $VAN ELSE ECHO PC$I >> $NINCS FI LET I=I+1 DONE EZ AZÉRT CÉLSZERŰ, MERT AZ SSH VISZONYLAG HOSSZAS TANAKODÁS UTÁN JELEZ IDŐTÚLLÉPÉSI HIBÁT. EVVEL A VIZSGÁLATTAL VISZONT ARÁNYLAG GYORSAN KISZŰRHETŐK AZ ÉPPEN KIKAPCSOLT GÉPEK ÉS AZOK, AMELYEK VALAMILYEN HÁLÓZATI PROBLÉMA (PL. KÁBELHIBA) MIATT ÉPPEN ELÉRHETETLENEK, SORSZÁMAIK TÖRÖLHETŐK A KÖTEGELT KARBANTARTÁS CIKLUSFEJÉBŐL. A LEGGYAKORIBB PARANCSOKAT NEM SZOKTAM TÖRÖLNI A CIKLUSMAGBÓL, HANEM CSAK MEGJEGYZÉSBE TESZEM, SZÜKSÉG ESETÉN PEDIG TÖRLÖM A SOR ELEJÉRŐL A LÉTRA KARAKTERT. ILYEN GYAKORI PARANCSOK PÉLDÁUL: SSH ROOT@$PCNAME "KILLALL -9 STARTKDE" SSH ROOT@$PCNAME "AT -F /ROOT/LEALL.SH NOW + 1 MIN" SCP T224/RESOLV.CONF ROOT@$PCNAME:/ETC/ AZ ELSŐ PARANCS KILÖVI AZ ESETLEGESEN OTTFELEJTETT HALLGATÓI BEJELENTKEZÉSEKET. A MÁSODIK LEÁLLÍTJA A TÁVOLI GÉPET. A HARMADIK PEDIG A BÖNGÉSZÉST TESZI LEHETETLENNÉ, ILLETVE ENGEDÉLYEZI. A GÉPTERMI GÉPEKEN LÉVŐ /ROOT/LEALL.SH PARANCSFÁJL TARTALMA MINDÖSSZE ENNYI: SHUTDOWN -H NOW ITT AZÉRT VAN SZÜKSÉG AZ AT IDŐZÍTŐ HASZNÁLATÁRA, MERT AZ SSH ADDIG NEM LÉP KI, AMÍG AZ ELINDÍTOTT PARANCS FUTÁSA BE NEM FEJEZŐDIK, ÉS EZ SAJNOS A NOHUP PARANCS ESETÉRE IS VONATKOZIK. UGYANCSAK AZ IDŐZÍTETT VÉGREHAJTÁST ALKALMAZOM VISZONYLAG IDŐIGÉNYES MŰVELETEK ESETÉN. A HARMADIK PARANCS A RESOLV.CONF FÁJL VÁLTOZTATÁSÁVAL TESZI LEHETŐVÉ, ILLETVE AKADÁLYOZZA MEG A BÖNGÉSZÉST ASZERINT, HOGY A NÉVKISZOLGÁLÓ IP-CÍME BENNE VAN-E, AVAGY NINCS. A VMWARE MUNKAÁLLOMÁS PÁRBESZÉDES TELEPÍTÉSÉT HARMINC GÉPEN VÉGIGCSINÁLNI IGEN UNALMAS DOLOG. ENNEK ELKERÜLÉSÉRE SIKERREL ALKALMAZTAM AZT AZ ELJÁRÁST, HOGY A TELEPÍTÉS MEGKEZDÉSE ELŐTT A GYÖKÉR FÁJLRENDSZERT KILISTÁZTAM EGY FÁJLBA (LS -LAR > LISTA1.TXT), A TELEPÍTÉS UTÁN ÚGYSZINTÉN, MAJD A KÉT ÁLLAPOT ÖSSZEVETÉSE (DIFF) ÉS
NÉMI TISZTOGATÁSOK (GREP, CUT, SED) UTÁN RENDELKEZÉSEMRE ÁLLT AZ ÚJONNAN KELETKEZETT, ILLETVE MÓDOSULT FÁJLOK LISTÁJA, ÉS EZEKET EGYSZERŰEN KÖRBEMÁSOLTAM MINDEN TOVÁBBI GÉPRE. KÖTEGELT MÓDBAN... A klónozás utáni gépfüggő beállítások elvégzésére is ezeket a módszereket használom. Esete válogatja, hogy a) bejelentkezem a távoli gépre és elvégzem kézzel a szükséges műveletet, b) kötegelt módban végeztetem el, c) a saját gépemen megfelelően módosított fájlt másolom a távoli gépekre. Ha az egyes gépeken eltérő tartalmú beállítófájlokból tartok egy-egy másolatot a saját gépemen áttekinthető rendben, akkor egy klónozás után szükséges egyedi beállításjavítások igen könnyen, akár kötegelt módban is elvégezhetők. Tapasztalataim szerint azoban nincs szükség eseti klónozásra, eddig kizárólag teljesértékű újratelepítés esetében klónoztunk, működési zavarok következtében sosem. Biztonsági megfontolások Fölmerül az a kérdés, hogy milyen mértékű biztonsági kockázatot jelent az itt vázolt megoldás. Ha ugyanis jogosulatlanul bejutnak a saját gépemre ( valaki jogosultsággal), akkor hozzáférnek a titkos RSA-kulcsomhoz, egyben az összes géptermi géphez is a fentebb bemutatott módokon. A kockázatelemzés eredménye esetünkben az, hogy a géptermi gépek lehetséges adattartalma nem képvisel olyan értéket, amelynek megszerzéséért akár a legkisebb energiát is érdemes lenne befektetnie bárkinek. A géptermi gépek mint erőforrás ugyancsak nem képviselnek érdemi vonzerőt: a hozzáférés megszerzése jóval többe kerülne mint amennyi hasznot jelenthetnek. A probléma ettől függetlenül általános: az RSA algoritmus gyönge pontjára világít rá: a titkosság a kulcsok biztonságos megőrzésén áll vagy bukik. Nos, a /home/valaki/.ssh könyvtár lehet egy szimbolikus link egy usb-kulcs felé (pár kilobájtról van szó), amikoris a gépemre a távollétemben történő bejutás semmiben sem segíti elő a további gépekhez való hozzáférést... Hogy pedig ha én dolgozom, akkor a kulcs benne kell legyen a gépben és ha ilyenkor sikerül valahonnan a világ végéről betörni... hát a biztonság valahol ott kezdődik, hogy nemcsak az ethernet kártyából húzzuk ki a lengőkábelt, hanem a tápkábelt is a 230 V-os dugaljból :) Irodalom Dwivedi Himanshu: SSH a gyakorlatban. Módszerek biztonságos hálózati kapcsolatok kialakítására. Kiskapu Kft., Budapest, 2004. Flickenger Rob: Linux bevetés közben. Kiskapu Kft., Budapest, 2003. Flickenger Rob: Linux bevetés közben. Második küldetés. kapcsolatok, megfigyelés, hibakeresés. Kiskapu Kft., Budapest, 2006. Gagné Marcel: Linux-rendszerfelügyelet. Kiskapu Kft., Budapest, 2002. Ködmön József dr.: Kriptográfia. Az informatikai biztonság alapjai. ComputerBooks Könyvkiadó, Budapest, 1999. man ssh