NETGEAR ReadyNAS Pro. Установка дополнительных модулей и программ

 АЛЕКСЕЙ БЕРЕЖНОЙ, системный администратор. Главные направления деятельности: виртуализация и гетерогенные сети. Еще одно увлечение помимо написания статей – популяризация бесплатного ПО

NETGEAR ReadyNAS Pro
Установка дополнительных модулей и программ

Раздвигаем рамки функциональности обычной конфигурации сетевых хранилищ за счет использования доступа по SSH в режиме командной строки

В номере «СА» за декабрь 2009 года [1] шла речь о некоторых функциях, позволяющих более полно использовать сетевые хранилища ReadyNas Pro от NETGEAR. Обновление прошивки, смена типа RAID, тонкая настройка прав – все это, конечно, здорово. Но иногда необходимо несколько больше, чем заложено в штатные функции сетевого хранилища.

В статье в июле 2009 года [2] я указывал, что в качестве основы для программного обеспечения ReadyNas Pro (оно называется RAIDiator) использовался Linux Debian. И значит, есть возможность значительно расширить функциональность данных сетевых хранилищ за счет использования программного обеспечения, предназначенного для Linux-платформ.

Внимание! Установка дополнительных расширений производится «на свой страх и риск», без каких-либо гарантий со стороны производителя. (И автора, кстати, тоже. Хотя все описанные в этой статье процедуры у меня завершились весьма успешно.) В случае возникновения серьезных сбоев компания NETGEAR может отказать в предоставлении гарантийного обслуживания. Также перед выполнением нижеописанных действий крайне необходимо выполнить полное резервирование данных и настроек хранилища на другой ресурс (или съемный носитель). Даже если вы «гуру» в области UNIX-платформ, резервная копия (а лучше две) никогда не помешает.

После такого грозного предупреждения возникает резонный вопрос: «А зачем, собственно это нужно? Не проще ли использовать хранилище как есть, с заводскими функциями?» Естественно, при ответе на вопрос, стоит ли игра свеч, нужно руководствоваться принципом «Можно ли без этого обойтись?». Но бывают случаи, когда новая функция действительно необходима. Например, вам нужно проверять содержимое хранилища на вирусы в автономном режиме. Или управлять им с помощью SSH. Или создавать архивные копии в сжатом виде посредством небезызвестной связки tar+gzip. Существует еще много задач, которыми можно «нагрузить» ReadyNAS. Например, некоторые энтузиасты превращают сетевое хранилище в полноценный веб-сервер.

Следует сразу оговориться, что для использования описываемых в данной статье технологий необходимо хорошее знание основ работы в UNIX-системах, в частности Debian Linux. Иначе можно запросто остаться у разбитого корыта, то есть с неработоспособным устройством, лишенным гарантийного обслуживания. Хотя и в этом случае существует «запасной парашют» – возврат к заводским установкам (cм. мою статью [1]). С данным в этом случае придется распрощаться, но хранилищу вернется работоспособность. Также при этом обновляется показатель «был ли включен доступ через SSH», и у вас появляется шанс не потерять гарантию (поддержку).

Если вы имеете опыт общения с UNIX-like платформами и не боитесь разбираться со сложными ситуациями, для которых нет готовых рецептов, – тогда, возможно, стоит рискнуть, чтобы еще лучше приспособить хранилище под свои нужды.

Еще один принцип, на который мне хочется обратить внимание: «Для хорошего художника главное – вовремя остановиться». Если вы установили и настроили программное обеспечение, которое было действительно необходимо, и оно работает, не следует больше ничего предпринимать. Просто закройте сессию. Дополнительные эксперименты с настройками из чистого любопытства ни к чему хорошему, как правило, не приводят.

Установка дополнительных расширений

В данном случае мы установим модуль EnableRootSSH, чтобы получить возможность удаленного управления хранилищем по SSH и добраться непосредственно до самой операционной системы. Далее мы сможем устанавливать программные пакеты для Debian и выполнять команды непосредственно из Linux-оболочки (shell).

Перед установкой данный модуль необходимо скачать по адресу: http://www.readynas.com/download/addons/x86/4.2/EnableRootSSH_1.0-x86.bin (на момент написания статьи была доступна версия 1.0).

Установка производится посредством FrontView (веб-интерфейс управления) сетевым хранилищем) из меню «Система -> Обновления» вкладка «Локальный». Нажав на кнопку «Обзор», находим на диске наш предварительно скачанный установочный бинарник EnableRootSSH и загружаем его в хранилище (см. рис. 1).

Рисунок 1. Установка EnableRootSSH

Далее система выдаст сообщение: «Загрузка и верификация займет несколько минут. Не прерывайте браузер в течение этого времени. Вы получите запрос на подтверждение перед выполнением фактического обновления».

После того как устанавливаемый вами модуль будет загружен и проверен, система выведет окно, подтверждающее корректность модуля, и разрешит выполнить обновление системы (см. рис. 2).

Рисунок 2. Запрос на обновление системы

Далее появляется сообщение «Для продолжения обновления, пожалуйста, перезагрузите NAS)». После загрузки системы можно проверить возможность входа в систему:

berezhnoy@linux-1zti:~>ssh root@10.0.0.86

Внимание! Пароль для SSH будет тот же, что и у пользователя admin, который действовал на момент установки EnableRootSSH. Далее вы можете изменять отдельно пароль для root (например, командой passwd) и отдельно пароль пользователя admin из веб-интерфейса FrontView.

Установка дополнительных пакетов для Linux Debian

Прежде чем выполнять какие-либо работы, определимся с конечной целью. Допустим, в конечном итоге мы хотим видеть наше хранилище с установленным антивирусом ClamAV и настроенной системой сканирования два раза в сутки при помощи скриптов. Вирусы, «живущие» на рабочих станциях под управлением Windows, не смогут навредить сетевому хранилищу на UNIX-like операционной системе. Но это не отменяет необходимости антивирусной проверки содержимого общих каталогов, которые могут стать источником размножения malware.

Проводим синхронизацию индексов пакетов с источником

Установка пакетов с Linux Debian при помощи менеджера пакетов apt-get. Особенность установки в данной версии заключается в том, что, если мы просто введем команду:

apt-get install clamav

то будет установлена устаревшая версия ClamAV 0.90, не способная работать в данной конфигурации.

Чтобы инсталляция прошла гладко и в итоге была установлена работоспособная версия ClamAV, обратимся к страничке с документацией по установке этого пакета: http://www.clamav.net/download/packages/packages-linux.

Из описания становится понятно, что установки пакета необходимо добавить в файл описаний репозиториев /etc/apt/sources.list дополнительную строку, указывающую на репозиторий с обновленной рабочей версией.

Выполняем резервное копирование sources.list (на всякий случай):

#cp /etc/apt/sources.list /etc/apt/sources.list.old

И собственно добавляем строку с адресом репозитория:

#echo deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free >> /etc/apt/sources.list

В итоге в файл должно быть записано следующее:

# cat /etc/apt/sources.list

#deb http://www.backports.org/debian etch-backports main
deb http://ftp.debian.org/debian etch main
deb http://security.debian.org/debian-security etch/updates main
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free

Выполним синхронизацию файлов описаний пакетов, указанных в /etc/apt/sources.list с их источниками. Другими словами, обновить локальный кэш пакетов, выполнив команду:

nas-EA-17-91:~# apt-get update

В ответ система выдаст следующую информацию:

Обратите внимание на ошибку the public key is not available при подключении к репозиториям http://ftp.debian.org etch и http://security.debian.org etch. Дело в том, что для подключения этого репозитория необходимо для начала получить gpg-ключ. Чтобы это сделать, сначала импортируем ключ с данным ID с сервера сертификатов. Адрес сервера wwwkeys.eu.pgp.net указывается посредством директивы –keyserver:

# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 9AA38DCD55BE302B

Ответ системы:

Импортируем полученный ключик в менеджер пакетов:

# gpg --armor --export 9AA38DCD55BE302B | apt-key add -

Ответ системы:

Теперь с чистой совестью снова вводим:

# apt-get update

И получаем информацию о том, что синхронизация прошла без ошибок:

Для удобства дальнейшего редактирования и манипулирования файлами установим файловый менеджер Midnight Commander, заодно проверим работу установщика пакетов.

# apt-get install mc

Установка ClamAV

# gpg --armor --export 9AA38DCD55BE302B | apt-key add -

Ответ системы:

Далее программа-инсталлятор задаст вам несколько вопросов:

«После распаковки будет использовано 24,8 Мб дополнительного дискового пространства. Вы хотите продолжить?»

После чего система выдаст сообщения об успешном скачивании и установке пакетов:

Собственно, и вся установка. Обратите внимание на номер версии 0.95.2 (на момент написания статьи). Это то, что нужно.

Окончательная настройка ClamAV

В случае с обычным файл-сервером можно без каких-либо дополнительных настроек переходить к написанию скриптов для проверки. Но в сетевых хранилищах операционная система устанавливается на встроенный flash-носитель, имеющий ограниченное количество циклов перезаписей. Поэтому необходимо перенести перезаписываемые файлы (такие как: журналы отчетов о работе программ, антивирусные базы и т.д.) на дисковую подсистему, благо места у нас там, как говорится, хоть танцуй.

Первоначально создадим каталог для хранения часто обновляемых файлов. Дисковая подсистема по умолчанию примонтирована в каталог /c. Уточнить это можно командой mount без параметров:

# mount

Результат выполнения:

Поэтому создаем «служебный» каталог /c/system/ и в нем каталог /c/system/clamav:

# mkdir -p /c/system/clamav

Для доступа меняем владельца каталога /c/system/clamav и его права для обеспечения доступа нашего антивируса:

# chown clamav:clamav /c/system/clamav
# chmod 770 /c/system/clamav

Теперь необходимо подредактировать файлы конфигурации, чтобы система сохраняла свои файлы по новому адресу.

На всякий случай сохраняем предыдущую версию конфигурационных файлов:

# cp /etc/clamav/freshclam.conf /etc/clamav/freshclam.conf.old
# cp /etc/clamav/clamd.conf /etc/clamav/clamd.conf.old

Начнем с freshclam.conf, отвечающего за обновление антивирусной базы.

Находим в файле следующие строки:

UpdateLogFile /var/log/clamav/freshclam.log
DatabaseDirectory /var/lib/clamav/
PidFile /var/run/clamav/freshclam.pid

и изменяем их соответственно на:

UpdateLogFile /c/system/clamav/freshclam.log
DatabaseDirectory /c/system/clamav/
PidFile /c/system/clamav/freshclam.pid

Аналогичные изменения производим в основном конфигурационном файле clamd.conf. Значения:

LocalSocket /var/run/clamav/clamd.ctl
PidFile /var/run/clamav/clamd.pid
DatabaseDirectory /var/lib/clamav
LogFile /var/log/clamav/clamav.log

меняем на:

LocalSocket /c/system/clamav/clamd.ctl
PidFile /c/system/clamav/clamd.pid
DatabaseDirectory /c/system/clamav
LogFile /c/system/clamav/clamav.log

Запускаем антивирусное обновление:

# freshclam

Результат:

Последние три строчки системного сообщения появились из-за того, что демон clamd не запущен. В настоящий момент нам это и не нужно, так как дальше будет настроен запуск антивирусного сканера по расписанию.

Скрипты для антивирусной проверки

Допустим, мы хотим организовать антивирусную проверку дважды в день. В проверке нуждаются каталоги: Users, Document и Public.

Пусть наш файл называется /opt/everydayscan.sh. Рассмотрим его содержимое. Ниже приводится содержимое скрипта с дополнительными комментариями:

//Создаем импровизированный log-файл для скрипта и пишем в него комментарий ClamAV VIRUS BASE UPDATES.
//Данный файл будет перезаписываться каждый раз, когда запускается проверка

echo ClamAV VIRUS BASE UPDATES > /c/system/everydayscan.log 
//Обновляем ClamAV, результаты вывода добавляем в лог
freshclam >> /c/system/nightscan.log

//Проверяем на вирусы общие ресурсы: Users, Documents, Public
clamscan --recursive=yes --detect-broken=yes --phishing-ssl=yes --phishing-cloak=yes --move=/c/quarantine -i /c/users >> /c/system/nightscan.log
clamscan --recursive=yes --detect-broken=yes --phishing-ssl=yes --phishing-cloak=yes --move=/c/quarantine -i /c/document >> /c/system/nightscan.log
clamscan --recursive=yes --detect-broken=yes --phishing-ssl=yes --phishing-cloak=yes --move=/c/quarantine -i /c/public >> /c/system/nightscan.log

Необходимо прокомментировать параметры командной строки:

• recursive=yes – проверять подкаталоги;
• detect-broken=yes – означает проверку на разрушенные исполняемые модули (под которыми часто маскируются вирусы и другие вредоносные программы);
• phishing-cloak=yes – всегда блокировать скрытые URL;
• phishing-ssl=yes – всегда блокировать несоответствия SSL в URL;
• move=/c/quarantine – перемещать зараженные объекты в директорию /c/quarantine, то есть в каталог quarantine на общем ресурсе.

Как уже говорилось выше, наш скрипт будет запускаться два раза в сутки: ночью в 23:59 и днем в обеденный перерыв в 13:59. Для этого добавляем в /etc/crontab следующие строки:

59 23 * * * root /opt/everydayscan.sh
59 13 * * * root /opt/everydayscan.sh

и перезапускаем демон cron, отвечающий за запуск запланированных заданий:

#/etc/init.d/cron restart

Ответ системы:

Настройка антивирусной системы завершена.

Пример настройки резервного копирования

Что еще можно сделать в плане улучшения работы нашего хранилища?

Можно организовать резервное копирование при помощи команды tar. Дело в том, что штатная система резервного копирования, управляемая через FrontView, копирует файлы без сжатия. Неплохо, но расточительно. Используя команду tar с ключом -z, можно сжать архивную копию в один файл меньшего размера, который потом легко можно переписать на другой сетевой ресурс, ленту и т.д. (Для поклонников архиватора bzip2 возможно применение ключа -j для использования bzip2 вместе с tar.)

Рассмотрим пример. В общем разделе «backup» создаем сжатый архивный файл user.tar.gz, содержащий информацию каталога users:

#tar -czf /c/backup/user.tar.gz /c/users

Получившийся архив можно переписать на внешний ресурс или съемный носитель.

Аналогично рассмотренному выше примеру с антивирусной проверкой можно при помощи демона cron организовать запуск данной команды по расписанию, решив тем самым задачу резервного копирования.

***

Использование доступа по SSH в режиме командной строки (shell) может значительно увеличить функциональный диапазон сетевых хранилищ от NETGEAR, в частности ReadyNAS Pro. Возможности при этом открываются весьма значительные. Можно устанавливать программы, редактировать скрытые конфигурационные файлы, напрямую перезаписывать файлы и т.д. Естественно, к таким тонким настройкам необходимо подходить вдумчиво и с осторожностью. Но если есть желание, знания и опыт, возможно, стоит рискнуть и использовать нестандартный подход для получения новых функций.

1. Бережной А. Расширение возможностей при работе с сетевыми хранилищами NETGEAR ReadyNAS. //Системный администратор, №12, 2009 г. – С. 40-43.
2. Бережной А. Альтернатива файловому серверу это – дисковое хранилище NETGEAR ReadyNAS. //Системный администратор, №7, 2009 г. – С. 14-20.
3. Официальный сайт антивируса ClamAV – http://www.clamav.org.
4. Сайт сообщества Debian Linux – http://www.debian.org.

Комментарии могут оставлять только зарегистрированные пользователи