Sådär ja. Nu är man tillbaka i Afrika igen nu efter ett rejält uppehåll (jag var i Afrika senast i Mars). Dock så innebär det tyvärr också att jag INTE kan föreläsa på FSCONS 2008. Känns lite tungt då jag verkligen såg fram emot det, men samtidigt jättekul att vara tillbaka i Afrika, så det är blandade känslor. :)
Jag läste Johan Eklunds & Tham Wickenberg intervju http://fscons.org/2008/10/17/interview-johan-eklund-and-tham-wickenberg/ och dom var nyfikna på säkerhetsaspekten gällande Ubuntu deployment. Blev själv väldigt ivrig på att förklara detta för den “stora massan” så jag tänkte att det var dags med ett blogginlägg om det, speciellt då jag inte kan förklara det på FSCONS. :)
Som jag ser det så är Ubuntu Deployment något som stärker eller åtminstånde hjälper till med att upprätthålla säkerheten i sin Ubuntu infrastruktur. Exempel på detta är:
Med deployment kan vi göra en mera detaljerad konfiguration av systemet och kan därmed slå av väldigt många funktioner som man inte använder, alternativt konfigurera dom rätt för ens miljö.
Då automatiserade installationer är som sagt… automatiserade, så får vi en något som faktiskt bidrar till att höja säkerheten. Vi får bort mänskliga faktorer som att “glömma patcha”, “glömma byta lösenord”, “glömma sätta på brandväggen”, “glömma…”
Nackdelen med t.ex. en interaktiv installation av Ubuntu Desktop från ett statiskt media (typ CD), är att installera burken i typ 30 minuter för att senare patcha den i ytligare 30 minuter (beroende på hårdvara och bandbredd). En omboot på det, p.g.a. ny kernel, Xorg, osv. och frustrationen är total. ;) Dock så är det här även en säkerhetsrisk faktiskt. Vi är lite tillbaka på punkten ovanstående, men jag kan ge ett exempel på något riktigt jobbigt i Ubuntu Server ifall man installerar servrar det “traditionella” sättet: Säg att man laddar ner Ubuntu Server 8.04 ISOn som släpptes i april och man installerar Ubuntu Server som vanligt. Man väljer även att installera OpenSSH i Ubuntu Servers installationsguide. Men då den påverkas av buggen USN-612-1 innebär detta att maskinen, som inte ens är färdiginstallerad, redan är klassad som “untrustworthy, even after the update has been applied” och borde ominstalleras, då säkerheten inte kan garanteras på den maskinen då OpenSSL har varit “öppen som en låda” som en annan person i Ubuntu Server Teamet uttryckte sig. :) Detta problem hade löst sig av sig själv genom att använda deployment mekanismer istället, då en man brukar använda ett internt Ubuntu repository vid Ubuntu deployments. Normalt så brukar Ubuntu repositorys synca sig mot upstream minst en gång om dagen (själv kör jag en gång i timman) och i ett sådant scenario så hade man direkt installerat den senaste versionen av OpenSSL istället för att installera en gammal och osäker version som senare patchas. Om jag skulle förklara ett Ubuntu repository för en Windows admin så skulle jag faktiskt försöka förklara det mera som en WSUS Server än som en WDS server eller en deployment point, faktiskt. :)
Vi kan se till att roller är “up to date” innan dom installeras och vi kan även se till att t.ex. en server är patchad och härdad innan vi flyttar över data till den, vilket är såklart jättebra! Att en server är “secure during installation” är också väldigt intressant speciellt vid installationer av bland annat webbservrar med kompletta LAMP-stackar i t.ex. DMZ.
En grej som jag personligen gillar i min egna Ubuntu deployment infrastruktur är att självklart läsa tillbaka min user state efter att installationen är slutförd med ett postinstallationscript. Som deployment galning så blåser man minst en maskin (brukar bli typ fem stycken :P) om dagen samt sin egna laptop minst fyra ggr per år. Men här finns det också en eller flera säkerhetsaspekter att tänka på. En av dom är “Hur får bootimagen sin svarsfil?” och “Hur skyddar vi våran svarsfil från att andra ser innehållet, eller i värsta fall, ändrar innehållet på väg till klienten?”
Svarsfilen är det som specificerar våran deploymentprocess och ifall en hacker som är på samma nät som dig gör en ARP-spoof så skulle man teoretiskt kunna göra on-the-fly moddning av svarsfilen ifall den skickas i cleartext. Ett annat scenario är om man är en bakom en ondskefull proxy som moddar eller sparar ens känsliga filer. För att skydda sig mot detta så kan man inkludera svarsfilen i en bootimage, men då tappar man flexibilitet med central administration av sitt deployment. Man kan ha svarsfilen på en webserver men med integritetskrav på svarsfilen via en checksumma, men även här innebär det att man inte kan editera svarsfilen efter att checksumman har injicerats i imagen då svarsfilen får en ny checksumma om den ändras.
En liten favorit som jag personligen använder när jag är offsite, är att specificerar installation source över plain HTTP mot den vanliga, svenska Ubuntu mirrorn och allting annat över SCP (Secure Copy över SSH) med PKI authensiering med privat nyckel. :)
Detta innebär att jag med trygghet kan återställa även känsliga saker som t.ex. min userstate över t.o.m. internet då en krypterad tunnel användes med en stark authensiering. Och då när jag återställer min userstate så är maskinen installerad, upp-patchad, härdad och konfigurerad. :)
Dom senaste dagarna så har jag skapat ett litet proof-of-concet projekt vid sidan om DUDS projektet just gällande säkerhet i Ubuntu deployments. Just nu så innebär projektet att man bootar från en USB sticka på en bootpartion som promptar dig på credentials för att låsa upp en annan partion på stickan som är en LVM-krypterad deploymentpartion där både kernel, RAM-disk och svarsfil ligger. För att ta det hela till nästa nivå så kommer denna svarsfil att injiceras i själva RAM-disken som även kommer att innehålla lite annat smått och gott, bland annat den privata nyckeln för att initiera SSH tunneln för att tanka hem userstate.
Jag håller på skissar på det just nu och tar fram blueprints och gör djup research i området “säkerhet i Ubuntu deployment”. Jag hoppas på att få med mig säkerhetsfolk involverade i projektet men självklart även annat folk från andra grupper. Alla som är intresserade och/eller nyfikna på projektet är varmt välkomna till att kontakta mig. Jag hoppas bland annat på att få med flertalet av mina “kollegor” i Ubuntu Server Teamet.
Secure Ubuntu deployments - Snart från en Ubuntu Server nära dig? ;)
// DXter.
Då är senaste imagen släppt efter en serie av många sena kvällar och vakna nätter. Det som är nytt i den här imagen är bland annat det nya menysystemet samt stöd för att även göra deployments av Ubuntu 7.10 (Gutsy Gibbon). Men det mesta av förändringarna är faktiskt under skalet. Bland annat med en rykande färsk version ISOLINUX, dvs. DUDS bootloader som bland annat har fått stöd för det nya menysystemet. Minnestestet Memtest har uppgraderas till version 2.01 och bootloadern är nu statiskt konfigurerad att boota med VGA = 769, dvs. 640 x 480 i 16 färger, vilket möjliggör att man alltid ser deployment processen oavsett vad man har för grafikkort i maskinen. Katalogstrukturen i DUDS har även förändrats radikalt för att snabbt kunna inkludera senare releaser av Ubuntu (eller andra Linux distributioner för den delen) med ett minimalt ingrepp i DUDS imagen.
Jag kan dock avslöja att mycket är på G! Många av er tror säkert att jobbet med DUDS står stilla men det är helt fel! Det kan tyckas att det går långsamt ibland, men det är på grund av att mitt dygn också bara har 24 timmar ;) Det som är på G just nu är bland annat:
*Stöd för Ubuntu 8.10 (Intrepid Ibex) i DUDS
*Stöd för flera arkitekturer
*Hemsida för DUDS projektet
*DUDS Server arbetet har återupptagits med DUDS Server Teamet (Wiiiiiie!)
*Internationellt Ubuntu Deployment Community
*Egenutvecklat, webbaserat verktyg för att skapa kickstartfiler
*DUDS kommer nu att finnas i två releaser, stable och testing. Dvs. vill man testa dom nya funktionerna innan dom implementeras i den stabila och skarpa releasen så kan man ladda ner den testversionen som är avsedd för DUDS projektets testare som innehåller features som är på väg in i DUDS Stable.
*Stöd för "Ultimate Wipe" i nästa major release av DUDS. Dvs. ett preinstallation script som wipe:ar disken, formaterar den, mount:ar den och fyller den med slumpdata tills disken fylls. När disken är full, så avmonteras disken, wipe:as igen, formateras igen innan den monteras och installationen startar. (OBS, detta kommer att vara en option, dvs. det kommer INTE vara något krav för att deploya med DUDS! Är nämligen ganska tidskrävande!)
*En omfattande och komplett dokumentation för DUDS projektet
*Och en massa andra coola saker! Saknar ni något eller om ni vill rapportera buggar eller komma i kontakt med mig så maila till:
duds [at] asci [punkt] se
Länkarna ni hämtar hem dom stabila ISO och MD5 filerna med är:
ISO: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso
MD5:http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso.md5
// Fredrik "DXter" Jonsson
Det här är nästan komiskt. :) Imorrn är det en månad sen jag stod på scen i Portland, Oregon för att tala på OSCON 2008 och nu mindre än en månad senare så är jag även inbokad på FSCON 2008 i Göteborg. Eventet pågår 24-26 Oktober på IT-universitetet i Göteborg. Jag kommer att köra en repeat på min session "Ubuntu Deployment for Your Enterprise" på FSCONS 2008, så ni som missade mig på OSCON kan se mig istället på FSCONS. :)
http://fscons.org/speakers/?action=speaker&id=75
P.S Jag vill passa på att ge ett varmt tack till min vän Jonas Ländin på TrueSec! Utan dig Jonas så hade jag inte stått på scen på FSCONS! Tack! D.S
...Ubuntu Server Team (ubuntu-server) was changed by from Proposed to Approved."
Så löd texten i ett mail jag fick nu i veckan. Dvs, jag är nu officiellt medlem i Ubuntu Server teamet och kommer att f.o.m nu vara med och jobba med att utveckla och förbättra områden som jag brinner för, dvs deployment och central management i Ubuntu Server.
Ville även tipsa på att kika in Nick Barcets persentationer gällande Virtualisering och Ubuntu Server på OSCON 2008. Mycket intressant! :) http://www.viddler.com/explore/GreggPollack/videos/2/608/Nick%20Barcet
Och om ni är intresserade av min egna presentation gällande Ubuntu Deployment i företagsmiljöer på OSCON 2008, så hittar ni min PPT på http://oscon.asci.se/ASCI_FJ_UD4YE_OSCON_2008.ppt
Enjoy! :)
// Fredrik "DXter" Jonsson.
Tjena!
Nu sitter jag på flighten mellan Philadelphia och Stockholm och beslutade mig för att blogga lite. Klockan är just nu 04:11 svensk tid, idag den 27:e juli och känner mig som den enda på planet som är vaken (även ifall jag hoppas att åtminstone piloten är vaken).
Det blev ju typ ingen tid för bloggning varken på måndag eller tisdag då jag i princip enbart fokuserade på min egna presentation för att få den så pass bra som möjligt samt så övade på mitt tal som en galning, gick igenom varenda pixel av mina slides och gjorde både dubbla och tredubbla uppsättningar av mina virtuella servrar som jag skulle använda. :) Efter min session på onsdagen så blev det dels fokus på OSCON men även på själva staden Portland tillsammans med Matte, så det blev inte så mycket tid över till bloggning. Men jag tänkte ta igen det nu med en rejäl Ubuntu på OSCON 2008 rapport!
OSCON 2008 var iallafall helt fantastiskt! Det var en helt otroligt upplevelse att få träffa så fantastiska människor som det finns här i världen som gör sitt yttersta för att förbättra Open Source världen och som dessutom verkligen gör denna teknik lättillgänglig och användarvänligt för "vanligt folk" :).
Oavsett vad man är intresserad av så finns det alla möjliga olika topics på OSCONs sessioner. Utveckling, säkerhet, deployment, hårdvara, dokumentation, you name it! Finns det ett intresse för något så finns det en session om det. :)
En session som jag verkligen tyckte var väldigt viktig på OSCON var "A developers guide to become normal", dvs hur utvecklare kan lära sig att se på sin applikation/produkt från en vanlig användares synvinkel. Troligtvist en session som många utvecklare skulle ha nytta av. Inte minst för mig själv för DUDS projektet. :)
Min session om “Ubuntu Deployment for Your Enterprise” gick iallafall helt strålande! Allting klaffade, inga demospöken och publiken var verkligen på och intresserad. Jag är skyldig både min chef Mats som agerade coach och min kära vän Chrisse många tack för alla råd som jag har fått av er för min session på OSCON! Utan er så hade jag nog inte grejat det här! Stort tack till er grabbar!
Det kom fram en hel del människor till mig efter sessionen som hade frågor och det var verkligen kul att se att det verkligen FINNS ett brinnande intresse av Ubuntu Deployment av klienter och servrar ute på företag, men typ ingen vet helt enkelt hur man gör det. Att jag även visade hur man inkluderar språkpaket, drivrutiner, firmwares, applikationer, uppdateringar, fjärradministrationsverktyg och serverroller var något som jag tror alla i publiken uppskattade. :)
Jag vet dock inte exakt hur många som var på min session. Dock så var det fler på min session än på min vän Nick Barcets session om Ubuntu Server vilket jag tycker var väldigt, väldigt sorgligt. Nick Barcet är Product Manger på Canonical för Ubuntu Server och är en otroligt kompetent och ödmjuk människa. Jag träffade honom första gången IRL i början på Canonical HQ när jag var där en vecka i London i början av juli och han är oerhört kompetent på Ubuntu Server!
Apropå Ubuntu Server, jag ju var som sagt på Nicks session på OSCON om Ubuntu Server som var verkligen jättebra! Det var en helt otroligt bra session och kanske den bästa på OSCON 2008 om ni frågar mig! Det var kanske för lite folk bara, men det kanske var en för hög ribba för publiken med ett server OS utan GUI? Hehe... ;) Vad är nytt i Ubuntu Server världen som är värt att blogga om för mig som fokuserar på Ubuntu i företags och Enterprise miljöer?
Ubuntu Server:
En riktigt cool grej med Ubuntu Server 8.10 som kommer i oktober, är att den kommer att ha landscape-client paketet i sig från början och det kommer även vara möjligt att pipe:a information från landscape-client till allt från att visa information lokalt till att skicka det in till ett internt provisioningsystem. Det kommer även att vara möjligt att göra en "JeOS installation" direkt i Ubuntu Servers installation, vilket bantar server rejält. Många har velat installera JeOS på fysiska servrar också, men det har varit ganska knepigt om man inte har använt sig av deployment mekanismer (och specificerat exakt vilken kärna som ska installeras på maskinen).
Problemet är att JeOS använder kärnan linux-virtual som inte har support för t.ex. SCSI diskar, av skälet att JeOS är optimerat för just virtualisering och att man har skalat bort alla paket och alla drivare som man normalt inte behöver i en virtuell server. I många fall så innebar det att man faktiskt kunde installera JeOS på sin hårdvara, men direkt efter reboot så kunde inte servern starta då den saknade stöd för hårdvaran i kärnan.
Ubuntu JeOS:
Ubuntu JeOS kommer inte att släppas i ISO filer längre. Det Canonical rekommenderar att man gör är att man använder paketet "ubuntu-vm-builder" som släpptes för ett tag sen för att bygga JeOS installationer. Ubuntu-VM-Builder är ett riktigt coolt script som gör det möjligt att skapa en ny virtuell maskin med OS, riktigt detaljerad konfiguration (nätverkskonfig, lösenord, publika och privata nycklar för SSH, osv.) och vilka paket den ska innehålla. På grund av att installationen verkligen byggs från scratch, är det även möjligt att bygga en Ubuntu JeOS miljö för en 64 bitars plattform, något som än idag inte finns i ISO format.
Men det riktigt häftiga är att ifall man har en någorlunda modern burk så tar det under 1 minut att skapa maskinen!!!
Och då är den klar! Jag snackar inte bara om att den virtuella maskinen (läs “hårdvaran”) är skapad då, utan jag menar verkligen att den virtuella maskinen, dvs med OS och allt, är installerad, konfad och klar på under en minut! Det riktigt intressanta är att då man kan bland annat specificera vilken kernel som ska användas vid skapandet av den nya maskinen så kan man även bygga maskiner för fysiska servrar. Outputen kan då vara t.ex. en ISO istället för en VM. Det är lite trixigt med det just nu, men det ska fixa sig till oktober.
Detta gör att DUDS Server projektet just nu är lagt på is tills vidare. Jag och grabbarna som hjälper mig med DUDS Server känner att vi inte vill varken motarbeta/konkurera med Canonical eller göra något dubbelarbete.
Jag har alltid haft en väldigt stark passion för Ubuntu Server, iallafall sen jag började med Ubuntu. Då jag har en Debian-bakgrund så känns det riktigt bra att Ubuntu Server bygger på samma stabilitet, pålitlighet och säkerhet som kommer ifrån Debian. Ja, att Ubuntu bygger på Debian är ingen hemlighet. Det är snarare något som många Ubuntu Dogs är väldigt stolta över, och ja, även jag är en av dom. :) Debian har alltid varit "secure by design" och har alltid varit lätt att anpassa, modulera och uppgradera tack vare Debianspecifika teknologier som t.ex. APT.
Debian är faktiskt en riktigt bra bas för ett Linuxsystem oavsett om vi snackar Desktop eller Server. Problemet som har varit med Debian i företagsmiljöer är flera saker. Debian har bland annat haft problem med t.ex. att man alltid har valt äldre eller föråldrad mjukvara i distributionen av "stabillitets skäl", något Ubuntu Server har löst, utan att för den saken vara instabil.
Även ifall Ubuntu Server må vara väldigt likt Debian vid första anblicken, så skiljer faktiskt en hel del även ifall man inte ser skillnaderna direkt då bägge inte har något GUI by default. Mycket av det som skiljer är faktiskt under huven gällande t.ex. default installerade paket, men även versionerna av dessa paket. Dom saker som gör Ubuntu Server till ett bättre val för ett Enterprise enligt mig är bland annat:
*Förutsägbar releasecykel
*Kommersiell och officiell support från Canonical
*Migreringsverktyg
*Centraladministrations verktyg (T.ex. Landscape)
*Bättre support för ISCSI, SAN och virtualisering.
*Enklare att integrera i befintliga nätverk. T.ex. i Active Directory
*Certifierad och testad för en mängd hårdvara. HP, Dell, SUN, osv...
*Har ett mjukvarucertifieringsprogram ifall man vill utveckla mjukvara som garanterat fungerar på Ubuntu Linux plattformen.
*Tjänstbaserade serverroller (Kommandot "sudo tasksel install lamp-server" installerar och konfigurerar en komplett Linux, Apache, MySQL och PHP stack helt automatiskt på ett par minuter!)
*Och en massa andra saker... :)
Det enda som gjorde mig lite besviken på OSCON var egentligen två saker. Dels så tyckte jag att dom give awaysen vi fick var helt värdelösa. Jag tyckte dock mest synd om besökarna som faktiskt har betalat över 2000 dollar för att komma in på OSCON. Visst, man går inte på något som OSCON för grejernas skull, men det vore ju alltid roligare med något kul, än något som bara känns som... SPAM!
Den andra saken som gjorde mig ännu mera besviken var faktiskt Canonicals (!?) egna session om Landscape. Det var alldeles för många faktafel för att jag inte skulle irritera mig på det. Visst, man behöver inte vara expert på allt, det håller jag med om till 100%! Men när man ändå ska hålla en presentation om något som nästan är ett företags flaggskepp så är väll ändå typ 14 faktafel i ett tal på 30 minuter, kanske ändå inte helt optimalt? Aja, för Canonicals skull så tycker jag faktiskt att det var tur att det inte alls var så många på den sessionen.
Dock så var Mark Shuttleworth där på den sessionen och ja, jag fick tillfälle att prata med honom också. Och ja, han är riktigt sympatisk, ödmjuk och rolig! Precis som på YouTube! :)
Nu tänkte jag också att passa på att sova ett par timmar innan man landar på Arlanda. Måste ju landa utvilad. Man är ju tillbaka till verkligheten hos kund på måndag... ;)
// Fredrik “DXter” Jonsson
Tjena!
Jag vet att det är ganska glest mellan inläggen i den här bloggen, men det funderar jag faktiskt att ändra på från och med nästa vecka. På fredag så åker jag och min chef Mats till Portland, Oregon för OSCON 2008 konferensen som pågår under hela nästa vecka. Jag tänkte även börja hålla min blogg lite mera aktiv om vad som händer gällande Ubuntu och börja faktiskt rapportera/blogga direkt ifrån OSCON så ni vet om det absolut senaste som händer i Open Source världen.
Kommer själv att prata om Ubuntu deployment på OSCON. Om ni är nyfikna så hittar ni min profil här: http://en.oreilly.com/oscon2008/public/schedule/speaker/6770
En länk till min session postar jag senare så även ni som inte är på plats kan lära er om hur man inte bara deployar ut Ubuntu klienter utan även servrar. (Detta helt automatiskt och script baserat, dessutom används redan befintlig teknologi i Ubuntu-platformen :P)
Om det finns någon som läser detta som kommer vara på plats på OSCON så skriv ett mail till mig, det är alltid kul att träffa folk :)
// Fredrik "DXter" Jonsson.
Sådär! Två veckor efter Ubuntu 8.04 LTS releasen så kommer nu även såklart DUDS Desktop för Hardy :)
Det är mycket som skiljer Hardy Heron (Ubuntu 8.04) från Gutsy Gibbon (Ubuntu 7.10) rent tekniskt. På serversidan t.ex. så diggar jag hårt dom nya supporterade säkerhetsteknikerna som t.ex. SELinux, AppArmor men även ASLR (Address Space Layout Randomization), en teknik som även återfinns i Windows Vista och Windows Server 2008. Men det som faktiskt skiljer mest enligt mig är att Hardy är en såkallad LTS release, dvs. en Long Term Support release med tre års support för desktops och hela fem års support för servrar! För vissa låter det lite jämfört med t.ex. Windows, men med tanke på att Ubuntu har en väldigt intensiv releasecykel då det släpps en ny version var sjätte månad, vilket innebär att en Hardy Heron server kommer att överleva ca 10 Ubuntu releaser innan supporten går ut. Som jämförelse kan man nämna att om man backar 10 versioner av Windows idag (från Vista) så hamnar man på Windows NT 3.5! Jag skulle sätta en bra peng på att t.ex. Windows Server 2008 inte kommer att ha support 10 versioner framåt. ;) Visst, det är inte riktigt samma sak kanske, men man borde som sagt ta hänsyn till release cykeln innan man börjar kritisera supporttiden på något... enligt mig iallafall. :)
Vad är nytt i DUDS Desktop förutom att Hardy deployas istället för Gutsy? Förutom att installationsalternativen dxpack och core är borta, så hämtas nu DUDS Desktop (och svarsfilerna) från en ny URL:
ISO: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso
MD5: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso.md5
Detta innebär också att era gamla DUDS Desktop images härmed slutar fungera då dom inte kan hämta hem sina svarsfiler, dvs. ni måste dra hem den nya imagen! Jag har slutat supportera DUDS Desktop för Gutsy Gibbon helt och kommer enbart fokusera på den här nya versionen för Hardy Heron. För vem vill deploya Gutsy idag när Hardy är släppt??? ;)
Som sagt, släng era gamla skivor, ladda ner den nya imagen och bränn den. Deploy and enjoy! ;)
// Fredrik "DXter" Jonsson
http://www.asci.se/
Jag lovade er flera arkitekturer på samma bootimage för DUDS Desktop och nu har ni fått det:
DUDS Desktop med stöd för både x86 och x64 på samma bootimage. Jag har även lagt ner extra mycket tid gällande testning av alla deploymentscript i flera olika omgångar och på olika hårdvaror, något som jag är väldigt noga med. Gällande just testningen, så vill jag även passa på att tacka min chef Mats för all support man får på jobbet gällande DUDS projektet samt för all hårdvara man har fått labba med. ;) Jag har även många att tacka för alla dom ideérna och buggrapporterna som man har fått av folk som har mynnat ut i denna release. Ibland är man för blind för att se alla självklarheter själv. :) Jag är verkligen mycket tacksam för all feedback jag har fått från alla, men en person som verkligen har stuckit ut ur mängden är Jonas Ländin från TrueSec. Jonas har dels felanmält allvarliga buggar (som inte är säkerhetsrelaterade! :P) i DUDS Desktop, men har även hjälpt mig med betatestatningen av DUDS Desktop R2 och har kommit med betydande ideér som kommer att på lång sikt stärka DUDS som deployment lösning för Ubuntu Linux. Du ska verkligen ha ett stort tack Jonas för all tid och arbete du har lagt ner! Heder och respekt! :)
Denna release har en hel den nyheter förutom x64 stödet vid boot, vilket har gjort att den helt enkelt har fått namnet DUDS Desktop R2 för att skilja den från R1 som släpptes i December. Vad är nytt i DUDS Desktop R2 jämfört med R1 då? Jo:
Stöd för x86 och x64 på samma bootimage.
Samtliga medlemmar i Ubuntu familjen kan nu deployas helautomatiskt via DUDS på både x86 och x64, dvs. Ubuntu, Kubuntu, Edubuntu, Xubuntu och Gobuntu.
dxpack och core finns inte kvar i menyn över deployments. (Dock så finns bägge kvar genom att skriva dxpack32/dxpack64 samt core32/core64 beroende på arkitektur.)
Stöd för helt egna deployments (med egna kickstartfiler) oavsett ifall dom är x86 eller x64.
Stöd för interaktiva, internetbasserade installationer för både x86 och x64.
Stöd för "rescue mode" så att man med DUDS kan reparera ett "trasigt" Ubuntu Linux system.
(Skriv rescue32 eller rescue64 beroende på eran arkitektur.)
Alla kända/upptäckta buggar är nu fixade. (Yttligare en gång, tack så mycket Jonas! :P)
Dom resterande buggar kommer att fixas "i smyg" och fixarna kommer att läggas in i någon daily build allt eftersom dom fixas. ;)
Något som inte många vet om är att DUDS Desktop faktiskt även har stöd för trådlösa installationer över WLAN. WLAN-stödet är ju ganska värdelöst i praktiken egentligen gällande ett seriöst eller stort deployment, främst av prestandaskäl men även avsaknaden av PXE boot. Man ska självklart inte lämna säkerhetsaspekten här gällande ett WLAN deployment utan en tanke heller! Dock så är det ändå lite småroligt ifall man t.ex. vill installera upp en laptop på typ ett hotellrum. Jag har testat det själv ett par gånger nu på lite olika laptops och det är lite coolt att kunna installera upp en laptop, helt utan någon CD/DVD/USB-pinne eller någon LAN eller strömkabel ansluten. :P Dock så hade DUDS Desktop R1 tyvärr en fet bugg på vissa hårdvaror (främst på laptops med Intel Centrino) när ett specificerat deployment skulle hämta hem kickstartscriptet via LAN interfacet, men DUDS Desktop försökte gå via WLAN:et istället. Detta ledde till att kickstartscriptet aldrig hämtades hem, vilket ledde till att deployment processen failade och startade instället en vanlig, interaktiv installation som promptar användaren på information. Denna bug är upptäckt, brutalt dödad, kremerad och begravd. :) Man kan nu deploya ut en laptop oavsett ifall den har 16 stycken både trådlösa och trådbunda NIC:ar ifall den skulle ha det. DUDS Desktop R2 kommer att by default alltid både ladda hem kickstartscriptet och hämta installationen via det första LAN interfacet om inte ni gör en interaktiv installation alternativt om ni specificerar en annan installations-NIC i erat egna kickstartscript (dock så hämtas kickstartscripten alltid hem via LAN!).
Enda nackdelen med R2:an (vad jag vet) jämfört med R1:an är storleken på imagen. DUDS imagen har gått från 9.1 MB till 17.8 MB. Detta är p.g.a arkitektursstödet för bägge plattformarna, dvs x86 och x64. Då det ändå är en ny release av DUDS som är större rent storleksmässigt så tänkte jag även börja med att publicera .md5 checksum filer för varje build från och med nu. Jag har tagit detta besult dels för att det är bra att kolla integriteten av filer, speciellt då dom börjar bli större, men även för att det är ju mera nördigt att göra checksum checkar. ;)
ISO: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso
MD5: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso.md5
Om ni kör Ubuntu och och har laddat ner både ISO filen och MD5 filen till eran homefolder så behöver ni bara köra kommandot "md5sum -c duds_desktop.iso.md5" i terminalen för att kolla ISOns integritet. Terminalen ska då ge er svaret: "duds_desktop.iso: OK" ifall ISOn är okey.
OBS! Jag har inte döpt om ISO:n till duds_desktop_r2.iso som ni kanske märkt utan kommer att behålla det gamla filnamnet just så att alla andra länkar (både innanför och utanför ITBloggen) pekar till R2 istället. :)
Deploy and enjoy Ubuntu Desktop with DUDS Desktop R2! :D
Over and out!
// Fredrik "DXter" Jonsson.
Landscape har gått och blivit RTM (Release To Manufacturing) nu. Det släpptes i onsdags förra veckan och det är väldigt blandade känslor bakom releasen måste jag säga. Mycket positiva känslor, men är även lite småledsen/småirriterad över lite småsaker...
Såklart så känner man sig jätteglad för att en riktigt cool produkt äntligen har nått marknaden! Landscape plattformen är en sak som jag vet att större installationen av Ubuntu verkligen bara MÅSTE ha. (Typ samma sak som att man kör en Small Business Server ifall kunden har mer än fem Windows klienter. ;)) Jag känner mig också jätteglad över att om man går och läser på http://www.ubuntu.com/news/landscape så står jag med i texten! :D Som ni kanske förstår själva så är riktigt glad över att Jamu, Gustavo och resten av Landscape teamet valde ut mig till release texten! En annan cool sak är att, precis som många trodde, så har Landscape släpps även som en separat produkt som inte bara finns i serviceavtalen, dvs. man kan köpa Landscape som en fristående produkt/tjänst utan support ifall man känner att man klarar sig utan det. :)
Dock så känner jag det som att det finns tre sämre saker med Landscape RTM idag:
1. Landscape släpptes egentligen för tidigt i min mening. Man borde ha väntat i lite drygt sex-sju veckor så att den releasen kunde ha varit syncad med Hardy Herons release så att man hade hunnit fått in andra, riktigt schyssta features in i Landscape, features som jag vet är planerade. Nu får vi se vad som händer vid Hardys release helt enkelt. ;)
2. Commandlines/konsollvariabler för landscape-client har bytts ut, dvs. har ni gjort script för att installera/konfigurera landscape-client antingen under ett Ubuntu deployment (vilket man ska göra enligt mig!) eller via ett stand-alone installationsscript för Landscapeklienten, så kommer dom scripten att faila! Kommandot "configure-landscape" är borta och ersatt med "landscape-config" (också att tänka på vid scriptade installationer eller postscripts i deployments!). Dock så verkar landscape-config kräva en interaktiv konfiguration av klienten trots att man sätter alla parametrar i ett script. Jag började att labba med Landscape RTM så sent som i lördags eftermiddag p.g.a. jag kom hem från Ghana då. Jag har mailat direkt till Gustavo i Landscape teamet angående detta, dock så har jag inte fått något svar ännu eller hittat en schysst lösning på detta än, men när jag gör det så postar jag det som ett blogginlägg! Jag ser det här som ett riktigt stort problem som ni kanske förstår! :(
3. RTM-klienten kräver att den uppgraderas interaktivt på varje klient, dvs. man kan inte uppgradera en Landscape ansluten dator med en beta-version till RTM-versionen av landscape-client paketet via Landscape siten. :( Det har hänt en hel del med Landscape klienten rent säkerhetsmässigt i RTM versionen, vilket såklart är jättebra! Men som vanligt så har säkerhet sitt pris och bland annat så körs nu inte landscape-client som root längre, utan som ett eget konto som heter just landscape, vilket innebär att upgraderingsprocessen måste tyvärr köras lokalt för att den gamla klienten ska tas bort på ett snyggt sätt, det nya kontot ska skapas, alla binärer ska bytas ut, alla konfigurationsfiler ska konverteras till det "nya" formatet samt så ska den nya landscape-client binären göra en snabb deltasync mot Landscape servrarna. Och eftersom den gamla klienten måste ersättas av den nya innan kontot skapas så blir det ju som sagt omöjligt för landscape-client att göra en uppgrade ifall det måste gå igenom alla dessa steg i uppgradringsprocessen. (Något som är borttaget kan ju inte skapa något nytt... ;)) Detta innebär tyvärr att man MÅSTE gå runt/SSH:a till varje dator och köra typ "sudo aptitude safe-upgrade -y". Kul för riktigt stora installationer av Ubuntu, typ Frankrikes parlament eller Google... NOT!
OBS! Att tänka på innan man börjar skriva hotbrev till Landscape teamet är att detta gäller endast för beta klienten -> RTM klienten. Framtida uppgraderingar av landscape-client kommer som sagt inte kräva att man skapar t.ex. det lokala landscape kontot igen osv., vilket gör att man kan faktiskt kan uppgradera landscape-client via Landscape siten som vanligt i framtiden. Men visst är det en liten dryg övergångsperiod nu, speciellt ifall man har en fet Ubuntu + Landscape installation, det håller nog dom flesta med om... :(
Dock sammanfattat måste man säga att även ni som bara har en Ubuntu maskin borde testa Landscape! Det är ett riktigt coolt sätt att managera sina Ubuntu maskiner och användare och Canonical har en 60 dagars trial på produkten (http://www.canonical.com/landscape/register). :)
Releasefest för Landscape i London nästa då!? :D
// Fredrik "DXter" Jonsson.
Som jag lovade er så har utvecklings arbetet av DUDS inte stått stilla. Det är jättekul att höra all feedbacks och comments som alla har gett! Tack så hemskt mycket! Tack till alla ni som läser min blogg och dom som t.o.m länkar till den! Helt fantastiskt! :) Jag har slipat lite på DUDS och gjort lite förbättringar. Har ni någon idé som ni tycker vore klockren om den fanns i DUDS, ta och skriv ett mail till mig vettja! :) Det är bara att gå in på mitt kontaktformulär på http://itbloggen.se/cs/blogs/mr_dxter/contact.aspx och skriva en rad och är det en bra idé som kan gynna DUDS så är det självklart att jag tar med den! Jag är jättetacksam för all feedback jag får, positiv som negativ. Det är ju trots allt den negativa kritiken som gör grund för förbättringar... ;) Ni som inte läste mitt förra inlägg angående DUDS hittar det här:
http://itbloggen.se/cs/blogs/mr_dxter/archive/2007/12/31/dxters-ubuntu-deployment-solution-duds.aspx
ISO filen för DUDS hittar ni här: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso
Förändringar och "features" i ny versionen (!?) av DUDS:
Nummerbaserad meny för enklare start av installationer. Stöd för att göra en interaktiv, manuell, vanlig installationen över nätet. Samma sak som att använda den alternativa installationsskivan fast med den lilla skillnaden att allt görs över internet med dom senaste versionerna av samtliga paket. Stöd för att använda egna kickstartfiler från era webbserverar för lokala (eller online) deployments från installationsmenyn utan att modifiera DUDS skivan. (Dock så behöver ni skapa ett record i eran DNS server.) Stöd för att boota från hårddisken i installationsmenyn. Tagit bort splashscreenen. Ändrat default booten till hårddisken istället för installationen Ubuntu Desktop för att undvika installationsloopar eller installationer som startats av misstag. Man behöver nu alltså inte ta ut skivan innan datorn rebootar efter en installation. Timeout:en på 60 sekunder är kvar. Vissa buggar har fixats och kickstartscripten har förbättrats. (Bland annat så pekar dom hårt nu mot den svenska repositoryn och inte mot CD:n med fallback på repositorys.) Nu så skapas bara två partioner, dvs. en för / och en för /swap.
Installationsvalet dxpack innehåller flera "arbetsrelaterade" paket som jag hade glömt lägga in. :) Säkerhetsfolk vet vilka jag snackar om, hehe... ;)
// DX.
Ni som inte är en såkallad "Ubuntu Dog" som jag (fick titeln av en kund), har säkert missat Ubuntu JeOS som släpptes nu samtidigt som Gutsy Gibbon hade release i Oktober 2007. Många har även inte hittat Ubuntu JeOS på den vanliga nerladdningssidan http://releases.ubuntu.com/7.10/ utan bara hittat images för Ubuntu Desktop (live versionen), Ubuntu Desktop (alternativa installationsskivan) samt Ubuntu Server för diverse arkitekturer. Anledningen till att man inte har hittat den är för att den helt enkelt inte finns där. :) Den finns på http://cdimage.ubuntu.com/jeos/releases/7.10/release/
Jag har själv kört det i ett par VMs och testat det riktigt hårt sedan releasen i Oktober med bland annat Landscape och kan bara konstatera: "Ubuntu JeOS är något som alla som håller på med virtualiserade Linuxsystem måste testa!" Det är ett OS som Canonical har utvecklat tillsammans med deras egna, enda Gold Partner på Ubuntu, dvs självaste VMWare. Kör ni t.ex. ESX så ska ni inte tveka på att trycka in JeOS som en VM. Men jag kan även intyga att det funkar utmärkt även under VirtaulBox och Xen. Någon som vill testa under Virtual Server 2005 R2 SP1?
Vad är då Ubuntu JeOS? Jo, man kan säga att Ubuntu JeOS är samma sak som en jäkligt bantad Ubuntu Server (som redan är jäkligt bantad) fast med den lilla skillnaden att den är optimerad för virtualisering. Förutom ett fullständigt stöd för Canonicals Landscape så har den även samma repsoitorys som resten av Ubuntu familjen, dvs det man kan installera på Ubuntu Desktop eller Ubuntu Server kan man installera på Ubuntu JeOS. Den är gjord för att vara en applikations server som enbart ska hosta t.ex. en enskild applikation för att ge så minimalt med overhead som möjligt i en virtualiseringsmiljö. :)
Något som däremot inte många känner till är att det går att köra samma virtualiseringsoptimerade kernel som Ubuntu JeOS använder (linux-image-virtual) på även andra virtualiserade Ubuntu OS som t.ex. Ubuntu Server eller även Desktop. Canonicals rekommendation är att inte installera paketet linux-image-virtual direkt utan att installera metapaketet "linux-virtual" så att alla uppgraderingar kommer att funka i framtiden och att alla support paket följer med. :) Vill ni testa så kör kommandot:
sudo aptitude update; sudo aptitude install linux-virtual -y; sudo reboot
Kör ni raden ovan så kommer eran VM att ladda ner senaste linux-image-virtual kerneln, installera den, starta om datorn och boota med eran nyinstallerade, virtualiseringsoptimerade kernel. Lycka till! :)
// DXter a.k.a Ubuntu Dog.
Tjenare!
Längesen man bloggade, men nu är det dags igen. Jag insåg under Johan Arwidmarks session angående Windows Deployment på Windows Server Summit 2008 att Ubuntu behöver inte bara Landscape för att bli ett Linux för Enterprise. Visst, jag har mitt lilla script för att mycket enkelt kunna deploya Landscape klienten bland alla mina Ubuntu burkar i hela min gigantiska, fiktiva organisation med 65 000 klienter, det är inget problem alls. Det är när det kommer till deployment av själva Ubuntu OS:et som det börjar bli lite knepigare som jag ser det. Ubuntu världen ligger i vissa fall jättelångt efter gällade deployment, både ur en teknisk aspekt men även ur en dokumentationsmässig, iallafall i jämfört med deployment i Windows Server 2008.
Så efter Johans session så insåg jag vad som behövdes göra: "Ubuntu måste bli den enklaste distributionen att deploya i sin organisation snabbt och säkert!" Nu har jag haft en välbehövlig semester sen den 20:e och i princip all min vakna tid fram tills nu förutom toabesök och mat har gått åt att LUD. Dvs. Learn, Understand, Do. Dvs. lära sig, förstå och göra något åt situationen gällande området Ubuntu Deployment. Detta inkluderade julhelgerna. :) Under natten mellan julafton och juldagen så testade jag olika deployment script och svarsfiler på olika sätt och deployade som en galning. Mellan typ 19.00 på julafton och 05.00 på juldagen så rullade jag ut ca 50 burkar hemma hos mig. :)
Ett Ubuntu Deployment kan man säga består av tre bitar:
1. En bootimage som initierar själva deploymentet av klienten. (á la WinPE)
2. En kickstartfil som är en textbaserad svarsfil som innehåller alla parametrar som krävs för en automatisk installation. (inkl. paketval. :))
3. En accessbar store med installationsfiler, dvs. installationsmedia.
Vi börjar med bootimagen. Det är denna image som startar själva installationen. Denna image kan bootas från CD, USB pinne eller PXE (boot via nätverk för icke deployment intresserade). Det är helt valfritt. Denna image kan man t.ex. knycka ur den alternativa installationsskivan eller ladda ner från http://cdimage.ubuntu.com/. Vi kan även ta och modda filen isolinux.cfg så att vi automatiskt bootar med rätt parametrar för t.ex. adressen till kickstartfilen ifall man vill få in den på ett schysst sätt. :)
Kickstartfilen är det absolut enklaste momentet och är verkligen en fröjd att göra. Kickstart verktygen skapades av Red Hat för deras automatiska installationer, men den funkar alldels förträffligt även på Ubuntu. Sitter ni på en Ubuntu Desktop (eller Kubuntu, Edubuntu eller Xubuntu för den delen) så kör bara "sudo aptitude install system-config-kickstart -y" så har ni Kickstart inom ett par sekunder. I GNOME ligger den under Applications -> System Tools -> Kickstart. Att göra en svarsfil för Ubuntu med Kickstart är inte svårare än att göra en för Windows. Man fyller i alla parametrar man vill ställa in, vilket installationsmedia man ska använda (t.ex. CD, lokal deployment server, internet...) och sparar filen sitt boot media eller på en accessbar webbserver. Kickstart filen kan även innehålla både pre och post installations script i själva kickstartfilen. Prescript är script som sker innan installationen och postscript är script som sker efter installationen. Ett schysst användningsområde för postscript är t.ex. installation och konfiguration av Landscape klienten eller att e-mail:a en installationsrapport till en admin. :) En jäkligt smart grej med kickstart filen är att den har en inbyggd fallback mot repositoryrna ifall cd-skivan inte kan tillhandahålla installationen. Dvs.kan du ha samma kickstart fil mot en bantad bootimage för internetinstallation och en "riktig" installationsskiva för att installera "traditionellt". Dvs.sätter man cd-rom som installationskälla i kickstartfilen så kommer den installera från cd-skivan ifall skivan har OS:et på sig, annars så hämtar den från internet automatiskt. :)
En del kanske undrar säkert vad en accessbar store med installationsfiler är. Jo förstår ni, det är inte mer komplicerat än en ren kopia av den alternativa installationsskivan (inte live versionen!) rätt ner i en mapp som går att nå över http, svårare än så är det inte. Självklart kan det även vara en vanlig CD, USB pinne eller Canonicals repositories ifall man vill det. :)
Nu är det säkert många här som inte har lust med att bränna sin semester på något sånt här sjukt, så därför tänkte jag bjuda er på detta; DUDS a.k.a DXters Ubuntu Deployment Solution. Vad är detta tänker ni? Jo, det är helt enkelt en väldigt bantad boot image (9 MB stor ISO) som är prepreppad med ett gäng profiler för olika installationer. Med ett gäng så menar jag tre stycken, nämligen desktop, dxpack or core. Detta kommer att utökas vid efterfrågan. :) Vill jag installera en vanlig Ubuntu Desktop så behöver jag inte ens skriva "desktop". Jag behöver bara vänta på en timeout på 60 sekunder så defaultar den på desktop och börjar installera enligt desktop svarsfilen. Om jag inte orkar vänta 60 sekunder så behöver jag bara trycka enter så startar den direkt. Denna timeout gör att vi kan deploya ut Ubuntu Desktop till datorer utan varken skärm, tangentbord eller mus (förutsatt att BIOS är konfat att boota från CD dvs. :)) Vill jag göra en installation med mina favoritpaket så bootar jag med DUDS skivan, skriver bara "dxpack" och trycker enter, väntar 3-5 skunder, tar ut min DUDS skiva och går på lunch. När jag har kommit tillbaka så är maskinen färdig och installerad med alla mina favorit appar och paket och väntar på att jag ska logga in.
desktop = Helt vanligt next, next, next, finnish installation av Ubuntu Desktop. Inget hanky panky.
dxpack = Se ovan + mina favvopaket, dvs Alien Arena, aMSN, Filezilla, VLC... (OBS, denna installation behöver ladda ner ca 1 GB paket extra än ovan)
core = Ubuntu Desktop utan Desktop. Dvs.en vanlig Ubuntu installation utan varken GNOME eller KDE. (OBS! Detta är inte samma sak som Ubuntu Server. Ubuntu Server har en annan kernel, mindre paketval by default, osv... Dock funderar jag på att göra en DUDS lösning för Ubuntu Server också. Time will tell...)
Man kan faktiskt även välja ett fjärde alternativ, och det är att peka boot imagen mot er egen svarsfil. Det enklaste är att göra detta över HTTP. Lägg kickstartfilen på en accessbar webbserver och skriv bara in "install ks=http://adressentilldinwebbserver/namnetpåeransvarsfil.cfg" i konsollen och tryck enter så kommer installationen att använda er svarsfil med era parametrar för installationen, men använda Canonicals repostitories som installationsmedia (om inte ni har angett en lokal deploymentserver i er egna svarsfil).
Nu undrar säkert folk vad som är det coola? Mjo, det coola är två saker:
1. Svarsfilerna finns inte på skivan. Dom finns på min webbserver. Dvs.när en installation startas så hämtas svarsfilen från min publika webbserver.
desktop: http://duds.asci.se/kickstart/desktop/hardy/duds_ubuntu_desktop_32.cfg
dxpack: http://duds.asci.se/kickstart/desktop/hardy/duds_dxpack_32.cfg
core: http://duds.asci.se/kickstart/desktop/hardy/duds_core_32.cfg
Tada! Vi kan nu göra dynamiska installationer och underhålla vårat installations script utan att förändra våra boot media. Det é coolt. :)
2. Installationen sker inte från någon lokal deployment server utan direkt ifrån Canonicals repositorys , vilket gör min image helt location independent, dvs jag behöver ingen lokal deployment server för att installera datorer helt plötsligt. Allt jag behöver är en internanslutning och kan t.o.m. deploya ut en dator som är off-site! Detta ger ett gäng fördelar:
Maskinen har senaste versioner av sin mjukvara t.ex. senaste kernel, gnome och openoffice redan första gången användaren loggar in. Man slipper att patcha burken direkt efter installationen. (För mig att det är runt 180 patchar och uppgraderingar man måste dra ner nu efter en ny installerad Gutsy Gibbon?)
I och med att den nyaste kerneln laddas redan innan disk initieringen så har är man inte längre beroende på kerneln 2.6.22.14 som skeppades med Gutsy Gibbons RTM image. Nu får man alltid den senaste kerneln, vilket ger t.ex. ett bättre hårdvarustöd för t.ex. RAID och kontrollerkort. Men den största fördelen med att få senaste kerneln vid installation är att man inte behöver starta om burken efter installationen då byte av kerneln kräver reboot. Man kan även använda sin helt egna kernel eller använda någon helt annan (XEN t.ex.). Allt man behöver göra är att bara ange detta i sin egen svarsfil. :)
I vissa situationer, (främst gällande äldre datorer) kan faktiskt internet installation vara snabbare än t.ex. CD p.g.a. långsamma CD-läsare. Jag kör med 100 Mbit/s Bredbandsbolaget hemma hos mig och det spöar 52X CD läsaren som sitter i min fysiska labburk. Tankar installationen från Canonicals repositorys ner på maskinen i ca 8-9 MB/s.
Jag behöver inte uppdatera mitt lokala installationsmedia gällande patchar osv. eftersom det inte finns något lokalt installationsmedia att underhålla. Det enda jag eventuellt måste underhålla är ett installations script som inte finns på boot mediat... :)
Låter detta intressant så får ni jätte gärna ladda ner och testa DUDS själva. URL: http://duds.asci.se/iso/desktop/stable/duds_desktop_stable.iso
Jag tänker i princip säga samma sak som utvecklarna av Kororaa; DUDS är bara en installationsmetod, resultatet ni har när ni bootar upp är 100 % Ubuntu. Nothing more, nothing less :). Dock så är det fyra saker som ni borde ha i åtanke om ni ska använda DUDS:
1. DUDS WIPE:AR HELA HÅRDDISKEN DIREKT UTAN ERAN BEKRÄFTELSE! Testa DUDS på en ny, virtuell maskin eller på en burk som inte har något kritisk data på sig.
2. Default username och password för användaren som skapas under installationen är "ubuntu". Detta ska bytas direkt efter installationen av säkerhetsskäl.
3. Ta ut skivan efter att installationen har laddats (tar ca 3-5 sekunder efter att man har tryckt enter). När ni ser en blå installationsskärm så har mjukvaran laddats i en RAM-disk och man kan säkert ta ut skivan. Detta är för att förhindra installations loopar då datorn rebootar automatiskt efter installation samt så installeras automatiskt Ubuntu Desktop när den bootar upp från skivan efter 60 sekunder. Jättebra ifall man vill testa sin disk eller internetanslutning. :)
4. Installerar ni dxpack så tänk på att den svarsfilen drar ner ca 1 GB paket extra. Så ska ni göra detta, se till att ni har gott om bandbredd och/eller tid. :) Ska man göra detta t.ex. på en ISDN anslutning i Namibia så rekommenderar jag att man gör det över en skön utlandssemester. :)
Lycka till och ut med er och deploya Ubuntu! Utvecklingsarbetet gällande DUDS kommer inte att stå stilla, det kan jag lova er. Jag hoppas att tiden tillåter mig att jag kan göra en DUDS för Ubuntu Server också. Jobbar just nu på att stödja flera arkitekturer än x86 på samma boot image. Lämna gärna comments ifall ni tycker att detta var en bra grej. (Eller en en dålig :)).
Gott nytt år på er! :D
// Fredrik "DXter" Jonsson.
För cirka en vecka sen så blev inbjuden av Canonical att delta i deras betaprogram av produkten Landscape som har release väldigt snart. Jag har installerat Landscape klienten på min laptop, min privata serverpark samt på alla mina klienter (inkl. flickvännens laptop som också lirar Ubuntu :P). Många undrar hur jag vågar deploya en beta på alla mina maskiner inkl. mina servrar på en gång utan någon förstudie eller någon recovery plan, men svaret är väldigt enkelt: Landscape klienten är färdig och har gått till RTM. Det är den administrativa webbsidan (som ligger hos Canonical) som fortfarande är under utveckling. Dock så tror jag att även klienten kommer att uppdateras vid RTM av webbsidan för att eventuellt kunna stödja vissa nya funktioner... dock är detta endast en teori från min sida. :)
Vad är då Landscape?
Jo, Landscape kan man nästan säga är Canonicals svar på AD + SMS + MOM + WSUS för Ubuntu Linux plattformen. Dock vill understryka säga att trots jag jämför Landscape med AD så är Landscape INGEN katalogtjänst. Det har ingenting med LDAP att göra över huvudtaget. Jag syftar på att det är AD liknande då man har en centraliserad hantering av användare, datorer, konfiguration, osv... men en gång till, det är INGEN katalogtjänst! :D Vill man köra "domän kontrollanter" på Linux så får man köra SuSE Linux Enterprise Server 10. Visst, det finns öppna katalogtjänster som OpenDirectory eller eDirectory som går att installera på Ubuntu, men på SLES10 så finns det (eDirectory) färdigt "out of the box"... anyway...
Vad kan man göra med Landscape?
Tja, du kontrollera/skapa/inaktivera användare och grupper på alla anslutna Landscape klienter, byta lösenord på användare, hantera datorer, godkänna/neka uppdateringar, deploya nya applikationer, kontrollera och övervaka hårdvara/drivrutiner, övervaka och avsluta processer, se disk/CPU/minne/network I/O, osv... Man kan t.o.m se olika temperaturer på disk, CPU, osv. (Borde kanske installera Landscape klienten på min grill? :D) Man kan även få ut rapporter på det mesta.
Hur installerar jag Landscape klienten på mina klienter/servrar?
För att underlätta deployments av Landscape klienten på Ubuntu maskiner så har jag satt ihop ett shellscript som gör detta helt automagiskt. Står jag i konsolen på en av mina Ubuntu burkar och kör:
wget mininternawebbserver/landscape.sh; chmod +x landscape.sh; ./landscape.sh
så tar det ca 1 sekund för burken att ladda ner scriptet från min interna webbserver, sätta exekveringsrättigheter på scriptet, och exekvera scriptet. Sen tar det ca 5 sekunder för scriptet att hämta hem GPG nycklarna från Canonicals nyckelservrar, göra nycklarna tillgängliga för apt-get, lägga till Cannonicals repositories för Landscape i /etc/apt/sources.list, ladda ner Landscape klientens paket via apt-get från Canonicals repositories (depåer som det kallas på snygg Linuxsvenska) och installera Landscape klienten. Så säg att det tar ca 10-15 sekunder (inkl. skrivandet av kommandot för att dra hem och exekvera scriptet) för installationen att slutföras. När installationen (som är helt självgående) är klar, startar scriptet även att en guide för att konfigurera Landscape klienten. Man måste bara ange tre saker i denna guide: client computername (default = datorns hostname), Landscape username och Landscape registration password. Dessa parametrar går självklart att baka in i scriptet, dock har jag valt att inte göra det då jag inte vill att alla klienter ska ha samma hostname. ;) När detta har angivits så är klienten installerad och konfigurerad och kommer nu att ansluta till Landscape servrarna inom 15 minuter (det går att ställa in ett annat värde ifall man anser att detta är för lång tid). OBS! Även om kontonamnet är det samma som man använder för att logga in på Landscape siten med så är inte registration password samma lösenord som man använder vid inloggning på Landscape siten! P.g.a detta så kan vi delegera installationer av Landscape klienter utan att exponera dom för intrång av personen som installerar klienten. Mycket bra gjort Canonical!
Om det råkar vara någon annan Landscape betatestare som läser det här, maila mig gärna på ciscodxter@gmail.com så skickar jag mer än gärna scriptet åt dig. :)
Hur administrerar jag mina burkar som är anslutna till Landscape?
Administrationen sker genom ett webb GUI hos Canonical (https://landscape.canonical.com/). Man surfar in på siten via valfri webbläsare och loggar in med sina credentials och vips så ser man alla sina burkar och man kan administrera dom oavsett var dom står fysiskt. På grund av att klienterna snackar HTTPS (med proxystöd ifall man vill) mot Landscape servrarna så behövs det ingen konfig i brandväggar eller proxys. (Om man inte har spärrat HTTPS dvs.) När man har loggat in på Landscape så ser man ett snyggt och väldigt snabbt webb GUI (jag bloggar från Botswana just nu) som är väldigt enkelt och lättförståeligt. Jag markerar alla mina klienter och väljer att installera alla tillgängliga säkerhetsuppdateringar. Nästa gång en klient ansluter till Landscape servrarna (som finns hos Canonical) så kommer den då att se att en uppdatering är planerad och kommer då att utföra den. By default så ansluter klienterna var 15:e minut till Landscape, men går att ställa in ifall man vill ha kortare intervall.
Vad kommer Landscape att kosta?
Landscape kommer att ingå utan extra kostnad i supportavtalen för Ubuntu. Vad kostar supportavtalet? Just nu 250 USD per år per klient, vilket är det billigaste supportavtalet under vanlig kontorstid. Det dyraste är ett high availability supportavtal för cluster och terminal servrar som kostar 4000 USD per år per server. Att tänka på är att det enbart är en support kostnad och ingen licenskostnad, dvs. supportavtalet är valfritt och väljer man det är det den enda kostnaden.
Vem riktar sig Landscape mot?
Som jag ser det så kommer det nog att finnas tre stora målgrupper för Landscape:
1. Stora företag som vill/ska deploya ut Ubuntu storskaligt på både server och klientsidan eller företag som redan har gjort det. Frankrikes parlament är ett exempel på en sådan installation... (http://computersweden.idg.se/2.2683/1.99003)
2. Små företag (typ small business server segmentet) som kanske bara är ett gäng datorer där man kanske inte ens har behov för en lokal server, men behöver ändå centraladministration av användare, datorer och patchar. Landscape är även idealiskt för en konsult i small business segmentet då denna konsult kan ha flera olika företags Landscape anslutna klienter till samma Landscape konto och på så vis underhålla alla kunders datorer väldigt enkelt på distans via ett webbgränssnitt.
3. Företag som har personal som väldigt ofta är "off-site" typ konsulter, säljare, m.m... Landscape klienten körs konstant i bakgrunden och är helt transparent för användare och användaren behöver inte ens bry som om t.ex. VPN för att ansluta till HQ för att få nya policies om t.ex. uppdateringar, mm p.g.a Landscape klienten ansluter kontinuerligt till Canonical via HTTPS för att hålla sig up to date. Man får på så vis kontroll över klienten så får den får internet access.
Hoppas att det förklarade Landscape Konceptet. Jag har säkert glömt att nämna något, men då kommer jag att skriva det. :) Kommer även att återkomma till det här lite senare när man har fått mera erfarenhet av Landscape och när vi är vid RTM på den administrativa webbsidan, men jag tycker att det faktiskt ser lovande ut. Väldigt lovande...
Hakuna matata!
Jahapp,
du har man börjat blogga då. Varför? Helt ärligt
vet jag faktiskt inte... only
root
knows...
;)
En
liten rolig sak som jag tänkte ta upp är det roliga
faktumet att folk/users
tror att så fort man kör Linux som sitt klient/server OS
så måste man inte tänka på säkerhet. Jag
anser att det argumentet är som att säga “Jahapp, då
kör man BMW, nu behöver jag inte tänka på
bilbälte eller försäkring till bilen.”
Min personliga åsikt
är all heder åt Canonical för Ubuntu (både
desktop och server)! Kör själv kört Ubuntu Desktop
7.04 Feisty Fawn (med kubuntu-desktop paketen för att kunna köra
KDE också) på heltid på min laptop sedan releasen i
April och nu har man dessutom blivit inbjuden av Canonical till
beta-programmet för Landscape som verkar mycket, mycket lovande
(http://www.canonical.com/landscape).
Dessutom kör jag Ubuntu Server
7.04 på alla mina servrar, förutom en av mina DNS:er och
en av mina webbservrar som fortfarande lirar på Debian 4.0 (dom
ska migreras i Oktober vid Ubuntu 7.10 Gusty
Gibbon releasen när alla andra servrar uppgraderas).
En
liten rolig sak med Ubuntu (och många andra distributioner) är
att istället för att använda ett root
konto för att administrera och underhålla datorn, så
använder man sudo för att tillfälligt elevera
användarens rättigheter genom att låta användaren
ange sina credentials. Detta är både bra och dåligt.
En schysst sak är att man scripta upp administrativa saker (typ
installationer eller uppdateringar) och låta sen en user
köra detta utan att ha root
behörigheter. (Jag påpekade dock vissa likheter mellan
sudo i Ubuntu och UAC i Vista
för Chrisse, men det gillade han inte... :D)
Dock
innebär detta att om man startar upp en default
installerad Ubuntu burk i “Recovery
Mode” genom att ange detta i GRUB:s meny vid boot,
så hoppar man direkt in som root på den burken (p.g.a
root password
är inte specificerat). Kör man då t.ex. dir /home/
så ser man direkt vilka users
som finns på den burken och sen är det bara att köra
“passwd %användarensnamn%” för att ändra
passwordet på den specifika usern. Sen är det bara att
skjuta in ett reboot
kommando för att starta om burken för att senare logga in
med ens nya “kapade” konto. Och på grund av att vi kör
sudo så har vi full access till maskinen efter inloggning.
Skrämmande?
I know...
dock så kan man ju alltid köra sudo passwd för att
lösa det problemet och sätta password
på root kontot. Men det är det väll ingen som gör?
Eller!?
Jag
vill ge all heder åt Hasain som kör Ubuntu på heltid
och aktivt labbar med att testa säkerhetslösningar på
Ubuntu. Kul att se för en gångs skull att det går
att köra smartcard login
och PKI lösningar på andra system än Windows.
Respekt! ;)
Och
innan någon börjar gnälla på Ubuntu p.g.a
detta, tänk på att default
installerad Windows
XP burk har inget administrator
password.
Alla system oavsett Linux/UNIX/Windows/Mac/BSD/Whatever
SKA ha ett lösenord för root/administrator.
Något att tänka på kanske? Men det hoppas jag att ni
redan gör... ;)
Kommentarer
mottages väldigt tacksamt. Bättre att ni skriver klagomål
än inget alls... ärligt... :)
// Fredrik “DXter” Jonsson.