Nako što smo uspješno pripremili instalacijske datoteke Windowsa 7 na Opsi serveru, preostaje nam boot klijenta. Novo kupljeni ili postojeći PC, kandidat za instalaciju Windowsa, može se unijeti unutar web sučelja opsi-configed, Clients tab, kao PXE (pixie) klijent. Klijent mora imati u BIOS-u podršku za boot putem mreže. Ukoliko postavimo kao prvi izbor PXE u BIOS-u klijenta, on bi trebao automatski pronaći Opsi server na mreži. U našem slučaju budući da koristimo "vanjski"dhcp server, klijente Opsi servera pronalazimo "ručno", uz pomoć opsi-client-bootcd kojeg možete preuzeti ovdje.

Nakon što smo pokrenuli Opsi client bootcd, prošli prijavu na server te pokrenuli instalaciju Windowsa 7, započinje proces brisanja cjelokupnog diska klijenta (ovdje budite oprezni zbog mogućeg gubitka korisničkih podataka), sa zaustavljanjem radi izbora jezika instalacije, tipkovnice i lokalnih postavki. Uz to ručno podešavanje postavi se automatski administratorski korisnik sa lozinkom nt123. Osim što instalacija nije potpuno "nenadzirana" pošto traži minmalne ručne intervencije, ne sviđa nam se što dobijemo lokalne postavke DE. Logično jer je developer"uib GmbH"sa sjedištem Mainz, Njemačka.

Kao što se vidi na gornjoj ilustraciji u postinstalacijskoj proceduri opsi server "forsira" instalaciju opsi client agenta.

Sama instalacija od tome ostavlja log izvještaje koje pronalazimo u C:\opsi.org na "svježe" instaliranom klijentu.

procesom instalacije upravlja xml datoteka: /var/lib/opsi/depot/win7-x64/custom/unattend.xml. Orginalno na opsi serveru ona izgleda ovako.

Dokumentacija za unattend.xml može se naći nakon instalacije Windows AIK (vidi prehodni članak) na lokaciji c:\Program Files\
Windows\Waik\docs\chms.

Zaključujemo da nam treba prilagodba unattend.xml primjerena našim potrebama. Također, trenutno nas ne zanima instalacija opsi client agenta. Želimo da proces instalacije ide bez zaustavljanja te priželjkujemo lokalizaciju za HR (vremenska zona, raspored tipkovnice itd.). Proučili smo primjere u dokumentaciji, na forumima, blogovima i pripremili takav predložak .

Upozoravamo da ovako pripremljen predložak također briše cjelokupni disk nakon što ste započeli proceduru. Instalacija ide bez nadzora do kraja i stvara korisnika administrator s lozinkom opsi1234.

Napravimo zamjenu datoteka na serveru. Za svaki slučaj napravimo rezervnu kopiju "orginalne"xml datoteke.

root@opsi:/var/lib/opsi/depot/win7-x64/custom#cp unattend.xml unattend.xml.bak

Vašim omiljenim editorom napravite na lokaciji /var/lib/opsi/depot/win7-x64/custom novu datoteku imena npr. unattend.xml.64HR te u nju "zalijepite"sadržaj . Spremite promjene i zatvorite editor.

Nakon toga jednostavno napravite prepisivanje "naše"xml datoteke preko "orginalne".

root@opsi:/var/lib/opsi/depot/win7-x64/custom#cp unattend.xml.64HR unattend.xml

Započnimo instalaciju pomoću Opsi client boot cd-a kojeg smo spominjali u prvom dijelu članka. Odabiremo "Start opsi".

Nakon nekog vremena pojavljuje se podašavanje postavki od opsi servera. Za lokalni DNS upisali smo puno DNS ime servera, inače se može upisati IP adresa istog. Ime klijenta i domena može biti proizvoljno ukoliko nemate podešen DNS.

Nakon toga odabiremo administratorskog korisnika te unosimo njegovo korisničko ime "adminuser" i lozinku.

Ukoliko smo sve unijeli ispravno zaslužili smo napokon startanje potpuno "nenadzirane" Windows 7 instalacije. Sistemac može otići na zasluženi predah za kavu, dok se Windows samostalno instalira mrežom sa  Opsi servera.

Evo nekoliko ilustracija "nenadzirane" instalacije:

Kopiranje instalacijskih datoteka

Pokretanje instalacije sa mreže

Windows instalacija "hvata" zalet

Nakon završetka instalacije klijent je ostao  zabilježen u bazi "Client list" među računalima koja su kontaktirala Opsi server. Samo upozorenje da računalo iako se nalazi u  bazi nije automatski "učlanjeno" i povezano na hardver, softver inventorij, "Wake on Lan", slanje instant poruka i druge mogućnosti Opsi servera. Za to nam treba  instalacija opsi-client-agent. O tome više u slijedećim nastavcima.

Sistemci često pomažu ljudima koji su manje vješti u služenju računalom, spadalo to u opis njihovih poslova ili ne. Ovoga puta sistemac je u prilici pomoći zaista naprednom korisniku, a usput i ponešto naučiti. Bila je to prilika da se prisjeti izreke koju stariji kolege prenose mlađima: Ako imaš backup, to još ne znači da imaš i restore!

Radi se o znanstveniku koji sudjeluje u međunarodnom projektu. S mreže skida podatke koje treba obraditi, a da bi to mogao morao je na notebook instalirati Linux. Sam je podijelio disk, smanjivši particiju s Windowsima, i na preostalom dijelu instalirao Ubuntu, pa ima "dual boot" sustav. Na Linuxu je instalirao je program koji "drobi" podatke i šalje rezultate ostatku tima. Čak se pobrinuo i za backup, za slučaj da se dogodi nešto nepredviđeno. Zaista napredan korisnik. No zašto mu je trebala pomoć?

Znanstvenik koristi moćan notebook s i7 procesorom, 4 GB RAM-a i brzim SSD diskom. Disk nije velik, "samo" 160 GB. Windowsi, koje rijetko koristi, zauzeli su 90 GB, a Linux i swap pariticija ostatak. S vremenom, Linux particija se zapunila. Korisnik je radoznao, instalirao je kojekakve programe da bi ih isprobao, a svi oni negdje spremaju svoje privremene podatke. Kad je zauzeće particije naraslo na 99%, trebalo je nešto poduzeti.

Prije svega, znanstvenik je redovito radio backup svog korisničkog prostora. Za to je koristio program koji dolazi s Ubuntuom, a zove se Deja dup. Nakon potpunog backupa, svakodnevno su rađeni inkrementalni, za što je služio vanjski USB disk od 1 TB. Nakon što je napravio zadnji inkrementalni backup, formatirao je particiju i instalirao najnoviju inačicu Ubuntua. Svježa instalacija zauzela je svega 6 GB. Sve je dobro prošlo dok nije odlučio vratiti podatke s vanskog diska.

Deja dup nudi mogućnost vraćanja podataka, pri čemu se bira datum koji određuje "point-in-time". Izabrao je zadnji backup, koji se nudi po "defaultu". Program pita da li želite podatke vratiti na isto mjesto, ili na neku drugu lokaciju. Izabrao je vratiti podatke na isto mjesto. I tu počinju problemi. Naime, svaki put kad bi pokrenuo restore, računalo bi se nakon nekog vremena "izblesiralo" i vratio bi se ekran za prijavu korisnika.

Tu sad nastupa naš sistemac. Samouvjereno izjavljuje kako će problem brzo biti riješen. Korisnik mu objašnjava što je sve napravio i kakva se greška događa. Sistemac odlučuje slijediti proceduru od početka, ponavlja pokušaj da se podaci vrate na isto mjesto. Događa se deja vue situacija: nakon nekog vremena restore se naprasno prekida, korisnik biva odlogiran i mora se ponovo prijaviti za rad.

Sistemac nastoji ustanoviti što je krenulo po zlu. Proučava podatke koji su vraćeni. Deja dup ne nudi mogućnost da se vidi koje su sve datoteke kopirane, niti da se napravi povratak samo dijela podataka. Sve ili ništa! Očito je da je program napravljen tako da bude jednostavan za korištenje, pa su izbačene sve "komplikacije" koje bi samo zbunjivale neukog korisnika. To je ujedno i prvi veliki nedostatak Deja dupa kojeg sistemac otkriva.

Nije trebalo mnogo da se ustanovi gdje zapinje restore. Program kopira cijeli /home/<korisnik> direktorij, uključujući i skrivene direktorije čija imena počinju točkom. To je u redu ako se radi o ./ssh, jer su tu podaci koje treba sačuvati. Ali tu su i direktoriji i datoteke u kojima programi koji brinu o grafičkom sučelju čuvaju svoje privremene datoteke, na primjer .gnome, .gnome2 .compiz. Sistemac zaključuje da kad restore pregazi privremene datoteke i zamijeni ih onima s backupa strada korisnikova trenutna sesija.

Preostaje da se restore napravi na neku novu lokaciju, pa će korisnik sam prebacivati podatke koji mu trebaju na njihova prava mjesta. Korisnik predlaže da se restore napravi na vanjski disk, jer tamo ima dovoljno mjesta. Radije ne bi zatrpao particiju na SSD disku koji mu je dragocjen.

Isprva sve ide kako treba, datoteke se vraćaju na vanjski disk. No dok znanstvenik i sistemac ispijaju kavu i ćaskaju, restore se opet naprasno prekida. Sistemac u logu pronalazi poruku iz koje zaključuje da je jedna od datoteka prevelika za datotečni sustav. Ovo zbunjuje, kako je takva datoteka bila "prave" veličine na lokalnom disku, a sad je prevelika za vanjski disk, koji je 5-6 puta većeg kapaciteta? Otkriva da vanjski disk ima VFAT particiju. Korisnik je podesio mail klijenta da kopira poštu s mail servera na lokalni disk. Na mail serveru je napravio mapu za poštu u koju je neki filter spremao zabavne mailove sa vicevima, prezentacijama, filmićima. Svi mi dobivamo takve poruke, a s njima postupamo na različite načine. Neki ih pročitaju i odmah brišu. Drugi ih spremaju za kasnije, nadajući se da će jednom imati vremena da ih pročitaju. Datoteka ima više od 4 GB, što nije preveliko za ext3 ili NTFS, ali je previše za VFAT! Taj se datotečni sustav obično koristi na vanjskim diskovima, jer nema problema s vlasništvom datoteka i dozvolama za pristup, pa je lako prenositi podatke s jednog računala na drugo. Znanstveniku nije stalo do viceva, ali deja-dup ne nudi izbor, već samo sve ili ništa.

Što sad? Preformatirati vanjski disk i time izgubiti backup? Korisnik nema drugi USB disk koji bi se mogao preformatirati na neki "pametniji" datotečni sustav. Nema druge nego na SSD disku napraviti direktorij za restore, pa u njega vratiti podatke. Problem riješen! Nakon uspješnog vraćanja podataka na novu lokaciju, korisnik je pobrisao sve nebitno i vratio podatke na originalna mjesta.

Ostaje još jedno pitanje na koje treba odgovoriti. Kako je moguće da na VFAT particiju spremljen backup datoteke veće od 4 GB, a onda se na taj isti VFAT ne može napraviti restore? Deja dup radi backup tako da ga razbija ma mnoštvo malih datoteka! Zato se greška nije pojavila pri izradi backupa.

Deja dup je samo grafičko sučelje za program duplicity, koji dozvoljava da se uz pomoć komandne linije vrate samo pojedini direktoriji iz backupa. No to je vjerojatno prekomplicirano za većinu običnih korisnika. Ipak, evo primjera kako napraviti restore s vanjskog diska u trenutni direktorij:

# sudo duplicity restore file:///media/<korisnik>/VERBATIM\ HD/backup .

Obratite pažnju da je putanja do backupa URL, što je zgodno ako podatke kopiramo na neko umreženo računalo.

Sistemac obećaje znanstveniku da će pronaći neki "pametniji" program za izradu rezervnih kopija. Iako je Deja dup posve upotrebljiv, ipak je nezgodno to što se mora vratiti sve podatke na novu lokaciju, pa onda ručno intervenirati. Rado bismo vidjeli popis spremljenih datoteka, pa birati datoteke koje želimo vratiti. Uz to, Deja dup se bez greške snašao s backupom na vanjskom disku, a znamo skupe komercijalne programe koji bi bili bespomoćni bez kontrolnih datoteka i indeksa koji nisu spremljeni na mediju s podacima.

Dakle, uz malo muke i istraživanja, sve je dobro završilo. Ostaje potraga za alternativnim programom za pohranu podataka. No o tome drugom prilikom, u nekom novom članku.

Korištenje prastarih tehnologija kad tad dolazi na naplatu, bilo da je riječ o zastarjelom hardveru, operacijskom sustavu kojem je istekao životni vijek, općenitom softveru koji se više ne održava, a prema nekolicini sigurnosnih problema koji su se pojavili u zadnjih godinu ili dvije dana, to vrijedi i za korištenje zastarjelih sigurnosnih alata.

Logjam je dobar primjer škole koju nismo naučili. Slično kao i FREAK napad, Logjam nastoji u komunikaciju između web klijenta (pretraživača, aplikacije...) i poslužitelja ubaciti instrukciju koja će komunikaciju između dvije točke "spustiti" na stare, tzv. "export-grade" algoritme zaštite podataka.

Sjetimo se, export-grade algoritmi ostatak su prošlosti, kad je američka administracija zabranila izvoz kriptografskih alata koji su svojom kompleksnošću prelazili određenu razinu. Razlog tome bila je zaštita nacionalnih interesa, ali i "neslužbeno" ostavljanje mogućnosti agencijama da presretnu i dešifriraju promet koji iz zanima.

Desetljećima kasnije, taj zaboravljeni uvjet, koji je zbog kompatibilnosti i dalje implementiran na mnogim mjestima, postaje neuralgičnom točkom jer napredak računalne snage omogućuje ne samo državama, već i zainteresiranim organizacijama, pa i pojedincima – razbijanje export-grade algoritama, što korisnike tehnologije ostavlja izloženima praćenju ne samo državnih agencija već i krimi-miljea.

Logjam napad zahtjeva aktivnog napadača, tj. ubacivanje u komunikacijski kanal između dvije točke (MITM). Jednom infiltriran, napadač može nagovoriti poslužitelj na spuštanje razine kriptografske zaštite na nivo 512-bitnog Diffie-Hellman algoritma.

Ranjivost Diffie-Hellman algoritma poznata je već dvadeset godina, no složenost propusta smatrana je dovoljno računalno intenzivnom da u bliskoj budućnosti probijanje zaštite čini praktično neizvedivim (vidi https://www.khanacademy.org/computing/computer-science/cryptography/modern-crypt/v/discrete-logarithm-problem).

Tako je bilo prije dvadeset godina. Danas je računalna infrastruktura značajno moćnija i u stanju je grubom silom razbiti 512-bitni export-grade DH algoritam. Veliku pomoć u tom procesu daje nedavno otkriveni matematički trik koji omogućava značajno kraćenje vremena razbijanja zaštite: izračunom diskretnog logaritma prim broja, vrijednosti se mogu sačuvati i ponovo koristiti za druge module, čime se potraga za pravom kombinacijom drastično ubrzava: 512-bitni DH algoritam moguće je razbiti u nekoliko minuta, nakon čega napadač može u potpunosti preuzeti kontrolu nad komunikacijskim kanalom.

Praktično, riječ je o nekoj vrsti Rainbow tablica za razbijanje DH algoritma. Nešto je kompliciraniji slučaj prilikom napada na DH algoritam koji nije u klasi zastarjelih export-grade algoritama: primjerice, korištenje 1024-bitnog DH algoritma i dalje je vrlo popularno na Internetu. Kako je riječ o značajno kompleksnijem prim broju, Logjam napad nije praktično izvediv. No, poznavajući gore navedeni matematički trik, moguće je značajno ubrzati i ovaj napad: za razbijanje jednog 1024-bitnog ključa potrebno je (u mjerilima današnje tehnologije) nekoliko milijuna računala uposliti na godinu dana, ali ako već postoje tablice unaprijed izračunatih diskretnih logaritama barem dio ključeva postaje moguće razbiti, pretpostavlja se, unutar 30 dana.

Naravno, i dalje je to dugotrajna i vrlo skupa operacija, no napadač ne mora biti u strci: dovoljno je na sigurno pospremiti kopiju digitalne razmjene informacija jer u ovom slučaju napadač ne mora biti MITM: jednom pospremljena kopija podataka uvijek je na dohvatu ruke, a napadač se samo treba strpiti da bi došao u mogućnost razbiti enkripciju i dobiti uvid u sve spremljene podatke iz komunikacijskog kanala.

Ovakve napade mogu izvesti države i odgovarajuće državne organizacije, dok je kriminalnim grupama vjerojatno još uvijek financijski neisplativo razbijati ključeve. To će se gotovo sigurno promijeniti za pet do deset godina. U međuvremenu možete biti relativno mirni što se tiče ove vrste napada: oni će biti rezervirani za osobe koje je iz nekog razloga važno prisluškivati i institucije čije bi tajne informacije mogle vrijediti vrlo velike novce. No, kao i kod export-grade algoritama, zanemarivanje činjenice da algoritam ima ozbiljne sigurnosne propuste mogao bi postati još jedan dug koji će u budućnosti doći na naplatu.

Zato je najbolje djelovati odmah: možda je najvažniji korak zabrana export-grade algoritama na poslužiteljima, jer je riječ o zastarjelim tehnologijama koje danas uistinu postoje samo radi kompatibilnosti sa prastarim sustavima i prastarim softverom. Praktično, ne postoji moderni sustav niti moderni softver koji bi ukidanjem podrške za te algoritme prestao raditi.

Što se 1024-bitnog DH algoritma tiče, on je, smatraju istraživači koji su otkrili propust, preferirani algoritam na jednoj četvrtini web poslužitelja u svijetu, jednoj četvrtini SSH poslužitelja i većini VPN aplikacija. Prelazak na kompliciraniji (2048-bitni) algoritam u ovom bi slučaju mogao dovesti do problema s klijentima, pa prije prelaska valja stvar dobro ispitati.

Ukoliko je infrastruktura dovoljno mlada i fleksibilna, najbolje rješenje uz smicanje glava export-grade algoritmima je i prelazak na ECDHE varijaciju DH algoritma koja nije osjetljiva na Logjam napad, ali traži nešto veće korištenje računalnih resursa. Ukoliko vam je sigurnost komunikacije važnija od računa za struju, neće biti teško donijeti ispravnu odluku.

Kao što smo naveli u najavi ovog članka, instalacija Windowsa iz predloška ne "povuče" automatski opsi-client-agent, nego ga instaliramo "ručno", naknadno. Ovdje dajemo primjer instalacije jednog takvog klijenta. Nakon što klijent bude ispravno instaliran postaje "vidljiv"opsi serveru te možemo sa servera raditi pozive te pokretati određene procedure koje nam opsi omogućuje.

Krenimo s instalacijom. Na klijentskom Windows 7 računalu pokrenemo "Run" s NetBIOS imenom "opsi", koje u našem slučaju prolazi. Ukoliko vam ne pronalazi NetBIOS ime, možete koristiti IP adresu opsi servera.

Nakon pokretanja  \\opsi putanje, otvaraju nam se sve Samba dijeljene mape na opsi serveru. Nas zanima opsi_depot, označen na slici.

Za pristup dijeljenoj mapi opsi_depot potrebno je upisati korisničko ime pcpatch i pripadajuću lozinku koju smo odabrali pri instaciji
opsi servera.

Nakon što smo unijeli ispravne podatke u mapi opsi-client-agent pronalazimo izvršnu datoteku service_setup, pokrenemo je dvostrukim klikom i slijedimo upute.

Za dovršavanje instalacije treba još jednom obaviti autentikacij korisnika pcpatch.

Nakon instalacije slijedi automatski restart klijenta.

Naš klijent prilikom sijedećeg pokretanja kontaktira opsi server i potvrđuje svoju prisutnost na mreži.

Povezanost klijenta sa serverom možemo provjeriti i kroz opsi web sučelje, gdje jednim klikom provjerimo njegov "off" ili "on" status koji nam se prikaže prikladnim ikonicama u "On" koloni kao što je naznačeno na ilustraciji.

Status instaliranih produkata klijenta može se provjeriti u "Product configuration" tabu.

Za jednostavnu provjeru povezanosti klijenta i servera, možemo desnim klikom odabrati opciju "Send popup message", napisati neku prigodnu poruku i poslati klijentu.

Ukoliko se pozdravna poruka pojavi na zaslonu klijentskog računala znači da smo uspješno povezali server i klijenta.

To znači da nas klijent "sluša" i spreman čeka naše naredbe:). O tome više u slijedećem nastavku.

Uobičajena je praksa nadzora Interneta pomoću "analize prometa". Kada znate koji se siteovi posjećuju s kojih adresa, otkrivate interese i obrasce ponašanja korisnika. Gost u stranoj zemlji koji posjećuje stranice organizacije za koju radi može tako otkriti razloge radi kojih je došao. Potrošačke navike usmjerit će oglašivače koje robe i usluge da nam ponude. Čak i kad je sadržaj, payload paketa kriptiran, u zaglavlju je dovoljno podataka za jednostavnije analize. Ako je sadržaj otvoren, mogu se raditi složene korelacije.

Omiljeni servis zagovornika privatnosti na Internetu je Tor - mreža servera koju uspostavljaju dobrovoljci širom svijeta koji su odlučili podijeliti svoj bandwidth sa svima koji žele biti na Mreži anonimno. Servis funkcionira ovako: umjesto uspostavljanja izravne veze između dva računala promet putuje "krivudavo", kriptiranim tunelima, od jednog Tor servera do drugog. Korisnik kome treba privatnost na svoje računalo instalira klijenta, koji onda na mreži uz pomoć imeničkog servisa potraži neko od računala koja služe kao relej i koje postaje ulazno čvorište. Promet se kriptira i dalje putuje po različitim "srednjim"čvorovima dok ne dođe na cilj preko izlaznog čvora. Uspostavljena veza naziva se krug, circuit. Ključevi se razmjenjuju sa svakim čvorem iznova, a ni jedan ne zna cijelu putanju paketa od polazišta do odredišta, već samo dva najbliža čvora. Odredišno računalo vidi samo zadnji relej. Na prvi pogled, čini se da je sve savršeno sigurno.

Tor skriva svoje korisnike unutar velike zajednice korisnika, stvarajući anonimizacijsku mrežu unutar javne mreže. Što je ta mreža veća, što više dobrovoljaca svoja računala zaposli kao relej, veća je sigurnost i anonimnost. Korist od toga može biti raznolika i neočekivana: na primjer, neki web dućani cijenu određuju prema zemlji iz koje dolaze kupci. Poznavanje polazne i završne točke Internetskog prometa omogućava raznolike analize i projekcije ponašanja korisnika. Tor sve to zamrači i omogućuje korisniku da se sakrije od neželjenih očiju koje vrebaju.

Servis je razvila američka vojska i koriste ga vojnici da bi sigurno komunicirali preko javne mreže. Intenzivno ga koriste novinari, za komunikaciju s informatorima i redakcijama. U zemljama koje nemaju demokratske tradicije, gdje su građani podvrgnuti nadzoru i progonu ako razmišljaju drugačije od vlade, Tor pruža mogućnost anonimne komunikacije i objavljivanja sadržaja koji podliježu cenzuri, pa tako postaje i alat za izigravanje cenzure. Electronic Frontier Foundation (EFF) preporučuje Tor kao sredstvo za održavanje građanskih sloboda na Mreži. Tor koriste i vladini agenti kada posjećuju sumnjive siteove i ne žele da se zna kako dolaze s adresa koje pripadaju vladi.

Moram priznati da sam razgovarajući s oduševljenim pobornicima Tora uvijek bio suzdržan i pomalo skeptičan. Pitao bi ih kako mogu biti sigurni da node na koji su se spojili nije pod kontrolom neke agencije? Ili hakera? Iz medija sam znao za slučajeve kada su vlade uspjele ishoditi sudsku zabranu i ukloniti s Mreže servere koji su obavljali uslugu anonimizacije prometa. Od toga pa do situacije da vladine agencije aktiviraju svoje Tor servere nije dalek put. A onda se postavlja pitanje koliko je takav promet anoniman? Pobornici Tora uvjeravali su me da je promet i dalje kriptiran i nečitljiv, čak i ako netko zna polaznu IP adresu. Zapravo, čini se da je Tor najjači baš u skrivanju sadržaja prometa, ali mu je istovremeno cilj i skrivanje polazišta i odredišta.

Nedavno se počelo intenzivnije pisati o ranjivosti Tora koja ugrožava ananimnost, o takozvanom "timing attacku". Kada netko preuzme kontrolu nad ulaznim i izlaznim čvorištem jednostavnom statistikom mogu se upariti paketi, pa je u značajnom broju slučajeva dovoljno nekoliko minuta da se otkrije identitet pošiljatelja. Tako bar pokazuje istraživanje američkih i izraelskih akademika, koji tvrde da je 58% čvorišta ranjivo na ovaj napad, a u Kini čak 85,7%! Ovome ne treba komentar.

Zanimljivo je da se za ranjivost zna već preko deset godina. Kao odgovor na taj problem razvijen je novi Tor klijent, nazvan Astoria, za kojeg se tvrdi da smanjuje ranjivost čvora sa 58% na 5,8%. Nije moguće posve eliminirati "timing attack", ali zasad je dovoljno podići letvicu i time napad učiniti "skupljim".

Kad bismo živjeli u savršenom društvu, ne bi nam bila potrebna anonimnost na Internetu. Obična građanska pristojnost i etički kodeksi različitih profesija bili bi dovoljni da nam osiguraju zaštitu od zavirivanja u naše privatne stvari. No, niti su ljudi savršeni, niti institucije i organizacije koje stvaraju. To s jedne strane znači da su nam anonimnost i privatnost prijeko potrebne, a s druge strane da će ih za svoje mračne ciljeve koristiti "zločesti" dečki. Kako uspostaviti ravnotežu? Kako ljudima ostaviti slobodu istovremeno im osiguravajući sigurnost? Današnji trend u razvoju legislative i tehnologije vodi k smanjivanju prostora privatnosti uz obećanje iluzije sigurnosti. Tu se otvaraju nove teme za raspravu, pa ćemo ponešto o tome reći u nastavku.

Važna obavijest!

U suradnji s Asocijacijom europskih akademskih i istraživačkih mreža - GÉANT (prije TERENA), CARNet nudi novu uslugu izdavanja elektroničkih cetifikata. Izdavatelj certifikata je tvrtka DigiCert (umjesto dosadašnje tvrtke Comodo) s kojom je GÉANT sklopio ugovor.

Obzirom na činjenicu da novi ugovor počine teći s 1.7.2015., sva nova imenovanja zaprimljena u prijelaznom periodu, između 15.6.2015. i 1.7.2015., bit će obrađena najranije 1.7.2015.

Za detaljnije informacije, molimo da pogledate na adresi certifikati.carnet.hr.

Ovih dana, kad temperature vrtoglavo rastu, na cijeni su naprave zvane "klima uređaj". Sistemcima je ovo doba posebno kritično zbog temperatura u server sobi koju bi trebalo hladiti i odovoditi višak topline. Time produžujemo vijek trajanja ne baš jeftine opreme te povećavamo pouzdanost 24-satnog rada. Međutim sistemci su na godišnjem odmoru, žele se opustiti i što manje brinuti o poslu kojeg preko godine ionako ima previše. No što ako se pokvari klima dok smo na godišnjem?

Ne bismo rado prekidali odmor kako bi konstatirali da se nešto od opreme zbog pregrijavanja pokvarilo, ne želimo dodatni posao, živciranje, financijske štete, gubitak podataka. Bili bismo mirniji kad bi, dok smo na odmoru, na neki način imali nadzor temperature u server sobi. Ipak, svakodnevni nadzor stvarao bi osjećaj da smo na poslu, a mi bismo se ipak rado opustili. Dolazimo na ideju da bi bilo zgodno samo dobiti  alarm, mail poruku ili SMS. Uz pomoć već ranije objavljenih članaka s portala, nešto jeftinih komponenti i open source alata možemo to jednostavno napraviti.

Uzimamo Cubieboard3 sa instaliranim Debianom (Raspberry Pi) pa na njega instaliramo prijamnik za bežično očitanje temperature sa senzora. Očitane podatke temperature treba nekako logirati te poslije obrađivati.

Za redirekciju izlaza i logiranje podataka se vrlo učinkovitom pokazala naredba:

$rtl_433 2>&1 | logger &
[1] 12006

Podaci se zapisuju simultano u /var/log/syslog i /var/log/messages.

Jul  7 06:16:33 localhost logger: Sensor temperature event:
Jul  7 06:16:33 localhost logger: protocol       = Rubicson/Auriol, 36 bits
Jul  7 06:16:33 localhost logger: rid            = 2d
Jul  7 06:16:33 localhost logger: temp           = 25.7
Jul  7 06:16:33 localhost logger: 2d 81 01 f0 00
Jul  7 06:16:33 localhost logger: Temp: 25.7
Jul  7 06:16:33 localhost logger: Humidity: 0
Jul  7 06:17:30 localhost logger: Sensor temperature event:
Jul  7 06:17:30 localhost logger: protocol       = Rubicson/Auriol, 36 bits
Jul  7 06:17:30 localhost logger: rid            = 2d
Jul  7 06:17:30 localhost logger: temp           = 25.8
Jul  7 06:17:30 localhost logger: 2d 81 02 f0 00
Jul  7 06:17:30 localhost logger: Temp: 25.8
Jul  7 06:17:30 localhost logger: Humidity: 0
Jul  7 06:18:27 localhost logger: Sensor temperature event:
Jul  7 06:18:27 localhost logger: protocol       = Rubicson/Auriol, 36 bits
Jul  7 06:18:27 localhost logger: rid            = 2d
Jul  7 06:18:27 localhost logger: temp           = 25.8
Jul  7 06:18:27 localhost logger: 2d 81 02 f0 00
Jul  7 06:18:27 localhost logger: Temp: 25.8
Jul  7 06:18:27 localhost logger: Humidity: 0
Jul  7 06:19:24 localhost logger: Sensor temperature event:
Jul  7 06:19:24 localhost logger: protocol       = Rubicson/Auriol, 36 bits
Jul  7 06:19:24 localhost logger: rid            = 2d
Jul  7 06:19:24 localhost logger: temp           = 25.9
Jul  7 06:19:24 localhost logger: 2d 81 03 f0 00
Jul  7 06:19:24 localhost logger: Temp: 25.9
Jul  7 06:19:24 localhost logger: Humidity: 0

Za alarm mailove na našem Carnet Debian serveru otvorimo poseban alias, nazovimo ga npr. "senzor". Možete postaviti slanje alarma na više adresa koje koristite.

senzor: korisnik, korisnik@gmail.com, korisnik@yahoo.com

Zatim na Cubietruck Debianu instaliramo potrebnu podršku za slanje emailova iz komandne linije slijedećim paketima.

# apt-get install postfix mailutils

Postfix konfiguriramo kao "glupi"mail relay koji proslijeđuje poštu na smtp server. Za "System mail name" možete upisati hostname ako želite. Podatak nema uticaja na slanje email-a.

Isprobamo slanje emaila naredbom iz primjera:

$echo "Ovo je sadrzaj poruke." | mailx -s "Probna poruka sa senzora temperature" senzor@domena.hr

Ako je poruka ispravno poslana, ostaje nam završni dio procedure. Po nekim preporukama temperatura u server sobi s klimom trebala biti oko 21°C u idealnim uvjetima, ali se ne bi trebala spuštati ispod 10 i ne bi trebala biti viša od 28°C, ovisno o režimu rada vaše klime. Možemo se složiti da temperatura preko 30°C treba "okinuti" mail upozorenja. Zadajemo kroz crontab slijedeći posao. "Ako pronađeš vrijednost temperature od 30°C u /var/log/messages šalji mail upozorenja. Provjeravaj log svakih 20 minuta i ne šalji "prazne" mailove "

Ovaj posao opisuje slijedeća naredba u crontab-u.

#crontab -e
#Radi provjeru temperature svakih 20 minuta
*/20 * * * * grep "Temp: 30.0" /var/log/messages | mail --exec 'set nonullbody' -s "POZOR temperatura u porastu ! " senzor@domena.hr

Napominjemo da možemo unijeti i nekoliko istih naredbi za više kritičnih temperatura. Da se ne desi slučajno da senzor "preskoči" neku "okruglo" zadanu znamenku. Stavimo npr. 30.5 30.6 30.7 30.8 i slično. S ovako podešenim sustavom ipak imamo dodatnu sigurnost da klima radi ispravno.

Neki  sistemci, uključujući i mene, ako je to u vrijeme pametnih telefona više uopće moguće:) ne žele svakodnevno provjeravati mailove dok su na odmoru. U tom slučaju bi nam dobro došlo slanje SMS-a. Takva usluga bi se vjerujem dala podesiti pomoću Carnet Nagiossustava.

Ugodan odmor!

Koriste li vaši poslužitelji OpenSSL verzije 1.0.1 ili 1.0.2, trebate odmah napraviti roll-back na stariju verziju (privremeni, jer starijim verzijama krajem 2015. godine prestaje podrška) ili instalirati najnoviji patch za verziju koju već koristite, upozorio je OpenSSL.org.

Riječ je o vrlo ozbiljnom propustu u verifikaciji certifikata u nizu, gdje zbog pogreške u algoritmu postoji mogućnost "preskakanja" sigurnosnih provjera u certifikatu, što otvara mogućnost lažne identifikacije certifikata kao autoritativnog za ulogu koja mu nije namijenjena. Kao najdrastičniji slučaj spominje se mogućnost zloupotrebe leaf certifikata (tj. zadnjeg u nizu certifikata koji počinje sa root CA certifikatom i završava sa leaf certifikatom) kao CA certifikata i izdavanje lažnih certifikata koji pokazuju na leaf certifikat kao svoj CA.

Lažnim predstavljanjem leaf certifikata kao root CA certifikata, MITM napadač može u komunikacijski kanal ubaciti lažne certifikate,
nakon čega presretanje i dešifriranje komunikacije postaje relativno trivijalno, pa čak i izmjena komuniciranih podataka "u letu" (noćna mora svakog developera telebanking aplikacije).

Ranjivi poslužitelj uspostavit će komunikacijski kanal kao da se ništa nije dogodilo, a ranjivi klijent neće ni na koji način biti obavješten o
sumnjivom certifikatu (osim ako se korisnik baš ne sjeti sam pregledati lanac certifikata i ima dovoljno znanja da prepozna lažirani lanac).

Iako je sigurnosni propust uistinu ozbiljne naravi, ako jedna od komponenti (poslužitelj ili klijent) ne koristi ranjivu verziju OpenSSL-a ranjivost nije moguće iskoristiti. Praktično, svi moderni browseri nisu osjetljivi na ovaj napad jer ne koriste OpenSSL. S druge strane, embedded uređaji i potencijalno veliki broj aplikacija koje u svom kodu sadrže OpenSSL kod mogli bi biti osjetljivi na napad koriste li ranjivu verziju protokola. Srećom, ranjivost postoji tek od verzija 1.0.1n i 1.0.2b koje su stare tek mjesec dana, što smanjuje vremenski period u kojem je proizvođač uređaja ili aplikacije mogao u svoj proizvod integrirati ove ranjive verzije protokola.

Ovo je primjer kako dobra praksa redovitog instaliranja sigurnosnih zakrpa u rijetkim slučajevima može biti lijek gori od bolesti: administratori koji svoje OpenSSL poslužitelje ne ažuriraju redovito nisu u opasnosti od ove ranjivosti, ali jesu od svih ranijih, dok su administratori koji savjesno obavljaju svoj posao nehotice otvorili bokove potencijalno vrlo opasnom i relativno lako iskoristivom sigurnosnom propustu.

Riječ je o vrlo nezgodnoj ranjivosti koja je, srećom, ograničena na uske scenarije. Stoga pokrpajte vaše poslužitelje bez previše panike (ali odmah), sjednite na pivo/kavu/čaj/sok/jednu_ljutu i otpišite ovu epizodukao uspješno riješen kuriozitet: i vaš je mali certifikat kratko vrijeme mogao glumiti da je CA.

Za programerski nastrojene čitateljie, evo dvije linije čija promjena "spaspava svijet":

xtmp = sk_X509_pop(ctx->chain);
X509_free(xtmp);
num--;
- ctx->last_untrusted--;
}
+ ctx->last_untrusted = sk_X509_num(ctx->chain);
retry = 1;
break;
}

https://github.com/openssl/openssl/commit/2aacec8f4a5ba1b365620a7b17fcce311ada93ad

Ljubitelji pametnih telefona uglavnom koriste dva OS-a: Apple iOS na iPhoneu i Google Android na većini ostalih uređaja. U ovom ćemo se članku pozabaviti ranjivostima tržišnog lidera Androida i rizicima kojima se izlažu korisnici noseći sa sobom nesiguran uređaj.

Microsoft je kupio Nokiu kako bi uspješnije lansirao svoje Windowse na smartphoneu, a kanadski Blackberry smo već počeli zaboravljati. Upravo na tržište stiže novi takmac koji bi mogao uzeti značajan dio tržišta: Cannonical je lansirao Ubuntu Linux za pametne telefone.

Kako stvari trenutno stoje, Android je lider, u prvom kvartalu 2015. zaposjeo je 78% tržišta. Najveći dio tog kolača uzeo je Samsung, a slijede ga Kinezi s različitim markama: Lenovo, Huawei, Xiaomi itd. Appleov udio smanjio se na 18,3%, ali iPhone se i dalje dobro prodaje i ima svoje vjerne kupce koji žele posjedovati original i ne pada im na pamet kupovati "jeftine kopije". Microsoft napreduje puževim korakom, Windows phone se popeo na 2,7%.

Dakle, ako je Android ranjiv, ranjiv je najveći broj pametnih telefona! Radi toga smo se pozabavili sigurnošću tog popularnog uređaja. Malo guglanja i zapljusnuo nas je tsunamičlanaka o nesigurnosti te platforme. Pa hajdemo redom.

Preko 600 miliona korisnika Samsung Galaxy telefona, uključujući i najnoviji S6, koriste Samsungovu aplikaciju SwiftKey IME, koja dolazi predinstalirana i ne može se deinstalirati. Ta aplikacija povremeno kontaktira server pitajući za novu verziju, a promet, gle čuda, nije kriptiran! Ukoliko ste na WiFi mreži, napadač to može iskoristiti za Man in the middle napad. SwiftKey ima visoke privilegije koje napadač može iskoristiti da bi na telefon instalirao maliciozni softver, a uz to ima pristup mikrofonu, kameri, GPS-u, može čitati poruke, prisluškivati razgovore, ukrasti fotografije, poruke itd its. Ukratko, ako se Samsungovim pametnim telefonom spojite na neku nesigurnu WiFi mrežu, izlažete se riziku da vam neki zloćko preuzme upravljanje vašim telefonom. Ne vjerujete? Pogledajte video demonstracije s nedavne BlackHat konferencije u Londonu.

Ako vaš telefon ima instaliran Android 4.3 Jelly Bean ili neku raniju verziju, onda koristite ranjivi web preglednik WebView. Android KitKat 4.4 i Lollipop 5.0 koriste noviji preglednik zasnovan na Chromeu, pa nisu ranjivi. Milioni ljudi koriste starije, verzije pa bismo očekivali da će Google izdati zakrpe. No u Googleu su to glatko odbili, prepustivši proizvođačima telefona i korisnicima da se sami nose s tim problemom.

WebView je ranjiv na Cross site scripting (XSS), ali ako se ovo kombinira s XSS ranjivošću na Googlovom app-storeu, crackeri dobijaju mogućnost da potiho, bez korisnikova pristanka, na uređaj instaliraju softver po želji. Ako se umjesto WebViewa koristi neki drugi preglednik, moguće je da je i on ranjiv na XSS, pa opet vrijedi isti scenarij. Više na ovom linku.

Nedavno je otkriven trojanac za Android koji je nazvan PowerOffHijack. Trojanac radi ovako: kad pritisnete tipku za gašenje, vidjet ćete animaciju koja glumi gašenje, ali telefon zapravo radi i dalje. Napadač može snimati fotografije, prisluškivati korisnika, ili mu nabiti račun šaljući poruke i nazvajući prekooceanske brojeve. Trojanac se najprije pojavio u Kini, gdje su korisnici skinuli inficirane aplikacije sa lokalnog app storea. Ako vam je mobitel zaražen, preporučuje se da izvadite bateriju, ponovo ga uključite i zatim deinstalirate sve nepotrebne aplikacije. Savjetuje se da aplikacije skidate samo s originalnog Googleovog dućana, te da instalirate neki antivirusni program..

Kad već spominjemo Kinze, evo još jedne zanimljive vijesti. Otkriveno je da se neki mobiteli proizvedeni u Kini isporučuju s predinstaliranim špijunskim softverom. Star N9500, popularni jeftini kineski mobitel, isporučuje se s predinstaliranim Trojancem Uupay.D, koji se pretvara da je inačica Google Play Storea. Uz ostale funkcije, omogućuje uključivanje mikrofona i pretvaranje mobitela u "bubu" koja napadaču prenosi razgovore u blizini mobitelja čak i kad se ne telefonira,.Trojanac je ugrađen u firmware i ne može ga se ukloniti. Više na ovom linku.

Nije, čini se, bezražložna odluka američkih vlasti da državnim službenicima zabrani korištenje mobitela proizvedenih u Kini. Domaći spyware ih pri tom ne brine nimalo, samo strani.

Idemo dalje. Uber je najveća taksi tvrtka na svijetu koja nema ni jedan taksi. Radi se usluzi pomoću koje korisnici njihove aplikacije koji imaju automobil mogu ponuditi usputan prijevoz korisnicima bez automobila. Na primjer, idete poslom u Rijeku, oglasite to na Uberu, a onda vas kontaktira netko kome baš treba prijevoz do Karlovca. Zgodan način da podijelite troškove puta pa se isplati objema stranama. Naravno, ne isplati se taksistima koji su prestravljeni mogućnošću da se Uber pojavi i na našem tržištu. Mreža će ih pobijediti! No ovdje spominjem Uber iz drugog razloga. Nedavno je napravljen reverzni inženjering Uberove aplikacije, pri čemu je otkriveno da je taj program pravi pravcati spyware! Na ovom linku https://news.ycombinator.com/item?id=8660336 možete naći popis podataka kojim aplikacija pristupa i šalje ih tvrtki. Praktički ste Uberu dali sve informacije sa svog telefona. Tvrtka je izdala priopćenje u kojem kaže da prikupljaju te informacije kako bi korisicima pružili bolju uslugu. Uostalom, kažu iz Ubera, sami ste odlučili instalirati tu aplikaciju, a mnoštvo je drugih aplikacija koje na isti način prikupljaju informacije, pa Uber nije nikakva iznimka.

Wow! Zapravo su na neki izopačen način u pravu: nedavno dan sam instalirao aplikaciju koju mi je banka ponudila za mobilno bankarenje. I ta aplikacija, da bi radila, traži pristup svemu i svačemu. Oklijevao sam trenutak prije nego sam to prihvatio. Ako želiš plaćati račune mobilnim telefonom, aplikacija mora imati pristup kameri i datotekama. Da li će banka usput pregladavati i ostale moje fotografije, koje nemaju veze s bankarenjem? To je rizik koji možete ili ne morate prihvatiti. Možete lijepo stati u red i obaviti posao na šalteru. Odluka je vaša.

Ovako bismo mogli nastaviti u nedogled. Ali mislim da će biti dovoljno ovih nekoliko primjera. Ranjivi su OS-ovi, ranjive su aplikacije, ranjivi su web siteovi, a k tome nas još svi skupa špijuniraju i prikupljaju naše podatke. Zakonska regulativa se trudi zaštiti građane, ali regulativa obično kasni, zakonodavci naknadno reagiraju na zloporabe nakon što se one otkriju, a procedure donošenja zakona su spore i komplicirane, podložne lobiranju interesnih grupa, među kojima su i one koje zastupaju interese protivne zaštiti privatnosti. Nama običnim korisnicima ne preostaje drugo nego donijeti "informiranu odluku". To bi trebalo značiti da prije odluke imamo na raspolaganju sve informacije, da bismo mogli odvagnuti dobrobiti i rizike pa odlučiti što možemo prihvatiti a što ne. Ovako, svi vole nove igračke, ne razmišljajući previše o rizicima.

Osobno, nadam se da će se pojaviti OS s kojim ćemo imati bolju kontrolu nad uređajem nego što to je slučaj s Androidom i iOS-om. Možda će to biti Ubuntu? Vidjet ćemo.

Jučer, 20. 07., Microsoft je izvijestio korisnike Windows operativnog sustava na način koji izaziva pozornost: This is a notification of an out-of-band security bulletin... (itd.). Izraz out-of-band pobuđuje znatiželju, štoviše, alarmira one upućenije u sigurnosnu problematiku da se dešava nešto neuobičajeno jer Microsoft inače ne rabi taj izraz u objavama uočenih sigurnosnih propusta.

Članak na adresi https://support.microsoft.com/en-us/kb/3079904 oslobađa nas nedoumica, ali istovremeno daje razloge za zabrinutost! Kao prvo, zbog sigurnosne slabosti u kernel-mode font driveru ranjive su sve verzije Windowsa, od XP do desetke; drugo, ako napadač iskoristi tu ranjivost - a lako ju je iskoristiti - praktički dobija admin prava na računalu!

Srećom, zakrpa je dostupna, ali Microsoft upozorava da, ako nakon instalacije zakrpe instalirate neki dodatni languge pack, morate zakrpu ponovo instalirati!

Dakle, kako bi rekao jedan naš vrijedni političar, "idemo delat, a ne pričat"! Organizirajte hitnu primjenu zakrpe na sva svoja Windows računala. Uočite, treba zakrpati sve Windows instalacije - serverske i desktop, korporativne i kućne, one poziocinirane u intranetu kao i one u DMZ-u.... jer dovoljno je pristupiti web sajtu (ili otvoriti malo preparirani dokument) da bi se malicioznoj osobi stvorila prilika za pokretanje napada.

Dragi sistemci,

CARNet već sedamnaestu godinu organizira korisničku konferenciju CUC. Ove godine ona će se održati u Dubrovniku, u razdoblju od 18. do 20. studenog. Od 2010. godine tu je i poseban program pod imenom sys.trek namijenjen prvenstveno djelatnicima visokoškolskih ustanova koji su zaposleni u informatičkim službama, a posebno CARNet sistem-inženjerima.

Glavna odlika predavanja i radionica unutar ovog zasebnog programa je naglasak na probleme kod uvođenja novih tehnologija i usluga, ali i informatičke probleme koji se često pojavljuju u ustanovama članicama. Ujedno, tijekom cijelog trajanja ovog programa, potičemo što jaču i konstruktivniju komunikaciju između sudionika s ciljem razmjene znanja i iskustava u rješavanju svakodnevnih, ali i dugoročnih izazova koje donosi rad na ustanovama.

Kao sistemac Vaše ustanove, i ove godine imate pravo na posebni popust od 50% na konferencijsku kotizaciju, te Vas pozivamo da nam se pridružite. Sam sys.trek uključuje trodnevna predavanja i radionice koje pokrivaju sve, od sigurnosti, preko nadogradnji, novih CARNetovih usluga i tehnologija, pa do nagradne igre i predkonferencijskog opuštanja uz domjenak dobrodošlice. Više informacija o sys.treku možete naći u priloženoj brošuri.

Također molimo da nam se javite ukoliko trebate pozivnicu za CUC/SYS.TREK 2015 koju šaljemo na adresu uprave Vaše ustanove.

S poštovanjem,

--  Tim sys.trek

Dok smo se odmarali, pojavili su se Windowsi 10 i odmah izazvali gomilu protesta. Korisnicima verzija 7 i 8 nudi se "besplatan"upgrade, ali treba požuriti jer je "poklon" vremenski ograničen. Korisnici koji su pristali na ponudu uskoro su uvidjeli da novi Widowsi generiraju ogroman mrežni promet. Radoznalci su pokrenuli istragu i pronašli zanimljive stvari.

Prije svega, mnogi se pitaju što je s "devetkom"? Zašto je Microsoft odlučio preskočiti jedan broj u razvojnoj liniji? Opći je konsenzus da Osmica nije postigla uspjeh koji je očekivan, jer je donijela previše promjena koje korisnici nisu dobro prihvatili. Preskakanjem devetke sugerira se kako je napravljen velik odmak od tog neuspjeha.

Pa hajdemo vidjeti koje novosti donosi desetka. Najprije je otkriveno da se za distribuciju koristi torrent tehnologija. Svatko tko instalira desetku postaje, bez svog znanja, još jedno čvorište s kojega i drugi mogu skinuti desetku. Zaboga, pa ljudi plaćaju svoj mrežni promet, s kojim pravom Microsoft bez pitanja koristi taj promet u svoje svrhe? Brzo je otkriveno da se ta "opcija" može isključiti, što su spretniji korisnici i napravili. A što je s ostalima?

Korisnik koji je na more otišao sa stickom i pretplatom na 1 GB podatkovnog prometa zvao me s plaže, pitajući kako je moguće da je napravio preko 3,5 GB prometa, kad je samo čitao poštu? To je otprilike veličina instalacije novih Windowsa, pa sam ga pitao da li je možda instalirao Windowse 10? Odgovorio je su mu se sami instalirali iako nije potvrdio da ih želi instalirati. To nas dovodi do druge kontroverze. Čini se da je korisnik imao uključenu automatsku instalaciju zakrpa, pa ga onda valjda i ne treba pitati da li želi instalirati novu verziju Windowsa? Potvrda za to se uskoro pojavila u obliku članka koji potvrđuje ovu pretpostavku. Microsoft je na upit odgovorio da se instalacijske datoteke skinu s mreže i bit će spremne su za instaliranje, kad se korisnik jednom odluči za to. Ajme ljubaznosti prema korisniku?! A što ako korisnik nikad ne odluči instalirati desetku? Potrošen mu je mrežni promet i prostor na disku za nešto što mu ne treba! Čini se da je Microsoft odlučio da korisnike ne treba pitati za mišljenje, jer ljudi, kad imaju priliku birati, biraju pogrešno! Zar to ne podsjeća na SF antiutopije?

Najveće je napade desetka doživjela od strane zagovornika privatnosti. Oni su vrlo oštri u napadima, tvrde da vlada više ne mora provaljivati u naše stanove dok nismo kod kuće da bi instalirala bube za prisluškivanje. Sada te bube sami unosimo u svoje stanove, u obliku pametnih telefona i računala s Windowsima 10. Sve je upakirano u uslugu koju želimo i koju ne možemo odbiti, a onako usput dajemo svoju intimu nekome na raspolaganje. Ovakav oštar napad traži argumentaciju. Čini se da ima nešto u tome, naime s desetkom dolazi softver nazvan Cortana, kojem se mogu zadavati glasovne naredbe. Kao, Cortana, pokreni Outlook i otvori novu poruku za Marka. Super, više ne moramo klikati. No takva usluga prije svega znači da je mikrofon cijelo vrijeme uključen. Cortana koristi bazu glasova koja je u oblaku, pa se tako i ono što mi govorimo šalje u taj oblak, kako bi nam se "pružila bolja usluga". Zagovornici privatnosti kažu da je u desetku ugrađen i key logger, softver koji u oblak šalje sve što tipkamo na računalu.

Tehnički potkovani, napredni korisnici traže načine da se te špijunske funkcije isključe. Pronašli su ih, poisključivali sve što se moglo, da bi ustanovili da Windowsi i dalje šalju neke informacije u mrežu.

Onda je stigla vijest da će Microsoft imati moć deinstalirati s naših računala nelegalan softver! Sada je zaista vrijeme da se zapitamo tko je vlasnik naših računala? Microsoft, jer on sada instalira i deinstalira sofver, snima naše razgovore, prikuplja podatke, a sve bez pristanka korisnika?

Zagovornici prava na privatnost upozoravaju da stiže još jedna prijetnja: Internet of things. Ubuduće će nas prisluškivati naši hladnjaci, brave na vratima i kojekakvi senzori, koji će podatke slati u Mrežu. Netko će imati moć nad nama, znati će kada smo u kući, koje TV programe gledamo, što nam je u hladnjaku, tko nas posjećuje. Vrli novi svijet kuca na vrata, a mi se pasivno pokoravamo.

Dakle po povratku s odmora našli smo mnoštvo zanimljivog štiva za čitanje. No intrigira nešto što nismo našli u novinskim natpisima. Dok jedni tvrde da je to što donose Windows 10 "nova norma", pa makar im se to i ne sviđa previše, nitko se nije zapitao što Windowsi 10 znače u poslovnom okruženju? Zamislite da radite za tvrtku čija pozicija na tržištu ovisi o čuvanju poslovnih tajni. Zamislite da radite za neku državnu instituciju koja je obavezna čuvati tajnost na primjer osobnih podataka građana. Što za vaš posao znači unošenje u urede računala s Windowsima 10? Odgovorite sami.

Osobno, nisam instalirao "desetku", a po svemu sudeći niti neću. Osim ako to Microsoft ne učini sam, ne pitajući me za mišljenje.

Trebalo bi imati na raspolaganju mali lab, testno okruženje, pa na jedno računalo instalirati Windowse 10 i onda presretati mrežni promet, analizirati ga, te tako ustanoviti što je od svega navedenog istinito. No ako je i pola od toga istina, vrijeme je da se zabrinemo i iskažemo svoje protivljenje. Ako korisnici nisu dobro prihvatili Osmicu, što će tek biti s Desetkom?

Trebao je to biti jedan od onih poslića kojima se sistemac poput mene, zasićen serverajem, iskreno raduje: otići u jednu poslovnicu i staviti u funkciju par PC-eva koji tamo, gurnuti u najskrovitiji ćošak prostorije, mjesecima skupljaju prašinu. Malo rada, puno čavrljanja s kolegicama pa doma.... Ah, debelo sam se preračunao!

Zapelo je u samom startu, servis Windows Update (dalje: WU) se pokrene i radi, i radi... u beskonačnost. Ili pukne nakon pola sata razmišljanja što mu je činiti. Svašta sam iščitavao i isprobavao ne bih li taj servis udobrovoljio da odradi svoj posao, ali bez rezultata. Srećom, imam pokriće za svoju neučinkovitost jer sam tijekom kopanja po Internet resursima - a štiva na temu „WU ne radi“ ima za cijeli doktorat - naletio na članak u kojem jedan čovac opisuje što je on sve poduzeo, bezuspješno, te kako je, pazite sad, predstavnicima Microsofta, kad ih je naposljetku angažirao, trebalo 13 sati da ukrote taj servis; i nakon toga nisu znali objasniti koji ga je zahvat popravio! Hohoo! Evo linka: http://serverfault.com/questions/355020/windows-update-not-working-on-windows-server-2008-r2 .

Praćenjem logova i mrežnih konekcija naslutio sam uzrok problema: PC-evi nisu krpani gotovo godinu dana a Microsoft kontinuirano, u svakom pogledu (funkcionalno, sigurnosno, performansno...) unaprijeđuje WU kao globalni sustav. I sada se klijentski dio WU na mojim PC-ima više ne razumije sa osuvremenjenim serverskim dijelom. Lijepo sam to zaključio, ali što poduzeti?! Time is tickin' away...

Okrenuh se alatima za krpanje računala sa Windows OS-om koja nemaju pristup niti WSUS-u niti internetskom Windows Update servisu. Ukratko, razvikani WSUS Offline Update i Autopatcher su zakazali, posao su odradili djelomično.

Naposljetku se prihvatih alata Portable Update (dalje: PU). BINGO! Taj švrćo – raspakiran „teži“ okruglih 666 KB (verzija 2.4.4) i ne instalira se, samo pokrene – u radu se oslanja na komponente lokalnog WU servisa. Pa se pobrine da taj servis bude funkcionalan. Na taj način PU u stvari popravi WU! Na nižoj slici vidimo kako PU inzistira na novim modulima i pratećim katalozima za WU servis.

Asketsko sučelje alata može zbuniti, zato je važno znati točan slijed akcija:
* aktivirati karticu Search pa klik na gumbu Start,
* prijeđemo na karticu Download pa opet klik na gumbu Start,
* vratimo se na karticu Search (+ gumb Start); i sada će skinute zakrpe biti kopirane u Windows\SoftwareDistribution mapu koja je, kako znamo, pod kontrolom WU servisa. Tako da sada u stvari imamo izbor: instalaciju zakrpa možemo nastaviti kroz PU, a možemo se prebaciti i na WU. Opredijelimo li se za WU, budući su sve zakrpe i prateći indeksi već lokalno u njegovoj mapi, WU će etapu downloada proći munjevito, potom se prihvatiti instaliranja. Niža slika ilustrira tu situaciju, ujedno sugerira da je PU uistinu pravi „doktor za WU“ jer do maloprije teško bolestan WU sada živahno radi. Odmah pojašnjenje za oštrooke: na slici vidimo kako PU poručuje da je označio 103 zakrpe a WU ih instalira 100. To je zbog toga što WU trenutno primjenjuje zakrpe statusa Critical/Important, preostale 3 su Recommended/Optional.

Više informacija o PU naći ćete na http://www.portableupdate.com. Mališa zaslužuje članstvo u kolekciji must have alata svakog sistemca. Najvažnije je upamtiti: kad WU počne izazivati nevolje, pozovite PU da ga sredi a tek ako zakaže - ta on je samo doktor za WU, nije čarobnjak, jel'te :-) - trošite svoje dragocjeno vrijeme!

U članku od prije 6 mjeseci, objasnili smo kako dati niži prioritet protokolu IPv6, iz razloga što ga velika većina sistemaca još nema implementiranog. Zbog toga se događaju timeouti, ponavljanja zahtjeva (primjerice kod apt-get-a) i sličnih usporavanja. No, navedeni recept ne djeluje u svim slučajevima.

Iz tog razloga ćemo navesti kako u potpunosti isključiti IPv6 (ne zaboravite napraviti obrnuto, jednom kada IPv6 "dođe" do vas).

Najjednostavnije je postaviti kernelovu varijablu net.ipv6.conf.all.disable_ipv6 na vrijednost 1:

# echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf

Promjena će se dogoditi nakon sljedećeg restarta. Ukoliko ne želite čekati, možete istu varijablu odmah primjeniti:

# sysctl net.ipv6.conf.all.disable_ipv6=1

Osim isključivanja na svim sučeljima, možete isključiti IPv6 na bilo kojem sučelju posebno (ili uključiti kao default za nova sučelja), primjerice:

net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
net.ipv6.conf.eth0.disable_ipv6=1
net.ipv6.conf.eth1.disable_ipv6=1
net.ipv6.conf.ppp0.disable_ipv6=1
net.ipv6.conf.tun0.disable_ipv6=1

U Debianovom wikiju smo našli još jedan način isključivanja IPv6, a to je putem GRUB-a. Treba dodati ipv6.disable=1 na kraj varijable GRUB_CMDLINE_LINUX u datoteci /etc/default/grub. Nakon toga morate pokrenuti naredbu update-grub i restartati poslužitelj. Postoji još načina, ali nećemo ih navoditi.

No, na jednom poslužitelju smo našli ovakav slučaj:

error: "net.ipv6.conf.all.disable_ipv6" is an unknown key

Na ovom poslužitelju, čini se, kernelov modul za IPv6 nije bio ni učitan, ali je BIND svejedno pokušavao resolvati adresu preko IPv6 adrese:

Sep 17 09:21:07 server named[22163]: error (network unreachable) resolving
'ns.ripe.net/A/IN': 2001:dc0:2001:b:4301::59#53

Problem je riješen tako da smo u datoteci /etc/default/bind9 dodali opciju "-4" procesu named:

OPTIONS="-4 -u bind"

Nakon restarta bind-a, on više neće pokušavati rabiti IPv6 za resolving.

Na kraju samo napomena, nemojte isključivati IPv6 samo zato što vam zasmeta poneki redak u logovima. IPv6 više nije budućnost, on je ovdje. Proučite ga dobro prije nego vas "zaskoči" nepripremljene.

Duboko u sjeni Windowsa 10 raste, ako je vjerovati glasnogovornicima Microsofta, "the future of Windows Server”. Predstavimo tu budućnost manirom Jamesa Bonda: My name is Nano, Nano Server. Nano je uistinu minimalistička inačica Windows servera, bez lokalne GUI i komandnolinijske konzole, izrazito skromnih hardverskih potreba; specijaliziran je za obnašanje uloge virtualizacijskog hosta ili gosta (virtualne mašine) u datacentrima, treba postati visokoraspoloživa i portabilna osnovica za aplikacije (čitaj: cloud usluge) nove generacije.

Rečeno možemo dalje razrađivati po različitim kriterijima, ali to nije tema ovog članka. Kronično zaraženi profesionalnom znatiželjom, dodatno motivirani zvučnim izjavama poput navedenog citata, mi se želimo suočiti s tom budućnošću ovdje-i-sada! Stoga slijedi par informacija na temu „Kako instalirati Nano server i pristupiti mu s admin stanice“. Budimo realni, priprema je to za ono što će neizbježno doći, Nano server je zaista jedna od strateških tehnoloških komponenti Microsoftove razvojno-poslovne strategije.

Instaliranje Nano Servera metodom „keep it simple“

Microsoft preporuča Windows 10 kao admin stanicu, no postoji alternativa - na Windows Server 2012 R2 Hyper-V hostu imam par virtualki s Nano serverom koje administriram iz virtualke s full-GUI Windows Serverom 2016 TP3. Tako se upoznajem s obje edicije novih serverskih windoza.

Prvo moramo na svoj Hyper-V host skinuti potreban softver. Podsjećam, Windows 8.x ili Desetka mogu biti Hyper-V host, ne mora to biti serverska edicija.

* ISO paket sa Windows Server 2016 Technical Preview 3; paket je na adresi https://technet.microsoft.com/en-gb/evalcenter/dn781243.aspx;

* instalacijske skripte New-NanoServerVHD.ps1 (https://gallery.technet.microsoft.com/scriptcenter/Create-a-New-Nano-Server-61f674f1) i Convert-WindowsImage.ps1https://gallery.technet.microsoft.com/scriptcenter/Convert-WindowsImageps1-0fe23a8f.

Skripte moramo smjestiti u isti direktorij, ISO paket može i ne mora biti s njima.

Postoji nekoliko instalacijskih skripti (naći ćete ih i u spomenutoj ISO datoteci), ali New-NanoServerVHD.ps1 pravi je izbor za ekspresno podizanje Nano servera. Naime, dovoljna su svega 3 inputa pa da skripta kreira virtualni dinamički disk imena Nanoserver.vhd. U tom disku je Nanoserver01 sa podrškom za Hyper-V virtualizator, sa uključenim servisom WinRM za udaljeno administriranje servera, te mrežnom karticom podešenom za preuzimanje IP parametara od DHCP servera. Dakako, skripta je opremljena i svakojakim opcijama, ali nama su ovog časa nebitne.

Na narednoj slici upravo kreiram VHD s Nano serverom, koristeći gore opisani najjednostavniji način. Skripta je u rootu diska D (zajedno s Convert-WindowsImage.ps1); ISO paket s Windows 2016 TP3, u kojem je Nano server, smješten je u rootu diska F. Dakle, otvorite Windows PowerShell (dalje: PShell) u administrativnom modu, pridržavajte se koraka sa slike i začas ćete imati Nanoserver.vhd.

Sada taj VHD moramo ugnijezditi u Hyper-V. To je, srećom, uistinu jednostavno, samo pripazimo da tijekom kreiranja nove vrtualne mašine za Nano uključimo opciju Generation 1 (jer je disk VHD a ne VHDX), također, u koraku Connect virtual hard disk moramo odabrati opciju Use an existing virtual hard disk i odabrati maloprije kreirani vhd.

Administriranje Nano Servera metodom „keep it simple“

Ako je na mreži DHCP, Nano će pokupiti od njega TCP/IP parametre. Prijavit će se i u DNS, ukoliko je to omogućeno na DNS-u.

Na djelatnu Nano instancu možemo se lokalno ulogirati, ali tada su nam na raspolaganju samo naredbe Restart, Shutdown, Logoff, uključi/isključi mrežnu karticu i uvid u aktualne TCP/IP postavke. Tako da slobodno možemo zaključiti kako sve administrativne aktivnosti moramo odrađivati remotely, s admin stanice (Desetka ili WinServer 2016).

Admin konzola, kako je to zamislio Microsoft, treba biti PShell. Pa hajde da se spojimo na tek podignut (znači, nedomenski) Nano Server. Pokrenemo PShell u admin modu i potom zadamo niže navedene naredbe. Izraz <Nano server> može biti IP adresa ili ime; ime može biti NetBIOS ili FQDN. Mislim da se razumijemo – sve ovisi o značajkama LAN infrastrukture u kojoj radimo.

a) zadati samo jednom na admin stanici:

set-item wsman:\\localhost\client\trustedhosts * -force

b) ulogirati se na Nano:

enter-pssession –computername <Nano-Server> -credential <administrator>

c) PShell prompt pokazuje da smo na Nano serveru; sada možemo rabiti izvorne PShell naredbe ili CMD naredbe. PShell ne prepoznaje neke CMD naredbe, ali tome doskočimo tako da iz njegove ljuske pozovemo CMD interpreter i direktno njemu zadamo naredbu.

Nižom slikom ilustriramo gornje točke, posebno točku c) – spojeni smo na Nano server, želimo na njegov disk spremiti evidenciju o svim izvršnim datotekama tipa .exe, ali PShell ne prepoznaje opcije naredbe DIR pa smo naredbu kao cjelinu predali CMD-u na izvršenje.

Brzopotezno ćemo skinuti firewall na Nano serveru kako bismo imali što veću slobodu pristupanja i dijagnostike, naime, sve dok je njegov FW podignut ne možemo Nano niti pingati:

netsh advfirewall set allprofiles state off

Nevičnima nije lako raditi u komandnoj liniji, zato je dobra vijest da puno toga već sada možemo odrađivati kroz GUI. Trenutno su nam na raspolaganju:

* MMC konzole – složimo li si na admin stanici radnu ploču poput ove na nižoj slici, imat ćemo vrlo moćan alat za administriranje Nano servera.

* Server Manager – „učlanimo“ li Nano server u Server Manager Windows Servera 2012 ili 2016, možemo njime upravljati rabeći naredbe prikazane na nižoj slici.

* Windows Explorer – spojimo se na C$ Nano servera i cijeli disk nam je „na dlanu“.

* Regedit, Event Viewer, System Information i slični im sistemski alati koji se dadu fokusirati na udaljeno Windows računalo.

Sve gore spomenute GUI alate možemo usmjeriti na nedomenski Nano i radit će, samo što ćemo neprekidno moramo voditi računa o autentikaciji. Mnogo je lakše administrirati Nano, kao i svake druge windoze, u domenskom prostoru, ta zato i postoji Windows domena (iliti Active Directory).

Učlanjenje Nano servera u domenu trenutno je začuđujuće neintuitivan postupak. Zašto, ne znam. Anyway, ajmo i to odraditi, učlaniti Nano2 u domenu Corp.hr.

a) na Windows Server 2016 ili Desetki, već učlanjenima u domenu corp.hr, zadati generiranje datoteke odjblob:

djoin /provision /domain corp.hr /machine nano2 /savefile .\odjblob

b) datoteku kopiramo Windows Explorerom ili PShellom na Nano2 server u, recimo, folder c:\Temp

c) spojimo se PShellom na Nano2 i zadamo:

djoin /requestodj /loadfile c:\Temp\odjblob /windowspath c:\windows /localos

Kako vidimo na sljedećoj slici, učlanjenje u domenu je uspjelo, pa sada možemo rabiti i domensku logiku – naredbe i GPO - za upravljanje Nano serverom.

Ponekad se zna dogoditi da Windowsi ne učitaju ispravno vaš korisnički profil. Razlozi mogu biti različiti: od nestanka struje, neregularnog izlaska iz Windowsa do problematičnog antivirusnog programa (ili virusa, kojeg je antivirusni program samo djelomično uspio zaustaviti).

Ukoliko je profil oštećen, prilikom svake prijave na računalo Windowsi vam to jave preko obavijesti. U obavijesti stoji da korisnički profil nije učitan ili je učitan tzv. privremeni (temporary) profil:

Ukoliko je profil oštećen, korisniku je otežan pristup dokumentima, printerima i svemu onome što mu omogućuje neoštećen profil.

Srećom, postoji jednostavno rješenje oporavka profila i to unutar windows registry-a.

Za oporavak profila moramo se prijaviti kao administrator. Nakon prijave u sustav pokrenut ćemo registry editor i otvoriti sljedeći ključ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Na lijevoj strani potražimo mapu koja počine sa S-1-5 (SID ključ) i podužim brojem. Ono što tražimo je SID ključ koji na kraju ima nastavak .bak. Privremeni SID i rezervni SID-a (s nastavkom .bak) imaju identičan broj koji nam ukazuje koji je profil oštećen.

Klikom na rezervni SID, u desnoj strani prozora možemo vidjeti ime profila za koji je kreirana rezervna kopija.

Nakon što smo ustanovili koji je profil oštećen procedura je sljedeća. Privremeni profil (bez .bak ektsenzije) prvo preimenujemo u (primjerice) .bakTMP.

Drugom SID-u obrišemo ekstenziju .bak, nakon brisanja ekstenzije .bak na desnoj strani dvostrukim klikom startamo otvaramo "RefCount" i upisujemo broj "0" (bez navodinika). Akciju  potvrditi s "OK".

Dvostrukim klikom otvaramo "State" i upisujemo novu vrijednost "0" (bez navodnika). Potvrdimo s OK.

I to je to. Zatvorite registry editor, resetirajte računalo i prijavite se s korisničkim imenom i lozinkom. Nakon učitavanja profila sve bi trebalo biti na svom mjestu, od dokumenata do svih postavki profila.

Windowsi XP se još koriste u tvrtkama, pa i akademskom i školskom okruženju. Na sistemcima i svima koji održavaju takva računala i mreže je da nekako usklade stare operativne sustave s novima. Jedan od problema koji se može pojaviti je dijeljenje printera koji je priključen na Windows 10 računalo, a "klijent" je stari Windows XP.

Instalacija dijeljenog printera na Win 10 je standardna: spojili ste printer, dodijelili mu ime i dodali korisnike koji imaju pravo tiskanja na tom printeru. Sljedeći korak je na starom Win XP-u, gdje želite dodati isti printer, što je najjednostavnije učiniti putem Explorera. Upisivanjem UNC putanje doći ćete do printera i dvoklikom preuzeti instalaciju (i sam printer).

No, klikom na printer dobijete poruku:

Budući da ste već dodali korisnike i dodijelili ovlasti, poruka je malo čudna i na prvi trenutak zbunjujuća.

Ono što Vam preostaje je dodavanje na klasičan način, putem "Add Printers".

No ovaj način traži User Name i Password, a nakon što upišete korisničke podatatke dobijete novo upozorenje:

"The credentials supplied are not sufficient to access this printer. Do you want to specify new credentials?"

Zašto se pojavila ova poruka, i što treba dalje učiniti? Čini se razlog leži u samom upravljačkom programu i Windows 10 operativnom sustavu, odnosno promjenama u sigurnosim postavkama i načinu rada sa dijeljenim printerima (pogledati pod Advanced Sharing).

Ovdje ćemo opisati ono što nas zanima: brzo rješenje. Ono je u pravilu vrlo jednostavno i u svega nekoliko klikova možete spojiti printer na Windows XP.

U Windows XP startajte "Control Panel" i "Printers and Faxes".

Na lijevoj strani kliknite na Add a Printer, u wizardu odaberite "Local printer attached to this computer"

U sljedećem prozoru odaberite "Create a new port" i s padajuće liste odaberite "Local Port".

Potvrdite "Next", u novom dijaloškom okviru za "Port Name" trebate upisati ime računala (ili IP adresu po UNC-u)  i naziv dijeljenog printera (primjer: \\192.168.1.52\ucionica-br-2).

Slijedite daljnje upute, odaberite ispravan driver, upišite ime printera, odaberite "Do not share this printer".

Otiskajte testnu stranicu, nakon testne stranice dobije poruku da je instalacija uspješno završena i to je to.

Ponekad, najčešće nakon godišnjeg odmora, dogodi se da zaboravimo administratorsku lozinku za poslužitelj kojeg dulje vrijeme nismo koristili. Obično je nismo zapisali negdje na sigurno mjesto, ili u KeePass i slične password managere.

Iako smo na portalu već pisali kako riješiti problem zaboravljene lozinke, dodat ćemo još jedan način. No prvo, ponovimo kako to većina radi...

Poslužitelj moramo restartati , a nakon što se pojavi GRUB-ov izbornik, na tipkovnici odaberite slovo "e" (edit mode). Nemojte pritiskati tipku Enter.

Pronađite liniju koja počinje sa linux/boot/vmlinuz-X.X.X.., te na kraju linije ubacite razmak (space) i upišite "init=/bin/bash" (bez navodnika):

Nakon što ste to upisali, za boot pritisnite Ctrl+X.

# mount -w -o remount /

-w        -          (i) čitanje (i) pisanje

-o                    - dodatne opcije
remount           - ponovno mountanje uređaja s dodatnim opcijama (u ovom slučaju writeable).

Slijedi izmjena zaporke korisnika root pomoću naredbe passwd:

# passwd

Nakon što se računalo reboota, probajte novu zaporku.

Prilično je jednostavno, no postoje i drugi načini. Ovdje mislimo uglavnom na razne Live CD-ove, koji osim promjene lozinke omogućavaju i druge operacije koje bi nam inače bilo teško napraviti iz ograničenog shella kojeg dobijemo prethodnim načinom.

U ovom primjeru ćemo demonstrirati izravno editiranje datoteke /etc/shadow, što nije preporučljivo, ali nekada sistemski alati ne mogu pomoći. Primjerice, datoteka je oštećena i format nije prepoznat, pa naredba passwd ne radi.

Koristit ćemo jedan od mnogih rescue diskova (Knoppix, The Trinity Rescue Kit, System Rescue CD). U primjeru koristili smo System Rescue CD (http://www.sysresccd.org/SystemRescueCd_Homepage), sa grafičkim sučeljem.

Poslužitelj pokrećemo sa bootabilnog CD ili USB uređaja, te bez previše razmišljanja možete odabrati prvu opciju s izbornika.

Nakon odabira tipkovnice sljedeći prozor daje nam kratke upute kako što mountati i kako pokrenuti grafičko sučelje. Odabrali smo rad iz grafičkog sučelja sa naredbom: "startx". Prilikom pokretanja grafičkog sučelja odmah se pokreće terminal i spajanje na mrežu.

Sa "fdisk -l" pregledamo particije našeg sustava koje trebamo za mount, tj. tražimo root particiju koja je se u našem primjeru nalazi na uređaju "/dev/sda2". Kreiramo jednu privremenu točku za mount, primjerice privremeno, s "mkdir privremeno". Nakon kreiranja ukucamo "mount /dev/sda2 privremeno".

Nakon što smo mountali disk, odlazimo do /etc (cd privremeno/etc) direktorija gdje se nalazi shadow datoteka. U njoj ćemo obrisati rootovu zaporku, tako da ćemo izbrisati pripadajući enkriptirani niz znakova.

Ono što je važno kod editiranje shadow datoteke za korisnika root je brisanje sadržaja između prve dvotočke (":") do sljedeće dvotočke (ni manje ni više, kako ne bi narušili strukturu datoteke!):

Nakon brisanja tog niza znakova, shadow datoteka treba izgledati ovako:

Ukoliko je datoteka oštećena (u smislu da su neke linije spojene i slično), popravite i to. Snimite datoteku i napravite reboot računala. Izvadite CD ili USB uređaj s kojeg ste pokretali računalo.

Nakon što se računalo normalo starta, prijavite se kao korisnik root. Sustav će tražiti zaporku, ali ona ne postoji, pa samo stisnite Enter. Obavezno odmah promijenite zaporku i možete nastaviti s normalnim radom.

Nakon što smo uspješno instalirali jednog opsi klijenta, na isti način možemo "učlaniti" sva računala iz lokalne mreže, potom im dodijeliti grupe te "daljinski" upravljati njima putem mreže.

Tako formirana grupa, na primjer računalna učionica, može se vrlo praktično iskoristiti za monoton i prilično frustrirajući posao kao što je paljenje i gašenje cca 30-tak računala zbog redovitog održavanja. Vjerovatno vam se više puta dogodilo da napustite instalaciju softvera na računalima jer su vas prekinuli drugi poslovi, te na kraju dana nemate više vremena, snage i živaca vraćati se u pc-lab da ih ručno pošaljete u "shut down". Kako napraviti masovno uspavljivanje i buđenje računalne učionice kroz web preglednik?

S opsi serverom to je prilično jednostavno. Ulogirajmo se u opsi kofigurator.

Za početak učlanimo sva računala iz učionice na opsi server. Moraju biti vidljiva na listi klijenta.

Označimo "GROUPS" te kreiramo grupu "LAB1".

Prebacimo se na "CLIENT LIST" označimo zadnje računalo te sa CTRL+ strelica gore "poplavimo" klijente koje želimo u grupi "lab1". Tako označene klijente "drag and drop" metodom "povučemo" u lab1 grupu.

Grupa lab1 je formirana i možemo krenuti s "daljinskim upravljanjem" 24 klijenta.

Za "buđenje preko mreže" računala moraju biti podešena u BIOS-u na Wake On LAN ili  Power Up On PCI Device opciju. Nakon što smo podesili potrebne opcije BIOS-a u "On" ili "Enabled". Označimo s CRTL+A sve klijente iz grupe lab1.

Desnim klikom miša odabiremo "buđenje" klijenata sa odmakom 5 sekundi. Vremenski odmak treba planirati zbog mogućeg strujnog preopterećenja do kojeg bi moglo doći ukoliko bi se klijenti palili istovremeno.

Kreće lančana reakcija. Masovno ustajanje :) Provjeru budnosti možemo pratiti opcijom "Check which clients are connected".

cp

Napokon na kraju napornog radnog dana istom metodom ugasimo cijelu učionicu jednim klikom miša. Neprocijenjivo je iskustvo kad učionica utihne za manje od 60 sekundi.

Vezani članci:

Opsi server - Instalacija

Opsi server - konfiguracija

Priprema 64-bitne instalacije Windowsa 7 za Opsi server

Nenadzirana instalacija Windowsa 7 preko mreže

Instalacija Opsi klijenta

Davne 1983. pjesma "Every breath you take" britanskog sastava Police, u kojem je tada pjevao Sting, zasjela je na vrh brojnih svjetskih top lista. Godinu dana kasnije nastupila je 1984., godina iz naslova antiutopijskog romana Georga Orwella, objavljenog 1949. Nakon iskustva drugog svjetskog rata, razornih ideologija fašizma i komunizma, roman je mračno upozorenje budućim generacijama da bi se totalitarno društvo moglo ponovo pojaviti u budućnosti. "Radnja romana, smještena u London istoimene godine opisuje futurističko totalitarno društvo čiji oligarhijski vlastodršci upotrebljavaju najsuvremenija dostignuća tehnologije i psihologije da bi mase držali u pokornosti." (Citat iz Wikipedije).

Referenca na ta dva umjetnička djela koristi se u komentarima Australskog Data retention zakona, kojim država obvezuje telekom operatere da dvije godine čuvaju metapodatke svih telefonskih poziva, SMS poruka, e-mailova, te podatke o "surfanju" svojih korisnika.

O Data retention zakonu vodi se rasprava u Australskoj javnosti, gdje zagovornici zakona tvrde da će njegova primjena povećati sigurnost zemlje i olakšati borbu protiv organiziranog kriminala i terorizma, dok zagovornici ljudskih prava i privatnosti upozoravaju na moguće loše posljedice po obične građane. Zakon optužuju da će omogućiti najveće zadiranje u privatnost u povijesti Australije, a ujedno i predstavljati sigurnosni rizik.

Telekomi po tom zakonu moraju dvije godine čuvati metapodatke o komunikaciji svojih korisnika, ali ne i sam sadržaj komunikacije. Evo popisa podataka koji bi se čuvali:

Telefon
- koga zovete
- kome šaljete SMS
- pozivi na pogrešan broj
- datum i vrijeme zvanja/poruke
- trajanje razgovora
- lokacija s koje se zove
- podaci o uređaju

Internet
- IP adresa
- lokacija i geografski podaci
- količina prometa (uploada i downloada)
- vrijeme uspostave i trajanje web konekcija
- podaci o e-mailu, datum i vijeme, veličina privitka
- iako nije obvezno, ISP-ovi mogu čuvati IP adrese stranica koje posjećujete

Podaci o e-mail porukama čuvali bi se samo ako građani koriste Australske pružatelje usluga. Očito je s pravnog gledišta upitno prikupljati podatke ako su pružatelji usluga u drugim zemljama, da o tehničkim problemima ne govorimo.

Usputne žrtve ovog zakona mogle bi biti lokalne tvrtke, jer će dio građana, da se sačuva od nadziranja, koristiti usluge stranih tvrki.

Iz ovih se metapodataka može mnogo toga zaključiti o građanima, pa je ključno pitanje tko ima prava pristupa metapodacima? Osim obavještajnih agencija moći će ih koristiti i policija, od lokalne do federalne. Iako je uobičajeno opravdanje prilikom predlaganja takvih zakona da će se koristiti protiv pedofila i terorista, policija će ih moći zatražiti i za manje "atraktivne" prijestupe.

Iako osobno ne vjerujem da će netko provjeravati metapodatke baš svakog pojedinog građana, barem dok ne skrene pažnju na sebe, na primjer time što se angažira politički ili u nekoj nevladinoj udruzi, ipak sama mogućnost provjere može predstavljati rizik. Poziv krivom čovjeku u krivo vrijeme može vas staviti na listu sumnjivih osoba, a da i ne slutite da ste se upleli u neku istragu. Isto se može dogoditi ako zabunom zovete pogrešan broj. A posuđivanje mobitela nekome tko kaže da mu se ispraznila baterija ili je potrošio impulse može postati rizično. Uskoro će možda roditelji učiti djecu da nikome ne daju mobitel u ruke.

Zanimanja koja su obavezna čuvati osobne podatke, na primjer liječnici, odvjetnici, svećenici također bi se mogla naći u situaciji da se iz metapodataka izvuku povjerljivi podaci o njihovim klijentima. A novinari bi teško mogli sačuvati anonimnost svojih izvora, što je jedan od osnovnih postulata njihove profesije.

Kakva je situacija u Evropskoj uniji? 2006-te je donesena Direktiva 2006/24/EC koja regulira zadržavanje podataka o korištenju javno dostupnih komunikacijskih usluga. U Rumunskoj je čak donesen zakon koji propisuje čuvanje komunikacijskih metapodataka. No direktiva je izazvala javnu raspravu i doživjela mnoge prigovore, najviše od liječnika, novinara, grupa koje se bave zaštitom ljudskih prava, pravnika ali i tvrtki koje se bave informacijskom sigurnošću. Sve je to dovelo do toga je 2014. Sud Europske unije proglasio direktivu nevažećom jer obezvrijeđuje prava sadržana u Povelji o temeljnim pravima građana Europske unije (EU Charter of Fundamental Rights). EU skeptici, čini se da članstvo u EU ima i pozitivnih strana! Sad se više ne mogu prikupljati podaci o građanima ako za to ne postoji opravdan razlog. Barem se nadamo da je tako!

Iznova se moramo prisjećati da današnja tehnologija pruža mogućnost totalnog nadzora nad građanima, što otvara brojne načine zloupotrebe i manipulacije. Poznavajući navike i načine razmišljanja ljudi, političari i tvrtke mogu lakše manipulirati njima, oblikovati svoje poruke tako da se građanima bez otpora "zavuku pod kožu". Zato moramo uvijek izricati svoje mišljenje i ne dozvoliti da se bez nas, građana, donose zakoni koji nam ograničavaju temeljna prava. Demokracija ne znači da se vam prava "automatski" zagarantirana, nego samo da imate priliku uvijek se iznova zalagati za njihovo očuvanje.

Za kraj, prisjetimo se prve strofe Stingove pjesme:

Every breath you take
Every move you make
Every bond you break
Every step you take
I'll be watching you

Mora se priznati da za jednu ljubavnu pjesmu riječi zvuče prilično zlokobno.