Linux-kysymyksiä & yleistä keskustelua Linuxista

[love_doctor]

Anna porukan räksyttää. Se grub vaan on se virallisesti tuettu boottitapa monen monessa distrossa ihan legacy syistä, eikä haluta alkaa tukemaan kahta päällekkäistä systeemiä. Eli niin pitkään kuin boottisektori boottausta tuetaan, niin se grub tulee todennäköisesti pysymään tuettuna. Muu on sitten omaa räpeltelyä jolle ei tukea ole.
Kattelin juuri tuossa eilen fedoran muuttamista systemd boottiin niin ihan turhaa lähteä väkisten vääntämään kun sillä ei mitään saavuttaisi.

Eli mikä ei ole rikki niin turha alkaa korjaamaan.

Oma kritiikki kohdistuu siihen, että grub2 on vaan äärimmäisen monimutkainen peruskäyttöön. Siinä on tuhottomasti ominaisuuksia ja peruskäyttäjä käyttää vaan single/dual-boot-juttuihin henkilökohtaisessa koneessa kernelin, firmwaren ja initramfs:n lataamista. cloc-ohjelman mukaan grubissa on lähdekoodia miljoonan rivin luokkaa, josta c/c++/make-koodia reilu 300t riviä.

Systemd-boot on kaikkine työkaluineen samaa kokoluokkaa kuin grub. Systemd-boot luokkaa 12t riviä eli yli 95% kevyempi. Jos vielä vertaa käyttöä, monessa distrossa grubin kanssa on kaksivaiheinen prosessi, jossa editoidaan /etc:ssä grubin conffia ja grub "kääntää" sen /bootiin. Minkään muun boottimanagerin kanssa ei ole näin byrokraattista prosessia, edes grubin legacy-version.

 

[EliEli]

Otin sitten zram käyttöön sekä tässä OpenSUSE läppärissä (32GB RAM) että RPi4:lla (4GB RAM). Kaikki artikkelit hohkasivat kuinka kätevä ja hyvä juttu zram on joten miksipä sitten ei.

OpenSUSE:ssa menin näillä ohjeilla:

Reddit - The heart of the internet

www.reddit.com

Eli:

sudo zypper in systemd-zram-service
sudo zramswapon
Ja vielä lopuksi kun tuo ei muuten ilmeisesti tule buutin jälkeen automaattisesti päälle:
sudo systemctl enable --now zramswap.service

Nyt free -h näyttää että swäppiä olisi 32GB? Ovatko nämä oletusarvot ihan ok normikäyttöön, en tiedä tarkoittaako tuo siis että se tarvittaessa käyttää vaikka kaiken fyysisen RAM:n ZRAM:lle ja onko sillä edes väliä käyttääkö vai ei?

Näin myös toiset erilaiset ohjeet joissa myös käytiin konffaamista läpi (esim. tuo kuinka paljon muistista enimmillään varataan ZRAM:lle), mutta nuo ohjeet eivät minulla toimineet, ei tästä OpenSUSE:sta löydy esim. "transactional-update" komentoa ollenkaan. Toivon ja oletan että ekojen paljon lyhyempien ohjeiden default-asetukset ovat ok, en äkkiseltään keksinyt missä siinä voisi muuttaa zram-parametreja (varattava muisti, mitä kompressointia käytetään jne.) mutta ilmeisesti ei niin suurta merkitystä, kyllä se tietää mitä tekee?

Installation, Configuration and Management of zram on SUSE Linux Micro

RPi4:n Debian-pohjaisella Linuxilla sitten puolestaan ajoin ohjeiden mukaan:
sudo apt install zram-tools

Lisäksi kävin vielä editoimassa /etc/default/zram-swap, laitoin vain että käyttää enimmillään 50% fyysisestä 4GB RAM:sta tuolle ZRAM:lle ja että prioriteetti on varmasti korkeampi kuin USB HDD-levyllä majailevalla heittovaihtotiedostolla.

 

[love_doctor]

Nyt free -h näyttää että swäppiä olisi 32GB? Ovatko nämä oletusarvot ihan ok normikäyttöön, en tiedä tarkoittaako tuo siis että se tarvittaessa käyttää vaikka kaiken fyysisen RAM:n ZRAM:lle ja onko sillä edes väliä käyttääkö vai ei?

Se zramiin swapattu muisti on tavallaan paketissa eikä sitä voi käyttää työmuistina. Eli ei ehkä fiksua pistää ihan kaikkea potentiaaliseksi swapiksi. Jos muisti loppuisi, niin systeemi voi herätä henkiin paremmin jos on työmuistia vapaana. Toisaalta isommalla zramilla muistiin menee enemmän tavaraa. Hyvä puoli tuossa on ettei muistia kulu swappiin ennen kuin sitä käytetään oikeasti.

 

[Barbarossa]

Oma kritiikki kohdistuu siihen, että grub2 on vaan äärimmäisen monimutkainen peruskäyttöön. Siinä on tuhottomasti ominaisuuksia ja peruskäyttäjä käyttää vaan single/dual-boot-juttuihin henkilökohtaisessa koneessa kernelin, firmwaren ja initramfs:n lataamista. cloc-ohjelman mukaan grubissa on lähdekoodia miljoonan rivin luokkaa, josta c/c++/make-koodia reilu 300t riviä.

Systemd-boot on kaikkine työkaluineen samaa kokoluokkaa kuin grub. Systemd-boot luokkaa 12t riviä eli yli 95% kevyempi. Jos vielä vertaa käyttöä, monessa distrossa grubin kanssa on kaksivaiheinen prosessi, jossa editoidaan /etc:ssä grubin conffia ja grub "kääntää" sen /bootiin. Minkään muun boottimanagerin kanssa ei ole näin byrokraattista prosessia, edes grubin legacy-version.

Juuri niin. Ei kai tässä kukaan ole ketään vaatinut vaihtamaan jos ei halua, tuotu ainoastaan esille että tuota dinosaurusta mukana roikottavat distrot eivät ole nykypäivää.

 

[love_doctor]

Juuri niin. Ei kai tässä kukaan ole ketään vaatinut vaihtamaan jos ei halua, tuotu ainoastaan esille että tuota dinosaurusta mukana roikottavat distrot eivät ole nykypäivää.

Niin.. en ehkä sanoisi ihan näin. Siis grubissa on paljon ominaisuuksia, mitä systemd-bootissa ei ole. Kaikki verkkobootit, ketjutukset , kuva- ja äänituet jne. Tässä vaan on se, että jos asiasta keskustelee ihmisiä, joilla on auttavasti taitoa saada vain automaattisen installerin kanssa asennettua distron määräämä oletusbootloaderi, niin se ei oikein luo sellaista tieto- ja taitopohjaa, jolla voi keskustella asiasta muuten kuin "fanitustasolla".

Esim. tässä on pyritty jossain määrin objektiivisuuteen ja listattu grubin puolia:

"3 What are the benefits of grub2?

Grub2 offers several advantages compared to other bootloaders. It is highly configurable and customizable, allowing you to alter the menu appearance, theme, font, resolution, timeout, default entry and more. It also supports scripting and modules, enabling you to add new features such as encryption, RAID, LVM, network booting and more. Additionally, it can detect and update boot entries automatically when you install or update a new operating system or kernel using the os-prober and update-grub tools. Furthermore, Grub2 can boot from various sources such as hard disks, USB drives, optical discs, network servers and more. Lastly, it can repair and restore the boot process if it is corrupted or damaged using the grub-install and grub-rescue commands.

4 What are the drawbacks of grub2?

Grub2 has some drawbacks compared to other bootloaders, such as its complexity and difficulty to learn, its incompatibility with certain hardware or firmware, its potential to be overwritten or removed by other operating systems, and its slower performance than other bootloaders. Understanding Grub2's syntax, commands, configuration files, and directory structure is necessary to use it. It can also cause boot errors or failures when used with UEFI, Secure Boot, or RAID controllers. It is vulnerable to being overwritten or removed by Windows or LILO, requiring manual reinstallation or restoration. Additionally, it is less efficient than systemd-boot which uses the native UEFI boot manager and does not need to load modules or scripts."

 

[Barbarossa]

iin.. en ehkä sanoisi ihan näin. Siis grubissa on paljon ominaisuuksia, mitä systemd-bootissa ei ole. Kaikki verkkobootit, ketjutukset , kuva- ja äänituet jne. Tässä vaan on se, että jos asiasta keskustelee ihmisiä, joilla on auttavasti taitoa saada vain automaattisen installerin kanssa asennettua distron määräämä oletusbootloaderi, niin se ei oikein luo sellaista tieto- ja taitopohjaa, jolla voi keskustella asiasta muuten kuin "fanitustasolla".

Ehkäpä olisi pitänyt lisätä "... ja oletuksena perusasennukseen laittavat...".

Verkkobootit, ketjutukset, btrfs snapshoteista boottaamiset, kryptatut boottiosiot yms. eivät oikein enää mene peruskäyttäjän normaalitarpeisiin. Mistä päästään tuohon aikaisempaan kommenttiini: jos ei tiedä tarvitsevansa grubia niin todennäköisesti ei tarvitse.

Onhan se hyvä olla vaihtoehtoja, mutta lukuunottamatta säätäjiä, harrastajia ja erikoisia käyttötarpeita, hyvin harva taviskäyttäjä uppoutuu Linuxien esoteerisempiin mysteereihin. Toki asia erikseen onko taviskäyttäjä kohdeyleisöä, tai pitäisikö olla.

 

[EliEli]

Se zramiin swapattu muisti on tavallaan paketissa eikä sitä voi käyttää työmuistina. Eli ei ehkä fiksua pistää ihan kaikkea potentiaaliseksi swapiksi. Jos muisti loppuisi, niin systeemi voi herätä henkiin paremmin jos on työmuistia vapaana. Toisaalta isommalla zramilla muistiin menee enemmän tavaraa. Hyvä puoli tuossa on ettei muistia kulu swappiin ennen kuin sitä käytetään oikeasti.

Juu kun en ole varma miten tuo toimii, osaako zram itse järkevästi päätellä kuinka paljon kannattaa RAM:ia käyttää tuolle kussakin tilanteessa, vai olisiko järkevää rajoittaa johonkin arvoon, kuten RPi4:lla rajoitin että käyttää max 50% muistista tuolle eli 2GB.

En vain opensusessa löytänyt missä config-tiedostossa nuo määritellään, vai pitääkö se config luoda kokonaan itse jostain templatesta.

Lisäksi en tiedä kun free -h nyt ilmaisee opensusessa että swappia olisi käytettävissä (ei käytössä) 32GB, tarkoittaako se että se varaa tarvittaessa koko fyysisen RAM:n ZRAM:n käyttöön, vai onko tuo sen oma arvio että tuon verran kompressoidusta blokista tulisi swappia käyttöön, eli todellisuudessa tuo on esim. 16GB varaus muistista, jonka ZRAM arvioi tuottavan vapaata swappitilaa 32GB, kompressoinnin ansiosta?

 

[EliEli]

Ehkäpä olisi pitänyt lisätä "... ja oletuksena perusasennukseen laittavat...".

Verkkobootit, ketjutukset, btrfs snapshoteista boottaamiset, kryptatut boottiosiot yms. eivät oikein enää mene peruskäyttäjän normaalitarpeisiin.

Minä en tiedä tulenko tarvitsemaan esim. tuota snapshotista buuttaamista.

Toivottavasti en, oletan että sitä käytettäisiin esim. tapauksessa missä koko Linux on mennyt rikki jonkun kernel tms. päivityksen jälkeen (varsinkin tällaisessa rolling release distrossa joka itsekin varoitteluissaankin siirtää vastuun käyttäjälle "koneesi ei ehkä toimi enää jos ajat distro-updaten"), ja haluaa siksi buutata aiemmasta tilanteesta joka on sopivasti snapshotilla.

Tai näin ainakin oletan maallikkona. Noin muuten tuo grub2 valikon vilahtaminen minulla on aika turha parin sekunnin viive kun en siitä kuitenkaan enää valitse haluanko buutata Windowsiin vai Linuxiin, ja aiemmin kun näin tein, se tosiaan aiheutti ongelmia eli ilmeisesti aina kun grub2 päivittyi (muutin sen asetuksia esim. mihin oletusarvoisesti buutataan, tai jos kernel-päivitys päivittää grub2:sen?), Windows vaati bitlockerin avaamista avaimella, ja ilmeisesti Windowsin admin-käyttäjän PIN-koodikin piti uusia. Nyt näin ei enää onneksi tapahdu koska Windows ei suoraan enää näe eikä ole osallisena grub:ssa.

Mennään näillä, pääasia että toimii nyt.

Veilä tuosta levyn kryptauksesta, läppäreissä se mielestäni voi olla kyllä ihan paikallaan normi kotikäyttäjällekin, jos läppäri varastetaan. Voi siellä jotain arkaluonteista tietoa levyllä kuitenkin olla jonka kaiketi pääsisi näkemään ilman kryptausta, tai automaattisia loggauksia eri palveluihin yms. Microsoft toki on sitä mieltä että se on vain tosi Pro-käyttäjien tarvitsema palvelu joten siksi Home-versiossa tuollaista ylellisyyttä ei ole; Linuxissa ei jaeta koti- ja tosikäyttäjiä eri karsinoihin, onneksi. Kaikki saavat käyttää mitä haluavat.

 

[love_doctor]

Juu kun en ole varma miten tuo toimii, osaako zram itse järkevästi päätellä kuinka paljon kannattaa RAM:ia käyttää tuolle kussakin tilanteessa, vai olisiko järkevää rajoittaa johonkin arvoon, kuten RPi4:lla rajoitin että käyttää max 50% muistista tuolle eli 2GB.

50% lienee ihan ok lähtökohta. Sitä ainakin parissa distrossa olen nähnyt oletusasetuksissa, mutta vaikea kaikkien puolesta puhua. Zram taitaa olla aika monessa Androidissakin nykyään. Jos sinne asentaa komentorivin, niin free-käskyllä näkisi tosiaan arviota paljonko on varattu.

Lisäksi en tiedä kun free -h nyt ilmaisee opensusessa että swappia olisi käytettävissä (ei käytössä) 32GB, tarkoittaako se että se varaa tarvittaessa koko fyysisen RAM:n ZRAM:n käyttöön, vai onko tuo sen oma arvio että tuon verran kompressoidusta blokista tulisi swappia käyttöön, eli todellisuudessa tuo on esim. 16GB varaus muistista, jonka ZRAM arvioi tuottavan vapaata swappitilaa 32GB, kompressoinnin ansiosta?

Kuten aiemmin kirjoitin, niin swappikäyttöön menee vain se mitä on oikeasti tarve. Muistia varataan vain käytön mukaan. Se free:n ilmoittama swapin maksimikoko on yhteenlaskettu summa kaikista swappialueista mitä on saatavilla. RAM:n osalta se on oikeasti varattavissa oleva määrä. Sitä on mahdoton ennustaa etukäteen, miten paljon pakkautuu. Näkyy siis swapin hitaampana täyttymisenä jos vaikka sinne menee pelkkää nollaa.

 

[Barbarossa]

Tai näin ainakin oletan maallikkona. Noin muuten tuo grub2 valikon vilahtaminen minulla on aika turha parin sekunnin viive kun en siitä kuitenkaan enää valitse haluanko buutata Windowsiin vai Linuxiin, ja aiemmin kun näin tein, se tosiaan aiheutti ongelmia eli ilmeisesti aina kun grub2 päivittyi (muutin sen asetuksia esim. mihin oletusarvoisesti buutataan, tai jos kernel-päivitys päivittää grub2:sen?), Windows vaati bitlockerin avaamista avaimella, ja ilmeisesti Windowsin admin-käyttäjän PIN-koodikin piti uusia. Nyt näin ei enää onneksi tapahdu koska Windows ei suoraan enää näe eikä ole osallisena grub:ssa.

Juu siksi aikaisemmin mainitsinkin jo:

Asia erikseen onko sen vaihtamisesta tässä vaiheessa isompaa iloa kun bootin suoraviivaistaminen.

Miksi edes otin asian esille (ja lähti vähän lapasesta) on se että arveluni että systemd-bootin kanssa ei tulisi (ehkä) niitä muutoksia jotka saa sen Bitlockerin möksähtämään. Jo siksikin että se ei oletuksena välitä Windowsista ja toimii ainoastaan Linuxin boottaukseen. Mutta koska ilmeisesti grubinkin kanssa pärjää käyttämällä UEFIn valikkoa niin tuskin kannattaa vaivautua muuttamaan.

Veilä tuosta levyn kryptauksesta, läppäreissä se mielestäni voi olla kyllä ihan paikallaan normi kotikäyttäjällekin, jos läppäri varastetaan. Voi siellä jotain arkaluonteista tietoa levyllä kuitenkin olla jonka kaiketi pääsisi näkemään ilman kryptausta, tai automaattisia loggauksia eri palveluihin yms. Microsoft toki on sitä mieltä että se on vain tosi Pro-käyttäjien tarvitsema palvelu joten siksi Home-versiossa tuollaista ylellisyyttä ei ole; Linuxissa ei jaeta koti- ja tosikäyttäjiä eri karsinoihin, onneksi. Kaikki saavat käyttää mitä haluavat.

Niin, siis kyllähän se kryptattu levy toimii systemd-bootillakin, ei siinä mitään ihmeellistä ole. Sillä ei vaan onnistu se että koko boottiosio on salattu mikä ilmeisesti on grubin kanssa mahdollista. Mutta koska haluat dual boottailla niin menisi jo melko virittelyksi väkertää Linuxille täysin kryptattu bootti niin että Windowskin toimii vielä.


Enkä nyt tiedä onko tuollaiselle missään normaalissa käytössä tarvetta. Jos pelkää jonkinlaista skenaariota missä joku käy salaa vaihtamassa salaamattomalle boottiosiolle jonkun sorkitun kernelin ja/tai initramfs imagen niin seilataan jo melkoisen syvissä vesissä muutenkin. Tämänkin voisi ratkaista toisella tavalla käyttämällä omia Secure Boot avaimiaan ja allekirjoittamalla ESPiltä käynnistettävät kernelit sillä niin ei niitä enää tuosta vaan vaihdeta huomaamatta.

Mutta ei liity enää tähän sinun tapaukseesi.

 

[JiiPee]

Mistä päästään tuohon aikaisempaan kommenttiini: jos ei tiedä tarvitsevansa grubia niin todennäköisesti ei tarvitse.

Ymmärrätkö että se menee ihan myös toistepäin. Jos tavis käyttäjä ei tiedä tarvitsevansa muuta buutloaderia kuin grubin, niin silloin se tavis käyttäjä ei todennäköisesti tartte muuta.
Edelleen mikä ei ole rikki niin turha alkaa korjaamaan.

Mä voisin ihan hyvin systemd bootin omaan nussinassiini laittaa mutta koen että siinä on kuitenkin riskinsä lähteä toimivaa muuttamaan niin miksi lähtisin?
Ehkä tuohon läppäriin voisi leikkiä kun sillä ei ole niin väliä kun on vaan nettisurffi ja pdf luku kone.

 

[love_doctor]

Mä voisin ihan hyvin systemd bootin omaan nussinassiini laittaa mutta koen että siinä on kuitenkin riskinsä lähteä toimivaa muuttamaan niin miksi lähtisin?

Muuten, bootloaderin asentaminen käsin (erityisesti jokin muu kuin grub) on niin simppeli, että se kannattaa ihan perustaitona opetella. Jos on aikaa 30+ min säätää usb-tikulla, niin rikkinäisenkin systeemin saa nopeasti kuntoon, ellei siellä sitten ole kryptattua zfs-formatoitua boot-osiota raid6:lla ja thin-provisionilla, joka lataa kakkostason initramfs:n nbd:llä udp-yhteyden yli niin että ethernetiin pitää säätää myös koputus ja oma vlan-tagi.

 

[ississ]

Nassejakin on monenlaisia mutta ainakin oma käynnistyy vain silloin kun teen bootin vaativia päivityksiä tai niin pitkän sähkökatkon jälkeen että upsin akku ei riitä.
Tällaisessa tapauksessa on ihan se ja sama käyttääkö lilo/grub/jne kunhan käynnistyy itsekseen. Sekin kestääkö käynnistyminen vähän kauemmin laturin koosta tai muusta riippuen on aika epäoleellista.
Ylläpidon kannalta kannattaa ehkä kuitenkin säätää mahdollisimman vähän jos toimii.

 

[Barbarossa]

Ymmärrätkö että se menee ihan myös toistepäin. Jos tavis käyttäjä ei tiedä tarvitsevansa muuta buutloaderia kuin grubin, niin silloin se tavis käyttäjä ei todennäköisesti tartte muuta.
Edelleen mikä ei ole rikki niin turha alkaa korjaamaan.

Saat sinä ajella grubia jos siihen olet niin mieltynyt. Nyt kyse oli enemmän siitä mikä on lopputulemana kun aloittelija asentelee distron X perusasennuksena. Sillä grubilla ei ole mitään lisäarvoa siihen annettavaksi, monimutkaistaa vaan jos jotakin tarvitsee kustomoida kaikkien kivikautisten osprobejen, mkconfigien ja muiden kanssa.

 

[love_doctor]

Ylläpidon kannalta kannattaa ehkä kuitenkin säätää mahdollisimman vähän jos toimii.

Grubissa se säätö on näppärästi piilotettu automatiikan taakse. Monella voi mennä sormi suuhun jos pitäisi manuaalisesti kirjoittaa konffit, kun perus-ubuntun konffi voi olla muutama näytöllinen. Tämä on melkoinen ero jos vertaa miten yksinkertaisesti lilo, syslinux, systemd-boot tai jopa u-boot konffitaan (u-bootissa tosin osa konffista on käännetty mukaan piiloon, mutta työkalu on sopiva artesaanityöhön, jossa jokainen levyn sektori kirjoitetaan käsityönä). Systemd-bootissahan säätö on 2-5 riviä tyypillisesti (joista yksi on valinnan nimi valikossa).

 

[Ezzy]

Mulla on 16G muistia ilman swappia, kun muisti loppuu kone ensin hidastuu sitten tilttaa jos ei kerkeä vapauttamaan lisää. En tiedä auttaisiko swap?

Muistin loppumisen syy kaksi selainta ja ikkunoita öö..... aika monta

Kannattaa ottaa käyttöön selaimen oma sleep toiminto tabeille tai joku idle tab suspender -extension. Ei lopu enää muisti.

 

[Barbarossa]

Grubissa se säätö on näppärästi piilotettu automatiikan taakse. Monella voi mennä sormi suuhun jos pitäisi manuaalisesti kirjoittaa konffit, kun perus-ubuntun konffi voi olla muutama näytöllinen. Tämä on melkoinen ero jos vertaa miten yksinkertaisesti lilo, syslinux, systemd-boot tai jopa u-boot konffitaan (u-bootissa tosin osa konffista on käännetty mukaan piiloon, mutta työkalu on sopiva artesaanityöhön, jossa jokainen levyn sektori kirjoitetaan käsityönä). Systemd-bootissahan säätö on 2-5 riviä tyypillisesti (joista yksi on valinnan nimi valikossa).

Taikka jos se automagiikka syystä taikka toisesta haukkaa paskaa. Sen korjaaminen vaatii vähintään kahdeksannen tason tulimaagia vastaavaa salatieteen ymmärrystä. Näissäkin tapauksissa tuli jeesittyä eri tahoja joskus puunilaissotien aikaan ennenkuin UEFI oli arkipäivää.

 

[love_doctor]

Taikka jos se automagiikka syystä taikka toisesta haukkaa paskaa. Sen korjaaminen vaatii vähintään kahdeksannen tason tulimaagia vastaavaa salatieteen ymmärrystä. Näissäkin tapauksissa tuli jeesittyä eri tahoja joskus puunilaissotien aikaan ennenkuin UEFI oli arkipäivää.

Joo siis itselläkin oli Grub 0.9x käytössä joskus lilon jälkeen ja silloin se tuntui silloin ihan kohtuulliselta, mutta grub 2:ssa tekijöiltä ns. karkasi mopo käsistä. Tuossa on vielä se, että jotkut distrot vaihtoivat grub 2:een vasta paljon myöhemmin kun standardi uefi-buutti oli jo monta vuotta ollut saatavilla uusille koneille. Pointtina kai, että pitää olla yksi avaimet käteen -ratkaisu, joka toimii vähän jokaiselle mutta ei kenellekään hyvin. Ainakin yksi mikä muuttui aika mahdottomaksi on konffien ylläpito käsin. Ymmärrän hyvin tuon, että käyttäjät mielellään pitäytyvät distron oletussäädöissä kun ne on jotenkin saatu toimimaan.

 

[Kaalip]

Ymmärrän tuon grubin käytön oletuksena isoille jakeluille, joiden tarkoituksena on toimia securebootin kanssa Windowsin rinnalla. Grub kun käyttää shim:iä preloaderina, joka sattuu olemaan toiseksi ainoa Microsoft 3rd party avaimilla signattu preloaderi Linuxille. Ts. kun joku asentaa koneeseen jossa secureboot päällä Fedoran tai ubuntun tms. sen pitäisi toimia ns. Out Of The Box. Paitsi että ei toimikkaan. Microsoft suuressa viisaudessaan vaatii nykyään että UEFI:ssa ei saa olla 3rd party key oletuksena päällä, eli secureboot käyttäjän pitää nykyaikaisissa koneissa käydä se kääntämässä UEFI asetuksista päälle kuitenkin jos haluaa securebootin. Noh ainakaan ei tarvitse ruveta kirjoittamaan omia avaimia ja pelätä että brickkaa emolevy firmiksen samalla.

Se mitä en ymmärrä on se valinnanvapauden puute. Monet jakelut on sen verta sidottu siihen Grubiin että saa riskeeraa järjestelmänsä rikkomisen jos haluaa jotain muuta tilalle. Puhumattakaan näistä jotka käyttää initramfs generaattorina Dracut:ia kuten Fedora. Ei mitään jakoa saada EFIstubia ja UKI:ja toimimaan securebootin kanssa niin että se myös allekirjottaisi uudet UKI:t kun kerneli päivittyy koska dracut:in ei voi määritellä output fileä missään conffissa. Tai no, kyllähän tuon saa onnistumaan kun on velhokoulussa tasolla 99 mihin en ole vielä päässyt.

Linuxin paras puoli on se että saa valita mitä järjestelmiä ja ohjelmia käyttää. Arch on toteuttanut tämän todella hyvin, jo installerissa voi valita minkä bootloaderin haluaa Grub, Systemd-boot, Efistub, Limine (en edes tiedä mikä tämä on) tai vaikka ei bootloaderia ollenkaan. UKI:t saa päälle jo asennusvaiheessa. Installeri hoitaa taustalla UKI:n kernel parametreilla ja splash imagella leivottuna, UEFI boottivalikkoon efibootmgr:lla boot option, mitä tahansa valitset se toimii suoraan ilman että tarvii loihtia. No sen verran valehtelin että se secureboot ei ole tuossa vaihtoehtona, sitten pitää ruveta niitä omia avaimia taikomaan tai käyttää sitä shim:iä. Mutta sekin onnistuu halutessaan niin. Mkinitcpio conffia voi puukottaa mielensä mukaan ja se luo aina uuden initin käskystä tai kernelin päivittyessä haluamillasi vaihtoehdoilla.

Tl;dr
- Ymmärrän Grubin oletusaseman secureboot maailmassa jotta useimmiten Linux järjestelmän saa toimimaan Windows raudalla OOTB.
- En ymmärrä miksi sille ei anneta vaihtoehtoja jo installerissa käyttää vaikka sitä systemd-boot tai EFIstub vaan se pitää jälkikäteen itse taiteilla.

 

[TemeV]

Miksi edes otin asian esille (ja lähti vähän lapasesta) on se että arveluni että systemd-bootin kanssa ei tulisi (ehkä) niitä muutoksia jotka saa sen Bitlockerin möksähtämään. Jo siksikin että se ei oletuksena välitä Windowsista ja toimii ainoastaan Linuxin boottaukseen. Mutta koska ilmeisesti grubinkin kanssa pärjää käyttämällä UEFIn valikkoa niin tuskin kannattaa vaivautua muuttamaan.

En ole kokeillut, mutta käsittääkseni sama ongelma tulee systemd-bootin kanssa. TPM:lle tallentuu kaiketi koko "ympäristö" bootin ajalta, ja mikään muutos siinä ympäristössä saa aikaan sen, että TPM kieltäytyy purkamasta salausta.

Niin, siis kyllähän se kryptattu levy toimii systemd-bootillakin, ei siinä mitään ihmeellistä ole. Sillä ei vaan onnistu se että koko boottiosio on salattu mikä ilmeisesti on grubin kanssa mahdollista. Mutta koska haluat dual boottailla niin menisi jo melko virittelyksi väkertää Linuxille täysin kryptattu bootti niin että Windowskin toimii vielä.

Täysin salattu bootti ei ole oikein mahdollista. Ihan ensimmäistä bootloaderia ei voi salata, koska sitten ei ole softaa joka sen salauksen avaisi. Grubin tapauksessahan grub ja kernel on kyllä salattu, mutta edelleen se koodi, joka purkaa grubin salauksen, ei ole salattu. Sinne voi hyökkääjä käydä laittamassa väliin vähän omaa koodiaan, joka voikin sitten tehdä ihan mitä vain, koska se voi lukea salausavaimen silloin kun käyttäjä sen kirjoittaa. Sen takia tarvitaankin secureboot, joka tarkistaa että bootloader on ennallaan, ja estää bootin jos ei ole. Systemd-bootilla ei käsittääkseni saa kerneliä salattua, mutta ei sillä ole mitään väliä, koska kovin harvan tarvii erityisesti salailla sitä mitä kerneliä käyttää.

 

[love_doctor]

Täysin salattu bootti ei ole oikein mahdollista. Ihan ensimmäistä bootloaderia ei voi salata, koska sitten ei ole softaa joka sen salauksen avaisi. Grubin tapauksessahan grub ja kernel on kyllä salattu, mutta edelleen se koodi, joka purkaa grubin salauksen, ei ole salattu. Sinne voi hyökkääjä käydä laittamassa väliin vähän omaa koodiaan, joka voikin sitten tehdä ihan mitä vain, koska se voi lukea salausavaimen silloin kun käyttäjä sen kirjoittaa. Sen takia tarvitaankin secureboot, joka tarkistaa että bootloader on ennallaan, ja estää bootin jos ei ole. Systemd-bootilla ei käsittääkseni saa kerneliä salattua, mutta ei sillä ole mitään väliä, koska kovin harvan tarvii erityisesti salailla sitä mitä kerneliä käyttää.

Bootloaderin ja kernelin integriteetin voi varmentaa avaimilla. Niissä ei välttämättä ole mitään käyttäjää identifioivaa edes, niin ei ole hyötyä salata. En oikein itse ainakaan kotiin haluaisi laitetta, joka on verkonpaino jos vaikka tpm-siru hajoaa. Tai no, onhan jossain aina ne backupit..

 

[Matkatavara]

Miten suuria turvallisuus tai muita riskejä on jos jättää Kernel päivitykset väliin esim. 4-6 päivityksen ajan?

Kysyn tätä koska Kernel päivitys kestää n. 3-4 kertaa pidempään kuin kaikkien muiden päivitysten asentaminen yhteensä ja en ole varma onko Kernel päivityksistä hirveästi hyötyä vanhalla raudalla...

Yritin lukea Kernel muutoksista mutta suurin osa on täyttä hepreaa https://cdn.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.140

 

[JiiPee]

Miten suuria turvallisuus tai muita riskejä on jos jättää Kernel päivitykset väliin esim. 4-6 päivityksen ajan?

Kysyn tätä koska Kernel päivitys kestää n. 3-4 kertaa pidempään kuin kaikkien muiden päivitysten asentaminen yhteensä ja en ole varma onko Kernel päivityksistä hirveästi hyötyä vanhalla raudalla...

Yritin lukea Kernel muutoksista mutta suurin osa on täyttä hepreaa https://cdn.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.140

Sehän riippuu ihan käytöstä ja mitä kernelissä on korjattu. Joku palvelin julkisessa verkossa voi olal hyvinkin kriittinen päivitysten suhteen kun taas joku purkki jossain pajan nurkassa joka ohjaa CNC konetta ei välttämättä tartte kernel päivitystä ikinä.

 

[Barbarossa]

Miten suuria turvallisuus tai muita riskejä on jos jättää Kernel päivitykset väliin esim. 4-6 päivityksen ajan?

Kysyn tätä koska Kernel päivitys kestää n. 3-4 kertaa pidempään kuin kaikkien muiden päivitysten asentaminen yhteensä ja en ole varma onko Kernel päivityksistä hirveästi hyötyä vanhalla raudalla...

Yritin lukea Kernel muutoksista mutta suurin osa on täyttä hepreaa https://cdn.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.140

Kuten jo mainittu, riippuu ihan missä käytössä kone on. Avoimena julkiseen verkkoon? Suht suuria riskejä. Tosin jos on julkiseen verkkoon avoin kone jonka tietoturva on pelkästään kernelin varassa niin tässä on monta muutakin vielä suurempaa riskiä.

Mutta kone joka on palomuurien yms. takana turvallisessa verkossa ja jolla ei ole muita käyttäjiä, eikä ajella satunnaisia internetistä haalittuja scriptejä/sovelluksia? Aika vähässä on riskit.


Minulla on parissa koneessa itse konffitut kernelit, päivitys vaatii aina vähän käsitöitä niin ei tule päntiönään päivitettyä. Toisessa, vanhempi läppäri, edelleen sohvakoneena aktiivikäytössä, oli kerneli päivittämättä 2-3 vuotta kun ei ollut tarvetta. Toiseen päivittänyt suunnilleen joka toisen minor version päivittyessä, yhden kerran per versio. En koe ongelmaksi.

Loput ovat erinäisiä servereitä joissa tavallinen distro (Fedora) vakiokernelillä. Näihin ylipäätään ei tule ajeltua päivityksiä kuin kerran tai pari Fedoran rellien välillä.. enkä edes päivitä jokaiseen uuteen releaseen.

 

[kaakau<"'\\/>]

Se zramiin swapattu muisti on tavallaan paketissa eikä sitä voi käyttää työmuistina. Eli ei ehkä fiksua pistää ihan kaikkea potentiaaliseksi swapiksi. Jos muisti loppuisi, niin systeemi voi herätä henkiin paremmin jos on työmuistia vapaana. Toisaalta isommalla zramilla muistiin menee enemmän tavaraa. Hyvä puoli tuossa on ettei muistia kulu swappiin ennen kuin sitä käytetään oikeasti.

Mitä aluksi luin zramista, niin en hokannut oikein sen pointtia, kun swappaus alkaa, kun muisti loppuu ja jos tekee zramin, eli käyttää osan muistista, niin muistihan loppuisi vielä aikaisemmin, vaikka swap olisikin nopea. Mutta ei sitä varmaan tuossa tapauksessa suositeltaisi niin paljon ja nyt mitä kerroit se meneekin niin, että kaikki muisti on oikeasti käytössä jotakuinkin normaaliin tapaan, vaikka zramille on varattu muistia? Ja sitten vasta, kun koko muisti, eli vaikka RAM 8Gt + zram 8Gt on varattu, niin siinä tapauksessa vasta zram otetaan käyttöön? Eli 16Gt on oikeasti muistia on käytössä?

Läppärissä on 16Gt muistia ja Firefox ja Android Studio, kun on päällä, niin menee jo joskus sawpin käytöksi ja se on niin hidas SSD:llä, ettei se lopu koskaan ja tulee vaan käynnistettyä kone uudestaan. Laitoinkin siihen nyt systemd-oom:n, kun mieluummin tappaa jonkun prosessin kuin boottaa koko koneen. Ei mitään työtä menee juurikaan hukkaan, kun monessa ohjelmassa on auto-save. Mutta jos zram tosiaan toimii noin, niin sitten otan sen kyllä käyttöön. Kannattaakohan systemd-oom ottaa siinä tapauksessa pois käytöstä.

 

[love_doctor]

Mitä aluksi luin zramista, niin en hokannut oikein sen pointtia, kun swappaus alkaa, kun muisti loppuu ja jos tekee zramin, eli käyttää osan muistista, niin muistihan loppuisi vielä aikaisemmin, vaikka swap olisikin nopea. Mutta ei sitä varmaan tuossa tapauksessa suositeltaisi niin paljon ja nyt mitä kerroit se meneekin niin, että kaikki muisti on oikeasti käytössä jotakuinkin normaaliin tapaan, vaikka zramille on varattu muistia? Ja sitten vasta, kun koko muisti, eli vaikka RAM 8Gt + zram 8Gt on varattu, niin siinä tapauksessa vasta zram otetaan käyttöön? Eli 16Gt on oikeasti muistia on käytössä?

Swappiness-arvo määrittää sitä, miten aikaisin swappia aletaan käyttää. Oletuksena Linuxissa käytetään aika kitsaasti swappia. Jos tiedät että joku bloatti ohjelma on muistissa kuluttamassa tilaa eikä tee mitään niin voi olla että herkempi swappaus vapauttaa muistia vaikkapa levycachelle. Toinen vaihtoehto on vaihtaa ohjelmia. Esim. mainitsemasi Android Studio on nykyään muistaakseni electron-appi ja tuskin kevyimmästä päästä. Firefoxissa auttaa jos ei pidä montaa aktiivista tabia.

Tuo zram toimii niin, että sanotaan että jossain vaiheessa jos sinulla on 16 gigaa muistia ja siitä käyttis toteaa gigan vähän käytetyksi ja swappaukselle sopivaksi, niin sen giga swapataan ja riippuen enkooderista lz4/lzo/zstd tiivistää sen esim. puolet pienempään tilaan. Eli jos ennen swappausta oli vaikkapa 16 - 1 giga (ei juuri käyttöä) ja - 4 gigaa (aktiivista käyttöä) = 11 gigaa potentiaalisesti vapaana, niin swappauksen jälkeen voisi olla 11,5 gigaa. Tietenkin käytännössä tilannetta seurataan aktiivisesti eikä vain gigatavun välein.

Käyttömuistin kanssa yksi etu on se, että ohjelmat ei yleensä yritä optimoida sen rakennetta ennakkoon. Levyllä on eri juttu, kun monet tiedostot on jo tiivistettyjä (esim. jpg, mp3 jne.), niin niille joku lz4 ei paljonkaan tee, mutta jos muistissa on puolityhjä taulukko, niin se pakkautuu erittäin hyvin. Myös kuvat voi olla pakkaamattomia bittikarttoja muistissa ja ehkä vielä neljäs tavu (läpinäkyvyys) 32-bittisistä väreistä nollaa, niin vaikutus on suuri. Pakkaamattomat kuvat, tekstit, taulukot, ohjelmakoodi yms. pakkautuu aika hyvin noilla yksinkertaisillakin koodauksilla. Ääni voi olla hiukan hankalampi.

 

[Matkatavara]

Sehän riippuu ihan käytöstä ja mitä kernelissä on korjattu. Joku palvelin julkisessa verkossa voi olal hyvinkin kriittinen päivitysten suhteen kun taas joku purkki jossain pajan nurkassa joka ohjaa CNC konetta ei välttämättä tartte kernel päivitystä ikinä.

Kuten jo mainittu, riippuu ihan missä käytössä kone on. Avoimena julkiseen verkkoon? Suht suuria riskejä. Tosin jos on julkiseen verkkoon avoin kone jonka tietoturva on pelkästään kernelin varassa niin tässä on monta muutakin vielä suurempaa riskiä.

Kiitos vastauksista. Kone on kotikäytössä palomuurin takana. Riskin pitäisi olla pieni.

 

[love_doctor]

Kiitos vastauksista. Kone on kotikäytössä palomuurin takana. Riskin pitäisi olla pieni.

Kannattaa aina varmistaa, että on oikeasti palomuurattu. Monesti kotona NAT = "palomuuri" ja laitteille on avattu portteja valikoidusti. Pian kun IPv6 yleistyy lisää, niin kaikki kodin laitteet voivat pamahtaa julkiseksi.