Open Source Osijek nastavlja s predavanjima o Linuxu. Predavanja se održavaju na osječkom Elektrotehničkom fakultetu, pa navratite sutra ukoliko ste u blizini.

Područja koja će se obraditi na ovoj radionici:

•     Shell skripte (kratki pregled)
•     Izvršavanje naredbi u zadano vrijeme
•     Administracija Linux sustava
•     Razine rada (runleveli)
•     Rad s paketnim sustavom
•     Arhiviranje i komprimiranje/dekomprimiranje
•     Editor VI
•     Mrežni sustav

Učionica je opremljena s 24 računala, što znači da je to i maksimalan broj mjesta za radionicu. Zbog ograničenog broja mjesta, prijave su obavezne. Nakon ove radionice uskoro slijedi i nastavak, a točan termin ćemo objaviti naknadno.

Datum održavanja radionice : 21.05.2016.

Vrijeme : 10:00 – 12:00.h.

Lokacija : ETFOS (Kampus), Cara Hadrijana 10.b.
Učiona : 3-13. (u potkrovlju)

Predavač: Hrvoje Horvat

Prijavite se na adresi:

http://softwarecity.hr/event/uvod-linux-13/

Iako na Portalu za sistem-inženjere možete pronaći najčešće probleme koje sistemci mogu susresti u radu, ponekada dobijemo pitanja koja su već odavno objavljena. Čini se da je potrebno povremeno ponoviti neka rješenja, pa krenimo.

Kolega piše:

Spamassasin nam vjerojatno filtrira mailove o registraciji
programa jedne tvrtke, oni ne dolaze do korisnika. 
Da li ima neki jednostavan nacin da lociram filtrirani mail? 

Kako pronaći i vratiti mail u "optjecaj" smo objasnili jos 2009. godine u ovom članku, a sudeći po komentarima članak je bio čitan i kasnije, jer su kolege uočili da naredba amavisd-release sada radi malo drugačije. No, evo kratkog odgovora:

ID maila se može pronaći u /var/log/mail.log, samo treba napraviti grep (u slučaju da se radi o starijem mailu, upotrijebite naredbu zgrep nad zarotiranim logovima - mail.log.1.gz i drugima):

# grep "Blocked SPAM" /var/log/mail.log
Oct 22 07:49:56 server amavis[1495]: (01495-03-4) Blocked SPAM {DiscardedInbound,Quarantined}, 
[2000:b68:ff:7::1]:49734 [A.B.C.D] <bounces+1428931-2546@tvrtka.com> -> <korisnik@domena.hr>, 
quarantine: H/spam-HqhbtpTGXlbr.gz, Queue-ID: 172234BA22, Message-ID: <toNAlrzYTr-11k3D3Bvx

Dakle, zaustavljeni mail je u datoteci "spam-HqhbtpTGXlbr.gz". Karantena se nalazi u direktoriju /var/lib/amavis/virusmails, pa je potražimo:

# find /var/lib/amavis/virusmails -name spam-HqhbtpTGXlbr*
/var/lib/amavis/virusmails/H/spam-HqhbtpTGXlbr.gz

Još je samo preostalo vratiti mail natrag u Postfix, što ćemo napraviti s naredbom amavisd-release:

# amavisd-release H/spam-HqhbtpTGXlbr.gz

Potrebno je navesti i slovo poddirektorija, u ovom slučaju "H".

Drugi kolega je htio znati kako vratiti zabranjene datoteke ("pisat će BANNED"). Stvar je ista, samo treba promjienti parametre naredbe grep:

# grep BANNED /var/log/mail.log

Daljnji je postupak identičan.

Na Srcu su od 23. do 25. svibnja 2016. održani Dani e-infrastrukture kao završna manifestacija proslave 45. godišnjice rada. Namjera je Srcaša bila da okupe s jedne strane IT stručnjake koji sudjeluju u izgradnji i održavanju e-infrastrukture, korisnike tih sustava, ali i dužnosnike koji donose odluke o ulaganju u znanost. U tome su djelomično uspjeli, jer se pozivu odazvala samo nekolicina "upravljača". Dani e-infrastrukture ubuduće će zamjenjivati tradicionalna okupljanja korisnika u Srcu kao što su Dan sustava AAI@EduHr, Dan digitalnih repozitorija i Okupljanje korisnika ISVU REST API-ja.

Dok se gradila mreža CARNet, novim članicama isporučivali smo mrežnu opremu i Unix server za osnovne servise poput e-maila, weba i ftp-a. Danas pojam e-infrastrukture podrazumijeva mnogo više usluga. Od mrežne infrastrukture, koja se sve više podrazumijeva i postaje nevidljiva (dok ne zakaže), podatkovnih centara, spremišta za podatke i virtualnih servera, do posredničkog sloja (autentikacija i autorizacija, nadzor i sigurnost, evidencija, naplata...), pa preko podatkovnog sloja (digitalni repozitoriji i arhivi) do aplikativnog sloja koji korisnicima omogućava lakoću pristupa (registri i portali, sustavi za e-učenje, alati za kolaboraciju, podršku poslovnim procesima i odlučivanju...). S obzirom na složenost takvih sustava, prirodno je da se događa centralizacija i koncentracija tih usluga u specijaliziranim ustanovama.

Događanje se proteglo na tri dana. Prvi dan posvećen je financiranju informatike kao podrške znanstvenom i obrazovnom radu. Znanstvenici koji sudjeluju u međunarodnim projektima suglasni su u tvrdnji da bez dobre e-infrastrukture danas nije moguć ozbiljan znanstveno istraživački rad. Problemi se javljaju tu, kod kuće. Saznali smo da se po izdvajanju za znanost Hrvatska nalazi u prosjeku okruženja, za razliku od Slovenije koja je ulaganja povećala do prosjeka EU. Kod nas se znanost još tretira kao trošak, umjesto kao ulaganje u inovacije koje trebaju povući za sobom gospodarstvo. U tom je smislu bilo zanimljivo izlaganje dr. sc. Dubravka Kičića, izvršnog direktora i predsjednika uprave BIOCentra o ulozi e-infrastrukure u razvoju biotehnologije. U futurističkoj zgradi unutar bivše vojarne na Borongaju napravljen je inkubator s dobro opremljenim laboratorijima koji omogućava znanstvenicima da svoja otkrića provjere, razviju i pretvore u proizvode, prije nego se otisnu u poduzetničke vode. Smisao je centra upravo u tome da olakša i ubrza put od istraživanja do komercijalne eksploatacije.

Akademik dr. sc. Dario vretenac, predsjednik Upravnog odbora Hrvatske zaklade za znanost upoznao nas je djelatnošću Zaklade, financiranjem znanstvenih projekata. Istaknuo je da pri planiranju projekta poželjno računati i na trošak za korištenje e-infrastrukture.

Prof. dr. sc. Zlatan Car, prorektor za informatiku Sveučilišta u Rijeci, upoznao je prisutne s razvojem Računskog centra sveučilišta u Rijeci, koje je usporedo sa znatnim ulaganjem nastojalo smanjiti troškove objedinjavanjem usluga na razini sveučilišta. Financiranjem su pokrili trošak nabave superračunala Bura i održavanja za pet godina, ali još uvijek treba plaćati režije, radi čega korištenje računalnih resursa naplaćuju korisnicima koji nisu sastavnice Riječkog sveučilišta. Srce još uvijek pruža svoje usluge besplatno, zahvaljujući podršci Ministarstva znanosti, ali pitanje je do kada će takva praksa opstati. Po svemu sudeći svi će znanstveni projekti morati izdvojiti ponešto za korištenje e-infrastrukture, jer im je to isplativije nego da je sami razvijaju za potrebe pojedinog projekta. Sredstva dobijena iz EU tu su od presudne važnosti. Tako smo saznali da nam je ponuđeno 20 milijuna eura za edukaciju znanstvenika o korištenju e-infrastrukture.

Izlaganja drugog dana posvećena su izgradnji otovrenog znanstveno-obrazovnog oblaka u Hrvatskoj. Dat je pregled infrastrukture za napredno računanje (clusteri), pa se pričalo o primjerima njihove primjene, na primjer za klimatske simulacije. Istaknuo bih predavanje o Nacionalnom identifikacijskom i autentifikacijskom sustavu (NIAS) koje je održao Dražen Božić iz Uprave za e-Hrvatsku. Radi se izgradnji single-sign-on sustava za cijelu EU, a NIAS je njegova sastavnica. Osim elektroničkih identiteta koje izdaje FINA, vrijede i akademski identitetu iz AAI@EduHr, te identiteti koje izdaju neke banke u Hrvatskoj. Poslije ručka prezentacije su  bile posvećene ISVU REST API-ju.

Zadnji dan posvećen je digitalnim repozitorijima u sustavu znanosti i visokog obrazovanja, pa se pričalo o Dabru (Digitalni akademski arhivi i repozitoriji), Hrčku (Portal znanstvenih časopisa), ARA-i (Agregator hrvatskih repozitorija i arhiva) i CRIS-u (Current Research Information System), sustavu koji je u izgradnji a treba postati neka vrsta Googlea za pretraživanje aktualnih znanstvenih istraživanja. Tu će se moći pronaći profile znanstvenika i znanstvenih ustanova, njihova istraživanja i projekti, događanja...

Kao i uvijek prisustvovanje ovakvim skupovima pruža priliku da se nauči nešto novo, upozna zanimljive ljude i utvrdi poznanstva s kolegama iz drugih gradova. Vidimo se ponovo nagodinu.

Radoznalci koji nisu mogli doći do Zagreba mogli su pratiti izlaganja preko video linka. Dodatni podaci i događanju i linkovi na prezentacije dostupni su ovom linku: http://www.srce.unizg.hr/dei2016

Računalni praktikum (učionica) je savršen poligon za učenje i testiranje robusnosti hardvera, softvera i operativnog sistema. Velik broj korisnika, velik raspon instaliranog softvera, nepravilna gašenja i slično povećavaju vjerojatnost  da se nesmotrenim ili namjernim potezom onesposobi sustav ili hardver. Na takvim slučajevima sistemac može mnogo naučiti. Evo jednog primjera.

Tijekom ove kalendarske godine računalna učionica je opremljena Windows 10 računalima. Na svakom od njih osim administratorskog računa postoji običan korisnički račun "vjezbeMF" kojeg koriste studenti. Pošto nemamo Windows domenu sve se administrira na lokalnom računalu. Nakon par mjeseci "bezbrižnog" rada kolegica koja drži vježbe uzrujala se zbog neodgovornog studenta, pseudonima "AnteS". Student željan dokazivanja svog informatičkog znanja uspio je korisnika "vjezbeMF"  "ubiti" i zamjeniti korisnikom ante_S@hotmail.com. Naš lokalni korisnik više nema mogućnost prijave na sustav, login je preuzet privatnim računom "AnteS".

Naravno da nam odmah pada na pamet da je iskorištena neka "legalna" opcija koja to omogućava, pa smo malo proučili slučaj. Nakon što smo obrisali našeg "AntuS" sa sustava stvorili smo ponovo korisnika "vjezbeMF". Prijavili se sa korisnikom "vjezbeMF" na sustav i pronašli postavke korisnika.



Opcija Make changes to my account in PC settings zvuči kao "laka žvaka" svakom ambicioznom studentu.



Pa vrlo jednostavno se nudi Sign in with a Microsoft account instead. Započnemo prijavu sve dalje ide lako. Našeg "izmišljenog"Space Jam privatnog Microsoft  korisnika umjesto lokalnog korisnika ubacujemo u sistem bez administrativne lozinke.

 
Space Jam je sada legalni korisnik našeg računala u PC učionici, a "vjezbeMF" je izbačen iz prijave.

Ovaj space jamming nam se baš ne sviđa kao opcija na računalima za vježbe. Nakon konzultacije s MS dokumentacijom pronalazimo način spriječimo zamjenu lokalnog korisnika za MS korisnika. Upišimo poznati: Run-->gpedit.msc

Pronađimo: Local Computer Policy -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Block Microsoft accounts .

U podrazumijevanoj konfiguraciji postavka je  "nedefinirana", pa editiranjem uključimo opciju Users can’t add or log on with Microsoft accounts i spremimo promjenu.

Provjerimo sada postavke našeg lokalnog korisnika.

 
Opcija Sign in with a Microsoft account instead više nije aktivna. Postoji obavijest Some settings are managed by your organization. AnteS treba tražiti novu priliku za uzurpaciju sistema.

Microsoft je "u startu" odlučio dati veliku slobodu u mogućnost zamjene lokalnog korisnika sa MS korisnikom. Što možemo opravdati komercijalnim razlozima uključivanja što više korisnika u svoje "oblačne usluge", ali se to ipak čini nekorektno na način kojim eliminira lokalnog korisnika bez dozvole lokalnog administratora.

Davna su bila vremena kada je Sistemac morao brinuti o samo jednom poslužitelju (barem je tako bilo u počecima CARNet mreže), sada se mora brinuti o više njih, dok pojedinci skrbe o njih nekoliko desetaka ili više. U kombinaciji sa programima screen/tmux i SSH-om, lako je moguće zbuniti se i napraviti pogrešku, te restartati pogrešan poslužitelj.

Da se to ne bi dogodilo, postoji program "molly-guard" koji će vas upitati za ime poslužitelja kojeg želite restartati.  Ukoliko otkucate krivo ime, dobit ćete poruku o grešci i ništa se neće dogoditi.

Ukoliko otkucate pravo ime, poslužitelj će se restartati, baš kako ste htjeli. I to je sve što program radi, prava Unix filozofija na djelu!

Program se instalira sa standardnim apt-get:

#apt-get install molly-guard
The following NEW packages will be installed:
   molly-guard 
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded. 
Need to get 13.4 kB of archives. 
After this operation, 87.0 kB of additional disk space will be used. 
Get:1 http://ftp.debian.org/debian/ wheezy/main molly-guard all 0.4.5-1 [13.4 kB] 
...

Ne treba ništa podešavati, samo trebate nastaviti koristiti naredbu reboot, shutdown ili poweroff/halt kako ste i navikli:  

------KADA SE ZABUNITE-----------------------

# reboot 
I: molly-guard: reboot is always molly-guarded on this system. 
Please type in hostname of the machine to reboot: drava.etfos.hr 
Good thing I asked; I won't reboot drava ... 
W: aborting reboot due to 30-query-hostname exiting with code 1. 
# 

---------------------------------------------

ili

------KADA ZNATE ŠTO RESETIRATE-----

# reboot 
I: molly-guard: reboot is always molly-guarded on this system. 
Please type in hostname of the machine to reboot: drava 
Broadcast message from root@drava.etfos.hr (pts/1) 
(Tue May 31 17:1The system is going down for reboot NOW!   

----------------------------------------------  

Kao što vidite, varijabla hostname koju provjerava je kraća verzija hostname-a:  

# hostname drava.etfos.hr 
# hostname -s drava

Molly-guard detektira da ste logirani preko SSH-a, te ne dopušta reboot dok ne ukucate točan naziv poslužitelja. No, oprez, ova detekcija nije svemoguća, jer se provjerava samo varijabla SSH_CONNECTION i trenutni pty (koji bi trebao biti child proces od procesa sshd).  Zato preporučujemo da otkomentirate jedinu opciju u /etc/molly-guard/rc:

---------/etc/molly-guard/rc-----------
ALWAYS_QUERY_HOSTNAME=true
----------------------------------------------   

Na ovaj način molly-guard će uvijek pitati za ime poslužitelja, bez ikakvih provjera varijable SSH_CONNECTION i pty-a.

U direktoriju /etc/molly-guard još možete naći direktorije messages.d i run.d. U prvi možete staviti nekakve specifične poruke za vaš poslužitelj, a u drugi neku skriptu koju želite pokrenuti prije nego se pokrene naredba reboot. I to je uglavnom to, jednostavna i korisna naredba koju nije loše imati na stroju.

A ukoliko ste se upitali zašto "Molly", i ukoliko je vjerovati Wikipediji, riječ je o kćerki IBM-ovog inženjera koja je uspjela dvaput u jednom danu restartati mainframe računalo. Od tada je na reset tipki postavljena plastična zaštita(danas poznata kako molly-guard), a preko ove naredbe svoju verziju je doživjela i softverska reboot tipka.    

Dovecot je nesumnjivo jedan od najpopularnijih POP3 i IMAP poslužitelja. Na portalu za sistemce napisano je dosta tekstova o ovom poslužitelju ( https://sysportal.carnet.hr/node/225, https://sysportal.carnet.hr/node/380 ), no uvijek iskrsne nešto novo, a zadatak je sistemca u što kraćem roku riješiti "problem".

Riječ problem stavili smo u navodnike, jer to zapravo i nije problem, no gledajući s korisničke strane može tako izgledati.

Naši korisnici danas rabe sve "moguće i nemoguće" aplikacije za pristup e-mailu. Na jednoj strani koriste stariji POP3 protokol, odnosno klijente poput Outlooka, Outlook Expressa, Windows Live Maila i slično. S druge strane neki koriste napredniji protokol IMAP putem webmaila (SquirrelMail, CARNet webmail itd.) ili imaju podešen klijent da koristi IMAP protokol.

Nerijetko se dešava da se pošta čita pomoću klijenta na osobnom računalu, ali i web mailom na tabletu ili pametnom telefonu. U toj kombinaciji Dovecot postavlja određene zastavice (flags) kako bi poštu označio kao novopristiglu, pročitanu i slično.

U nekim situacijama korisnik se može naći u nedoumici da li je neku poruku pročitao ili ne. Najbolje je to objasniti na primjeru. Naš je primjer nastao iz prakse, a objasnit ćemo ga na zamišljenom korisniku ppero@ustanova.hr.

Na osobnom računalu korisnik ppero je putem Outlook-a učitao e-mail, no nije ga pročitao. Zbog dogovorene obveze napušta računalo i odlazi na sastanak. Iz primjera je vidljivo da e-mail nije pročitan.

 Za vrijeme pauze s drugog računala pristupa e-mailu putem webmaila, koji mu pokazuje da je pošta pročitana tj. nije "zaboldirana" (na što su korisnici navikli).

Ne razmišljajući da prikazanu poštu u stvarnosti nije pročitao, napušta webmail uvjeren da nema novih poruka, da je dotične dvije već pročitao. Da su one bile važne shvatit će za nekoliko dana, kad ustanovi da je propustio seminar i predavanje.

Kako bi izbjagli ovakve situacije iskoristit ćemo jednostavno rješenje koje nudi Dovecot, a koje se odnosi na skidanje zastavice "Seen". POP3 protokol ne podržava postavljanje ovakvih zastavica, no ako se poštanski sandučić otvara s IMAP protokolom, onda je zastavica postavljena na "Seen".

Što nam je potrebno? Samo dvije stvari: da provjerimo koja verzija Dovecota je instalirana i da li je ispravno podešena. Razlog je što se u starijoj verziji podešavanje obavlja u datoteci "dovecot.conf", a nove verzije Dovecota imaju podijeljene konfiguracijske datoteke smještene su u direktoriju /etc/dovecot/conf.d/.

Kod nove verzije podešavanje ćemo obaviti u datoteci "20-pop3.conf".

Krenimo redom, prvo za stariju verziju, u direktoriju /etc/dovecot editiramo datoteku dovecot.conf, te potražimo "##POP3 specific settings". Uklonimo komentar "#" ispred linije "pop3_no_flag_updates = no" i postavimo vrijednost na yes:

## ## POP3 specific settings
## protocol pop3 {
# Login executable location.
#login_executable = /usr/lib/dovecot/pop3-login
# POP3 executable location. See IMAP's mail_executable above for examples
# how this could be changed.
#mail_executable = /usr/lib/dovecot/pop3
# Don't try to set mails non-recent or seen with POP3 sessions. This is
# mostly intended to reduce disk I/O. With maildir it doesn't move files
# from new/ to cur/, with mbox it doesn't write Status-header.
#pop3_no_flag_updates = no (ovdje ukloniti komentar i postaviti vrijednost na yes)

pop3_no_flag_updates = yes

Kod nove verzije editiramo datoteku: /etc/dovecot/conf.d/20-pop3.conf, gdje također moramo potražiti "## POP3 specific settings" i uklonimo komentar ispred linije "pop3_no_flag_updates = no" i postavimo vrijednost na yes:

# protocol pop3 {
 # Don't try to set mails non-recent or seen with POP3 sessions. This is 
# mostly intended to reduce disk I/O. With maildir it doesn't move files 
# from new/ to cur/, with mbox it doesn't write Status-header. 
#pop3_no_flag_updates = no (ovdje ukloniti komentar i postaviti vrijednost na yes)
pop3_no_flag_updates = yes 

Nakon što smo uklonili komentar, te postavili vrijednost na "yes", trebamo napraviti restart Dovecot-a i isprobati da li sve radi:

# /etc/init.d/dovecot restart 
[ ok ] Restarting IMAP/POP3 mail server: dovecot. 
# 

Pogledajmo kako izgleda prikaz učitane pošte putem POP3 i IMAP protokola istovremeno i na klijentu POP3 i IMAP web mailu: Učitana pošta putem Outlooka Expressa iz kojeg je vidljivo da pošta nije pročitana:

 Slijedi učitavanje putem webmaila gdje je također vidljivo da pošta nije pročitana:

Sada korisnik više ne bi trebao biti u nedoumici što jest, a što nije pročitao.

Sistem inženjeri koji u svom svakodnevnom radu koriste pristup skrivenom dijeljenom disku C$. Ovaj je disk poznat kao "administrative share", a omogućuje udaljeni pristup korijenskom disku (C drive). No, pojavom Windowsa 10 došlo je do nekih izmjena u pokušaju udaljenog pristupa korijenskom disku, bilo da se radi o C$ ili D$ ili nekom drugom. Da se ukratko posjetimo, za udaljeni pristup C$ disku, na udaljenom računalu trebalo je imati lokalni administratorski račun, IP adresu ili naziv računala. S osobnog računala ukucali bi \\ip ili naziv računala i time aktivirali prozor za upis korisničkog imena i zaporke:

Ako isto pokušate na Windows 10, bez obzira štp imate administratorske ovlasti ili ste aktivirali administratorski račun, nakon autentikacije udaljeno računalo vas "propusti", ali dobit ćete samo praznu "stranicu" na desnoj strani Windows explorera:

Ako tada iza IP adrese upišete administrativni share C$ (\\IP\C$), nakon čega ponovo morate upisati korisničko ime i zaporku, i dalje ostajete na početnoj poziciji:

Pokušavate nekoliko puta misleći da ste pogriješili prilikom ukucavanja korisničkog imena ili zaporke. Na kraju jednostavno odustanete i shvatite da je nešto drugo u pitanju, tj. da je Microsoft nešto promijenio, odnosno isključio opciju pristupa. Zaključujemo da je to ipak nekakva "zabrana". Minuta guglanja i ostatak rješenja je na vidiku, a krije se u editiranju registryja.

Na računalu kojem želimo uključiti udaljeni pristup pokrenimo "regedit" (s administratorskim ovlastima) te pronađimo ključ:

HKLM\Software\Microsoft\Windows\currentVersion\Policies\System

Nakon što raširimo stablo, pozicioniramo se na System, desnom tipkom kreiramo novi DWORD (32bit) ključ s nazivom "LocalAccountTokenFilerPolicy":

Nakon kreiranja dodijelimo mu vrijednost "1":

Ovim je mogućnost pristupa administrativnom share-u omogućena. Napomenut ćemo da restart računala nije potreban jer sve odmah radi, što se može i provjeriti ponovnim ukucavanjem C$ iza IP adrese na koju smo se već prijavili. Istog trenutka dobit ćemo podatke za C$ dijeljeni disk:

Nove tehnologije donose nam nove radosti (bar nama techijima :), a čovječanstvu olakšavaju život. U bivšoj državi su nas učili, u duhu marksizma, da tehnologija oslobađa čovjeka od teškog, dosadnog, repetitivnog rada i ostavlja mu slobodno vrijeme da bude kreativan. To je istina, ali nije cijela istina. Koliko je ljudi oko vas kreativno?

Psiholozi kažu da je 15% populacije darovito za nešto (glazbu, slikanje, matematiku, nogomet, plivanje, žongliranje, bilo što...). S druge strane, koliko muškaraca poslije posla ide s dečkima na piće, komentira nogomet, politiku. Takav život nije baš ispunjen kreativnošću, složit ćete se. Zapravo, velika većina ljudi ne zna što bi s viškom vremena, a moderno društvo nudi rješenje za njih: uvijek možete sjediti satima ispred televizora, s daljinskim upravljačem u rukama, grickajući grickalce i pijuckajući pivo, gledajući nogomet i beskrajne reprize filmova i serija, zavirujući u tuđe živote, kad već nemate svoj vlastiti i, ne smijemo zaboraviti, upijajući usput reklame. Ubijanje viška vremena, to je uloga namijenjena nedarovitima. Umjesto da se sami zabavljaju, sjede pasivno ispred ekrana i puštaju da ih drugi zabavljaju. Televizija je bujica slika između dvije reklame. Industrija dangubljenja nudi i drugačije sprave za ubijanje vremena: pametne telefone, tablete, društvene mreže.

Naš populistički, ali lucidni trener Ćiro Blažević, dok objašnjava što je sve potrebno za uspjeh, na prvom mjestu spominje talent, ali kao najmanje važnu komponentu. U svakom selu ima talentirane djece, ali većina neće nikad ništa postići u životu. Uz talent treba imati jaku volju i upornost, jer uspjeti moraš usprkos svim problemima, podmetanjima okoline. Dobro dođe i stimulativna sredina koja podržava talente. Ćiro znakovito dodaje kako nikad nije puštao u svlačionicu "političare"!

Techies su, bar oni pravi, uvijek zaigrani i uvijek spremni istraživati. Tako je prošle godine, kao rezultat zabavnog istraživanja, etički haker Samy Kamkar složio spravicu koja izvana izgleda kao običan USB punjač za mobitele, tablete. No u kućištu se krije Arduino matična ploča koja hvata signale bežične tipkovnice i šalje SMS-ove kad ulovi neku zanimljivu informaciju, na primjer korisničko ime i zaporku. Spravica neko vrijeme radi i nakon što se isčupa iz utičnice, jer ima vlastitu bateriju. Zabavno, zar ne? Na udaru su stariji modeli Microsoftovih bežičnih tipkovnica koji ne koriste AES enkripciju. No čini se da da se ideja dopala i nekim tipovima kojima nije do zabave, jer je FBI izdao upozorenje tvrtkama da aktivno traže keyloggere koji mogu krasti povjerljive podatke. FBI upozorava  da je uređaj lako prilagoditi za rad na različitim frekvencijama što čini ranjivim brojne uređaje (Bluetooth, WIFI, SMS...). Mnogi zaposleni na posao donose punjače mobitela. Jesmo li ikad pomislili da ih se treba čuvati? Možda je vrijeme da razmislimo.

I tako se opet s tehnologije vraćamo na ljude. Sve što dobronamjerni kreativci naprave može se koristiti u zle svrhe. Tehnologija može vrlo efikasno ubijati ljude, porobljavati ih, nadzirati, usmjeravati njihov način razmišljanja i djelovanja. Marks je smatrao da je čovjek u svojoj biti dobar i kreativan, samo ga loše društveno uređenje kvari. Promjenom društva nabolje promijenit će se i ljudi i čovječanstvo će procvasti. Komunizam je buduće društvo u kojem će svi dobijati prema potrebi, a raditi prema sposobnostima. Država će odumrijeti, jer je parazitska tvorevina. Brak također, jer je institucija koja porobljava žene. Danas se na takav utopizam možemo samo nasmiješiti. Promjena društvenog uređenja bez promjene samog čovjeka je promašen projekt. Dobro i zlo nisu izvan čovjeka, taj vječni dualizam izaziva sukobe koji se neprestano odvijaju u svakom od nas pojedinačno, a ne samo u nečem izvanjskom, na pr. nepravednom društvu. Jer kako bi nepravedno društvo uopće postojalo bez loših ljudi koji ga stvaraju i održavaju?

"Arbeit macht frei" je natpis iznad kapije nekolicine nacističkih konclogora, što su iscrpljeni logoraši na prisilnom radu smatrali uvredom. Moju su generaciju učili da je rad stvorio čovjeka, pretvorio ga "iz majmuna u čovjeka", biće koje upravlja svojom sudbinom. Ideologija koja danas prevladava, neoliberalizam, također ima što reći o radu. Neoliberalizam je obećao ekonomski procvat, ali je samo postigao da šačica najbogatijih postane još bogatija, dok srednja klasa osiromašuje. Svijet je sada automatiziran, kompjuteriziran, robotiziran, sve je manje potrebe za ljudskim radom, a ljudska populacija nekontrolirano raste. Kako je konkurencija na tržištu rada sve veća, nije problem smanjivati nadnice. U bivšoj Jugi u Ustavu je kao osnovno ljudsko pravo stajalo pravo na rad, jer čovjek koji ne radi  ovisan je o drugima i ne može ostvariti svoje ljudsko dostojanstvo. Danas se puna zaposlenost smatra nemogućom, a zdravstveni i mirovinski sustavi svuda su u svijetu bankrotirali, mada se političari to ne usude priznati. I naša se država zadužuje da bi isplaćivala mirovine i pokrivala minuse u zdravstu. Koncept 40/40/40 (radiš 40 sati tjedno kroz 40 godina i dobit ćeš mirovinu koja iznosi 40% tvoje plaće) ide u ropotarnicu povijesti. Nova paradigma je mikrozapošljavanje, ljudi preko posredničkih agencija rade, ako imaju sreće, nekoliko sati dnevno. Čekaju da ih se pozove, pa da odrade nešto za poslodavce koji tako štede. One srećkoviće koji su u radnom odnosu poslodavci uz pomoć računala nadziru cijelo vrijeme, pa im surfanje na poslu i čitanje privatnih mailova odbijaju od plaće. Dvadesetpet postotna nezaposlenost je postala normalna pojava u razvijenim zemljama, a s vremenom će bivati sve gore. Kako će izgledati život naše djece? Hoće li se debljati ispred televizora čekajući da im agencija ponudi neki poslić? U isto vrijeme banke dnevno obrću milijarde, naplaćujući proviziju za svaku transakciju, a ne plaćaju porez za to. Zašto je to moguće? Zato što u demokraciji glasačka mašinerija donosi zakone koji odgovoraju najbogatijima. Na zapadu to zovu "zlatno pravilo": tko ima zlato donosi zakone. Naš je Sabor izglasao zakon po kojem državna revizija ne može kročiti u banke koje su u stranom vlasništvu, a kod nas su to gotovo sve. U SAD je normalno da najbogatiji plaćaju najmanje poreza. Warren Buffet je nedavno izjavio da njegova tajnica plaća veći porez od njega. Eto i nama neoliberalnog najboljeg od svih svjetova!

Sve je više ljudi, a sve manje posla! Gdje neoliberalni kapitalizam vidi izlaz iz ovog apsurda? Jedan od savjeta je da svi radimo ono što rade najuspješniji, najbogatiji: svatko od nas treba postati poduzetnik i investitor. Dio zarade treba odvojiti za ulaganje koje donosi dobit. Ali tu ima jedan "problemčić": ljudi su školovani i odgajani da budu tuđa radna snaga, a zaradu troše na stvari koje im zapravo i ne trebaju, dakle uludo je ulažu u pasivu koja im samo odnosi novac iz džepa. Što oni znaju o ulaganju u aktivu da bi njihov novac zarađivao novac, umjesto da mijenjaju svoj rad za bijednu nadnicu? Da, treba nam kurikularna reforma. Generacije su školovane za "opsluživanje strojeva", zato traže stalan posao, malu plaću koja uredno dolazi i vjeruju da će im mirovina biti dovoljna za život. Ne vide da to vjerovanje pripada industrijskom društvu, a mi danas živimo u postindustrijskom, informatičkom svijetu, u okruženju koje se drastično izmijenilo. Tu se javlja još jedan "problemčić" psihološke prirode. Takvi se ljudi boje rizika, a svako je investiranje rizično. Ne razumiju da je danas upravo vjerovanje u stalan posao izuzetno rizično.

Vaš je kolumnist mjesec dana na bolovanju, pa se uživio u ulogu "suvišnog čovjeka". Nagledao sam se televizije i načitao knjiga. Razvio sam metodu aktivnog gledanja TV-a: umjesto da gledam sve redom i nasumce mijenjam kanale, u programu nađem zanimljiv sadržaj, gasim ton čim počnu reklame i nemilosrdno gasim TV čim završi emisija koju vrijedi gledati. Dokolica mi je pružila priliku da pročitam poneku knjigu koja je kupljena davno na Interliberu i strpljivo čekala da joj otpušem prašinu s korica. Neke od njih govore o novoj društvenoj paradigmi i o pametnom investiranju, kao što se vidi iz priloženog.

Pitate se zašto ne čitam knjige na e-book readeru? Oba su se pokvarila, jednog je mačka gurnula sa stola na pod, pukao je ekran. Drugi je naprosto prestao raditi, u servisu sliježu ramenima. Uostalom, slađe je okretati listove i mirisati papir. Bio sam u napasti da si kupim novi e-book reader, ali ... zar nije bolje uložiti taj novac nekamo da se uvećava? Kad tih 1.000 kn stvori dobit od nekoliko tisuća, onda ću odvojiti za novi e-book reader, a ostatak reinvestirati. Mirovina mi se smiješi za godinu dana, a s njom i vrijeme kad si neću moći priuštiti jutarnju kavu i čitanje novina u obližnjem kafiću. :)

Ako je rad stvorio čovjeka, što će od njega napraviti nerad? Na to će pitanje uskoro trebati dati odgovor. Jesam li vam pričao o trailer parkovima u SAD, velikim parkiralištima s uredno poredanim kamp kućicama, spojenim na struju i vodovod. U njima živi sirotinja od koje su svi digli ruke. Jednom tjedno idu po čekove socijalne pomoći, plate režije, nakupuju gotovu hranu koju podgrijavaju u mikrovalnim pećnicama, šteke piva i cigareta, pa cijele dane sjede pred televizorom. Djeca im idu u ofucane državne škole, a liječe se u javnim bolnicama koje pružaju minimalnu uslugu. Za nešto više od toga treba imati novaca. U tim parkovima odrasta već treća, četvrta generacija besprizornika. Je li to neoliberalna antiutopija koja nas očekuje? Možda, ako sami prihvatimo takav obrazac života. Ali nama to nije u naravi, zar ne? Znamo se mi pobrinuti za sebe, bez obzira na sve zamke koje nam društvo sprema. Ipak su sistemci kreativci!

Već smo navikli da Microsoft sa svakim novim operativnim sustavom ili njegovom nadogradnjom upakira i neki novi dodatak. Jedan od njih je i famozni Wi-Fi Sense, koji se prvo pojavio na pametnim telefonima, pa je prenesen u Windowse 10. Kažemo "famozni", jer Wi-Fi Sense omogućuje automatsko spajanje na Wi-Fi mreže vaših prijatelja bez poznavanja zaporke.

Da, dobro ste pročitali. možete se spojiti na neku od Wi-Fi mreža, a da za nju ne znate zaporku. Ukoliko je Wi-Fi Sense uključen i ukoliko ste na računalo prijavljeni Microsoftovim korisničkim računom, imate uključenu mogućnost podjele prava pristupa mreži koju ste odabrali (pročitajte dobar članak zašto ponekad treba isključiti mogućnost prijave s Microsoft računom na https://sysportal.carnet.hr/node/1649).

Wi-Fi Sense će dodijeliti pristup mreži kontaktima iz ova tri servisa: Outlook.com, Skype i naravno Facebook.

Zaporka podijeljena putem Wi-Fi Sensa se ne vidi, jer dolazi u kriptirana s Microsoftovih servera. Zato je potreban MS korisnički račun da bi Wi-Fi Sense radio, a s lokalnim računom Wi-Fi Sense ne radi.

Isto tako, prema tvrdnjama Microsofta, ako ste putem Wi-Fi Sensa podijelili pristup sa svojim kolegom (nazovimo ga Pero), on nije u mogućnosti dalje dijeliti vaš pristup s nekim trećim.

Wi-Fi Sense neće podijeliti mrežni pristup za mreže koje koriste protokol 802.1x EAP, ali ako se koriste WPA/WPA2 ključevi dijeljenje je omogućeno.

Budući da se ovdje radi o dijeljenju zaporke, korisnici nisu bili oduševljeni ovom značajkom Wi-Fi Sensa, a kao što Murphy zakon kaže: "sve što se može hakirati, bit će hakirano.". MS je, na kraju, u novijim nadogradnjama, odlučio isključiti Wi-Fi Sense.
   
Ako je ipak u vašim Windowsima 10 ostao uključen, evo načina kako ga isključiti i zaštiti SSID (Service Set Identifier) od daljnje podjele s vašim kontaktima.

Za isključivanje Wi-Fi Sense moramo otići u Network&Internet:

Start --> Settings --> Network&Internet --> Wi-Fi
   
Potvrdimo poveznicu "Manage Wi-Fi settings", gdje možemo vidjeti je li Wi-Fi sense uključen i koji su kontakti odabrani za dijeljnje pristupa:

Isključite neželjene servise (od Outlooka do Facebook-a), a ukoliko ne želimo dijeliti zaporke ni jednim servisom, jednostavno isključite "Connect to networks shared by my contacts".

Ovime je prvi dio završen, preostaje da u vašem kućnom routeru izmjenimo naziv SSID-a tako da na kraj imena dodamo nastavak "_optout". Time ste potpunosti ste onemogućili dijeljenje Wi-Fi mreže.

Na primjer, ako je SSID "kucnamreza", po novom SSID ce biti "kucnamreza_optout".

Podešavanje naziva bežične mreže razlikuje se od routera do routera, no to ne bi sistemcima trebalo biti problem. Kod nekih se uređaja to zove Wireless ili WLAN, a kod nas na Fritz!Box-u "Radio Network". U polje "Name of the wireless...."  se jednostavno na kraj naziva stavlja "_optout".

Ako ste kojim slučajem koristili Wi-Fi Sense, a zbog sigurnosnih razloga odlučili da više nećete, nakon poduzimanja ovih koraka morat ćete se strpiti par dana kako bi SSID bio dodan u popis "opted-out". Odnosno, kako to MS kaže:

"..It can take several days for your network to be added to the opted-out list for Wi-Fi Sense. If you want to stop your network from being shared sooner than that, you can change your Wi-Fi network password."

Za svakog sistemca UTP kabel (unshielded twisted pair) je neizostavan rekvizit u poslu. Ponešto smo već pisali o UTP standardima u ranijem članku. Promotrimo strukturu UTP kabla "iznutra" i usporedimo je s primjerima iz prakse. Vjerojatno se ovim "iznutra" ne bi ni zamarali kada bi kupovali gotove UTP kabele. Međutim zbog konfiguracija prostora i različitih udaljenosti među uređajima često je najpraktičnije rješenje izrada vlastitog UTP kabela "po mjeri".

Izrada UTP kabela ima svoje standarde kojih se treba pridržavati. Za izradu nam trebaju kliješta za krimpanje, par konektora RJ-45 i UTP kabel (kategorije po izboru).

UTP kabel sadrži ukupno 4 twisted pair (u žargonu iz telefonije "parice"), dakle četiri para spiralno upletenih žica. I parovi su međusobno spiralno upleteni i tvore zajedničku spiralu unutar vanjskog omotača.

U telekomunikacijama i profesionalnim audio sustavima postoji izraz balanced cable ili balanced signal pair, ali i obrnut slučaj, unbalanced cable. Primjer balansiranog kabela je naša "spiralna parica", a primjer nebalansiranog je koaksijalni kabel,coax ( u žargonu "koaksijalac"). Nebalansirani kablovi su pogodni za udaljenosti do 10 m, nakon čega signal slabi. Twisted pair savladava i veće udaljenosti.

Mrežni standard koristi posebnu tehniku protiv elektromagnetskih vanjskih utjecaja, šumova i smetnji. Podaci se po našoj UTP parici šalju na principu 2 identična, komplementarna signala, na način da je drugi signal inverzno polariziran, radi "obrnuti" signal tzv. mirror.

U svakom digitalnom pulsu uparena linija prenosi signal iste voltaže, ali obrnutog smjera. Na prijemu se 2 signala uspoređuju i moraju biti jednaki, sve razlike se tretiraju kao šum, smetnja i automatski se odbacuju.

Međusobna blizina ostalih parica u snopu može izazvati utjecaj susjednih električnih signala, a na parice također utiče i blizina drugih instalacija. Javlja se tzv. "preslušavanje", crosstalk, susjednih kanala. Međusobna isprepletenost susjednih parica anulira "preslušavanje" susjednih parica. Kada bi sve parice cijelim kabelom imale isti broj "zavoja" to bi se negativno odrazilo i poništilo pozitivan učinak differential signaling utjecaja. Da se to spriječi definira se različita frekvencija broja zavoja po dužini kabela po svakoj parici.

Primjer pronađen u literaturi:

Preporuka je da prekid prepletenosti na krajevima ne bude veći od 13 mm (kod krimpanja ili spajanja na utičnicu), što nama koji rijetko "krimpamo" nije uvijek lako izvesti. Profesionalca ćete prepoznati po tome što su na krajevima žice raspletene minimalno, a utikač RJ45 svojim zadnjim krajem pritišće izolaciju kabela i drži je. Kad "paceri" krimpaju, onda raspletene parice vire još nekoliko milimetara izvan utikača.

Budući da kao sistemci baratamo dužinama do 100 m i najčešće brzinama od 100 Mbps, po tom pricipu pokušavamo naći primjere iz prakse. Postoji li najmanja preporučena dužina UTP kabela?

Izvori s Interneta kažu da se po standardu između switcha i aktivnog uređeja treba nalaziti barem 1 m kabela. Kablovi kraći od metra mogu se koristiti za povezivanje patch panela i aktivne  opreme. Moguće je da kratki kablovi rade i na manjim dužinama, ali zbog latencije signala može doći do grešaka u sinhronizaciji.

Na slici UTP kabel dužine manje od 1m, spajao stari Carnet switch sa patch panelom

Kako se uopće koriste naše parice u realnosti za 100BASE-TX & 1000BASE-T i kategoriju kabela Cat 5 i Cat 5e? Zapravo vrlo jednostavno, koriste se 2 parice. "Zelena" i "Narandžasta" linija. "Zelena" balansirana linija za slanje podataka, te "narandžasta" za primanje podataka. "Plava" linija je uvijek u sredini, "slobodna" u oba standarda krimpanja radi mogućeg korištenja u  klasičnoj telefoniji.

Šeme spajanja žica na konektore dali smo u ranijem članku, dostupnom na ovom linku.

Gigabitni ethernet korisiti sve 4 parice (8 žica), ali to je za neku drugu priču.

Kako se ova sva "teorija" primjenjuje u stvarnom životu? Navodimo 2 loša primjera izrade UTP kabela koje treba izbjeći ako je moguće. Povod za ovaj članak je slučaj kada se, nakon zamjene računala, na jednom mrežnom priključku nije mogla uspostaviti LAN konekcija. Mreža je pokazivala aktivnost, ali se nije uspostavljao promet. Nakon provjere na drugom priključku i s drugim UTP kabelom veze je normalno uspostavijena. UTP priključni kabel na spornoj lokaciji bio je dug preko 10 m, prolazio je kanalicom s električnom instalacijom, što bi svakako trebalo izbjegavati, uz višak koji je smotan ispod stola i k tome još nepravilno zakrimpan. Boje su uzete slučajnim odabirom i nisu odgovarale standardu.

Problematični UTP kabel su  davnih dana pogrešno zakrimpali i takav je kupljen za ustanovu, začudo, radio je godinama na 100 Mb linku, na starom računalu preko PCI LAN kartice. Kada smo kabel pravilno zakrimpali po standardu T568B mreža je proradila. Novi PC s integriranom LAN mrežnom karticom je pronašao DHCP server i dobio adresu. Kabel je jednostavno bio "kostur u ormaru" koji nije primjećen.

Drugi nedavni "svjesni" loš primjer iz kućne radinosti: zbog vrlo kratkog UTP kabela, zažbukanog u zidu, i nemogućnosti spajanja nadžbukne UTP utičnice, kao "nužno zlo" odabrano je nestandarno rješenje: lemljenjem spojiti dva UTP kabela. Krimpani početak spojen u ADSL router LAN, sa krajem 50-tak metara dalje završava sa lemljenim spojem na nekoliko metara dug, UTP "produžni" kabel.  Loše rješenje je ispalo bolje nego se moglo očekivati. ADSL veza kod kolege doma je proradila. Naravno lemiti UTP kablove nije dobra praksa. Ali se ovdje pokazalo "izuzetci potvrđuju pravilo". Nekad treba imati i sreće da i loši UTP kablovi prorade:)

Uglavnom pazite kako krimpate . :)

Procjena je, i to suzdržana, da Android pogoni preko dvije milijarde aktivnih mobilnih uređaja. S uzlaznim trendom rasta. Na tim uređajima korisnici drže osobne i službene podatke. Marshmallow, AOS sa značajno unaprijeđenim sigurnosnim značajkama u odnosu na prethodne verzije, nalazi se na kojih 8% tih uređaja.

Kritična ranjivost svih verzija Android operativnog sustava ispod Marshmallowa, uočena sredinom prošle godine, imenovana kao Stagefright - vidi https://en.wikipedia.org/wiki/Stagefright_(bug) - na spektakularan je način potvrdila dijagnoze "katastrofičara" da je sigurnosna dimenzija AOS-a u velikom raskoraku s njegovom popularnošću. Naime, poput svakog kompleksnijeg softvera, neotporan je na mnoge vrste napada, a najgore je to što je logistika za efikasno otkrivanje i zatvaranje sigurnosnih rupa na embrionalnom razvojnom stupnju, jer ne surađuju oni koji mogu i moraju dati svoj doprinos, prvenstveno Google i tehnološki napredniji proizvođači uređaja.

Ono što je crv Sasser bio za Microsoft - okidač za sistematično bavljenje sigurnošću Windows OS-a - Stagefright je za kolovođe Android paradigme, Google i partnere. Što samostalno što surađujući, počeli su se ozbiljnije baviti raznim aspektima zaštite Android uređaja – (re)analizira se kod, otkrivaju se ranjivosti, objavljuju zakrpe... no i nadalje je primjena zakrpi za već objelodanjene ranjivosti nedopustivo spora, vremenski intervali mjere se u mjesecima. Također, poražavajuće je to što razne zločestobe mogu i danas, gotovo godinu dana od pojavljivanja Stagefrighta na svjetskoj sceni, u miru razvijati exploite (programski kod i metode) za iskorištavanje ove ranjivosti! Narednom ćemo slikom ilustrirati zašto. Na prvom je ekranu Galaxy S5 sa izvornim AOS-om 5.1.1, drugi je ekran skinut sa Galaxy S4 kojime upravlja izvorni AOS 4.4.4.



Slika otkriva tipičnu situaciju: Samsung je procijenio da mu se isplati pokrpati S5, a korisnicima S4 modela diskretno je poručio da si nabave noviji model ako se žele riješiti Stagefrighta. Podsjećamo da se je kod nas Galaxy S4 prodavao i 2015. godine, dakle, ne radi se o zastarjelom modelu. Bome, nit' jeftinom. Samsungov, recimo jasno – nekorektan - pristup primjenjuju i drugi razvikani proizvođači Android uređaja. Lako je stoga pretpostaviti u kakvoj su nezavidnoj situaciji vlasnici Android spravica proizvedenih od strane brojnih malih kuća. Uglavnom, eto zašto je Stagehfight i danas jako zanimljiv cyber podzemlju, naime, na terenu je trenutno barem milijarda uređaja koji nikada neće primiti anti-Stagefright zakrpu! Niti zakrpe novijeg datuma.

Deklarativno, kompletna elita Android industrije radi u interesu svojih kupaca, otvorili su web mjesta posvećena ranjivostima i ažuriranjima, ponešto i zakrpaju... napredak je vidljiv, ali ne drži korak sa ozbiljnošću situacije. Upućeni u problematiku tvrde da 97% aktivnog malwearea za mobilne uređaje otpada na Android platformu, također, smatra se da „olovna vremena“ tek dolaze zbog kontinuiranog porasta značaja mobilnih uređaja u sferi poslovanja, od SOHO do enterprise razine.

Pregledamo li Googleov repozitorij ranjivosti objavljenih unazad godinu dana na adresi https://source.android.com/security/bulletin/, uočit ćemo njihovu prisutnost u svim slojevima AOS. Također, steći ćemo dojam da stanje i nije tako loše jer, eto, ranjivosti se otkrivaju, zakrpe objavljuju.... Nažalost, zbog općepoznatog sindroma fragmentacije Androida napori Googleovog tima ograničenog su dometa, odnose se samo na izvorni (vanilla) AOS. Poznato je da proizvođači izrazito prerađuju Application Framework i Libraries slojeve (vidi nižu sliku) stvarajući time vlastitu varijantu iste verzije AOS-a. Analitičari koda upozoravaju da su spomenuta dva sloja u sigurnosnom smislu neuralgična točka. Prvi je razlog navada da se nove funkcionalnosti dodaju a nepotrebne ne uklanjaju pa u konačnici dobijamo AOS instalaciju s talogom suvišnog koda koji se može zlorabiti, i slabo ispitanom instancom aktivnog koda. Drugi je razlog što se bugovi u nekim modulima Android Frameworka, poput WebKit i Chromium renderera web stranica, ne mogu krpati selektivno nego samo flashanjem novog firmwarea, što dramatično povećava tzv. response time na otkrivenu ranjivost.



Što se tiče aplikativnog sloja, stanje je toliko zapetljano da je to teško opisati. Podsjetimo se samo da se na tipičnom Android uređaju nalaze predinstalirane aplikacije Googlea, proizvođača uređaja i telekoma. Tada dolazi na red korisnik koji instalirava aplikacije po vlastitom izboru, s raznih on-line dućana. Redovito taj korisnik jako voli kad u dućanu naleti na besplatnu aplikaciju ili, još bolje, „besplatnu“ verziju komercijalne aplikacije pa ju, ne sluteći da je u paketu i malware, s veseljem instalira na isti uređaj kojime obavlja bankovne transakcije ili pristupa IT resursima firme...

Upućeni ne dvoje da je većina repozitorija Android aplikacija na Webu pravo mrijestilište malwarea. Domišljate zločestobe uspijevaju nadmudriti čak i Bouncer, Googleovog softverskog inspektora koji traži maliciozni kod u aplikacijama neposredno pred njihovo objavljivanje. Ovdje možemo naći svježi primjer. Jedna od raširenijih tehnika je uspavljivanje zloćudnih rutina sve dok se aplikacija ne instalira na uređaj, ili ih aktivira „ažuriranje“ te aplikacije. Spavanje se primjenjuje i na samom Android uređaju kako bi se zavaralo lokalno antimalware rješenje - trojan se spoji na C-C-Centar, prenese potrebne podatke i potom se deaktivira do iduće prigode.

Programeri Android aplikacija, uočeno je, koncentriraju se na funkcionalni i estestki aspekt svojih uradaka, sigurnosni je aspekt nisko na ljestvici prioriteta. S druge strane, hackeri jako vole klijentske aplikacije koje u pravilnim intervalima automatski povlače podatke sa Internet servera kako bi ih potom prezentirale korisniku kao notifikaciju ili konkretan sadržaj. Eto, na znanje i ravnanje! :-)

U specifikacijama Android uređaja neizostavno se spominju glavni (aplikacijski) i grafički procesori te verzija AOS-a, nećemo naći informaciju o tzv. baseband procesoru i njegovom operativnom sustavu. Taj modul – poznat je i kao radio modem - ima svaki uređaj koji se spaja na mobilnu mrežu (cellular network) jer upravo on obrađuje sve podatke što se generiraju na glasovnoj i podatkovnoj vezi – od spajanja na baznu stanicu preko odlaznih i dolaznih poziva i tekstualnih poruka... do uobičajene Internet komunikacije. Aplikativni front-end baseband modula poznat je kao Radio Interface Layer (RIL). Na nižoj slici vidimo da baseband modul prosljeđuje zaprimljene i obrađene podatke ključnim komponentama poput aplikacijskog procesora i SIM kartice.



Gornji kratak opis bio je potreban kako bi se stekla jasnija predodžba o još jednoj površini napada (attack surface) i to vrlo atraktivnoj jer ako uljez ovlada baseband modulom, može korisniku zadati dosta glavobolje a ujedno dobija priliku penetrirati u AOS i njegove aplikacije. Već su poznati napadi na toj razini, tipični su oni tipa Rogue Base Station i DNS spoofing jer se hackeri uspijevaju okoristiti propustima u arhitekturi i/ili implementaciji mobilnih komunikacijskih protokola. Za potrebe ovog članka važno je uočiti da se eventualne ranjivosti u baseband softveru (OS i RIL) ne mogu otkloniti selektivnim ažuriranjima nego samo flashanjem nove verzije firmwarea. Tako da opet imamo veliki raskorak između otkrivanja i krpanja ranjivosti, ako do čina krpanja uopće ikada dođe!

I SIM kartica ima svoj operativni sustav te, posljedično, specifične ranjivosti. Nipošto bezazlene, slijedi „kratki & slatki“ primjer: https://www.quora.com/Can-an-attacker-hack-my-SIM-card-like-this.

Nema dvojbe, pred Googleom i partnerima velik je posao. Kako to već biva u poslovno-prihodovnoj sferi, posebno onoj internacionalnih razmjera, jako je teško uskladiti partikularne i kratkoročne interese sa zajedničkima i dugoročnima. Do sada su dominirali prvospomenuti ali, srećom, postoji jedan važan razlog za intenziviranje suradnje, ime mu je Android for Work. Sve dok ne dosegne višegodišnji Lifecycle Support i nizak response time na uočene ranjivosti, Android se ne može i neće tretirati kao zrela, pouzdana tehnologija za primjenu u iole zahtjevnijim poslovnim okruženjima. A Google & Co imaju goleme aspiracije u tom smislu.

Da moderne tehnologije nisu imune na stare probleme pokazuje novi maliciozni softver koji napada korisnike Officea 365 koristeći za to – vjerujem da vas ovo ipak neće iznenaditi – makro naredbe!

Prema izvješću tvrtke Avanan riječ je o danas iznimno popularnom ransomware tipu malicioznog koda koji se izvršava kao Office makro na računalu korisnika i čini što ransowmare već čini: enkriptira korisničke datoteke AES256 enkripcijom i za ključ traži od žrtve 1.24 Bitcoina.

Kako ucjenjivanje ne poluči uvijek rezultate, čini se da su autori Cerbera odlučili žrtvu upozoriti ne samo odgovarajućom porukom na zaslonu, već mu pritom zaraženo računalo i izdeklamira ucjenjivačku poruku, jasno i glasno, kako bi o nesretnom događaju bio obavješten ne samo korisnik, već i njegovi kolege u uredu.

Ovaj je napad svjež, vrlo neugodan, ali srećom relativno ga je lako otkloniti jer ovisi o dva koraka o kojima je moguće (ispravljam se: o kojima je uglavnom moguće) educirati djelatnike i upozoriti ih na sigurnosne opasnosti.

Prvi korak je otvaranje zaraženog privitka e-mail poruke. Educirani djelatnici znat će da je ovo najčešći način prijenosa malicioznog koda, pa (vjerojatno) neće otvarati privitke nepoznatih pošiljatelja.

Ako se ipak dogodi da korisnik otvori zaraženi privitak, morat će još odobriti izvršenje makro naredbe: obzirom da su makro skripte ipak relativno rijetke u svakodnevnom poslovanju i koriste ih tek poneki napredni korisnici, razumno je zabraniti automatsko izvršavanje makro naredbi na nivou organizacije. U tom slučaju, maliciozni će napadač u dokumentu ostaviti veliko upozorenje korisniku da treba omogućiti izvršavanje makro naredbi – što je toliko očito sumnjivo da bi tek najnaivniji korisnik poslušao.

Lako je, dakle, osujetiti zle namjere ovog softvera imate li dobro educirane djelatnike i isključeno izvršavanje makro naredbi u Office alatima.

Možda bi nas profesionalce začudilo korištenje tako starog trika kao što su makro naredbe u Office dokumentu, no sam Microsoft je priznao kako napadi makro skriptama iznose 98% svih napada na Office platformu, uključujući i Office 365.

I tu se krije još jedna informacija koju bi bilo vrlo korisno prenijeti korisnicima: zabluda je da korištenje aplikacija u oblaku automatski štiti korisnika i njegovo računalo: u ovom je primjeru više nego očito kako lokalna zaštita - i nadasve edukacija - ne mogu biti zamijenjeni kupnjom usluge u oblaku.

Nije lako naći kvalitetan notebook na kojem nisu predinstalirani Windowsi. Nekakva čudna poslovna logika kaže da siromašni nemaju novaca za Windowse, pa se Linux isporučuje na jeftinijim noteboocima. Kao, kad nemaš love moraš se zadovoljiti s nečim lošijim od Windowsa. Nećemo se vrijeđati, jer lako je pregaziti Windowse (Apage satanas! - rekao bi Richard Stallman), ili složiti dual-boot sistem pa demokratski koristiti oba OS-a.

Da je ta logika falična, pokazuje i moj primjer: zvjerka od notebooka, Intel i7 CPU i SSD disk, touch screen... Upravo je fascinanto koliko je taj strojček brz. Kupljen je sa Sedmicom, jer drugačije nije išlo. Prvi dan sam se dvoumio: rijetko koristim Windowse, najradije bi ih pregazio, pogotovo zato što SSD disk baš nije prostran. Odlučio sam ipak zadržati Sedmicu. Ionako sam je već platio, a može zatrebati. Pa sam iz Windowsa smanjio particiju, napravio drugu za instalaciju Linuxa. Dual boot funkcionira bez greške pomoću gruba. Sedmicu dižem možda dva, tri puta godišnje, a tada me obavezno udavi s beskonačnim skidanjem zakrpa i rebootanjem.

No znalo se dogoditi da želim pogledati neki webinar za koji se ispostavi da se ne može pratiti s Linuxa. Dobijem poruku da Linux nije podržan. Reboot u Windowse i problem riješen. Ipak je dobro da sam ih zadržao, zar ne? U drugoj se situaciji dogodi da na seminaru predavač ima problema sa svojim notebookom, pa pita ima li netko u dvorani notebook "za posuditi"! Naravno, za njegovu prezentacju treba Power Point. Dakle Sedmica je dobra i za humanitarnu pomoć! ;)

S Linuxa mogu bez problema pristupati Windows particiji i raditi s datotekama koje su na njoj. Iako mnoge instalacije pronađu Win particiju i ponude da će je automatski montirati, draže mi je da je sam montiran onog časa kad mi zatreba. To je ionako jednostavno:

# sudo mount -t ntfs /dev/sda3 /mnt/windisk

Naredba mount pokazat će da je montiranje uspjelo:

...
/dev/sda2 on /mnt type fuseblk (rw,relatime,user_id=0,group_id=0,allow_other,blksize=4096)

Umjesto NTFS-a ovdje vidimo type FUSEBLK, što je virtualni, posrednički driver koji omogućava korištenje filesystema u korisničkom prostoru i preuzima komunikaciju s kernelom, koji pristupa fizičkom disku.

Ako se nešto izmijeni u datoteci s Win particije kojoj smo pristupili s Linuxa, nije problem snimiti novu verziju nazad, pa odmontirati disk, da se ne rasipaju resursi:

# sudo umount /dev/sda3

Koliko zapravo različitih vrsta filesystema prepoznaje Linux? Pomoći će nam dobri stari alat za particioniranje, fdisk. Nakon što ga pokrenemo, pritisnemo tipku "l", da bismo izlistali popis podržanih vrsta particija. Na prvi pogled, Ima ih ravno FF, odnosno 255. Ali ako bolje pogledate, neki su brojevi preskočeni, pa ih je zapravo manje, stotinjak. Na rednom broju 7 je HPFS/NTFS/exFAT, što su sinonimi za Microsoftov filesystem.

No to su samo oznake za vrstu particije u tabeli particija, što još ne znači da ćete sa svim tim particijama moći raditi. Za to bi nam trebala softverska podrška, bilo u samoj jezgri, ili u modulima. Da bi otkrili podržane filesysteme, zavirimo u  /proc/filesystems:

# cat /proc/filesystems
nodev    sysfs
nodev    rootfs
nodev    ramfs
nodev    bdev
nodev    proc
nodev    cgroup
nodev    cpuset
nodev    tmpfs
nodev    devtmpfs
nodev    debugfs
nodev    securityfs
nodev    sockfs
nodev    pipefs
nodev    devpts
    ext3
    ext2
    ext4
nodev    hugetlbfs
    vfat
nodev    ecryptfs
    fuseblk
nodev    fuse
nodev    fusectl
nodev    pstore
nodev    mqueue
nodev    autofs

Oznaka nodev na početku znači da se podacima ne pristupa preko specijalnih datoteka u /dev direktoriju, zvanih device nodes, iz sigurnosnih razloga.

Linux je dakle radi svoje otvorenosti sposoban raditi s podacima spremljenim na Microsoftovoj particiji. I to u read/write načinu. No može li se s Windowsa pristupati podacima na Linux particiji? Microsoft se za to nije pobrinuo, u skladu s politikom zatvaranja kupaca u vlastiti svijet. Kad iz Windowsa pogledate tablicu particija, Linux particija je označena kao nepoznata, i sve što vam se nudi je da je formatirate u NTFS. Što nam preostaje?

Reboot, kopiranje na USB stick ili prebacivanje datoteka s Linux na Win particiju, pa opet reboot u Windowse... Nije baš ni brzo ni praktično.

Pa odlučih potražiti neko pametnije rješenje. Vjerojatno je nekoga već žuljao/svrbio isti problem, pa je napravio rješenje. Našao sam ih čak tri.

• Ext2Fsd

Ovaj projekt nudi open source podršku za ext2, ext3 i ext4 filesysteme za sve verzije Windowsa, kao što se vidi na naslovnici:

Kad ga instalirate i pokrenete, pita da li želite da se automatski starta ili ćete ga sami pokrenuti kad vam zatreba. Također pita, što me odmah začudilo, da li želite podršku za pisanje po ext2/ext3 particiji?!

Objašnjenje se nalazi na dnu naslovnice projekta. Tu stoji upozorenje da vam driver može srušiti softver i uništiti podatke, pa ga koristite na vlastitu odgovornost. Objašnjenje sam našao guglajući: čini se da nedostaje podrška za journaling!

Ext3Fsd prikazuje Linux partcije kako se već pristoji pod Windwosima, kao disk D:, E:, F: itd.

• DiskInternals Linux Reader

To je freeware aplikacija tvrtke Diskinternals, s podrškom za Linuxove extX datotečne sustave, ali i za ReiserFS te Appleove HFS i HFS+. Pruža podršku za read-only pristup, dakle možete samo presnimiti datoteku na Win particiju da bi radili s njom. Ne prikazuje Linux particije kao diskove D:, E: itd, ali kad odaberete datoteku pokaže "preview" i tip datoteke. Dakle još jedno polovično rješenje.

• Ext2explore.exe

Aplikacija koju ne morate instalirati: samo je skinete s mreže i pokrenete (kao Putty!). Doduše morate je pokrenuti kao Administrator da bi radila, ali to je još najmanji problem. Također pruža samo read-only pristup, ali barem troši minimalne resurse. Na kraju sam odabrao baš nju: spremljenu na desktop, pokrenem je desnim klikom, prebacim datoteke s Linuxa i ugasim.

Sve u svemu, nije bog zna što, ali bolje išta nego ništa, zar ne? Možemo samo maštati o svijetu slobodnog softvera, gdje se svi proizvođači drže otvorenih standarda, pa je svejedno koji operacijski sustav koristite, koje aplikacije: sve je pristupačno, sve se da čitati, editirati, razmjenjivati... Možda to dočekaju naši praprapraprapra..unuci. :)

Podatke o vremenu lako možemo dobiti iz raznih programa, widgeta ili pronaći na webu, ali ponekad ih je zgodno dobiti u naredbenom retku (primjerice, ao imate opremu na izdvojenoj lokaciji).  Na ovaj način je lakše prenijeti podatke u skriptu, jer nema potrebe za stripanjem HTML-a.

Izdvojili smo dva servisa. Jedan je wttr.in, i koristi se bez specijalnih alata, dovoljan je samo standardni "curl", primjerice:

$ curl wttr.in/split

Dobit ćemo podatke o vremenu za tri dana. Ispis je u boji, pa je u ovom slučaju malo teže dobiti izlaz koji možemo upotrijebiti u nekakvoj skripti.

Zanimljivost je da možete vidjeti i mjesečevu fazu, odnosno mijenu:

Trenutno vrijeme možete saznati i preko kodova za zračne luke (format IATA):

Ime             IATA    ICAO    Grad
Dubrovnik       DBV     LDDU    Dubrovnik
Lošinj Island   LSZ     LDLO    Lošinj   
Osijek          OSI     LDOS    Osijek   
Pula            PUY     LDPL    Pula     
Rijeka          RJK     LDRI    Rijeka   
Bol             BWK     LDSB    Brač Island
Split           SPU     LDSP    Split
Zagreb          ZAG     LDZA    Zagreb
Zemunik         ZAD     LDZD    Zadar 

U ovom primjeru, pogledajmo podatke o vremenu sa osječkog aerodroma (kod je OSI):

# curl wttr.in/OSI

Kad smo već kod aerodromskih kodova, postoji i specijalizirani programčić koji će vam reći podatke o vremenu specifično za pojedine aerodrome. On podržava mnogo više aerodroma, pa će možda biti zanimljiv onima koji su blizu nekog manjeg aerodroma. Program se zove "weather-util" i instalira se s apt-get:

# apt-get install weather-util
Reading package lists... Done 
Building dependency tree      
Reading state information... Done
The following extra packages will be installed:
  weather-util-data
The following NEW packages will be installed:
  weather-util weather-util-data
0 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.
Need to get 5973 kB of archives.
After this operation, 6146 kB of additional disk space will be used.
Do you want to continue? [Y/n] 
...

Korištenje je jednostavno, no treba znati ICAO kodove, pa ih donosimo sve:

    LDDA – Daruvar Airport – Daruvar
    LDDD – Zagreb AFTN Airport – Zagreb
    LDDP – Ploče Airport – Ploče
    LDDU (DBV) – Dubrovnik Airport – Dubrovnik
    LDLO (LSZ) – Lošinj Airport – Lošinj
    LDOB – Borovo Airport – Borovo
    LDOC – Čepin Airport – Čepin  
    LDOR – Slavonski Brod Airport – Slavonski Brod
    LDOS (OSI) – Osijek Airport – Osijek
    LDPL (PUY) – Pula Airport – Pula
    LDPM – Medulin Airport – Medulin
    LDPN – Unije Airport – Unije
    LDPV – Vrsar Airport – Vrsar
    LDRG – Grobničko Polje Airport – Grobnik
    LDRI (RJK) – Rijeka Airport – Rijeka
    LDRO – Otočac Airport – Otočac
    LDSB (BWK) – Bol Airport – Brač
    LDSH – Hvar Airport – Hvar
    LDSP (SPU) – Split Airport – Split
    LDSS – Sinj Airport – Sinj
    LDVA – Varaždin Airport – Varaždin
    LDVC – Čakovec Airport – Čakovec  
    LDVK – Koprivnica Airport – Koprivnica
    LDZA (ZAG) – Franjo Tuđman Airport – Zagreb
    LDZD (ZAD) – Zadar Airport – Zadar
    LDZG – Zagreb City Airport – Zagreb
    LDZL – Zagreb Lučko Airport – Zagreb
    LDZO – Zagreb ACC Airport – Zagreb  
    LDZU – Udbina Airport – Udbina

Nažalost, neki ne vraćaju podatke o vremenu, pa to imajte na umu.

$ weather LDZA
Searching via station...
[caching result Zagreb / Pleso, Croatia]
Current conditions at Zagreb / Pleso, Croatia (LDZA) 45-44N 016-04E 107M
Last updated Jun 30, 2016 - 07:00 AM EDT / 2016.06.30 1100 UTC
   Temperature: 82 F (28 C)
   Relative Humidity: 45%  
   Wind: from the SSE (150 degrees) at 6 MPH (5 KT) (direction variable)

Postoji i neznatno kraća verzija, pogodnija ako ćete izvlačiti podatke za skriptu ili slično.

$ weather -q LDZA
Searching via station...
[caching result Zagreb / Pleso, Croatia]
Temperature: 82 F (28 C)
Relative Humidity: 45%  
Wind: from the SSE (150 degrees) at 6 MPH (5 KT) (direction variable)

Sam program "weather" ima još opcija, a od zanimljivijih možemo spomenuti upozorenja o tornadima i drugim vremenskim nepogodama, no vjerujemo da će vam te informacije prije doći preko TV-a i radija (a i fali nam nešto tornada i uragana na ovim područjima).

Weather cachira podatke, pa se prilikom ponovnog poziva unutar određenog vremenskog razdoblja prikazuju podaci iz cachea. Ukoliko želite svježe podatke, upotrijebite opciju "--no-cache":

$ weather -q --no-cache LDDU
Searching via station...
[using result Dubrovnik / Cilipi, Croatia]
Temperature: 82 F (28 C)
Relative Humidity: 48%
Wind: from the SW (220 degrees) at 8 MPH (7 KT) (direction variable)

Na kraju, moramo spomenuti da i weather, kao i wttr.in, podržava pretraživanje po imenu grada:

$ weather rijeka
Searching via name...
[using result Rijeka / Omisalj, Croatia]
Current conditions at Rijeka / Omisalj, Croatia (LDRI) 45-13N 014-35E
Last updated Jun 30, 2016 - 07:30 AM EDT / 2016.06.30 1130 UTC
   Temperature: 82 F (28 C)
   Relative Humidity: 51%
   Wind: from the WNW (300 degrees) 

Nažalost, nama se čini da je takvo pretraživanje dosta sporo (oko 35 sekundi), pa smo radije koristili oznake aerodroma (oko 7 sekundi).

$ time weather -q --no-cache dubrovnik
real    0m34.817s

$ time weather -q --no-cache LDDU
real    0m6.687s 

Generacije informatičara stasale su - i ostarjele :o) - uz imperativ o defragmentiranju datotečnih sustava tvrdog diska jer tom se jednostavnom operacijom ova komponenta računala performansno optimizira. Naučili smo da će vremenom doći do fragmentacije i na datotečnom sustavu pod Linuxom, iako on pametnije od Windowsa raspoređuje podatke na diskove pod svojom kontrolom.

Virtualizacija servera i desktopa donijela nam je, pored brojnih velikih prednosti, i nekoliko nevolja. Jedna od tih nevolja je fragmentiranost datoteka na nekoliko razina:

1. datotečni sustav unutar virtualnog diska (virtualne mašine)
2. virtualni disk na fizičkom disku hosta
3. alokacijski blokovi u virtualnom disku

Do opisanih fragmentacija dolazi neovisno o hipervizoru, dakle, nevažno je radimo li sa VMwareovim ESXi ili Microsoftovim Hyper-V. Budući da slijedi par konkretnih primjera, držat ćemo se Hyper-V virtualizatora. Ovaj odabir potencira općeprisutnost Desetke koja raspolaže kvalitetnim Hyper-V modulom pa je zainteresiranima lako ponešto vlastoručno isprobati. Usput, nedavno smo podigli par Linux VM-ova na Desetkinom Hyper-V u članku na adresi https://sysportal.carnet.hr/node/1638.

Često prisutne dvojbe oko smislenosti izvođenja defragmentacije unutar virtualnog diska (virtualne mašine) – „nema za to potrebe kad su fizički diskovi pod kontrolom virtualizacijskog hosta, a podaci su stvarno na njima“ - VMware je eliminirao jasnim iskazom u svojim vodičima za administriranje ESXi hostova, prilažemo slikovni dokaz.

U javno dostupnoj dokumentaciji o Hyper-V Microsoft nije tako eksplicitan, ali o značaju (de)fragmentacije na Windows platformi dovoljno nam govori činjenica što je u Task Scheduleru svih novijih serverskih i desktop Windows edicija prisutan posao optimizacije diska, defaultno se pokreće jednom tjedno. Naredna slika je skinuta sa Desetke.

Vrijedni ljudi su empirijski dokazali važnost defragmentiranja datotečnih sustava unutar virtualnh mašina: usnimljeno je kako gostujući operativni sustav za svaki dio fragmentirane datoteke kojom se trenutno bavi prosljeđuje diskovnom kontroleru hosta zaseban nalog za pristup toj datoteci. Znači, ako je predmetna datoteka raspršena na 50 lokacija unutar virtualnog diska, kontroler hosta će zaprimiti 50 naredbi koje mora obraditi, iako je možda na fizičkom disku hosta ta ista datoteka nefragmentirana. Pa kad ovako navali tridesetak virtualnih mašina po jednom hostu, a datoteka je i na fizičkom disku fragmentirana, izgledno je usporenje diskovnog podsustava kao cjeline. Što se u praksi i dešava, dakako.

Drugi je oblik fragmentacije raskomadanost virtualnog diska na datotečnom sustavu hosta. Kako znamo, svako virtualno računalo nalazi se u barem jednoj višegigabajtnoj datoteci, njen tip je vhdx (jasno, rabimo li Hyper-V). Pri tome, Hyper-V ima sljedeći algoritam kreiranja virtualnog diska:

a) Ako za potrebe virtualne mašine kreiramo disk fiksne veličine, Hyper-V će se potruditi stvoriti kontinuiranu, nerascjepkanu vhdx datoteku bilo gdje na ciljnoj particiji fizičkog diska. Čak i kad je datotečni sustav ciljne particije fragmentiran, ako igdje postoji dovoljno prostora za kreiranje cjelovite vhdx datoteke, Hyper-V će to učiniti.

b) Odaberemo li za virtualnu mašinu dinamički (ili diferencijalni) disk, a datotečni sustav ciljne particije pod kontrolom hosta je fragmentiran, i taj dinamički disk bit će fragmentiran. To će se desiti čak i ako ta ista particija ima dovoljno kontinuiranog prostora za prihvat virtualnog diska. Raskomadanost dinamičkog diska postat će uočljiva odmah nakon instalacije operativnog sustava, Windows ili Linux.

Narednom slikom ilustriramo iskaze pod a) i b), slijedi pojašnjenje prikazane situacije:

• uočavamo da je datotečni sustav particije na kojoj držimo virtualne diskove dobrano fragmentiran
• zelena ploča u izvještaju Auslogicsovog Disk Defraga reprezentira svježe kreiran fiksni disk veličine 160 GB i on je, kako vidimo, cjelovit;
• po cijeloj particiji raštrkani crveni kvadrati predstavljaju  upravo kreiran dinamički disk testwin.vhdx, maksimalne veličine 40 GB
• trenutno je u testniwin.vhdx samo Windows Server 2012 a datoteka je već raskomadana u 12 dijelova na datotečnom sustavu hosta, bit će tih dijelova i više kako dodajemo podatke u taj disk;
• u izvještaju Powershell naredbe get-vhd d:\testniwin\testniwin.vhdx vidimo da je testniwin.vhdx i interno fragmentiran 6% (nije tu riječ o fragmentiranosti datotečnog sustava tog diska nego o fragmentaciji alokacijskih blokova, o tome nešto kasnije).

Hyper-V se ovako „šlampavo“ odnosi naspram dinamičkih diskova zato što nisu predviđeni za performansno zahtjevne okoline poput produkcijske, njih rabimo u razvoju i testu, kad se ujedno gleda i kako minimizirati zauzeće (čitaj: trošak) tehničkih resursa. Kakogod, ovaj tip fragmentacije datotečnog sustava rješavamo defragmentacijom na razini hosta, znači, upogonit ćemo Windows Defrag ili neki drugi programčić te namjene. Benefiti su općepoznati: optimizacija indexa u Master File Table NTFS particije, optimizacija rada diskovnih glava za čitanje i pisanje te, u konačnici, ubrzavanje I/O operacija diskovnog podsustava kao cjeline. Što je uistinu veliki dobitak kad se prisjetimo da su mehanički diskovi uvjerljivo najsporija komponenta modernog računala.

Treći oblik fragmentacije najmanje nam je važan jer je izražen kod dinamičkih diskova. Ipak, bolje je za njega znati nego ne znati kad već postoji, pored toga, može se pojaviti i kod diskova fiksne veličine na particiji s izrazito fragmentiranim datotečnim sistavom.

Dakle, sada govorimo o fragmentaciji alokacijskih blokova unutar virtualnog diska. U slučaju testniwin.vhdx to je onih 6% prisutnih u prozoru Powershella na gornjoj slici, pored stavke FragmentationPercentage. Virtualni disk je u stvari složena softverska tvorba, prepuna kontrola, indeksa i blokova razne namjene jer je apsolutni prioritet osigurati postojanost virtualnog računala i svih vrsta podataka koji se u njemu nalaze. Vrijednost parametra „FragmentationPercentage“ u korelaciji je sa  raskomadanošću vhdx datoteke na disku hosta ali nipošto se ne radi o još jednom indikatoru istog stanja. U rečeno se lako uvjerimo defragmentiranjem vhdx datoteke na disku hosta – FragmentationPercentage će pokazivati istu vrijednost. Ta je situacija prisutna na nižoj slici utoliko što je, nakon primjene Auslogicsovog Defraga na razini hosta, dinamički disk win12r2u1.vhdx sada kontinuiran, ali su mu alokacijski blokovi ostali fragmentirani. Niti defragmentiranje datotečnog sustava u virtualnoj mašini neće promijeniti ovu situaciju jer se rascjepkani podatkovni blokovi nalaze ispod NTFS-a.

Kako parametar FragmentationPercentage svesti na poželjnu nulu? Hyper-V server ima par spasonosnih rješenja ali mi rabimo Hyper-V Desetke pa nam je raspoloživo samo jedno. Utoliko, slijedimo niz: Hyper-V Manager > New > Hard Disk te uključenjem opcije Copy the contents of the specified virtual hard disk podesimo da se dinamički disk poput win12r2u1.vhdx kopira u dinamički win12r2u1-B.vhdx. Nakon toga dobijamo ovu situaciju:

FragmentationPercentage je na nuli, HURRAAA :-) ... ali ups!... novi disk je gadno rascjepkan na datotečnom sustavu hosta. :-( Nema nam druge, moramo sada  defragmentirati novokreirani vhdx na razini hosta, potom ga kroz Hyper-V Manager postaviti kao novu virtualnu mašinu. Svakako, ovakav postupak postaje poprilična gnjavaža ako na isti način sređujemo više virtualnih mašina, ali prisjetimo se, fragmentiranost virtualnih diskova i alokacijskih blokova izbjeći ćemo, ili barem svesti na zanemarivi minimum, ako na prethodno optimiziranoj particiji fizičkog diska stvaramo diskove fiksne veličine.

Većina državnih ustanova prelazi na elektroničke usluge, pa naši korisnici iz administrativnih službi pristupaju on-line uslugama Porezne uprave, Mirovinskog osiguranja, Registru zaposlenka i mnogima drugima. Za pristup takvim uslugama autoriziraju se pametnim karticama ili USB stickovima FINE.

Jedna od takvih usluga je i pristup sustavu Zdravstvenog osiguranja. Tako je i na naš Institut došla uputa da se treba koristiti taj sustav. Gospođa iz administracije je registrirana i trebala se spajati uz korištenje certifikata na FINA USB sticku (što već koristi za pristup sustavu Mirovinskog osiguranja). Nedavno je certifikat i obnovljen jer je dosadašnji bio pred istekom.

Prije instalacije obavljene su sve pripreme u skladu s uputama https://e-usluge.hzzo.hr/tehnicki-preduvjeti-koristenja.

Pokušali smo prijavu na sustav - sve je krenulo kako bi trebalo, učitala se java aplikacija za prijavu, pokazao se izbornik s certifikatima, odabrali smo jedan od certifikata i pristup je odbijen. Isto se dogodilo i s drugim. Nazvali smo kontakt broj u Splitu, ali gospođa s druge strane telefona nije nam znala pomoći, pa nas je uputila na e-mail adresu Prijava@hzzo.hr.

Nakon slanja upita stigao je odgovor da pokušamo na drugom računalu! Nakon objašnjenja da drugog računala nema, pitali su jesmo li produživali certifikate i objasnili da postoje problemi s pristupom s novim FINA certifikatima. Zamoljeni smo da pošaljemo podatke od korisnice, te da će nam napraiviti njihovu karticu za pristup.

Dočekali smo i karticu - spojili čitač, uključili karticu.... Prema uputama instalirao sam program AKDSHCard Utility, pristupio kartici, promijenio PIN. Postojeći PIN nisu nigdje napisali, već sam od kolege iz njihove službe u Splitu saznao inicijalni pin 12345. Dakle, kartica radi i dostupna je.

Uslijedio je pokušaj prijave u sustav i opet problem - poruka 'Privatni ključ nije dostupan'! Ponovno dopisivanje sa službom podrške, ponovno odgovor da probamo s drugim računalom. Na to sam im odgovorio 'naravno, ako ćete nam pokloniti računalo za pristup vašem sustavu nećemo se žaliti'.

 
Čuo sam da i drugi imaju problema. Poslao upit na listu sistemci. Bilo je različitih savjeta - od prijedloga za virtualno računalo do korištenja različitih preglednika. Savjet kolege Kružića: 'Probaj stavit u programu ActiveIdentity (ili kako se vec zove program za  certifikate) da certifikati budu dostupni windowsima, na desni klik, pa make available to windows. Meni je to pomoglo.' naveo me na pravi put.

Počeo sam kopati po aplikaciji AKDSHCard Utility. I pomalo došao do rješenja:

1. U Aplikaciji AKDSHCard Utility, učitati karticu i nakon toga odabrati opciju 'Certificate manager', u prozoru koji se otvori odabrati 'Import User Certificate'

2. Zatvoriti AKDSHCard Utility

3. Otvoriti web preglednik i učitati stranicu https://e-usluge.hzzo.hr/
   

4. Odabrati opciju Prijava i sačekati da se učita Java dodatak

5. U popisu certifikata pojavit će se novi certifikat oblika 'Prezime, ime, neki_broj, CEZIH'
   
   

6. Odabrati taj zadnji certifikat, nakon klika na 'Prihvati' otvorit će se prozor za unos PINa i korisnik će pristupiti aplikaciji

Ostao je još jedan problem - Java svaki put traži dozvolu izvršavanja aplikacije, iako je u sigurnosnim postavkama Jave definirano da ne provjerava sadržaje s njihovih stranica. Ali to i nije veliki problem - korisnica će imati jedan klik više...

I tako sam nakon mnogo truda došao do rješenja - pitam se samo zašto to rješenje nisam dobio od službe za podršku.

Nedavno se Desetka poigrala s mojim živcima i samoproglašenim statusom rasnog informatičara. Tijekom ažuriranja Windows Update je povukao Microsoftov driver za nVidia grafičku karticu. Nakon restarta počelo je učitavanje GUI i potom se Desetka ustobočila na crnom ekranu. A ja, siromašak, bez recovery ili instalacijskog medija... pa sam se sjetio tipke F8 kako bih kroz Safe Mode odradio rollback drivera. I tako je započela igra mačke i miša između mene i Desetke, naime, niti nakon višestrukih restartanja računala nisam uspio pritisnuti F8 u, kako se to kaže, „pravom trenutku“. A mogao sam se tim „pravim trenutkom“ baviti do Sudnjeg dana jer, vidio sam kasnije na Webu, Desetka jednostavno ne prihvaća F8 tijekom standardne startup sekvence!

Iz ovog sam iskustva izvukao važnu pouku: dok je još sve u redu, u Startup izbornik Desetke postaviti Safe Mode. Švrljanjem po Webu ustanovio sam da je opisana nevolja na ovaj ili onaj način zadesila i druge, oni su došli do istog zaključka, neki su ponudili rješenja kako postaviti Safe Mode u Startup izbornik. Ja sam se opredijelio za varijaciju jednog pristupa, dostatno elegantnu i praktičnu da je ponudim kolegama sistemcima.

Pretpostavljamo uobičajenu situaciju, da imamo računalo s jednom instalacijom Desetke na C: particiji i želimo u Startup izbornik „uglaviti“ stavku Safe Mode.

1. Otvorimo CMD u admin modu, zadamo bcdedit da se informiramo o stanju boot loadera, potom slijedi naredba, sve baš kako je prikazano na slici. Vitičaste zagrade dobit ćemo kombinacijom tipaka AltGr+B i AltGr+N, mada, možemo iskoristiti i naredbe Mark / Copy / Paste u CMD prozoru.



2. Pozovemo MSCONFIG, na kartici Boot označimo novokreiranu stavku pa uključimo opcije označene na idućoj slici. Opcija Boot log nije nužna ali je korisna, jer daje nalog da se tijekom svakog dizanja računala u Safe Mode u datoteku c:\windows\ntbtlog.txt upisuju informacije o (ne)učitanim modulima i njihovom redoslijedu. Budući da u Safe Mode idemo samo kad moramo, mudro je Timeout postaviti na 5 do 10 sekundi.

Nakon OK dobit ćemo upozorenje s kojime se složimo, potom restartamo računalo.

Finito!
Od sada nadalje imat ćemo na Startup ekranu Safe Mode, vidi narednu sliku.

Ali to je samo pola priče. Pri dnu prethodne slike uokvirena je važna opcija, ona nam omogućuje ulazak u labirint izbornika za napredni tshooting posrnule Desetke. Zato u Startup izbornik nije potrebno ništa više dodavati. Recimo da želimo iskoristiti Safe Mode with Networking, slijedimo tada ovu putanju:

a) Change defaults... > Choose other options > Troubleshoot > Advanced options > Startup settings > gumb Restart.

b) U izborniku Startup Settings koji se pojavljuje biramo Safe Mode with Networking.

Uočite koliko je ovdje važnih opcija, poput Disable driver signature enforcement - spasonosno rješenje za instalaciju digitalno nepotpisanih pogonskih programa (drivera), što je još uvijek dosta čest slučaj.

Sjećate li se priče Braće Grimm o Ivici i Marici (u originalu "Hänsel und Gretel"), koje su roditelji, bojeći se gladi, ostavili u šumi. Dok su ih vodili daleko u šumu, djeca su obilježavala put krušnim mrvicama, kako bi se znala vratiti. No životinje su pojele mrvice, djeca su se izgubila, zarobila ih je zla vještica koja je htjela skuhati i pojesti Ivicu. Pobjegli su zahvaljujući lukavstvu i spretnosti, ponijevši usput vještičino blago s kojim su obitelj spasili od siromaštva.

Ljudska su sjećanja nalik na te krušne mrvice. Čak i danas, kad se "sve" može naći na Internetu, ili možda baš radi toga, kao da prevladava zaborav i izgubljenost. Što više, čini se da smo odustali od pokušaja da shvatimo kako svijet funkcionira i tko njime upravlja. Zadovoljavamo se udobnošću i prividnom sigurnošću, dozvoljavamo medijima da nas oblilkuju u pasivne potrošače ideja i proizvoda. Zatrpavaju nas preobiljem informacija u kojima se svakodnevno gubimo, čak se aktivno branimo od viška podataka. Nas techije zatrpavaju novim, sve moćnijim hardverom i softverom. Taman se navikneš ne nešto, a to je već zastarjelo. Mlađi kolege s mješavinom čuđenja i podsmjeha slušaju starije koji se prisjećaju kako je nekada bilo. Serveri veliki kao trokrilni ormari, čiji su računi za struju bili astronomski, a performanse za današnje pojmove smiješne. Računalo na kojem je razvijen Unix imalo je svega 12 kilobajta memorije, a bilo je "multitasking" i "multiuser", dok današnji "single user" Windowsi dolaze s 4 gigabajta da bi razmaženi korisnik udobno radio.

Pokušat ćemo plivati protiv struje i tražiti na "šumskom tlu" teško uočljive mrvice informacija, ne bi li rekonstruirali put koji bi nas mogao odvesti na sigurno. Evo nekoliko mrvica koje su nam privukle pažnju: objavljen je izvorni kod softvera koji je pogonio Apollo program; Kina ima najjači superkompjuter na svijetu; Britanija izlazi iz EU; hrvatski IT poduzetnici planiraju preseliti posao iz Britanije u Irsku...

Prezentatori na brojnim informatičkim seminarima vole spomenuti kako je današnji pametni telefon nekoliko tisuća puta jači od računala koja su upravljala slanjem ljudi na mjesec. Nedavno smo dobili priliku zaviriti u prošlost. Naime, na GitHubu je objavljen izvorni kod aplikacije koju je MIT razvio za NASU. Priču o tome isplati se pročitati, prava je ljetna literatura za radoznale, dostupna ovdje. Izvorni je kod sačuvan u povelikoj hrpi perforiranog papira. Da se sačuva, ispis je skeniran, a onda se našao entuzijast koji je pretipkao tisuće redaka koda u strojnom jeziku nekog zaboravljenog procesora. Sken je na nekim mjestima bio nečitak, pa je entuzijast sam popunio praznine! Kada je kasnije dobio kvalitetniji sken, ispalo je da nije napravio ni jednu grešku! Jednom objavljen, kod je izazvao pažnju brojnih geekova koji su se bacili na proučavanje. U listingu su pronašli brojne duhovite komentare, poput ovoga:

Neki su čak počeli nuditi poboljšanja i optimizacije koda! Ovaj primjer demonstrira snagu otvorene mreže koja omogućuje dijeljenje znanja i njegovo usavršavanje!

Druga zanimljiva mrvica informacije kaže da Kinezi imaju najjači superkompjuter na svijetu, Sunway TaihuLightkoji koristi 10,65 miliona procesorskih jezgri za 93 petaflopsa procesorske snage. Time su prestigli sami sebe jer i drugi najjači superkompjuter na svijetu je kineski, Tianhe-2 sa 33.9 petaflopsa u sekundi. Rekord je držao tri godine, sa snagom dvostruko većom od američkih i japanskih konkurenata. Koristio je Intelove procesore! SAD su uvele sankcije na izvoz Xeona, ne bi li usporile konkurenciju. No Kinezi se nisu dali smesti, okrenuli su nepriliku u svoju korist, sami su razvili vlastite procesore, napravili još moćnije superračunalo riješivši se usput tehnološke ovisnosti o SAD. Najrazvijenije zemlje žive od prodaje znanja, dok (prljavu) proizvodnju sele u nerazvijene krajeve svijeta. Čini se da toj strategiji počinje nazirati kraj. Kinezi brzo uče i napreduju. To je fascinantna zemlja, puna kontrasta, većim dijelom siromašna i nerazvijena, ali istovremeno sposobna za ovakve tehnološke uzlete.

Slijedeća mrvica koja nas intrigira je Brexit. Dat ću svoje osobno viđenje događanja. Navikli smo da Britanci žele uzeti od EU samo ono što im odgovara. Navikli smo da su teški pregovarači i da često dobiju bolje uvjete od "običnih"članica, a u isto vrijeme zemljama kandidatima postavljaju stroge uvjete za ulazak u Zajednicu. Britanci su vrlo efikasni u dobijanju sredstava iz EU, među najuspješnijima su po tome. No sada su sami sebi zabili autogol. Čini se da je premijer Cameron u izbornoj kampanji spomenuo referendum, kako bi priskrbio podršku dijela birača koji inače ne bi glasali za njega. Njegova stranka se zapravo i nije nadala da će referendum uspjeti! Kada su se narednog dana nakon referenduma probudili, Cameron i voditelji Leave kampanje redom su dali ostavke. Za izlazak iz EU glasali su siromašni krajevi, koji su od EU dobijali izdašnu pomoć. Kasno su shvatili da će izgubiti prihode, pa sad traže od vlade da ih zaštiti (od njih samih!). Ispada da je kampanja za izlazak bila populistička, prljava, puna neistina i poluistina, da je najjači argument bio strah od imigranata. Što je apsurdno, jer Britanija i onako nije u Shengenu! Umjesto pregovaranja i argumentirane rasprave o tome u kom smjeru treba ići EU, odlučili su se za razlaz. Reakcija iz Njemačke brzo je stigla: što prije predajte zahtjev za izlazak, ne možete biti u isto vrijeme unutra i vani. Britanci sad sastavljaju novu vladu, koja će morati rješavati poremećene odnose s EU, ali i probleme unutar UK koje je Brexit izazvato. Škotska i Sjeverna Irska žele biti članice EU, pa će njihovo odvajanje od Engleske ponovo doći na dnevni red. Nehotični uspjeh kampanje, koji je vjerojatno trebao Englezima osigurati jaču pregovaračku poziciju, otvorio je niz problema.

Postavlja se pitanje može li samostalna Velika Britanija na svjetskom tržištu biti uspješnija nego kao članica EU? Bojim se da se odgovor nudi sam od sebe. Ne može! Airbus je ne nedavnom avio sajmu jednim potpisom ugovora zaradio preko 11 milijardi eura, a još je nekoliko takvih ugovora u pripremi. Ti su avioni zajednički proizvod nekolicine europskih zemalja, nijedna nema dovoljno snage da ih proizvede sama. Samo u Velikoj Britaniji AirBus je stvorio 100.000 radnih mjesta.

Primjer kineskog superračunala pokazuje da globalni izazovi postaju sve složeniji, savez europskih država može spremnije odgovarati na ekonomske, političke i ostale izazove. To još više vrijedi za zemlje poput Hrvatske, u kojoj su nakon Brexita digli glas autisti koji misle da smo dovoljno pametni da opstanemo sami. Nismo! Imamo dvije retardirane političke stranke koje se smjenjuju na vlasti; dok zemlja propada i dug raste, oni zagađuju medijski prostor svojim besplodnim prepucavanjima. Trebali bismo svi konačno shvatiti da današnji junaci nisu političari, već znanstvenici, inovatori i poduzetnici. IT tvrtke bježe iz Hrvatske zbog velikih nameta i gladne birokracije, odlaze u Veliku Britaniju i u zadnje vrijeme u Rumunjsku, koja stimulira razvoj IT industrije tako što im oprašta poreze! Naši poduzetnici koji rade u Britaniji spremni su za Brexit: nije teško preseliti tvrtku u Irsku! Za povratak u Hrvatsku još nisu spremni! Upravo je to za mene najveća i najtužnija vijest, koja u našim medijima ostaje nezapažena!

Izuzetno cijenim poduzetnike. Oni ne čekaju da se država, vlada ili sindikati pobrinu za njih, osiguraju im posao, redovitu plaću, mirovine. Oni su spremni žrtvovati sve za ostvarenje svoje poslovne ideje: i novac i vrijeme, trpeći pri tom ometanja koja svaki doživljavaju od naše birokracije. Hoće li netko jednog dana napraviti registar propalih tvrtki koje je upropastila birokracija? Nekolicina najkvalitetnijih sistemaca iz CARNetove zajednice otisnula se u poduzetničke vode. Radi toga ih još više poštujem.

Svijet je u isto vrijeme premrežen, povezan, a istovremeno nepregledan i nerazumljiv. Ali tako se čini samo malim ljudima. Globalni manipulatori biraju koje će teme osvanuti u medijima, a koje će se zaobilaziti. Nema više Braće Grimm koja bi djeci na jednostavan način objasnila da je svijet okrutan, da ih ni roditelji ne mogu zaštiti. U vrijeme kad je nastala priča o Ivici i Marici nije bila rijetkost da roditelji napuste djecu koju nisu mogli prehraniti, tako da priča nije posve izmišljena! Kad bismo našu djecu učili da se moraju osloniti na vlastite snage i pamet, a ne očekivati od drugih (političara?!) da im riješe probleme, možda bismo kao zemlja imali bolju šansu.

U prošlom smo članku  objasnili kako izbjeći "mukotrpnu"ponovnu instalaciju Windowsa od "nule". Pribjegli smo korištenju Clonezilla alata, na način da boot sektor i sistemsku particiju Windowsa spremimo u image nakon što smo podigli sve željene upravljačke programe, softvere, mrežne, te korisničke postavke. U slučaju da se sistem nepovratno onesposobi, lako rekonstruiramo ispravno stanje u vrlo kratkom vremenu. Međutim ne ide ni to uvijek bez problema.

U praksi se desio ovakav slučaj. 1 TB disk podijeljen "pol pol", 500 GB sistemski disk C:, 500 GB podatkovni disk D:, instalacija Windows 7. Clonezilla taj raspored vidi ovako:

sda1    boot sektor
sda2    sistemska particija  C: NTFS
sda3    podatkovna particija D: NTFS

Korisniku nismo uzimali i radili dodatnu Linux particiju zbog žurbe ( "nevidljivu" za Windows korisnika) za Clonezilla image, nego smo sda1 i sda2

spremili u image na sda3 NTFS uz upozorenje korisniku da ga ne briše sa diska. Takvo stanje je spremljeno u rujnu 2015., za svaki slučaj. U srpnju 2016. Windowsi 7 su se "samostalno" dogradili na Windowse 10. Korisnik je inzistirao da mu se vrateWindowsi 7:  nakon bezazlene deinstalacije Adobe Readera Desetka je zaglavila u beskonačnoj "recovery boot" petlji bez mogućnosti oporavka.

Pošto su takvi oporavci iz prijašnjih iskustava znali uzeti cijeli radni dan, a da ne daju nikakav rezultat, za brži oporavak idemo iskoristiti spremljeni Windows 7 image. Očekivano vrijeme vraćanja sistema je oko 6-7 minuta. Prije toga naravno treba sa nekim rescue alatom spremiti bitne podatke sa sistemske particije.

Zadovoljni sami sobom kako smo planirali ovakav scenarij, krećemo u "restore parts" sda1 *, sda2 * i ENTER.

Hladan tuš.

Partclone v0.2.83 http://partclone.org
Starting to restore image (-) to device (/dev/sda2)
Calculating bitmap...Please wait...Target partition size (523711 MB) is smaller than source (524183 MB). Use option -C to disable 
size checking (Dangerous).

sda2 (C: disk) nije jednak kao orginalni, manji je za 472 MB. Odmah sumnjamo na Windowse 10 i dogradnju koja je nešto promijenila. Clonezilla je u svom zapisu zatekao ovakvo orginalno stanje.

Vidio je particije sda1, sda2, sda3 u malo drugačijim brojkama. Tu se radi o približnim brojkama, ovisno o vrsi kalkulacije. Pokušavamo napraviti pregled particija s alatom Gparted. Podigli smo Ubuntu s live CD-a na onesposobljenu mašinu. Pokrenemo terminal, kao root korisnik pokrenemo gparted.

xubuntu@xubuntu$sudo su
root@xubuntu#gparted

Vidimo da imamo "uljeza", pojavila se "fantomska" particija od 450 MB, koju smo odmah povezali sa nadogradnjom na Windows 10. Odmah guglamo za tim podatkom.

Ako Windowsi 10 ne pronađu rezerviranih 450 MB za svoj recovery"otkinu" ih od sistemske particije i unerede naš plan povratka ispravnog stanja prethodnog stanja. Od recovery Windows alata kao što je spomenuto, nije bilo neke koristi. Nama se  i dalje ne radi ponovna cjelokupna instalacija i podešavanja po korisnikovima željama. Pa dodajemo 450 MB u sistemski disk da zadovoljimo zahtjev Clonezilla alata. Spremimo Clonezilla image sa trenutne sda4 particije na vanjski disk, USB stick, pobrišimo particije koje ne trebamo.

Formatirajmo  sistemsku particiju u ntfs i dodajmo 450 MB.

Prihvatimo sve promjene sa "Apply" i dobijemo novi prilagođeni, raspored. Nešto nam smo se sjetili  onih 472 MB sa početka iz računice Clonezille ali valjda je stvar u zaokruživanju.

Pokrećemo restore, imamo mali peh, fali nam oko 10 MB, Clonezilla se i dalje buni.

Novi pokušaj, zaokružujemo cifru na 500000 MB, iz prethodnih iskustava sa Clonezillom znamo da se na veći prostor od potrebnog u pravilu ne žali.

Napokon treća sreća, restoreparts napokon kreće. Možemo odahnuti :) Spasili smo se dodatnog posla.

Na kraju neraspoređeni dio diska kroz Windows Disk Managment pretvorimo u podatkovni.

Tijekom pisanja ovog članka nekim se sinhronicitetom pojavio slučaj cerber-ransomware virusa na jednom računalu. Kolegici su se "zaključali" svi podaci uključujući i D: podatkovnu particiju koju smo zbog malog diska koristili za čuvanje recovery kopije Windowsa 7. Naša sreća što cerber-ransomware ne zna raditi sa svim ekstenzijama datoteka pa je naš Clonezilla image prepoznao kao "neperspektivan" za otmicu.

Uspjeli smo i u ovom slučaju napraviti restore boot particije i sistemske C: te uštedjeti još jednu dugu instalaciju Windowsa. Uz sistem je iz backupa Windowsa spašen  dio podataka koji se u vrijeme kloniranja nalazio na radnoj površini i korisničkom folderu :). Svakako izbjegavajte spremanje rezervnih kopija sistema na bilo kakav disk dostupan Windowsima, najbolje je rješenje možda neki NAS, mrežni disk osiguran od ransomware i ostalih napada. Držanje kopije sistema van korisnikovog diska još omogućava rekonstrukciju sustava ako se disk pokvari. Kupite disk , sa Gparted naštimate particije, restaurirate sistem iz spremljenog Clonezilla backupa.

Nagradno pitanje za geekove: S koliko komandnolinijskih upravitelja instalacijskim paketima (package managers) će raspolagati Desetka od 2. kolovoza ove godine? Nećete pogriješiti odgovorite li „s previše njih, uzevši u obzir dugogodišnju praksu“.

Instalacijom značajke Linux subsystem for Windows, koju nam donosi samo-što-nije Anniversary Update, susrest ćemo stare znance: apt, apt-*, aptitude i dpkg. Što se tiče Powershell Package Managementa, u osnovi agregatora nekolicine upravitelja paketima za Windows platformu, on je već na Desetki, no spomenuti Anniversary Update donosi unaprijeđenu inačicu. Što znači da ćemo ubrzo na Desetki imati priliku iz komandne linije istovremeno (de)instaliravati aplikacije za Linux i Windowse, baš kako smo započeli na sljedećoj slici.



Dodatkom Linux subsystem for Windows malo smo se zabavljali prije nešto sitno dana, vidi https://sysportal.carnet.hr/node/1641. Junak ovog članka jer Powershell Package Management, za prijatelje PacMan ;-). Riječ je o softverskom rješenju koje objedinjuje razne postojeće upravitelje paketima i repozitorije aplikacija za Windowse. Windows PacMan ima svoju povijest, no nećemo se njome baviti, samo ćemo spomenuti presudan utjecaj filozofije otvorenog koda i konkretnih projekata poput OneGet i Chocolatey, dakle, ako mu je gospodin Microsoft tata, gospođa Open-Source CommunityPacManu je mama. U usporedbi sa svojom linuxoidnom sabraćom PacMan je mali i nerazvijen, ali očekujemo njegovo naglo bildanje, barem tako nastupaju tatini trubaduri.

PacMan je prisutan u PowerShellu verzije 5, znači, sastavni je dio Desetke i Windows Servera 2016. No, spomenutu verziju PowerShella možemo dobiti i na niže verzije windoza ako na njih instaliramo Windows Management Framework 5.0. Znači, ne moramo imati Desetku ili WinSvr 2016 da bismo se družili s PacManom.

Na prvoj slici možemo vidjeti naredbe kojima PacMan raspolaže. Opis njihove namjene i brojnih opcija lako ćemo naći na Webu, ali treba znati da je lokalni help sustav izdašan, samo povremeno zadajte update-help kako biste skinuli ažurirane informacije. Kako rekosmo, rješenje se ubrzano razvija.

Da bismo si osigurali maksimalnu slobodu igranja s PacManom:

• otvarati PowerShell konzolu sa Run as Administrator

• postaviti PowerShell Execution Policy na Unrestricted

Prvo što treba napraviti je instalacija NuGet klijenta, jer bez njega PacMan ne može ništa konkretno odraditi. Dovoljna je naredba find-package, ili find-packageprovider pa da PacMan sam ponudi instalaciju. Svakako prihvatiti.


Od ovog trenutka možemo pretraživati defaultni repozitorij PSGallery. No, kad već imamo podršku za pakete NuGet servisa, dodat ćemo i jednu od njegovih galerija.

register-packagesource –name “nuget“ –location “https://www.nuget.org/api/v2“
-providername “NuGet“ -trusted

Sada, kako vidimo s naredne slike, raspolažemo s dva repozitorija Windows aplikacija. Sudeći prema informaciji prisutnoj u koloni IsTrusted, za PacMana je repozitorij PSGallery nepouzdan, ne vjeruje mu, pa će tijekom instalacije bilo kakve aplikacije iz ovog repozitorija tražiti odobrenje.

To nas može ugnjaviti ako intenzivno rabimo taj repozitorij (psss, u naredbi si možemo pomoći opcijom -force), ali stvarno veliki problem postaje kad moramo instalacije odrađivati programatski. Zato ćemo PacManu poručiti da je i taj repozitorij pouzdan:

set-packagesource –name “psgallery“ -trusted

Idemo se na brzaka učlaniti i u javni ogranak popularnog Chocolatey servisa za distribuciju Windows aplikacija.

install-packageprovider  –name “chocolatey“ -force
set-packagesource  –name “chocolatey“ -trusted

Kako vidimo na narednoj slici, naš PacMan je sada opremljen s programskom logikom (providerima) koja mu omogućuje rad s paketima raznih formata, od dobro nam poznatih exe/msi do „novog lika u kvartu“ - nupkg.


Od sada nadalje možemo pretraživati repozitorije Chocolatey, NuGet i PSGallery naredbom find-package. Pri tome važi pravilo: ako u naredbi ne navedemo repozitorij, PacMan će tragati za aplikacijom u svima. Tako će nam naredba

find-package  –name “sysinternals“

pokazati da se takav paket nalazi u Chocolate repozitoriju. Nažalost, do daljnjega se ne možemo osloniti na uporabu jedinstvenih izraza za pretraživanje jer search mašine raznih servisa imaju vlastitu logiku filtriranja podataka. Probajte ovako i usporedite rezultate:

find-package  –name “sys“
find-package  –name “sys*“

U kontekstu razlika, gornji primjer je samo onaj poslovični „vrh sante leda“. Recimo, PSGallery će spremati skinute pakete u %ProgramFiles%\WindowsPowerShell, a Chocolatey u %SystemDrive%\Chocolatey, svaki ima svoj format paketa i pravila... itd. Bit će bolje, idemo mi dalje. Radimo li instalacijsku skriptu, nije na odmet parametrom -providername navesti servis od kojega želimo preuzeti aplikaciju, kako nam se ne bi dešavale situacije poput ove na sljedećoj slici, kad su različiti paketi istog imena prisutni u više repozitorija.


Želimo instalirati zadnju verziju Firefoxa iz Chocolatey galerije.
 
install-package  –name “firefox“ –providername “chocolatey“

Nakon minutu-dvije imat ćemo preglednik Firefox, baš kao na Linuxu. Kad Chocolatey objavi novu verziju Firefoxa, primijenit ćemo ju dodavanjem parametra –installupdate istoj naredbi. Isti princip vrijedi za sve druge pakete. Aplikacije možemo instalirati za sve korisnike računala ili za pojedinačnog, jasno, ovisno o zadanim parametrima. Prije prve instalacije neke aplikacije, mudro je pravovremeno se informirati o eventualnim ovisnostima (preduvjetima) jer o autoru paketa ovisi hoće li ih provjeravati.

Kako vidjeti osnovne podatke o aplikacijama instaliranim PacManom? Naredbom get-package. Dakako, tu je i naredba uninstall-package sa brojim opcijama, ističemo –force kojom eliminiramo eventualne upite, korisno za skriptni način primjene.

Do sada smo razglabali o upravljanju aplikacijama. Primjena zakrpa s Windows Update zasebna je priča. Moramo iz PSGallery povući namjenski modul PSWindowsUpdate i onda rabiti naredbe tog modula.

install-package –module pswindowsupdate
get-command –module pswindowsupdate

Svašta se još dade reći o PacManu, još više toga o infrastrukturi, po raznim aspektima, od funkcionalnog do sigurnosnog, ali bit će za to prilike. Događaje možemo pratiti kroz Event Viewer > Windows Logs > Applications and Services Logs > Microsoft > Windows > Powershell ili, ako nam je komandna linija baš po mjeri u svakoj situaciji, naredbom

get-winevent microsoft-windows-powershell/operational  –filterxpath * (ili slično)

Na kraju jedna zanimljivost: Trenutno se PacMan može rabiti samo iz komandne linije, ali već se radi na API-u kojime će se omogućiti izrada GUI front-enda! Nešto kao Apt i Aptitude, Nmap i Zenmap..... Beskrajno je inspirativna ta navada zagovaranja komandne linije kao praaavog alata za praaave informatičare, a onda se traže načini kako se izvući iz nje! :o)