#326 – Accesso remoto

Ormai sempre più raramente nel nutrito gruppo del podcast si parla delle puntate del podcast.
Sì, era una frecciatina.
Nei giorni passati si è parlato di come fosse possibile non aver modo di sistemare il problema generato da Crowdstrike da remoto, in modo semplice e veloce, per due motivi.
Il primo è che i syadmin sono pigri
Il secondo, quello serio, è che mettere mano a milioni di PC, con tastiera e mouse, è effettivamente lungo, scomodo, lento e a volte decisamente impraticabile.
Vediamo come funziona l’accesso remoto.

In condizioni normali, gli amministratori di sistema fanno in modo di poter raggiungere qualsiasi macchina accesa e operativa dal loro computer, con le adeguate configurazioni di sicurezza ovunque essi siano.
Come dicevo prima, perché sono pigri, e poi perché può tornare utile ad accedere in remoto alle macchine in qualunque momento della giornata lavorativa, che questa sia in ufficio o a casa.
C’è qualcosa che non va o una cosa da fare, ti colleghi, lavori e ti disconnetti. Finito.
Se parliamo di server la cosa è necessaria perché ormai nelle sale server, se non in casi davvero particolari, non esistono più monitor e tastiere.
E stare in quegli ambienti piccoli, freddi e rumorosi, non è bello stare. Almeno, se parliamo di quelle sale anguste delle aziende che hanno messo tre rack nel sottoscala.
Con le macchine Windows si parla di solito del protocollo Remote desktop, di serie nel sistema operativo da molte versioni, sui server e sui client.
Se si parla di Linux, solitamente in SSH, per accedere alla shell, alla riga di comando.
Per i client esiste anche un protocollo di assistenza remota, integrato in Active Directory, che permette di accedere senza rimuovere l’accesso all’utente e lavorare insieme sullo stesso desktop, cosa molto utile.
Questo tipo di accesso prevede che la macchina, o il computer che dir si voglia, sia direttamente raggiungibile in rete.
Deve essere in locale o in qualche modo connesso per esempio in VPN, e il sysadmin deve poterlo raggiungere.
Se il computer è fuori dalla rete, questi sistemi di connessione non funzionano.
Ce ne sono diversi commerciali, alcuni più famosi, altri meno, che alla fine funzionano tutti pressappoco nello stesso modo.
Si attiva un client su computer sul quale ci si vuole collegare, questo parla con un server da quale parte in internet e si autentica con un identificativo.
Io che voglio collegarmi apro un programma di gestione che si collega sullo stesso server accentratore in Internet, scrivo l’identificativo e l’accentratore fa da ponte per farmi arrivare al desktop del destinatario.
Tutto questo funziona se il sistema operativo della macchina è attivo, funzionante e se la rete funziona.
Sui server esistono delle schede apposite che permettono un accesso sensibilmente diverso, sulle macchine DELL si chiamano iDRAC, sulle HP ILO, ogni marca ha le sue.
Hanno una porta di rete separata, un IP diverso, solitamente collegato a una rete completamente diversa e all’interno hanno un piccolo sistema operativo parallelo che parte quando il server viene alimentato.
Collegandosi a queste schede si può gestire il server sotto molti aspetti e si ha accesso alla console, solitamente via web, come se si fosse lì davanti, con mouse, tastiera e monitor.
Questa modalità di accesso funziona anche se il sistema operativo non funziona, non c’è o ci sono problemi, è completamente indipendente.
Si usa anche per installare un sistema operativo su una macchina nuova, appena collegata, senza dover stare, scomodi, in una sala fredda e rumorosa.
Anche i sistemi di controllo delle macchine virtuali come vCenter hanno modo di accedere alla console di tutte le macchine da loro gestite, visto che in questo caso non ci sono proprio le porte dove collegare monitor e tastiera.
Con il problema di Crowdstrike, per i server, l’intervento era possibile farlo da remoto. Uno a uno, ci si collegava in remoto sulle macchine in blue screen, si accedeva alla console, si riavviava, si entrava in modalità provvisoria, si modificava il registro e si riavviava.
Ovviamente se il server aveva il disco crittografato era necessario sbloccarlo manualmente con l’apposita chiave.
Durante la giornata sono uscite delle pennette bootabili che facevano tutto da sole.
Le pennette erano da collegare al tool di console remota e si doveva abilitare il boot da USB manualmente.
E sui PC, quelli dei dipendenti o quelli dei monitor degli aeroporti o delle casse dei negozi?
Qui la cosa si complica.
L’assistenza remota si fa, di solito, a sistema operativo acceso e rete funzionante.
Se ci sono problemi si manda qualcuno a operare.
Sui PC degli utenti normalmente la percentuale di danni che non possono essere gestiti in remote desktop è bassissima, si chiede all’utente di passare, si va e si sistema.
Quando sono tutti i PC di tutti gli utenti, beh, ci si può fare poco, si devono passare tutti, uno a uno, accendendoli, entrando con la password di admin locale, sbloccando bitlocker se attivo, con le chiavi, e facendo quello che si deve fare.
Non si può lanciare uno script via rete, non sono raggiungibili.
E, di solito, non si può dire all’utente “metti questa chiavetta e avvia da qui”, perché i PC aziendali di solito hanno il boot menu bloccato.
I PC degli utenti non hanno un sistema come quello dei server, non c’è altra via.
E per i PC dei monitor, le casse e altri dispositivi che vivono di vita propria?
Abbiamo visto tutti i tecnici negli aeroporti che, tastiera alla mano sulla scala, imprecavano perché dovevano sistemare a mano ogni singolo computer.
Non si poteva fare qualcosa di più agevole?
Mi metto nella testa di chi gestisce questi PC, li ho dovuti gestire, in piccolo, nel mio lavoro precedente, quando avevo il controllo di circa 300 negozi con casse e monitor per la pubblicità.
Ho idea che nessuno abbia mai pensato che sarebbe stato necessario accedere con tastiera e mouse a tutti in contemporanea e soprattutto che l’accesso dovesse essere a sistema operativo spento.
Sicuramente tutti avevano un sistema di accesso remoto con sistema operativo attivo per la normale amministrazione.
Se più evoluti di quelli che gestivo io, avevano anche modo di riavviarli, togliendo corrente, senza dover mandare qualcuno a staccare a riattaccare la spina.
Ma in questo caso il problema non si risolveva riavviandoli.
I PC di questo tipo non hanno bisogno di grandi prestazioni, sono pertanto, in genere, ricondizionati o computer di fascia molto bassa. Una scheda come quella dei server costa più del computer stesso, oltre a chiedere la stesura di una doppia rete ovunque, direi impraticabile.
Allora, banalmente, si sarebbe potuto fare un boot via PXE e avviarli con un sistema minimale che sistemava il problema.
Il PXE è quel server che i PC, se configurati correttamente, contattano prima di avviare il sistema operativo, via rete, scaricano l’immagine e da quella partono.
Per fare questo è necessario avere un server PXE pronto e configurato, che il server PXE sia raggiungibile dal PC, ma che soprattutto questi siano stati precedentemente configurati al boot di cercarlo. Questa configurazione si fa accedendo a mano, con tastiera e monitor al BIOS o al UEFI.
E siamo punto da capo.
E con una chiavetta precofigurata? la metti dentro e lei fa tutto.
Ottima idea, Microsoft ha predisposto un tool pronto all’uso, sempre a patto che si avessero le chiavi dei dischi crittografati con bitlocker.
Anche in questo caso, va infilata e va selezionato dal boot menu di partire dalla pennetta USB, questo si fa con tastiera e mouse davanti al PC.
Non c’era via di scampo, se non ci si era preventivamente organizzati, e dai video che ho visto, nessuno lo era, tutte le attività erano da fare fisicamente davanti a ognuno degli 8 milioni e mezzo di PC coinvolti.
Però, dopo una botta così, secondo me, più di un ufficio IT sta pensando di come accedere a ogni singolo dispositivo da remoto anche quando il sistema operativo non si carica.
Chi vende o venderà un aggeggio ethernet o WiFi da una parte e USB con VGA dall’altra che dentro ha un’emulazione di mouse, tastiera e video via web, a un prezzo ragionevole, diventerà ricco.
Qualcosa c’è già.

Pillole di Bit è un podcast gratuito da sempre e disponibile per tutti, ma realizzare un podcast ha dei costi in servizi, hardware e software.
Ma non solo, ha anche bisogno di un ritorno in soddisfazione per chi lo produce, settimana dopo settimana, da quasi 10 anni.
Per coprire costi e soddisfazione voi ascoltatori potete contribuire in modo pratico, mettendo mano al portafogli, con una donazione, che sia ogni tanto o un abbonamento mensile, dell’importo che volete, basato su quanto potete permettervi e quanto vale per voi la produzione e i contenuti delle puntate.
Ogni volta che vedo una notifica, sono contento, vuol dire che il mio lavoro ha generato un valore reale.
Potete farlo in modi diversi, tramite Satispay, Paypal o con il Value for Value, con le applicazioni che lo gestiscono, se volete più informazioni sul value 4 value potete fare riferimento alla puntata 297.
I più sinceri ringraziamenti vanno a chi ha voluto donare qualcosa in questa settimana, nel dettaglio
Gli abbonati
Giorgio
Ivan
Le donazioni spot
Andrea
Elia
Giovanni
E chi usa il value for value
Federico
Nicola Gabriele
Oltre a donare direttamente, potete anche usare i link sponsorizzati, che a fronte di un vostro ordine, a me riconoscono una percentuale, come Amazon o uno dei migliori provider internet che potete trovare sul mercato: Ehiweb, per loro metto la mano sul fuoco, tutte le persone che si sono abbonate mi hanno dato feedback estremamente positivi.
E non dimenticatevi di parlar bene di Pillole di Bit a chi non lo conosce o a chi non sa dell’esistenza dei podcast.

Spesso, quando si è in giro, capita di voler fare video con il telefono, solo che tenendolo in mano ci sono molti limiti, oltre alla scomodità. Il video balla, è storto, fanno male le mani, la creatività è limitata.
Esiste un oggetto, bellissimo, che accoppiato allo smartphone, lo trasforma nell’oggetto perfetto per fare video: il gimbal.
Stabilizza il video, mantiene il telefono orizzontale, ammortizza ogni movimento e ha un’impugnatura molto più comoda.
E ha funzioni aggiuntive davvero interessanti.
Inquadri un soggetto e lo insegue, avendo libertà sui 3 assi.
Puoi programmare un timelapse, lasciando il gimbal su un cavalletto per un certo tempo.
Puoi fare le foto panoramiche in automatico
E mille altre cose davvero interessanti.
Io ne ho uno vecchiotto, grande e ingombrante
La nuova serie di DJI, marca con la quale non si cade mai male, si chiama OSMO Mobile SE, è più evoluto e soprattutto quando non si usa si ripiega e si mette via in un comodo sacchetto. Quando ho scritto la puntata costa su amazon circa 90€.

Siamo arrivati alla fine di questa puntata di Pillole di bit, vi ricordo che tutti i link relativi alle cose dette sono nelle note, che trovate sulla vostre app o sul sito.
Io sono Francesco, produttore e voce di questo podcast e vi do appuntamento a lunedì prossimo, per la prossima puntata, disponibile su Feed RSS, o su tutte le piattaforme di podcast, vi registrate e la puntata vi arriva automagicamente.

Grazie per avermi ascoltato!

Ciao!