Fully Automatic Installation – FAI

V CZ.NIC máme oddělení, která jsou specifická pro potřebu rychlého přeinstalování počítače do výchozího nastavení i se všemi poinstalačními změnami. Pokud v těchto odděleních nějaký počítač odmítne fungovat, zaměstnanec se sice může přihlásit na kterémkoliv jiném stroji, ale ten jeho je potřeba rychle uvést do původního stavu. Dalším příkladem je učebna akademie, kde se s každým kurzem musí všechny počítače přeinstalovat a na daný kurz nastavit. Jak to děláme? Pomocí open source FAI.

Kdysi jsme tento software zvolili jako nejvíce vyhovující a i přes nedávné snahy přejít na něco jiného (testovali jsme clonezilla, udpcast, ghost4linux, cobbler) jsme u FAI zůstali. Prostě dělá co potřebujeme, dělá to dobře a jednoduše. A je stále vyvíjený. Jak tedy funguje a jak ho používáme? Nejlépe je to vidět právě v akademii.

Pro kolegy starající se o naše výukové centrum je celý proces přípravy počítačů na kurz jednoduchý – oběhnou počítače, při startu zmáčknou F12 a ze zobrazené nabídky vyberou kurz, který má probíhat. Pak už se vše děje automaticky až do zobrazení pracovní plochy nově nainstalovaného počítače. Podobné je to v případě kolegů z jiných oddělení, tam se ale o případnou reinstalaci staráme my administrátoři.

A jak vypadá FAI z pohledu nás správců? Počítač pomocí PXE nabootuje ze sítě, kde si z TFTP serveru stáhne jádro (syslinux). Pomocí parametrů, které jádro výběrem ze zmíněné tabulky instalací dostane, si přes NFS připojí správný root a nastaví proměnnou říkající, o jaký kurz se jedná. Poté se spustí skripty FAI, které zformátují disk na instalovaném počítači a rozbalí na něj soubor s názvem base.tgz.

Soubor base.tgz je image – zabalený a čistý souborový systém instalovaného počítače. Vzniká pomocí debootstrapu a následně je možné si jej chrootem připojit a doinstalovat v něm třeba balíky jako ubuntu-desktop, bird a další. Také je v něm možné a dobré jednou za čas udělat apt-get upgrade, takže se pak při instalacích počítačů stahuje méně aktualizací z repozitářů. Soubor base.tgz je většinou použit jako výchozí pro více kurzů. Díky proměnné předané jádru, jak jsem zmínil dříve, je pak možné pro každý kurz zvlášť doinstalovat další potřebné balíky. Při kurzech DNSSEC, IPv6, BGP třeba nechceme mít v systému network-manager, tak ho tam prostě nedáme. U 3D tisku zase potřebujeme spoustu balíků, jejichž instalace by u jiných kurzů zbytečně zdržovala.

Rozbalením base.tgz to celé ale nekončí. Následuje z mého pohledu asi nejzajímavější část a tou je skriptování změn v tomto „čistém“ systému – opět je základem zmíněný parametr jádra. Těmito změnami mohou být různé detaily jako přesunutí tlačítek oken pomocí gsettings napravo, změna pozadí na naše hezké CZ.NICovské, nastavení některých klávesových zkratek… Byly to ale také zásadnější zásahy jako změna Unity na gnome-session-flashback v dobách, kdy se nám Unity ještě tolik nelíbilo. V Unity pak třeba nastavujeme, jaké ikonky budou na launcheru – kdo tam chce mít odkaz na Amazon, když potřebujeme terminál, že? Skriptovat můžete v podstatě cokoliv – stačí jen vědět, jaký soubor změnit, co kam zkopírovat nebo co spustit po startu.

A co nějaké problémy? Pár jsme jich už řešili. Třeba při instalaci Kali Linuxu pro kurz našeho CSIRT týmu byl požadavek, aby instalace byla „zakonzervovaná“, prostě aby se neudělal apt-get upgrade. Tak jsme našli místo, kde to FAI skripty dělají, a tam to zakomentovali. Momentálně si také neumím představit instalaci ne-debianovského systému (i když všechno jde, když se chce). Jinak to byly spíše problémy samotného instalovaného systému, třeba Ubuntu v každé nové verzi mění způsob nastavení gnome – dconf, dsettings… nebo když musíme hledat nějaké ne úplně triviální řešení toho, co chceme v instalovaném systému dělat. Třeba takové automatické odhlašování guest session po určité době nečinnosti byl docela zajímavý úkol. V každém případě je ale FAI zábava a už se těším na skriptování nového Ubuntu 16.04!

Autor:

Komentáře (3)

  1. Ludmila Brožíková říká:

    Jsem jen řadový uživatel internetu, na většinu závad musím volat ITpracovníka, přesto, že jsem majitelkou počítačů již přes patnáct let. Pro trvalé neshody, ztráty úložek, ručního nabourávání se mobilem Samsung do mého počítače, prolamování adres a hesel jsem nakonec přešla na vlastní modem.Nepomohlo to, ve „hře“ je něco jiného. Ale v případě chystané cenzury se musím postavit proti. Když jsem se z domovního modemu,který správce obhospodařuje odhlásila, začala mně přes čtvrt roku téměř denně upozornění na nadměrnou poštu a Skype-hovory.Vždy jsem musela vyplnit předepsaná písmena, prokázat tím, že nejsem robot a odeslat. Protože nic z toho nebyla MOJE pošta ani MOJE hovory,úbytek nadměrnosti nenastal a já byla poprvé v životě 2.12.2014 ZABLOKOVÁNA. Opakované blokace pokračovaly celý rok 2015 i v prvním čtvrtletí 2016, opakovaně jsem upozorňovala, že nic z toho není moje, že jsem v životě nehrála žádnou hjru, nenavštěvuji erotické stránky ani žádné jiné závadné, požádala, aby se na mne server napojil a vinníka-hackera zjistil a blokoval jeho. Nakonec mi nezbylo, než napsat na pár IP, jež byly na blokacích uvedeny a zjistilo se, že NIKDO z nich mi nikdy nemailoval, nevolal, jejich adresy si někdo zřejmě „koupil“ a používal.Kdo šňůry nezaviněných blokací nezažil, neví, o čem píši. Dojde-li k uzákonění možností blokací, jsem řesvědčena, že si koumáci najdou postranní cestu a odskáčeme to zase my, šmírovaní, bez možností obrany.
    Prosím o použití zdravého rozumu,budou postiženi jen řadoví uživatelé,na příkladu „mého“hackera zažívám trpce na vlastní kůži, že si cestu vždy najde a nastanou zase každdenní blokace. Mám vše nafotografováno,mohu doložit pravdivost svého protestu.Jsou lidé, kteří v rámci bývalého zaměstnání byli v nabourávání do cizích počítačů odborně vyškoleni, oni budou znovu těmi, kdo budou hrát hry, navštěvovat závadné stránky a budou to nadále provádět pod rouškou cizích adres, jako je tomu u mne.Věřte, že nejde jen o peíze za stálé zásahy ITpracovníka, ale i o zdraví, RZP mne u mne opakovaně nachází po takové šňůře zábran v zákonném užívání počítače maximální vysoký krevní tlak.Aby zákon s vaničkou nevylil i batole.

    • Petr Skalský říká:

      Dobrý den paní Ludmilo,
      poradím vám jednu dobrou věc – mám pronajatý router Turris a používám jej už nějaký ten měsíc. Je to výborný router a chtěl jsem jej používat právě proto že jej stvořili pánové z CZ.NIC, odborníci na technologie zabezpečení provozu na internetu. A i když dnes myslím už není možné přihlásit se do betatestu, tak je možné objednat komerční verzi Turris Omnia. Já si ho objednal taky hned jak se objevil na Indiegogo , nějaký čas před tím, než mi dorazil původní Turris. A takový router vám pomůže zabezpečit svou sít a řešit případné útoky. Má automatické aktualizace a podezřelé chování je roportováno analyzováno a obrana proti němu distribuována na všechny routery.

  2. Ludmila Brožíková říká:

    Děkuji, omlouvámse za pozdní reakci, ale můj hacker je pomstou za odpojení nesmazatelnou „urážku“ snad už bez zdravé horozumu. S Esetem opakovaně kontrolujeme počítač, protože se u mne zalíbí co chvíli nějakému trojskému koni, tu nigerijské hrozbě, reklama mne vyhazuje ze stránek,co chvíli mám hlášení, že mně byly právě zrušeny všechny účty, hesla jsou prolamována do tří hodin po odeslání… Pokud by mi Vaše rada pomohla se zbavit tohohle trápení, byla bych doslova a do písmene bezhraničně šťastná, kdo něco takového neprožívá přes dva roky, neví, o čem je řeč. Za radu moc děkuji, vyzkouším, víte že naši předkvé říkali, že v nouzi se člověk i stébla chytá…

Zanechte komentář