Linux-kysymyksiä & yleistä keskustelua Linuxista

[TenderBeef]

Komentorivisoftia paketeista, tar, unzip, gzip, dpkg jne..

Tattis mutta gui-miehiä täällä päässä.. ainoastaan pakosta avaan terminaalin, tai teen jonkun skriptin.

Verkkolaitteiden framekoon saat selville komennolla: ip link show tai ifconfig

eth0:lle sanoo:

ip link show:
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000

ifconfig:

UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:311177922 errors:0 dropped:0 overruns:0 frame:0
TX packets:444274368 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000

 

[TenderBeef]

Törmäsin tällaiseen:

I'd first of all take Nemo and its underlying gvfs out of the equation. ...

Eli nemo ja joku sen alla toimiva juttu smb-jakoihin saattaa olla syypää? Mitenkäs jos mounttaisi ne jaot jotenkin muuten? Onko esim. fstab sellainen jossa voi tehdä mountit? Mitä koodirimpsua pitäisi kirjoitella että saisi parhaat tehot irti?

 

[JiiPee]

Tattis mutta gui-miehiä täällä päässä.. ainoastaan pakosta avaan terminaalin, tai teen jonkun skriptin.


eth0:lle sanoo:

ip link show:
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000

ifconfig:

UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:311177922 errors:0 dropped:0 overruns:0 frame:0
TX packets:444274368 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000

Eli ei ole jumpo framet päällä joten se siitä teoriasta.

Törmäsin tällaiseen:



Eli nemo ja joku sen alla toimiva juttu smb-jakoihin saattaa olla syypää? Mitenkäs jos mounttaisi ne jaot jotenkin muuten? Onko esim. fstab sellainen jossa voi tehdä mountit? Mitä koodirimpsua pitäisi kirjoitella että saisi parhaat tehot irti?

fstab sisältää kiinteät mountit, toki sen sinne voi säätää mutta en usko sen ratkaisevan mitään.

MountWindowsSharesPermanently - Ubuntu Wiki

Tai eihän sitä koskaan tiedä vaikka ratkaisisi, ittellä kun ei ole mitään hajua koko nemosta että miten se hoitaa noita mounttauksia, että onko siinä joku ikioma systeemi ronkkia jakoja vai meneekö se ihan normi palikoilla..

 

[TenderBeef]

What a game changer voisi jopa sanoa. Nemo ja/tai sen kautta jakojen mounttaus on selvästi jotenkin perseellään, sitä kautta jakoja ei kannata tosiaankaan mountata!

Lähes kaikki ratkesi fstabia käyttämällä. Kokeilin seuraavalla fstab-rimpsulla testiksi (yritin aluksi laittaa myös "sec=ntlm" optionin kuten ohjeessa oli mutta mounttaus ei onnistunut):

//<ip-osoite>/jako /media/jako cifs username=foo,password=bar,iocharset=utf8 0 0

Nopeudet on 110+ megaa, context menut tarjoaa kaikki samat kuin lokaalilla levyllä, isojen mounttaus suoraan verkosta toimii kunnolla (tai lähinnä siis se unmounttaus osa, nyt unmountit tehdessä se joku "loop" häviää myös automaattisesti), jopa mintin default ja vanhahko pakattujen tiedostojen softa ei enää anna erroreita vaan kaikki tähän asti sille heitetyt ovat toimineet.

Isojen verkkohakemistojen lukeminen/avaaminen kyllä kestää jonkin verran mutta se voi tuurilla johtua jostain parametristä jolla sen voi saada nopeammaksi. EDIT: Windowsin puolella tämä toimii todella nopeasti joten jostain säädöstä se voi olla kiinni.

Snapshot-kansioiden lukeminen taisi olla siitä kiinni, että jostain syystä ei-admin näkee vain viimeisimmän snapshot-kansion. Laitoin userin admin-grouppiin niin rupesi näkymään kaikki. Testasin tätä jo niillä nemon kautta mountatuilla, eli ei ollut nemosta kiinni tämä ongelma.

Ongelmaksi jäi nyt oikeastaan seuraavat:

1) Verkkojaolle tiedostojen siirto vaatii nemon avaamista sudolla, ei hyvä. JiiPee:n linkkaamassa viestissä ohjattiin tekemään jaot "/media" kansion alle sudolla. Yritin tehdä omaan kotihakemistoon sen jakokansion mihin mountataan mutta se ei auttanut yhtään, yhä tarvitsi sudoa, ja lisäksi sitä jakoa ei tullut tässä tapauksessa nemon vasempaan valikkoon ollenkaan.

2) Mitä fstab-optioneita pitäisi käyttää?

3) Mitä mount.cifs:in optioneita pitäisi käyttää että kaikki toimii kunnolla ja turvallisesti? Option-lista on todella pitkä!

 

[JiiPee]

2) Mitä fstab-optioneita pitäisi käyttää?

Vois mennä ihan uid optiolla.

 

[TenderBeef]

Vois mennä ihan uid optiolla.

Okkei, mutta mikä se sitten pitäisi olla, se tunnus jolla olen kirjautuneena koneelle vai se millä tunnuksella otan sen yhteyden sinne nassiin? Vai pitäisikö molemmat tunnukset olla samoja?

Täällä joku oli laittanut näin, uid ja gid numeroina?:
//192.168.1.222/home /mnt/Samba cifs defaults,_netdev,iocharset=utf8,credentials=/home/dave/secret.txt,uid=1000,gid=1000 0 2
Täällä taas näin, mikä tuo lopussa oleva viiva on?:
//192.168.1.183/Myfiles-Share /media/odroidxu4-nasshare cifs vers=3.0,credentials=/home/rene/.smbcredentials,iocharset=utf8,file_mode=0777,dir_mode=0777,uid=rene,gid=r$,gid=rene,nofail 0 0 –

 

[ississ]

Okkei, mutta mikä se sitten pitäisi olla, se tunnus jolla olen kirjautuneena koneelle vai se millä tunnuksella otan sen yhteyden sinne nassiin? Vai pitäisikö molemmat tunnukset olla samoja?

Täällä joku oli laittanut näin, uid ja gid numeroina?:
//192.168.1.222/home /mnt/Samba cifs defaults,_netdev,iocharset=utf8,credentials=/home/dave/secret.txt,uid=1000,gid=1000 0 2
Täällä taas näin, mikä tuo lopussa oleva viiva on?:
//192.168.1.183/Myfiles-Share /media/odroidxu4-nasshare cifs vers=3.0,credentials=/home/rene/.smbcredentials,iocharset=utf8,file_mode=0777,dir_mode=0777,uid=rene,gid=r$,gid=rene,nofail 0 0 –

Veikkaan näin: nemo teki mountin fusen kautta jolloin tietysti kaikki hidastuu mutta käyttäjä saa tehdä.

uid/gid pitäisi olla se käyttäjä jonka omistukseen mount laitetaan. Ja yleensä ne laitetaan numeroina.
Jos olet koneesi ainoa käyttäjä niin voi laittaa oman tunnuksen, muuten vaikka root ja joku "dataryhmä" ja mountissa annetaan ryhmälle oikeus kirjoittaa (dir ja file mode). 777 on omasta mielestä vähän liian salliva koska kaikki saavat kirjoittaa.

Nyt kun olet mountannut (ja nemo vastii sudon) niin kannattaa katsoa mikä omistaja ja mitkä oikeudet mountilla on. Veikkaan root eikä muille kirjoitusta.

Yleensä viiva lopussa tarkoittaa argumenttien loppumista tai lukemista stdin:stä. Vain ensimmäinen kelpaa täsdä tapauksessa eikä sitäkään pitäisi tarvita.
Jos käytät/tarvitaan niin älä kopioi sitä viivaa jostain weppisivulta, tuo ylempänä oleva näyttää ainakin näin puhepitkältä viivalta joka on eri asia kuin se "normaali" väliviiva...

 

[TenderBeef]

Ainoa käyttäjä niin taitaa se uid=tunnari riittää. En ole ikinä oikein päässyt täysin sinuiksi näiden käyttöoikeuksien kanssa, luulisin ymmärtävän asian kyllä ihan tarpeeksi hyvin mutta aina on joku pieni kutina aivolohkossa joka tekee (yli?)varovaiseksi.

Tuon pelkän uid:n lisääminen poisti sudo-tarpeen. Kopioin linuxin puolella tiedoston nassille ja oikeudet näkyy -rwxr-xr-x eli 0755. Sama homma windowsin puolelta kun kopioi nassille. Tuo on ok jos olen ihan kartalla näistä asioista.

Tiedostojen owner on vähän outo linuxin puolella. Windowsissa owner on se tunnus jolla yhteys on otettu jakoon (tässä vaiheessa molemmilla käyttiksillä eri tunnuksilla jaot käytössä, molemmat admin-ryhmässä kuitenkin), mutta linuxin puolella (nemosta properties->permissions) molemmat tiedostot omistaa mukamas se linuxin käyttäjä. En tajua mikä juttu tuo on ja onko sillä mitään väliä. Näyttäisi kuitenkin toimivan.

Jos käytät/tarvitaan niin älä kopioi sitä viivaa jostain weppisivulta

En ikinä aja mitään komentoja jos en tiedä mitä ne ja niiden parametrit tekee. Vaatii kyllä paljon lukemista ja opettelemista jatkuvasti mutta ainakin saa nukkua yöt rauhassa (tai niinhän sitä aina luulee ). Nyt pitäisi sitten opiskella tuota mount.cifs:iä että mitä ihmettä niistä olisi hyvä laittaa fstabiin. Pitää ainakin se "sec" varmistaa.

Onko muuten ihan typerää avata ne jaot nassin admin-tunnuksella? Joka tapauksessa pitäisi olla admin-ryhmään kuuluva tunnus.

Kiitos jo tässä vaiheessa kaikille, taas kerran, hommat etenee.

 

[JiiPee]

mikä tuo lopussa oleva viiva on?:

Todennäköisesti joku mikä ei kuulu joukkoon. Ainakaan itse en sille keksi mitään käyttöä koska fstab sisältää ainoastaan 6 kenttää jotka erotellaan välimerkillä tai tabulaattorilla. Voin ihmetellä lisää kun konsolissa heität man fstab

 

[ississ]

Ainoa käyttäjä niin taitaa se uid=tunnari riittää. En ole ikinä oikein päässyt täysin sinuiksi näiden käyttöoikeuksien kanssa, luulisin ymmärtävän asian kyllä ihan tarpeeksi hyvin mutta aina on joku pieni kutina aivolohkossa joka tekee (yli?)varovaiseksi.

Tuon pelkän uid:n lisääminen poisti sudo-tarpeen. Kopioin linuxin puolella tiedoston nassille ja oikeudet näkyy -rwxr-xr-x eli 0755. Sama homma windowsin puolelta kun kopioi nassille. Tuo on ok jos olen ihan kartalla näistä asioista.

Tiedostojen owner on vähän outo linuxin puolella. Windowsissa owner on se tunnus jolla yhteys on otettu jakoon (tässä vaiheessa molemmilla käyttiksillä eri tunnuksilla jaot käytössä, molemmat admin-ryhmässä kuitenkin), mutta linuxin puolella (nemosta properties->permissions) molemmat tiedostot omistaa mukamas se linuxin käyttäjä. En tajua mikä juttu tuo on ja onko sillä mitään väliä. Näyttäisi kuitenkin toimivan.


En ikinä aja mitään komentoja jos en tiedä mitä ne ja niiden parametrit tekee. Vaatii kyllä paljon lukemista ja opettelemista jatkuvasti mutta ainakin saa nukkua yöt rauhassa (tai niinhän sitä aina luulee ). Nyt pitäisi sitten opiskella tuota mount.cifs:iä että mitä ihmettä niistä olisi hyvä laittaa fstabiin. Pitää ainakin se "sec" varmistaa.

Onko muuten ihan typerää avata ne jaot nassin admin-tunnuksella? Joka tapauksessa pitäisi olla admin-ryhmään kuuluva tunnus.

Kiitos jo tässä vaiheessa kaikille, taas kerran, hommat etenee.

Jos nassissa on samba server niin siellä voi pakottaa mikä käyttäjä/ryhmä sinne kopioiduille tiedostoille asetetaan.
Minulla on esimerkiksi yksi jako johon pääsee useammalta win- koneelta usealla käyttäjällä. Serveri pakottaa kaikelle uhden tunnuksen ja tietyn ryhmän sekä oikeudet 770 tai 660 jolloin ryhmään kuuluvilla on oikeus ja muilla ei pääsyä.

Se mitä clientin mountissa tehdään ei vaikuta tähän millään tavalla vaan siihen mitä käyttäjät saavat tehdä client- päässä.

Nemo (ja varmaan muutkin) näyttävät smb mountille sitä käyttäjää joka on uid- asetuksena.

En käyttäisi admin- tunnuksella. Jos ei toimi niin oikeudet ovat väärin ja pitää korjata sitä kautta.

 

[TenderBeef]

Jos nassissa on samba server niin siellä voi pakottaa mikä käyttäjä/ryhmä sinne kopioiduille tiedostoille asetetaan.

Postasin aiemmin kuvan synon gui:sta mitä smb-asetuksia voi säätää, eipä siellä mitään tuollaista ole. En mielelläni lähde gui:n ulkopuolelta säätämään jos ei ole ihan pakko.

Nemo (ja varmaan muutkin) näyttävät smb mountille sitä käyttäjää joka on uid- asetuksena.

Hmm, mutta eikös se ole väärää tietoa, miksi se niin toimisi? Windowsissa tiedoston properties:in kautta näkee kuitenkin sen oikean ownerin jostain syystä. Noh, eipä tästä nyt mitään haittaa itselle ole joten...

En käyttäisi admin- tunnuksella. Jos ei toimi niin oikeudet ovat väärin ja pitää korjata sitä kautta.

Admin-tunnarit tarvitsee että näkee kaikki snapshotit ei-salatuilla jaoilla, lisäksi olen laittanut roskakorit vain admineille näkyväksi. Onko sillä mitään eroa ottaako yhteyden admin-tunnuksella tai admin-groupiin kuuluvalla tunnuksella? Mikä/mitkä uhkaskenaariot ovat sellaisia, että ei kannattaisi käyttää admin-tunnuksia? Tunnus/pw vuotaa jollekin tai joku malware sen kaivaa esiin ja lähettää johonkin? Jos säätää fstabin oikein, eli ei tunnuksia/pw:tä suoraan siihen vaan erilliseen tiedostoon 600 oikeuksilla ja levy on vielä kryptattu niin onko huolta? Lisäksi nassiin ei ole ainakaan nyt ja tulevaisuudessa tarkoitus avata putkea lanin ulkopuolelta.

En tiedä miten se sitten pitäisi tehdä jos haluaisin rajata roskakorin käyttöoikeutta esim. yhdelle ei-admin-tunnukselle mutta toisella ei-admin-tunnuksella niitä voisi hallinnoida. En ole kaikkien jakojen roskakoreja laittanut automaattisesti tyhjenemään. Tietenkin niitä voisi tyhjennellä silloin tällöin suoraan vaikka selaimen kautta mutta mitä isommaksi ne roskakorit kasvaa niin hankalampi niitä on tsekata että mitkä on tarkoituksella poistumassa ja mitkä ei. Pitää näitä asioita miettiä uusiksi jos admin-tunnareitten käyttö ei tosiaankaan kannata.

 

[TenderBeef]

Snapshot-kansioiden lukeminen taisi olla siitä kiinni, että jostain syystä ei-admin näkee vain viimeisimmän snapshot-kansion. Laitoin userin admin-grouppiin niin rupesi näkymään kaikki. Testasin tätä jo niillä nemon kautta mountatuilla, eli ei ollut nemosta kiinni tämä ongelma.

Korjaan tätä ettei jää väärää tietoa roikkumaan nettiin; synologyn nassi toimii jotenkin vähän oudosti, nimittäin käyttäjä näkee vain ne nassin snapshot-kansiot jotka on tehty käyttäjätunnuksen luonnin jälkeen. Ei siis tarvitse admin-tunnusta, paitsi jos haluaa nähdä nekin snapshotit jotka on tehty ennen uutta käyttäjätunnusta.

 

[JiiPee]

Korjaan tätä ettei jää väärää tietoa roikkumaan nettiin; synologyn nassi toimii jotenkin vähän oudosti, nimittäin käyttäjä näkee vain ne nassin snapshot-kansiot jotka on tehty käyttäjätunnuksen luonnin jälkeen. Ei siis tarvitse admin-tunnusta, paitsi jos haluaa nähdä nekin snapshotit jotka on tehty ennen uutta käyttäjätunnusta.

Niin siis se nassihan kirjoittelee niillä käyttäjätunnuksen oikeuksilla millä sinne nassin jakoon kirjaudut. Jos ja kun sinulla ei ole mitään keskitettyä käyttäjien hallintaa niin se homma on säätämistä. Teet yhden käyttäjän sinne nassiin ja laitat kaikki nassin jaossa olevat tiedostot sun muut sen käyttäjän omistukseen ja sitten kirjaudut eri koneilta sinne nassin jakoon sillä yhdellä ja samalla tunnuksella niin pitäisi pelittää.

 

[TenderBeef]

Niin siis se nassihan kirjoittelee niillä käyttäjätunnuksen oikeuksilla millä sinne nassin jakoon kirjaudut.

Ymmärsit väärin/en osannut selittää kunnolla. Siis kyse on nassin omista snapshoteista, Synology tekee ne itsenäisesti, sillä millä tunnuksella verkkojaon aukaisee ei ole merkitystä noiden nassin snapshottien tekoon.

Esim.:

01.10.2020 klo 0:01 Synology otetaan käyttöön (admin tunnus luodaan) ja laitetaan tekemään snapshotteja päivittäin aamukuudelta ABC jaosta.

02.10.2020 klo 12:00 luodaan uusi foobar käyttäjtunnus ja annetaan sille rw-oikeudet ABC jakoon.

04.10.2020 klo 12:00 avataan esim. windowsista ABC jako näkymään admin-tunnuksella, verkkojaon snapshot-kansiossa on näkyvissä kansiot:

"GMT+03-2020.10.01-06.00.00"
"GMT+03-2020.10.02-06.00.00"
"GMT+03-2020.10.03-06.00.00"
"GMT+03-2020.10.04-06.00.00"

04.10.2020 klo 12:00 avataan esim. linuxista ABC jako näkymään foobar-tunnuksella, verkkojaon snapshot-kansiossa on näkyvissä kansiot:

"GMT+03-2020.10.03-06.00.00"
"GMT+03-2020.10.04-06.00.00"

 

[JiiPee]

Ymmärsit väärin/en osannut selittää kunnolla. Siis kyse on nassin omista snapshoteista, Synology tekee ne itsenäisesti, sillä millä tunnuksella verkkojaon aukaisee ei ole merkitystä noiden nassin snapshottien tekoon.

Esim.:

01.10.2020 klo 0:01 Synology otetaan käyttöön (admin tunnus luodaan) ja laitetaan tekemään snapshotteja päivittäin aamukuudelta ABC jaosta.

02.10.2020 klo 12:00 luodaan uusi foobar käyttäjtunnus ja annetaan sille rw-oikeudet ABC jakoon.

04.10.2020 klo 12:00 avataan esim. windowsista ABC jako näkymään admin-tunnuksella, verkkojaon snapshot-kansiossa on näkyvissä kansiot:

"GMT+03-2020.10.01-06.00.00"
"GMT+03-2020.10.02-06.00.00"
"GMT+03-2020.10.03-06.00.00"
"GMT+03-2020.10.04-06.00.00"

04.10.2020 klo 12:00 avataan esim. linuxista ABC jako näkymään foobar-tunnuksella, verkkojaon snapshot-kansiossa on näkyvissä kansiot:

"GMT+03-2020.10.03-06.00.00"
"GMT+03-2020.10.04-06.00.00"

Ja jos windowsilla meet foobar tunnuksilla siihen jakoon niin näet mitä?

 

[TenderBeef]

Ja jos windowsilla meet foobar tunnuksilla siihen jakoon niin näet mitä?

Vain nämä (tuo aiempi oli vain esimerkki, ei suoraan omasta järjestelmästä):
"GMT+03-2020.10.03-06.00.00"
"GMT+03-2020.10.04-06.00.00"

Tämähän koko asia on enemmän synology/nas-aiheinen, ei suoraan linux-aiheinen mutta kun täällä mainitsin tästä asiasta niin käydään nyt läpi tämä.

Testasin vielä uudestaan eri lailla:

User toottoot (ei admin) luotu 2020-10-01 00:41:29. Tällä tunnuksella linuxissa mount jaosta ABC ja nämä snapshot-kansiot näkyy (en tee tästä jaosta joka päivä snapshottia vaan pari kertaa viikossa):

GMT+03-2020.10.01-06.15.03
GMT+03-2020.10.04-06.15.02

User foobar (ei admin) luotu 2020-10-05 03:00:51. Tällä tunnuksella linuxissa mount jaosta ABC ja nämä snapshot-kansiot näkyy:

-ei mitään-

EDIT: ABC-jaossa on yhteensä 84 snapshot kansiota jotka näkyy admineille.

Synologyn toiminta on vähän outoa. Kun luo uuden ei-admin-käyttäjän, se käyttäjä näkee vain synologyn snapshotteja jotka on luotu sen käyttäjätunnuksen luomisen jälkeen. EDIT2: ts. Synology ei lisää vanhoihin snapshot-kansioihin rx-oikeuksia uusille käyttäjille. Jos tuollaisen käyttäjän laittaa admin-ryhmään niin kaikki snapshotit näkyy. Tämä on Synologyn joku oma outo juttu, tai ainakin omasta mielestäni tämä on vähän outoa toimintaa. Toivottavasti sain nyt selitettyä tarpeeksi ymmärrettävästi ettei tarvitse jatkaa tätä semi-offtopikkia enempää.

 

[pespoit]

Hieman myös syö distrolta luotettavuutta, kun kotisivun SSL sertifikaatti unohdetaan uusia useampaan kertaan.

Kääntää vain kelloa taaksepäin..

 

[TenderBeef]

Lisää ongelmia verkkojakojen kanssa, tällainen bugi ollut yli kolme vuotta nemon kehittäjien tiedossa ja on todella rasittava kun jumittaa/kaataa nemon pysyvästi tai pitkäksi aikaa: System-hang when browsing unconnected network share · Issue #1378 · linuxmint/nemo

Jäin jo jumittamaan fstabin optionsien kanssa vaikka niitä ei niin kauheasti edes ole. Netistä googlannut miten muut ovat mountanneet jaot fstabissa ja aika paljon on erilaisia tapoja. Fstabin optioneita on vaikea kaikkia edes ymmärtää vaikka lukee selostetta mitä ne tekee, niin teknisiä ne jotkut ovat, että vaatisi paljon enemmän tietoa linux-järjestelmästä. En ole päässyt vielä edes tutkimaan mount.cifs:in optioneja joita on PALJON.

Nemosta ei voi suoraan mountata/käyttää verkkojakoja kun nopeudet ovat surkeita ja jaolle kirjoittaminen vaatii silti root/sudon. Siellä on alla joku tällainen GVfs joka on ilmeisesti aika surkea, ainakin mitä jotain kommentteja netistä luin. Ja fstabin kautta mounttaaminen vaatii osaamista aika reippaasti, ainakin jos haluaa ymmärtää mitä tekee. Kyllä tässä linuxiin siirtymisessä on paljon sellaista joka tulee yllätyksenä että miksi tämä toimii huonommin kuin windowsissa, tai on niin paljon hankalampaa. En odottanut mitään ruusunlehdillä tanssimista tosin mutta ehkä oli toiveet/odotukset vähän liian kovat. Noh, tässä sitä oppii taas uutta. Ja haluan oikeasti päästä eroon microsoftista/windowsista (tosin joitain pelejä joutuu ajamaan siellä puolella dual-boottia), sen verran kauheaksi on heidän touhu mennyt varsinkin win10:n osalta.

Huomasin, että jakojen mounttaamisessa /mount-kansion alle on yksi heikkous, kaikki siellä kansiossa olevat näkyvät siinä systrayssä näkyvässä "unmount" ikonissa joka yleensä on lähinnä tarkoitettu ulkoisia laitteita varten. Kannattaa mountata ennemminkin /mnt-kansion alle ja tehdä nemossa kirjanmerkit vasempaan navigaatiopalkkiin. Näin sitä "unmount"-ikonia systrayssä ei tule näkyviin pelkästään näistä verkkojaoista.

 

[ississ]

Lisää ongelmia verkkojakojen kanssa, tällainen bugi ollut yli kolme vuotta nemon kehittäjien tiedossa ja on todella rasittava kun jumittaa/kaataa nemon pysyvästi tai pitkäksi aikaa: System-hang when browsing unconnected network share · Issue #1378 · linuxmint/nemo

Jäin jo jumittamaan fstabin optionsien kanssa vaikka niitä ei niin kauheasti edes ole. Netistä googlannut miten muut ovat mountanneet jaot fstabissa ja aika paljon on erilaisia tapoja. Fstabin optioneita on vaikea kaikkia edes ymmärtää vaikka lukee selostetta mitä ne tekee, niin teknisiä ne jotkut ovat, että vaatisi paljon enemmän tietoa linux-järjestelmästä. En ole päässyt vielä edes tutkimaan mount.cifs:in optioneja joita on PALJON.

Nemosta ei voi suoraan mountata/käyttää verkkojakoja kun nopeudet ovat surkeita ja jaolle kirjoittaminen vaatii silti root/sudon. Siellä on alla joku tällainen GVfs joka on ilmeisesti aika surkea, ainakin mitä jotain kommentteja netistä luin. Ja fstabin kautta mounttaaminen vaatii osaamista aika reippaasti, ainakin jos haluaa ymmärtää mitä tekee. Kyllä tässä linuxiin siirtymisessä on paljon sellaista joka tulee yllätyksenä että miksi tämä toimii huonommin kuin windowsissa, tai on niin paljon hankalampaa. En odottanut mitään ruusunlehdillä tanssimista tosin mutta ehkä oli toiveet/odotukset vähän liian kovat. Noh, tässä sitä oppii taas uutta. Ja haluan oikeasti päästä eroon microsoftista/windowsista (tosin joitain pelejä joutuu ajamaan siellä puolella dual-boottia), sen verran kauheaksi on heidän touhu mennyt varsinkin win10:n osalta.

Huomasin, että jakojen mounttaamisessa /mount-kansion alle on yksi heikkous, kaikki siellä kansiossa olevat näkyvät siinä systrayssä näkyvässä "unmount" ikonissa joka yleensä on lähinnä tarkoitettu ulkoisia laitteita varten. Kannattaa mountata ennemminkin /mnt-kansion alle ja tehdä nemossa kirjanmerkit vasempaan navigaatiopalkkiin. Näin sitä "unmount"-ikonia systrayssä ei tule näkyviin pelkästään näistä verkkojaoista.

Saatko Synologystä NFS:n päälle, se voisi olla linux-linux (tai syno-linux) välillä kätevämpi.
Tosin on siinäkin omat ongelmansa jos esim verkko katkoo välillä mutta niin se on kaikissa verkkojaoissa...
Pitää myös muistaa että samba (siis smb/cifs) on alunperin windows- maailmasta ja NFS unix- puolelta.

Voit mountata levyn minne tahansa kunhan hakemisto on tyhjä ja laitat oikeat oikeudet, vaikka se olisi nimeltään "/munverkkojakonassista".
Oikeasti sillä ei ole väliä mihin mounttaa paitsi jos joku filemanager/muu päättelee jotain vain nimen perusteella. Muuten kaikki toimii samalla tavalla (ainakin terminaalissa).

 

[TenderBeef]

Saatko Synologystä NFS:n päälle, se voisi olla linux-linux (tai syno-linux) välillä kätevämpi.

NFS:n kanssa ei vain ole roskakoritoimintoa. Sen takia se ei ole ollut vaihtoehtona. Ja nyt ongelmanahan ei ole itse CIFS/SMB vaan muut asiat. NFS:kin pitäisi fstabin kautta mountata, ja sama nemon bugi näyttäisi tapahtuvan NFS:kin kanssa.

Tosin on siinäkin omat ongelmansa jos esim verkko katkoo välillä mutta niin se on kaikissa verkkojaoissa...

Tai jos läppäri siirtyy pois kotiverkon alueelta. Windows ei jumita vaan antaa heti vain virheilmoituksen, toimii paljon paremmin.

Huomasin, että jakojen mounttaamisessa /mount-kansion alle on yksi heikkous, kaikki siellä kansiossa olevat näkyvät siinä systrayssä näkyvässä "unmount" ikonissa joka yleensä on lähinnä tarkoitettu ulkoisia laitteita varten. Kannattaa mountata ennemminkin /mnt-kansion alle ja tehdä nemossa kirjanmerkit vasempaan navigaatiopalkkiin. Näin sitä "unmount"-ikonia systrayssä ei tule näkyviin pelkästään näistä verkkojaoista.

Ja nyt huomasin tämänkin problematiikan. Kun se jako on bookmarkkina nemossa, niin esimerkiksi "save as" dialogin avaaminen Vivaldissa jumittaa jonkin aikaa kun se yrittää lukea sitä bookmark-kohdetta.. siis tietenkin silloin kun ei ole yhteyttä saatavilla sinne verkkojakoon. Hohhoijaa.. mitähän sitä yrittäisi että tämän ongelman saisi ratkaistua tai kierrettyä... tällaista tämä on vähän ollut koko ajan, tulee ongelma -> ratkaisu/ohitus/kikkailu/tyytyminen johonkin huonompaan/jne. matka jatkuu -> tulee ongelma, jne. Kirjoitin aiemmin, 10 000 metrin aitajuoksukisat. Vaatii kyllä sisukkuutta.

 

[Grizzle]

Lukaisin aika nopeasti läpi niin saatoin käsittää jotain väärinkin mutta jos ongelmana (edelleen) on se, ettei käyttäjä saa mountata jakoa, niin laita fstabissa optioihin user. Itse laittaisin myös noauto ettei bootti kestä ikuisuuksia jos jako ei ole online.

 

[TenderBeef]

Ja nyt huomasin tämänkin problematiikan. Kun se jako on bookmarkkina nemossa, niin esimerkiksi "save as" dialogin avaaminen Vivaldissa jumittaa jonkin aikaa kun se yrittää lukea sitä bookmark-kohdetta.. siis tietenkin silloin kun ei ole yhteyttä saatavilla sinne verkkojakoon.

Korjaus, bookmarkit eivät jumita sitä tallennus-dialogia, vaan ne jotka on tavalla tai toisella mountattu näkymään nemon "network"-osiossa. Eli bookmarkit ovat parempi vaihtoehto ainakin tämän hetkisten testaustietojeni perusteella. Tosin niiden käytössä on yksi ongelma; jos boottaat koneen kotiverkon ulkopuolella, niin kotiverkkoosi päästyäsi jaot eivät tietenkään ole mountattuja, eikä niitä pysty nemon vasemmasta valikosta helposti mounttaamaan (toisin kuin jos ne jaot olisivat network-kohdassa). Pitää terminaalista (tai tehdä skriptitiedosto jonnekin sopivaan kansioon/työpöydälle) tehdä mounttaus "sudo mount -a" (sudo ei välttämätön jos fstabissa määrittelee, että userit pystyvät mounttaamaan).

Lukaisin aika nopeasti läpi niin saatoin käsittää jotain väärinkin mutta jos ongelmana (edelleen) on se, ettei käyttäjä saa mountata jakoa, niin laita fstabissa optioihin user.

Ei ole enää, olen löytänyt "user" (tai "users", jota en löytänyt manuaaleista/helpeistä mutta googlettamalla vahingossa) optionin jo. Kiitos vain vinkistä.

Itse laittaisin myös noauto ettei bootti kestä ikuisuuksia jos jako ei ole online.

En ole vielä kokeillut tuota, "nofail" on ollut nyt käytössä ja ei boottaus ole vielä ainakaan jumittanut. En tosin boottausta ole kokeillut ilmankaan tuota nofailia, että en osaa varmaksi sanoa toimiko tuo siihen. Pitää vielä testata muutamia eri skenaarioita, että mikä on kaikista paras ratkaisu näitten jakojen kanssa.

 

[TenderBeef]

Korjaus, bookmarkit eivät jumita sitä tallennus-dialogia, vaan ne jotka on tavalla tai toisella mountattu näkymään nemon "network"-osiossa.

Huoh, nyt ne bookmarkit sitten taas jumittavat tuon tallennus-dialogin.. kyllä nämä verkkojakojutut on heikossa hapessa linuxin puolella.. tiedä pystyykö tämän kanssa elämään vai onko se back to windows sittenkin... nyt rupeaa taistelutahto laskemaan.

 

[TenderBeef]

Kysyn vielä yhden jutun, sitten pidän vähän taukoa ja mietiskelen miten jatkan. Aiemmin oli puhetta tiedostojen oikeuksista ja nyt en ihan ymmärrä yhtä juttua, huomasin, että omassa kotihakemistossa omissa tiedostoissa näyttäisi olevan -rw-rw-r-- eli 664 oikeudet. Ymmärränkö oikein, että kaikki käyttäjät voivat siis vähintään lukea kaikki omat tiedostoni?! Hakemistoillakin on drwxrwxr-x oikeudet.

EDIT: Tein toisen käyttäjän ja sillä tunnuksella tosiaan pystyi lukemaan lähes kaiken sisällön toisen käyttäjän kotihakemistosta. Mitvit?! Onko tämä ihan yleistä kaikissa distroissa vai vain mintissä? En ymmärrä yhtään miksi tämä asia on näin defaulttina.

 

[=JP=]

Kysyn vielä yhden jutun, sitten pidän vähän taukoa ja mietiskelen miten jatkan. Aiemmin oli puhetta tiedostojen oikeuksista ja nyt en ihan ymmärrä yhtä juttua, huomasin, että omassa kotihakemistossa omissa tiedostoissa näyttäisi olevan -rw-rw-r-- eli 664 oikeudet. Ymmärränkö oikein, että kaikki käyttäjät voivat siis vähintään lukea kaikki omat tiedostoni?! Hakemistoillakin on drwxrwxr-x oikeudet.

EDIT: Tein toisen käyttäjän ja sillä tunnuksella tosiaan pystyi lukemaan lähes kaiken sisällön toisen käyttäjän kotihakemistosta. Mitvit?! Onko tämä ihan yleistä kaikissa distroissa vai vain mintissä? En ymmärrä yhtään miksi tämä asia on näin defaulttina.

Koska Ubuntu:

SecurityTeam/Policies - Ubuntu Wiki

Ja Mint siis pohjautuu Ubuntuun, josta tuo sitten tulee varmaan mukana...
Helppokäyttöisyydellä tuota selitetään, että pystyy jakamaan näppärästi tiedostoja muiden käyttäjien kanssa.

 

[TenderBeef]

Kiitos linkistä. Siellä on linkki bugitrackeriin jossa vuonna 2009 (!!!) joku sanoi näin:

The basic concept is this: A user has a password, which suggests that a user's resources are protected by this password. Currently this is not the case due to the wrong mentality and current policy in Ubuntu.

Touche! Ding dong, aivan uskomattoman pässiä touhua. Kuinkahan moni ei tiedä/tajua ubuntun/derivaattien käyttäjistä tätä hommaa?! Hassu juttu kuinka käyttäjien kotihakemistossa on erikseen defaulttina "Public"-kansio.. helposti saa sellaisen käsityksen (tuon salasanajutun lisäksi), että muut omat tavarat eivät ole kaikkien luettavissa! Ei v... mitähän muuta samanlaista paskaa ubuntu/derivaateista löytyy, nyt iski kyllä paha epäluulo näitä distroja kohtaan. Kyllä tämä linuxiin tarkemmin tutustuminen on ollut pitkää alamäkeä. Ehkä sitä pitäisi vain kärvistellä windowsin kanssa jatkossa.

 

[=JP=]

Ubuntu luokitellaan aloittelija tasolle, eli se on hyvä jakelu, jolla aloittaa tutustuminen Linux maailmaan ja siinä on monia asioita yksinkertaistettu juurikin helppokäyttöisyyden takia. Itse voi sitten tiukentaa sääntöjä tarvittaessa taikka siirtyy toiseen jakeluun.

 

[Rockbear]

Itse tekstilinuxia ajanut joskus Raspberrylle. Linux on tosi hyvä monessa laitteessa, helppo asentaa, hyvä esim rigikamoille

 

[TenderBeef]

Ubuntu luokitellaan aloittelija tasolle, eli se on hyvä jakelu, jolla aloittaa tutustuminen Linux maailmaan ja siinä on monia asioita yksinkertaistettu juurikin helppokäyttöisyyden takia.

Itse en tätä täydellistä idiotismia selittelisi mitenkään (et nyt varmaan varsinaisesti selitellyt, kirjoitin tämän enemmän yleisesti ottaen, en juuri sinuun kohdistuen), varsinkaan kun veikkaan, että aika moni käyttäjä ei ole tietoinen tästä asiasta ollenkaan, eikä tästä käyttäjälle kerrota mitenkään selvästi (piilotettu johonkin wikiin). Päinvastoin, melkein tekisi mieli sanoa, että näyttää siltä kuinka käyttäjää harhautetaan käsittämään asia toisin (tunnuksen salasana/public-kansio/share-ominaisuudet/mitä vielä..). Itse olen pitkään jo seurannut linux/ubuntu/mint/jne. uutisia/blogeja ja lukenut paljon eritasoisia juttuja asiaan liittyen, lähtien esim. "25 things to do after installing ubuntu/mint" tasoisia juttuja ja siitä vaikeampaan päin, ja en ole kertaakaan missään vaiheessa törmännyt tähän "kaikki voivat lukea toisten tiedostoja" asiaan. Kyllähän tämä on ikävä yllätys varmaan kenelle tahansa ja reaktio voi olla helposti samanlainen kuin mitä minulla on, eli ei välttämättä jätä kovin hyvää kuvaa linuxista, varsinkin kun näiden ubuntujen/mintien käyttäjät ovat monesti linux ensikertalaisia (oli sitten kyse vain ubuntusta/mintistä niin se reaktio voi kohdistautua juurikin linuxiin yleisesti). Lisäksi kun ottaa huomioon kuinka linuxia mainostetaan yleisesti turvalliseksi käyttää niin kyllähän tämä ubuntun touhu on jotain aivan ihmeellistä.

Ja tuohon sääntöjen tiukentamiseen, asiahan pitäisi olla juuri toisinpäin, jakelun pitäisi opastaa/auttaa käyttäjiä turvalliseen tiedostojen jakoon eikä kaikessa hiljaisuudessa defaulttina antaa kaikkien lukea toisten tiedostot. Tuolla aiemmin mainitussa bugiraportissa puolustellaan aivan käsittämättömästi tätä idiotismia (esim. Mark "a decision has been taken" Shuttleworth), ubuntun wikissäkin kerrotaan, että käyttäjät jotka ovat huolissaan asiasta (kukapa ei olisi jos vain tietäisi?!) voivat tehdä erillisen "private"-kansion johon rajaavat käyttöoikeudet. Mielestäni tässä on menty pahasti perse edellä puuhun.

Hakemalla "Permissive Home Directory Access" googlesta löytyy 6 eri tulosta, yksi linkki itse sinne ubuntun wikiin ja yksi huijauslinkki, eli 4 eri tulosta sivuihin joissa viitataan asiaan. Aikaisemmin tein hakuja joissa oli mukana "-rw-rw-r--" ja/tai 644 ubuntuun ja mintiin liittyen ja en löytänyt yhtään tulosta jossa joku olisi kertonut tästä asiasta (ehkä google-fu:ni on heikkoa nykyään?). Jotenkin tuntuu siltä, että asia ei ole tiedossa kovin monella.. tai sitten läheskään ketään ei kiinnosta (en jaksa tähän uskoa).

Mitenkäs Windowsissa? Tai Macissa? Eikös näitä katsota helppokäyttöisiksi? Noh, ainakin macci (itse en kyllä ole sitä mieltä ollenkaan). Onko niissä "avoin koti"?

Löysin hyvän kommentin aiheesta (lyhyesti lainattu tähän):

This defeats the, at least casual, protections afforded by having separate and password protected login accounts from other users on the local system. Users migrating from other platforms(Windows or macOS) have an expectation of privacy in their accounts due to Windows and macOS, for example, having protections on their $HOME dirs to prevent the casual snooping or otherwise more mischievous actions of other $USER’s on the local system.

With the largest potential pool of migrations being from one of the above alternative operating systems, the Ubuntu(Linux for Humans) desktop installer and adduser.conf file should honor that expectation or at least make it an “Opt-Out” instead of an “Opt-In” requirement.

What is the point, other than the FSF Hierarchy, for having a “Public”(0755) folder in each $USER $HOME, if any other user can ®ead or (x)traverse the entire $HOME by default?

Uusien käyttäjien käyttöoikeuksiin voi vaikuttaa umask:illa/conf-fileellä, mitenkäs asennuksessa tehty tunnus? Miten se saa turvallisesti muutettua? Voiko sen käyttäjän kotihakemiston turvallisesti vetää kerralla tietyillä oikeuksilla? Siellähän on paljon piilotettua tavaraa, config/yms. tavaraa, voiko ne kaikki turvallisesti vetää tiukemmalla "oikeudenjaolla"?

 

[=JP=]

Päinvastoin, melkein tekisi mieli sanoa, että näyttää siltä kuinka käyttäjää harhautetaan käsittämään asia toisin (tunnuksen salasana/public-kansio/share-ominaisuudet/mitä vielä..).

Ongelmahan on tiete siinä, että tuo Public -hakemisto luodaan Ubuntu maailmassa valmiiksi, ja se on tarkoitettu helppoon jakamiseen tietokoneiden välillä.

Share your personal files

Eli käy laittaa ruksi ruutuun asetuksissa ja sillä selevä, eli helppokäyttöisyys...

Mutta Canonical on tuollaisen päätöksen tehnyt, ja on siellä monia muitakin tietoturvan kannalta tehtyjä päätöksiä ollut päin prinkkalaa heidän osaltaan. Kyllä ne muutkin jakelut tekee joskus mielenkiintoisia valintoja, eli eivät ole ainoita...

Kyllähän tämä itsellekin tuli yllätyksenä, että noin on asiat hoidettu (tuo home oikeuksien kohta), koska itse aikoinaan taisin kerran asentaa Ubuntun (kun aloitin Linuxin käyttämistä) ja vaihdoin lähes samantein Debianiin, ku se Ubuntu tuntu vaan niin lelulta. Debiania tuli käytettyä pitkään (ja edelleen suosin palvelinkäytössä), sitten siirryin Archiin ja ny käytössä OpenSUSE (Tumbleweed), ja sitten tulee virtuaalikoneella pyöriteltyä muita jakeluja ja testailtua noita erikoisempiakin...

Windows on sitten pelikoneena ja tulee sillä tehtyä tätä perus surffaamista siinä sivussa...

 

[TenderBeef]

vaihdoin lähes samantein Debianiin

En ihan ole kartalla tästä mutta onko Debianissakin ollut tai edelleen on jotain samanlaista tilannetta kuin ubuntussa/mintissä? Debate/umask - Debian Wiki

 

[=JP=]

Nyt kun tarkemmin tutkinut asiaa, niin näyttäisi yleisesti olevan Linuxeissa käytössä juurikin tuo 022 umask, joka siis siis antaa kaikille käyttäjille read/execute oikeudet uusiin tiedostoihin. Tämä on yleinen käytäntö normaaliin Desktop käyttöön tarkoitetussa järjestelmässä. Tuota voi toki tiukentaa, mutta siitä tulee melkoisesti lisätöitä käyttäjälle ylläpitää järjestelmää tietyissä tilanteissa. Sitten kunnon server ympäristössä aletaan miettimään tarkemmin noita asioita, koska silloin käyttäjillä on muutenkin rajoittuneemmat oikeudet.

Asia ei tosiaankaan ole ihan niin simppeli kuin voisi kuvitella loppupeleissä, että esim. /home/user on luvat sinulla, mutta muilla ei, mutta mitäs sitten jos joku automaattinen service (esim. backup) pitää sinne kuitenkin päästä tekemään vaikka ne varmuuskopiot, mut eihän sillä olekaan sitten enää oikeuksia (koska se ajetaan eri käyttäjänä). Tässä tulee sitten vastaan se, että pitää alkaa manuaalisesti pitämään ryhmiä, lisäillä niihin tarvittavat käyttäjät ja sille sitten tiedosto-oikeudet sinne kotihakemistoon.

Pikkasen lukemista:

027 umask — a compromise between security and simplicity

Gentoo systems are shipped by default with umask 022 set in /etc/profile. It is documented there as quite realistic setting, in contrary to umask 077 which would be more secure. I personally disagr…

blogs.gentoo.org

Eli voithan vaihtaa tuon itsellesi, mutta siinä sitten kyllä lisäät työtaakkaa ylläpitoon, mutta voit olla "rauhallisemmin" mielin, että tiedostot "turvassa".

Taikka jos koneella nyt useampi käyttäjä on, niin enabloit kotihakemiston kryptaamisen, niin silloin ei muut pääse käsiksi kun et ole kirjautuneena. Tällöin vaan joutuu taas huomioimaan muita asioita, jos koneella on toinen käyttäjä sisällä ja siellä alkaa automaattiset palvelut taas taustalla tekemään töitä, eikä pääsekään sinne sun kotihakemistoon tarvittaessa käsiksi.

Eli ikinä et tule saamaan 100% varmaa ja tietoturvallista järjestelmää rakennettua, joka olisi helppo ylläpitää... Ihan syystä siellä ne hyväpalkkaiset IT miehet niitä tunnuksia ja oikeuksia ylläpitää firmoissa ja tarvittaessa muokkaa per user case, jos jotain erikoisempaa tarvitaan.

 

[TenderBeef]

Asia ei tosiaankaan ole ihan niin simppeli kuin voisi kuvitella loppupeleissä, että esim. /home/user on luvat sinulla, mutta muilla ei, mutta mitäs sitten jos joku automaattinen service (esim. backup) pitää sinne kuitenkin päästä tekemään vaikka ne varmuuskopiot, mut eihän sillä olekaan sitten enää oikeuksia (koska se ajetaan eri käyttäjänä). Tässä tulee sitten vastaan se, että pitää alkaa manuaalisesti pitämään ryhmiä, lisäillä niihin tarvittavat käyttäjät ja sille sitten tiedosto-oikeudet sinne kotihakemistoon.

No eikö sitä voi ajaa sen userin tunnuksilla kun on loggautuneena sisään? Tarviiko backuppeja ajaa jos joku ei edes kirjaudu?

Taikka jos koneella nyt useampi käyttäjä on, niin enabloit kotihakemiston kryptaamisen

Mintin release notesissa (versiosta 19 alkaen) on ollut tällainen ilmoitus:

Home directory encryption
Benchmarks have demonstrated that, in most cases, home directory encryption is slower than full disk encryption.

The move to systemd caused a regression in ecrypts which is responsible for mounting/unmounting encrypted home directories when you login and logout. Because of this issue, please be aware that in Mint 20 and newer releases, your encrypted home directory is no longer unmounted on logout: Bug #1734541 “encrypted home-directory is not unmounted on logou...” : Bugs : gnome-session package : Ubuntu.

En muista nyt tähän hätään oliko se edes enää valittavissa install-vaiheessa.

Nyt kun tarkemmin tutkinut asiaa, niin näyttäisi yleisesti olevan Linuxeissa käytössä juurikin tuo 022 umask, joka siis siis antaa kaikille käyttäjille read/execute oikeudet uusiin tiedostoihin.

Eli toisinsanoen windows ja mac ovat turvallisempia siinä mielessä, että userin omat tiedostot pysyy hänen omina tiedostoina. Aika karua madonlukua linuxin kannalta tämä asia.

 

[TenderBeef]

Pikkasen lukemista:
027 umask — a compromise between security and simplicity – Michał Górny

Samalla asialla on blogaaja kuin minäkin:

Gentoo systems are shipped by default with umask 022 set in /etc/profile. It is documented there as quite realistic setting, in contrary to umask 077 which would be more secure. I personally disagree with this opinion, saying that 022 is basically suitable only for 100% desktop, single user systems. For a more common case of desktops, I’d stick with 027 instead.

Kommenteista:

The umask is not reliable anyway. Programs can create files with different permissions whenever they want and modify these permissions after creation (I remember at least KDE I think, a few years back, created more permissive configuration directories and files than my umask, when I was testing a 077 umask…), and if you are not constantly checking them, there is a risk of access by others while you think you are safe. It’s better to forbid all access to the parent directory.

Eli siis estää vain "home/fubar"-kansioon pääsy? Sitten ei ole väliä millä oikeuksilla tiedostot/kansiot siellä sisällä on?

 

[=JP=]

Eli toisinsanoen windows ja mac ovat turvallisempia siinä mielessä, että userin omat tiedostot pysyy hänen omina tiedostoina. Aika karua madonlukua linuxin kannalta tämä asia.

Kyllä tämä nyt on ihan käyttäjän näkökulmasta kiinni!

Ja pikainen Googletus paljastaa, että OSX default umask on myöskin 022, löytyy pirusti ongelmia kun jotkut ovat muokanneet tiukemmaksi ja jotkin softat ei enää toimikaan sekä jotkut kirjaimellisesti antavat virheilmoituksen asentaessa, että vaihda umask 022, jotta toimivuus varmaa.

Jos haluat tiukentaa Linuxin tietoturvan haluamallesi tasolle, se kyllä on mahdollista ja työkalut on annettu.

 

[TenderBeef]

Ja pikainen Googletus paljastaa, että OSX default umask on myöskin 022

Wau, eli *nix järjestelmissä on "avoimet kodit". Googlasin tuota OSX:n osalta ja pari linkkiä löytyi missä käyttäjä joka oli tajunnut tämän asian oli lievästi sanottuna yllättynyt. Onko windows sitten ainoa jossa käyttäjän tiedostot ovat vain hänen omia (ehkä jossain win9x-järjestelmissä oli hommat sielläkin levällään)? Vanhassa läppärissä win8.1 siltä tosiaan näyttää. Hassu juttu, windows pitää käyttäjien tiedostot heidän omana tietonaan, linux ja osx ei. Piti oikein nipistää..

 

[ississ]

Samalla asialla on blogaaja kuin minäkin:


Kommenteista:


Eli siis estää vain "home/fubar"-kansioon pääsy? Sitten ei ole väliä millä oikeuksilla tiedostot/kansiot siellä sisällä on?

Jos asetat /home/fubar maskiksi 700 niin vain omistaja pääsee näkemään mitä se sisältää (koska muut eivät saa siirtyä hakemistoon). Silloin sen sisällä olivilla hakemistoilla ja tiedostoilla ei ole väliä vaikka kaikilla olisi 777.

 

[Grizzle]

/home oikeudet on helppo säätää kuntoon.

Olemassa olevalle käyttäjälle:

chmod -R 700 /home/käyttäjä

Tuleville uusille käyttäjille:
/etc/login.defs tiedostosta muutetaan UMASK 077

# Login configuration initializations:
#
#       ERASECHAR       Terminal ERASE character ('\010' = backspace).
#       KILLCHAR        Terminal KILL character ('\025' = CTRL/U).
#       UMASK           Default "umask" value.
#
# The ERASECHAR and KILLCHAR are used only on System V machines.
#
# UMASK is the default umask value for pam_umask and is used by
# useradd and newusers to set the mode of the new home directories.
# 022 is the "historical" value in Debian for UMASK
# 027, or even 077, could be considered better for privacy
# There is no One True Answer here : each sysadmin must make up his/her
# mind.
#
# If USERGROUPS_ENAB is set to "yes", that will modify this UMASK default value
# for private user groups, i. e. the uid is the same as gid, and username is
# the same as the primary group name: for these, the user permissions will be
# used as group permissions, e. g. 022 will become 002.
#
# Prefix these values with "0" to get octal, "0x" to get hexadecimal.
#
ERASECHAR       0177
KILLCHAR        025
UMASK           077

 

[TenderBeef]

Kiitoksia vinkeistä. Pitää testata hetken päästä. Nyt tuli uusi ihmetyksen aihe. Boottasin (kone ollut ilman nettiä about eilisestä lähtien (tai taisi olla pari lyhyttä hetkeä kun laitoin lanipiuhaa kiinni ja irti kun testaillut niitä verkkojakojuttuja)) ja työpöydälle tullessa tuli "check your video drivers" ilmoitus. "Your system is currently running without video hardware acceleration.", ja driver managerissa: "Drivers cannot be installed. Please connect to the internet or insert the Linux Mint installation DVD (or USB stick).". Tosi oudosti kyllä toimii tämä mintti. EDIT: Ajuri oli siis jo asennettu, kerran jopa jo päivitettykin. Ennen kuin päivitin ensimmäisen kerran nvidian ajurin, jostain syystä driver managerissa ennen sitä ei näkynyt yhtäkkiä mitään ajureita. Vähän bugiselta vaikuttaa.

 

[TenderBeef]

Ja lisää kysymyksiä. En tiedä pitääkö tämä paikkansa, enkä oikein tiedä miten voisin tarkistaa asian, mutta juuri satuin lukemaan, että mintissä fstrim ajettaisiin vain kerran viikossa ja sekin aktivoituu vain bootissa! Eli jos pidän kuukauden systeemiä sleep/hibernate-tilassa niin fstrim-komentoa ei ajeta moneen viikkoon?

 

[JiiPee]

Ja lisää kysymyksiä. En tiedä pitääkö tämä paikkansa, enkä oikein tiedä miten voisin tarkistaa asian, mutta juuri satuin lukemaan, että mintissä fstrim ajettaisiin vain kerran viikossa ja sekin aktivoituu vain bootissa! Eli jos pidän kuukauden systeemiä sleep/hibernate-tilassa niin fstrim-komentoa ei ajeta moneen viikkoon?

Eihän sitä trimmiä tartte jatkuvasti olla ajamassa. Nykyiset ssd asemat käsittääkseni tekee trimmiä automaagisesti. Toi on vaan joitain vanhoja ssd asemia varten joissa automaagia ei ole. Varmaan kerran kuukaudessa riittää normi käytössä vallan mainiosti.

Ja sitten tuohon oikeuksiin liittyen.. Ainakii centos ja fedora joita itse käytän tekee käyttäjien kotihakemistot 700 oikilla vakiona, eli ainoastaan käyttäjällä itsellään on pääsy sinne kotio. umask on 022 kuten suurimmassa osassa distroja ja se on ihan ok kun ei ei sinne kotihakemistoon pääse kiinni jos se on 700 oikilla vaikka tiedosto olisikin luettavissa. Hyvä vain että tekee automaagisesti tiedostot 644 oikilla niin ovat sitten suoraan luettavissa jos siirtää johonkin public kansioon eikä tartte alkaa säätää oikkien kanssa.

 

[TenderBeef]

Eihän sitä trimmiä tartte jatkuvasti olla ajamassa. Nykyiset ssd asemat käsittääkseni tekee trimmiä automaagisesti. Toi on vaan joitain vanhoja ssd asemia varten joissa automaagia ei ole. Varmaan kerran kuukaudessa riittää normi käytössä vallan mainiosti.

Ok. Netissä vaan monessa paikassa suositellaan ja sanotaan ettei ole mitään haittaa jos laittaa ihan joka päivä sen trimmin menemään. Mietin vaan, että jos tuo "aktivoituu" vaan bootissa kun läppäri on koko ajan sleep/hibernate-tilassa. Boottausta tehdään vasta sitten kun järjestelmä vaatii. Varmaan ainakin kernel-päivitykset sen vaatii mutta en tiedä muuten, ja kuinka usein noita kernelpäivityksiä oikein tulee ulos.

Kotihakemiston oikeuksien säätö riitti estämään ettei mitenkään päässyt katsomaan mitään sen alla olevia. Eli ei koske vain sitä yhtä kansiota vaan estää kaikki sen alla olevat vaikka kirjoittaisi suoraan jonkun polun johonkin kotihakemiston alla olevaan. Kiitoksia, tämä oli helppo ja nähtävästi turvallinen ratkaisu.

 

[=JP=]

Eipä tuo Windowsikaan tunnu trimmiä ajavan usein, ku taas katsoi tuolta "Optimize drives", niin näytti että viimeksi 27 päivää sitten. Itse kun sammutan koneen joka päivä kunnolla, ei nuo hibernate systeemit kiinnosta, ku kone nykyään SSD avustuksella käynnistyy kuitenkin hetkessä ja ainakin oman kokemuksen mukaan saanut useasti tapella hibernaten aiheuttamia ongelmia käyttöjärjestelmästä riippumatta.

 

[TenderBeef]

ku kone nykyään SSD avustuksella käynnistyy kuitenkin hetkessä

Eihän siihen kauan mene joo nvme:llä mutta eri asia on taas se kun pitää availla kaikennäköisiä softia ja niissäkin voi olla joku tilanne kesken (EDIT: en tarkoita, että ilman tietojen tallennusta tekisin mitään sleep/hibernateja, vaan esim. joku muutoshistoria jota pääsee selaamaan edestakas jos tarvitsee), se ärsyttäisi joten käytän sleep/hibernatea. Hibernate on toiminut muutamaa kertaa lukuunottamatta ilman mitään ongelmia. Ihan ensimmäisten kertojen kohdalla tuli yksi kokonaan jäätyminen ja kerran taisi olla bluetoothin kanssa ongelma herätyksen jälkeen mutta nyt varmaan yli 50 hibernatea putkeen eikä mitään erikoista. Joka kerta kyllä välähtelee mustalla ruudulla "hardware changed, hibernate might not work"-tyylinen viesti, ja joku viesti jos wlan on päällä mutta hyvin silti näyttää pelaavan. Toivottavasti jatkossakin, dual bootinkin takia ettei tarvi pelisession takia laittaa kaikkea linuxin puolella kiinni.

 

[TenderBeef]

ku taas katsoi tuolta "Optimize drives", niin näytti että viimeksi 27 päivää sitten

Oisko noissa joku "threshold" ettei tee? Eli jos ei sulla paljon ole tullut putsattavaa?

 

[=JP=]

Oisko noissa joku "threshold" ettei tee? Eli jos ei sulla paljon ole tullut putsattavaa?

No tuon 27 päivän sisään menee useampi pelin install/uninstall, sekä paljon muutakin data siirtoa, eli puhutaan useista teratavuista...

 

[Enforcer]

Meinasi pää hajota kun säädin uuden lelun Asus mini pc pn50 (4800u) kanssa. Uusimman Kubuntun laitoin vanhan tutun Lubuntun sijasta. Vaikutti pelittävän kaikki instalointi vaiheessa, mutta heitti black screeniä jota vähän pelkäsin kun uudesta raudasta kyse.

Nopee googlaus ja vaikutti et pitäisi saada grubiin laitettu bootti asetuksiin nomodeset. Ongelma vaan oli se, että en tiennyt miten tonne grubiin pääsee joskus aikoinaan taistelin sen kanssa vanhalla serveri/htpc koneella joka sitten jäi kun sillä homma pelitti kuhan yritin saada sitä menua hyvin ja urheilun vuoksi näkyviin. 3-4h meni niin vihdoin sain ton menun näkyviin.

Googlen ohjeet et shift:llä tai esc:llä pitäis ilmestyä. No shift ei tehnyt mitään ja esc tuli laitoksen bios. Jostain sain päähän et kokeilempa kun biosista poistun ilman, että muutoksia teen ja hakkaan esciä jos toimisi.. Ja se sitten toimi Sain vihdoin syötettyä ton nomodesetin ja pääsin sisään. Uusi kernel 5.8.14 sisään ja homma vaikutti jotain bootin kummallisia random tekstei lukuunottamatta toimivan. Huomenna jos pääsee Dockerit ja muut säätämiset tekemään.

 

[TenderBeef]

Törmäsin tällaiseen varoitukseen:

If you have any filesystems on USB devices mounted before software suspend, they won't be accessible after resume and you may lose data, as though you have unplugged the USB devices with mounted filesystems on them.

Onko tämä vielä paikkansa pitävä varoitus? Eli jos on ulkoinen USB-kovo kiinni ja syystä tai toisesta kone menee suspend/hibernate tilaan, tai akku loppuu, niin millä todennäköisyydellä sen ulkoisen levyn tiedostot forever hukassa sitten? Voisiko mintissä/linuxissa conffata jotenkin, että aina kun suspend/hibernate/poweroff tehdään niin ensin automaattisesti järjestelmä unmounttaisi kaikki USB-mountit?

 

[runboy93]

Älkää päivittäkö linux kernel (ubuntu) 5.4.0-51 versioon (joka tuli tänään?), ainakin omassa tapauksessa kävi niin että NVIDIA kortti katosi kokonaan, eikä enää tunnista kuin IGPU UHD 620. Ei tullut muita päivityksiä tänään kuin nuo "linux kernel 5.4.0-51" jutut.

Ihmettelin aluksi miksi käynnistyi uudelleenkäynnistyksen jälkeen niin nopeasti, sitten katsoin miksi tekstit näyttää niin pieneltä, sitten katsoin NVIDIA x Server settings asetukset ihan huvikseen, kaikki tiedot kadonneet :o ainoastaan "prime profiles" sivu oli tallessa, kaikki tiedot NVIDIA kortista ja ominaisuuksista kadonneet.

Näköjään muitakin ongelmia muilla käyttäjillä kun päivitetty 5.4.0-48 -> 5.4.0-51

Ubuntu 20.04.1 LTS, Asus Rog Srix G15 | Win key doesn't work | No sound | Troubles on install

Clean Asus Rog Srix G15 with: i7 10k GeForce 2070 Super NVme 1 TB 1) I try install clean Ubuntu 20.04.01 LTS with options: Downloads updates in process Install third party drivers And I got cra...

askubuntu.com

 

[Rensu]

Älkää päivittäkö linux kernel (ubuntu) 5.4.0-51 versioon (joka tuli tänään?), ainakin omassa tapauksessa kävi niin että NVIDIA kortti katosi kokonaan, eikä enää tunnista kuin IGPU UHD 620. Ei tullut muita päivityksiä tänään kuin nuo "linux kernel 5.4.0-51" jutut.

Ihmettelin aluksi miksi käynnistyi uudelleenkäynnistyksen jälkeen niin nopeasti, sitten katsoin miksi tekstit näyttää niin pieneltä, sitten katsoin NVIDIA x Server settings asetukset ihan huvikseen, kaikki tiedot kadonneet :o ainoastaan "prime profiles" sivu oli tallessa, kaikki tiedot NVIDIA kortista ja ominaisuuksista kadonneet.

Näköjään muitakin ongelmia muilla käyttäjillä kun päivitetty 5.4.0-48 -> 5.4.0-51

Ubuntu 20.04.1 LTS, Asus Rog Srix G15 | Win key doesn't work | No sound | Troubles on install

Clean Asus Rog Srix G15 with: i7 10k GeForce 2070 Super NVme 1 TB 1) I try install clean Ubuntu 20.04.01 LTS with options: Downloads updates in process Install third party drivers And I got cra...

askubuntu.com

Eilen illalla tupsahti itelle tuo -51 kernel ja onneksi näyttää toimivan GTX1080.