Linux kysymyksiä

[TenderBeef]

Paljon kiitoksia taas vastauksista, erityiskiitos 8540:n megapostauksesta, ja kiitos kärsivällisyydestä. Taisin jo aiemmin kirjoittaa kuinka pyrkimys olisi mahdollisimman pieneen säätämiseen, vaikka (pakonomainen) tarve ymmärtää "kaikki" on iso.. taisin nyt hypätä vähän kaninkoloon.

Rupeaa pursuamaan oma Evernote muistiinpanoista..

Pointtini on siis se, että riippuen toki tarpeistasi, saatat olla tekemässä asiasta ylipäänsä turhan vaikeaa.

Miksi oikeastaan koet välttämättömäksi käyttää Btrfs:ää? Näihin Linuxin tiedostojärjestelmävalintoihin pätee vielä toistaiseksi vanha nyrkkisääntö: jos et varmasti tiedä tarvitsevasi tiettyä tiedostojärjestelmää, käytä ext4:ää.

Mutta kyllä tämä sinun tarinasi oikein yrittää olla vaikea asennettava. Jos haluat helpon Linuxin, asenna Mint käyttäen ext4:ää.

Ajatus/ymmärrys oli, että Btrfs olisi parempi "huolehtimaan" levyn käyttöä. Eilen illalla kypsyi jo samat kysymykset itsellenikin ja levon jälkeen on nyt helppo lukea teidän ajatuksia asiasta.

Windowsin asentaminen Linuxin jälkeen ei ole yhtä varmaa, kun jostain syystä Microsoft ei ole turhan innokas toisen käyttöjärjestelmän käytöstä.

Totta. Toisessa topikissa tekemäni Win10 Ent LTSB Trial testit (kuinka pitkä testijakso pidennyksien kanssa ja milloin uudelleeninstallointi = 270pv) osoittivat, että windowsin uudelleenasennus sekoittaa dual-boottisysteemin, eli pitää sörkkiä GRUBia uudelleen toimimaan.

En tiedä koskeeko tämä myös LVM-setuppia, luulisi, ainakin jos käytät sitä graafisen installerin checkboxia sen käyttöön.

Tämä LVM on jäänyt vieläkin epäselväksi, missä tilanteessa pitäisi käyttää tuota? Jos haluaa snapshotteja ja helpompaa osioiden hallintaa? Tuota LVM:ää ei saa valittua installerissa ilman, että valitsee "erase disk and install linux mint"-vaihtoehtoa. Mutta ilmeisesti ei ole suositeltavaa minulle jos nyt päädynkin EXT4:n ja yhden osion ratkaisuun?

CFQ scheduler on tukenut jo pitkään "pyörimättömiä" levyjä ja on lähes kaikessa nopeampi perus-SSD:n kanssa kuin deadline, se osaa mm. optimoida kirjoitusjonot säikeittäin. Supernopeat NVMe levyt on nopeimpia ilman scheduleria eli none/noop kanssa.

Nyt purjehdittiin semmoselle kartalle jota en omista, oliko tämä vain yleisesti kommentointia ketjussa olevaan viimeaikaiseen keskusteluun vai jotain sellaista josta minun(kin) pitäisi ottaa selvää ja mahdollisesti säätää jotain? Käyttöön tulossa perus SSD SATA 6Gb/s levy.

Noatime onkin jo kerrottu, lukuaikojen tallennusta en ainakaan itse tarvitse mihinkään.

Eli ei ole mitään sellaista tilannetta, että esim. joku backup-softa tarvitsisi tuota access-tietoa? Muistan hämärästi lukeneeni joitain vuosia sitten jonkun backup-softan tarpeesta johonkin tällaiseen, saattoi olla tosin kyse vain jostain "archive"-attributesta. EDIT: No nyt kun järki palasi päähän lyhyeltä reissultansa, niin eihän tuo access-timen käyttö varmuuskopiointiin ole mitenkään järkevää.. tarkoitus oli vain esittää joku esimerkki, että onko mitään tilannetta missä tuo tieto olisi tarpeellinen/hyvä olla.

 

[Pertti Kosunen]

Nyt purjehdittiin semmoselle kartalle jota en omista, oliko tämä vain yleisesti kommentointia ketjussa olevaan viimeaikaiseen keskusteluun vai jotain sellaista josta minun(kin) pitäisi ottaa selvää ja mahdollisesti säätää jotain? Käyttöön tulossa perus SSD SATA 6Gb/s levy.


Eli ei ole mitään sellaista tilannetta, että esim. joku backup-softa tarvitsisi tuota access-tietoa? Muistan hämärästi lukeneeni joitain vuosia sitten jonkun backup-softan tarpeesta johonkin tällaiseen, saattoi olla tosin kyse vain jostain "archive"-attributesta. EDIT: No nyt kun järki palasi päähän lyhyeltä reissultansa, niin eihän tuo access-timen käyttö varmuuskopiointiin ole mitenkään järkevää.. tarkoitus oli vain esittää joku esimerkki, että onko mitään tilannetta missä tuo tieto olisi tarpeellinen/hyvä olla.

Ai deadline scheduler olikin vaihdettu Ubuntun vakioksi...

SSD: how to optimize your Solid State Drive for Linux Mint 18.x, Ubuntu 16.04 and Debian - Easy Linux tips project

Tuolla neuvotaan varmistamaan, että io scheduler on deadline, vaikka se ei ole enää nykyään nopein keskiverto SSD:n kanssa, entinen Ubuntun ja monien muiden jakeluiden vakio Completely Fair Queuing (CFQ) on lähes kaikissa testeissä nopeampi. Tuo deadline ohje on jäänne ajoilta jolloin CFQ oli optimoitu vain pyörivä-kiekkoisille levyille.

Erot eivät ole SATA-levyillä mullistavia joten sen voi antaa olla vakiona. Uusien nopeimpien NVMe levyjen tapauksessa none/noop scheduler on merkittävästi nopeampi.

Viimeistä luku-aikaa ei backup-ohjelmat tarvitse, vain luonti- ja muokkausajat.

 

[TenderBeef]

Minulla oli tuossa aiemmin niin paljon asiaa ja kysymyksiä, että muutamaan jos vielä kysyn lisätietoa.

- Jätä vähän tilaa SSD levylle osioimatta? Joku suositteli, että jättää max. 7% tai 10GB tyhjää tilaa.

- TRIM: "Preferred method: daily by cron". En varmaan uskalla laittaa "discard":ia päälle kun en osaa sitten seurata, että tuleeko ongelmia (jos ei sitten näy hirveänä systeemin mateluna).. kerran päivässä ajastettu fstrim hyvä kompromissi?

Red Hat-pohjaisilla distroilla on 'relatime' oletuksena päällä. Lähinnä laiska atime.

Googlasin tällaisen:

Mount options – atime vs relatime

Have you ever asked yourself, what the difference between the mount option atime and relatime is?
In this short blog post, we tell you the main difference of these options and for what you should use relatime.

With the mount option relatime, the access time (atime) will not be written to the disc during every access. The access time (atime) will only change, if one of these two points occurs:

- the modified time (mtime) or change time status (ctime) of a file is newer than the last access time (atime).
- the access time (atime) is older than a defined interval (1 day by default on a RHEL system).

So the relatime mount option is a nice mix between the options atime and noatime and useful for applications, which need the access time (atime) of a file. With the relatime option, there will not be as much traffic on the disk, if a file is often accessed. For example on a webserver is the mount option relatime a good solution, because here are many read actions, but the atime will only updated once a day (with the 24 hours interval setting).

If you use a solid-state disk (SSD) and have no application which needs the access time, you should use the mount option noatime.

Kuulostaisi siltä, että tuo "relatime" olisi hyvä kompromissi JOS joku softa tarvitsee sitä.. tietäisi vain että mitkä tarvitsevat. Mutta hallitseeko se myös "nodiratime":a? Käsitin, että "noatime" = "noatime,nodiratime".

 

[TenderBeef]

Tässä nyt kun ollut mainintaa levyn/osion salaamisesta, niin itsellä myös "jonossa" on ollut sen asian selvittäminen jossain vaiheessa. Mintin asennusvaiheessa voi valita oman /home kansion enkryptausta. Onko tuo sellainen salausvaihtoehto jota kannattaisi käyttää kun tarkoitus olisi estää tietojen lukeminen sieltä /home kansiosta jos kone varastetaan, tai jos joutuu lähettämään levyn takaisin valmistajalle takuuasioissa? Windows-osion tiedot saa paljastua ja muu ei-henkilökohtainen linuxin puolelta.

 

[8540]

@TenderBeef
Btrfs on siitä parempi hulehtimaan että siinä on tarkistussummat. Eli kaikelle kirjoitetulle datalle luodaan tarkistussumma joka tarkistetaan luettaessa. Tästä tulee tämä "bit-rotin" havainnointi. Jos ehjää dataa on muualla, kuten RAID-setupissa niin se sitten haetaan sieltä ja täten "korjataan". Scrub systemaattisesti lukee tarkistaa kaiken datan tarkistussummat ja tämän korjaustoimenpiteen. Muuta etua siitä ei sinulle ole tässä tilanteessa, enkä tällekkään ominaisuudelle edelleenkään näe työpöydällä järkeä. NASsissakaan en ole havainnut scrubin löytäneen ainuttakaan virhettä itse datassa, mitä se nyt on pyörinyt nelisen vuotta. Toki se voi auttaa myös huonon levyn havainnoimisessa hieman aikaisemmin, mitä olen kuullut.
Muutoin ext4 toimii ihan yhtä hyvin. Ext4 on vakaa ja varma, sekä tukee mm. salausta. Kertakaikkiaan juuri passeli järjestelmä työpöydälle. Suosittelen sinulle käyttämään sitä ext4:ää, jos et ole tyytyväinen, vaihda sitten btrfs:ään.

Jos et halua salata sitä partitiota, en usko että hyödyt LVM:stä. LVM:stä voi lukea lisää täältä:
LVM - ArchWiki
LVM on siis "Logical Volume Manager", ja toimii fyysisen osion ja tiedostojärjestelmän välissä. Koska se on looginen, on tietyt asiat helpompia sitä käyttäen kuin käytettäessä suoraan fyysistä osiota. "Normaali"käytössä, se ei tuo etua.
LVM lienee haluaa alustaa sen koska LVM tulee asentaa alustamattomalle osiolle, johon sitten luodaan loogiset containerit jotka alustetaan halutulle tiedostojärjestelmälle. Tämän vuoksi jo alustetun osion tiedostojärjestelmä pitää poistaa, ennenkuin LVM:n voi ottaa käyttöön. Sinällään ihme jos se kuitenkin koko levyn haluaa alustaa? Silloin voi olla bugi siinä installerissa.
Mitä olen setuppiasi ymmärtänyt, ei LVM koske sinua, koska normaalissa, salaamattomassa käytössä ei LVM:lle ole tarvetta. Toki siinäkin tosiaan näkyy olevan tuo snapshot-ominaisuus, mutta kuten sanoin, on rdiff-backup cronjobina paljon yksinkertaisempi ratkaisu tässä tilanteessa kuin snapshotin käyttö. LVM sinällään ei liity siihen miten haluat osioida tai mitä tiedostojärjestelmää käytät, ne on ulkopuolisia seikkoja. Sinun tilanteessasi LVM voidaan lienee nyt unohtaa. Pääasiassa se mihin sitä itse olen ikinä tarvinnut on salaus.

Jos ilmenee tarvetta tuolle lukuajankohdalle, niin ota silloin käyttöön noatime:n sijasta "relatime", minkä tarkoitus ilmeisesti on ehkäistä ongelmia sovelluksien kohdalla jotka vaativat käyttöajankohdan noatime:ä käytettäessä.

Relatime on oletuksena ainakin minulle tullut Archissakin. Itse en sitä sinne ainakaan pistänyt, mutta siellä möllöttää. Relatime siis päivittää käyttöajankohdan vain jos se on vanhempi kuin viimeisin muokkausajankohta.

E:
Noatime on sama kuin noatime + nodiratime. Norelatimesta en tiedä, äkkiseltään olettaisi toimivan samoin.

En ymmärrä miksi tilaa pitäisi jättää vapaaksi, enkä ole kuullut mitään järkevää syytä tehdä niin. Paitsi sen, että jos haluat myöhemmin laajentaa osiotasi käyttämään sitä mutta jos suunnitelma on myöhemmin laajentaa niin miksi ylipäätänsä tehdä aluksi pienempi kuin voi olla?

Ajastettu fstrim on oikein hyvä kompromissi ja sillä voi huoletta mennä siihen asti että kokee vaihtelun tarvetta.

Muistaakseni Mintin asennusvaiheessa olisi myös vaihtoehto salata koko levy, eikä vain /home. Sinun persoonallinen data on /homessa ja sen voi tosiaan halutessaan salata, mutta tällöin siitä tulee automaattisesti erillinen osio joka mountataan bootissa. Koko levyn salauksessa se ei mene erilliseen osioon. /home:een tallentuu esim. selainprofiilit ja täten historiat yms. sekä muidenkin sovellusten configit ja siellä on myös oletus latauskansio ja ylipäätänsä kaikki mitä normikäyttäjä haluaa. Mintissä se on tosiaan checkboxi, joten siihen ei lienee tarvitse ohjeita kirjoitella. Itsellä on kyllä kirjoitettu ylös miten se Archilla menee.
Mutta jos haluat ettei sinun henkilökohtaisia tietoja katsella varkaustilanteessa tai takuutilanteessa, niin salaa /home ja loput voi jättää salaamatta. Joka bootissa se sitten kysyy sinulta sen salasanan millä /home:n salaus puretaan. /home:n ulkopuolella ei ole kuin järjestelmätiedostoja. Ilman salasanaa ei /home:n sisällyksiin pääse. Suosittelen salaamaan.

 

[Barbarossa]

- Jätä vähän tilaa SSD levylle osioimatta? Joku suositteli, että jättää max. 7% tai 10GB tyhjää tilaa.

En ymmärrä miksi tilaa pitäisi jättää vapaaksi, enkä ole kuullut mitään järkevää syytä tehdä niin. Paitsi sen, että jos haluat myöhemmin laajentaa osiotasi käyttämään sitä mutta jos suunnitelma on myöhemmin laajentaa niin miksi ylipäätänsä tehdä aluksi pienempi kuin voi olla?

Tämä liittyy SSD-tekniikan toimintaperiaatteisiin. Tarkalleen ottaen kyseessä on over-provisioning.
Itse olen sitä mieltä että parempi kysymys olisi että onko sillä merkitystä peruskäyttäjälle? En osaa vastata tähän, mutta itselläni ei ole ollut niin suurta SSD:tä tähän tullessa että olisi käynyt mielessäkään jättää tilaa varaamatta pelkästään "varmuuden vuoksi". Voihan sillä olla jonkinlainen vaikutus aseman kirjoitussuorituskykyyn ja/tai pitkäikäisyyteen, mutta kuten joku jo tässäkin ketjussa mainitsi, normaalikäytössä SSD:tä ei saa kirjoittamalla loppuunkulutettua.

Itse olen suorituskyky- ja kestävyysongelmaa osaltani ratkaissut niin että jätän halvimmat kura-SSD:t ostamatta.

Sivuhuomiona mainittakoon että tuo vanhemman läppärin SSD, 120GB OCZ Agility 3, toinen koskaan ostamani SSD levy melkoisen monta vuotta sitten, on nyt kolmannessa tai neljännessä läppärissä käytössä, olisi uusimmassakin mutta kun uusimpaan ei sopinut enää 9mm paksu SSD vaan piti pelkästään fyysisen tilan vuoksi (no ok, on se tallennustilakin ollut jo vähän kortilla) hommata uusi.

Levyn smart-tiedoista löytyy mm. seuraavat:

ID# ATTRIBUTE_NAME          FLAGS    VALUE WORST THRESH FAIL RAW_VALUE
9 Power_On_Hours_and_Msec -O--CK   048   048   000    -    45876h+58m+26.300s
230 Life_Curve_Status       PO--C-   100   100   000    -    100
241 Lifetime_Writes_GiB     -O--CK   000   000   000    -    10602
242 Lifetime_Reads_GiB      -O--CK   000   000   000    -    7084

Ts. asema on ollut päällä reilusti yli viisi vuotta, kirjotettu yhteensä päälle 11 teratavun edestä tavaraa ja life curve edelleen 100%. Gentoo ollut pääasiallisena käyttöjärjestelmänä alusta alkaen.

 

[Jesse58]

Joko manuaalisesti grubia säätämällä tai Grub Customizer in Launchpad.

 

[Asiantuntija]

Haluaisin kokeilla Linuxin käyttöä, ja tulikin asennettua Ubuntu toissapäivänä.

Minulla on koneessa kolme SSD levyä:
240Gb kingston: windows boot.
500Gb Samsung: steam library ym.
480Gb Ocz trion 150: jolle asensin Linuxin.

Kone boottaa automaattisesti windowssille tai linuxille, riippuen kumman valitsen biosista primary boot levyksi, mutta en käsitä miten saan tämän setin dualboottiin?
Joskus muinoin vanhassa koneessa oli ubuntu ja windows 7, tosin silloin oli vain yksi HDD kiinni, ja joka käynnistyksen yhteydessä kysyi boottaanko windows 7 vai ubuntu. Nyt en kyllä keksi kuinka tämä toimii, niin kysynpä täältä

sudo update-grub komennon pitäisi etsiä myös windows grubin valikkoon, sitten valitset vain sen linuxlevyn boottilevyksi biossista.

 

[Pertti Kosunen]

- Jätä vähän tilaa SSD levylle osioimatta? Joku suositteli, että jättää max. 7% tai 10GB tyhjää tilaa.

Tuo antaa garbage collectionille enemmän työskentelytilaa ja ehkäisee datan pirstaloitumista wear levelingin vuoksi, kun levy on lähes täynnä. Levyissä on nykyään enemmän tuota ylimääräistä tilaa valmiina sisäisesti joten tuo over provisioning ei ole enää niin hyödyttävää.

Samsung SSD 850 Pro (128GB, 256GB & 1TB) Review: Enter the 3D Era

OP auttaa merkittävästi lähinnä kovemmassa serverikäytössä jatkuvan rasituksen alaisena, esim. 32 queue depth random write suorituskyky voi hyötyä melko paljonkin. Normaalissa työpöytäkäytössä noin isoa pitkään jatkuvaa kirjoituskuormaa ei levyille kohdistu.

Jotkin harvat MLC/TLC levyt toimivat SLC tilassa, kun levystä on käytössä esim. alle 50% tai 25% jolloin ne ovat huomattavasti nopeampia.

- TRIM: "Preferred method: daily by cron". En varmaan uskalla laittaa "discard":ia päälle kun en osaa sitten seurata, että tuleeko ongelmia (jos ei sitten näy hirveänä systeemin mateluna).. kerran päivässä ajastettu fstrim hyvä kompromissi?

Minä olen käyttänyt trimmiä kaikissa omissa asennuksissa ainakin OCZ Vertex 1 ajoista alkaen aina ext3/ext4 tiedostojärjestelmien kanssa eikä ole vielä tullut vastaan yhtäkään ongelmaa, se on käytössä myös Windowssissa automaattisesti.

3.12 kernelistä alkaen käytössä on queued trim joka ei vaikuta kirjoitusten suorituskykyyn.

( Paitsi libata-core.c tiedostossa "/* devices that don't properly handle queued TRIM commands */" rivin alapuolella listatuilla asemilla. )

 

[Asiantuntija]

Se ei löydä kuin memtestin? Koitin asentaa grub-customizerin ja käsin laittaa sen, mutta ei löydä?

Löysin ohjeet, kuinka lisätään levy grubiin, mutta ilmoittaa ettei tue "ntfs" muotoisia tiedostojärjestelmiä?

GRUB does not detect Windows
Taitaa vaatia tuon os-prober komennon ja windows levyn mounttaamisen, että tuo update-grub toimii. Onko secure boot pois päältä? Varoituksena sen kanssa leikkimällä voi joutua asentamaan windowsin uudestaan.

 

[TenderBeef]

Muistaakseni Mintin asennusvaiheessa olisi myös vaihtoehto salata koko levy, eikä vain /home.

Ei oikein onnistu windows dual bootin kanssa. Tosin ei tarvetta koko levyn salaamiseen jos pystyy vain tietyn kansion salaamaan turvallisesti.

Sinun persoonallinen data on /homessa ja sen voi tosiaan halutessaan salata, mutta tällöin siitä tulee automaattisesti erillinen osio joka mountataan bootissa. Koko levyn salauksessa se ei mene erilliseen osioon.

Hmm.. ei kyllä näin tapahtunut, installeri ei tehnyt eri osiota /home:lle. Tässä asennuksen vaiheesta kuva:

Tuosta kun täppää tuon encryptin päälle niin pelkkä kansio ilman omaa osiota (tarkistin Gpartedilla, ei kuvaa siitä tässä) _näyttäisi_ olevan salattu, kuva otettu Mintin live-cd:tä käytettäessä:



Miltä tuo oma rävellys asian tutkimiseksi näyttää muille? Onko varmasti salattu nyt niin, että millä tahansa työkalulla jos tuota levyä ronkkisi niin mitään ei omasta /home:sta paljastuisi? Muuta kuin tiedostojen/kansioiden määrä ja about koko?

Joka bootissa se sitten kysyy sinulta sen salasanan millä /home:n salaus puretaan.

Näin ei tapahdu ilmeisesti kun ei sitä erillistä osiota tullut. Pelkkä salasana Mintin sisäänkirjautumisessa riittää. Paljon parempi vaihtoehto minulle.

Tämän lisäksi vihamielinen käyttäjä tai virhellisesti toimiva ohjelma ei saa konetta nurin täyttämällä kotihakemiston kautta koko levyä roskalla.

Mikä tuollaisen todennäköisyys on? Ihan hyvä pointti kyllä ja mietinnän arvoinen josko ainakin erillinen /home olisi hyvä laittaa. Onko tuollainen tilanne jossa levy on tullut täyteen helppo fixata jotta saisi käyttiksen pelittämään taas?

Nykyään kovaa valuuttaa on myös borg, joka tukee mm. deduplikointia, salausta, pakkausta ja vaikka mitä.

Kiitoksia vinkeistä! Itsellä on ollut tarkoitus ainakin tutkia ZPAQ-ohjelmaa jossa myös dedup, salaus, pakkaus, versiointi, jne.

3.12 kernelistä alkaen käytössä on queued trim joka ei vaikuta kirjoitusten suorituskykyyn.

( Paitsi libata-core.c tiedostossa "/* devices that don't properly handle queued TRIM commands */" rivin alapuolella listatuilla asemilla. )

Kiitoksia! Tuolta ei löytynyt omaa Crucial MX300:sta joten ilmeisesti "discardia" voisi kokeilla. Tosin googlatessa sattui silmään muutamia MX300:n omistajia joilla ongelmia levyn kanssa ja olivat vaihtaneet toisen valmistajan tuotteeseen jolla ongelmat hävisivät. Arvelivat, että johtuisi emolevyn ja SSD:n yhteiselosta.

------------------

Kokeilin Gpartedilla (live-cd:n kautta, koska EXT4 ei salli osion pienentämistä online-tilassa.. Btrfs sallisi senkin) useamman kerran muuttaa mintin ja windowsin osioiden kokoja ja myös siirrellä vasemmalle tai oikealle. Siirtäminen aiheuttaa seuraavanlaisen varoituksen:

Windows kyllä käynnistyi joka kerta, tosin action centeriin tuli aina punaisella ruksilla ilmoitus skannata levy, joka ei mitään ikinä raportoinut. Tiedä mitä sitten tuossa varoitellaan windowsin system osion siirtämisestä, että "most likely" boottaus tulee feilaamaan.

Mint myös lähti käyntiin aina, tosin muutaman kerran bootti pysähtyi heti alkuunsa ja näytti vain mustaa ruutua eikä mitään tapahtunut pitkään aikaan vaikka odotti. Jonkun näppäimen painallus ikkunassa (taisin näpytellä muutamia näppäimiä nopeasti peräkkäin, myös ehkä välilyöntiä ja enteriä) niin alkoi levytapahtumien indikaattori välkkyä ja käyttis latautui. Vähän jäi sellainen kuva, että pysähtyiköhän bootti kysyäkseen jotain mutta mitään ei näyttänyt ruudulla koska oletuksenahan ne kaikki bootin "latauslitanjat" on piilotettu käyttäjältä. Hieman epävarma olo tuosta nyt jää.

Olisiko EFI:llä ja sen omalla osiolla jotain tekemistä asian kanssa ettei ongelmia ainakaan isommin tullut eteen?


Lisäksi, en tiedä mistä johtuu, mintti antaa (ei ihan ensimmäisissä) restart-vaiheissa tällaista ongelmatiikkaa:

Tuo GNOME Keyring näyttäisi vastaavan käyttäjätunnareista ja salasanoista joten vähän huolestuttavalta tuo vaikuttaa. Ilmeisesti on ollut ainakin jo mintin 18.2:sta asti tätä vaivaa Cinnamonissa (jotkut sanoo ettei esim. MATEssa ole). Eikä tunnu olevan mitään viisastenkiveä, että miten pitäisi fiksata.. ainakaan täällä: shutdown: gnome-keyring-daemon still running - Linux Mint Forums

 

[Barbarossa]

Miltä tuo oma rävellys asian tutkimiseksi näyttää muille? Onko varmasti salattu nyt niin, että millä tahansa työkalulla jos tuota levyä ronkkisi niin mitään ei omasta /home:sta paljastuisi? Muuta kuin tiedostojen/kansioiden määrä ja about koko?

Kotihakemiston salaus on toteutettu eCryptfs:llä joka ei tarvitse sille omistettua osiota, vaan toimii olemassaolevan tiedostojärjestelmän päällä. Muodostaa siis eräänlaisen "virtuaalisen" salatun osion.

Mikä tuollaisen todennäköisyys on? Ihan hyvä pointti kyllä ja mietinnän arvoinen josko ainakin erillinen /home olisi hyvä laittaa. Onko tuollainen tilanne jossa levy on tullut täyteen helppo fixata jotta saisi käyttiksen pelittämään taas?

Jos et ajatellut päästää muita käyttäjiä omilla tunnuksillaan koneellesi etkä tee omaa koodia tai scriptausta taikka ajele epämääräisiä pökäleitä paketinhallinnan ohi niin varsin pieni. Lisäksi, ext4:ssä on oletuksen tietty osa vapaasta tilasta varattu pääkäyttäjälle, ellei distron asennus sooloile omiaan. Pienentää todennäköisyyttä että koko järjestelmä korahtaa jos käyttäjä sössii.

Ja aina voi bootata USBilta liven ja käydä sitä kautta korjaamassa tilanne.

Lisäksi joskus myös /usr on myös erillisellä osiolla ja se mountataan vain luku -tilassa, jottei järjestelmän ohjelmia päästäisi muokkaamaan. Kun ohjelmia halutaan asentaa/päivittää, niin se remountataan siksi aikaa kirjoitustilaan.

Tämän tarkoitus ei oikein aukene. Yleensä /usrin omistaja on root ja kirjoitusoikeudet koko hakemistolle pelkästään rootilla. Mitä lisäarvoa read only mounttaus tässä antaa jos kirjoituksen mahdollistamiseksi riittää pelkkä remount roottina? Jos mahdollinen vihamielinen taho pääsee rootin oikeuksilla mellastamaan niin se oli sitten siinä oli /usr read only mountattu tai ei.

Jos varman päälle pelataan niin bootloader olisi allekirjoitettu ja firmware varmistaisi allekirjoituksen ennen bootloaderin latausta. Myös kernel olisi allekirjoitettu ja bootloader puolestaan varmistaisi sen ennen boottaamista. Lopuksi järjstelmän kriittiset levyosiot hashattu, allekirjoitettu ja mountattu dm-verityn kautta. Nyt jos vielä /usr, /lib ja muutama muu paikka olisi pelkkä squashfs image ja päivitysprosessiin sisältyisi uusien squasfsien luominen ja allekirjoittaminen....

 

[8540]

@TenderBeef
Kuten Barbarossa sanoikin niin tosiaan näkyy olevan tehdyn ecryptfs:llä eikä dm-cryptillä toisin kuin aikaisemmin oletin. Dm-cryptillä joutuisi tekemään erillisen /home:n, ecryptfs:llä ei. Dm-crypt on lohkotason salaus, ecryptfs on tiedostojärjestelmätason salaus. Dm-cryptillä kysytään salasana erikseen bootissa ennenkuin levyjä mountataan niiden asemiin ja ecryptfs:llä se on linkattu sisäänkirjautumiseen. Tosin edelleen ihmetyttää että Mint haluaa alustaa koko levyn salatakseen, kun tosiasiassa ainoastaan osio tarvitsee alustaa. Ihme hommaa.
Kyllä se turvallinen on, vaikka mikäänhän ei ole pomminvarmaa. Ei sitä noin vain pureta, ja avoimeen lähdekoodiin on muutenkin hankala mitään takaovia tunkea jos sitä mietit. Toki vaatii vahvan salasanan, mikään salausalgoritmi tai tapa kun ei korjaa huonoa salasanaa, vaikka myös ecryptfs tukee suolausta.

Parted tykkää varoitella jos on vaaraa että jotakin tapahtuu. Tuo varoitus kertoo että on tuollainen vaara ja jos ei ole niin justiinsa niin voit mennä eteenpäin parasta toivoen. Osioiden siirtely jälkikäteen kun on aina hieman riskialtista puuhaa, eikä kyllä normikäytön piiriin kuulu.
F11 pitäisi näyttää mitä on meneillään bootissa tahi sammutuksessa.

Gnome keyring on tosiaan oletuspaikka mihin salasanat, sertifikaatit sun muut tallenetaan. Chromiumkin tuota käyttää kirjautumistietojen säilytyspaikkana (tosin sen entry ei ole sidottu muistaakseni sisäänkirjautumiseen).
En usko että tuo nyt Cinnamoniin liittyy, kun sitä itsekkin tässä käytän enkä ole vuosien varrella moista ongelmaa havainnut. Lähipiirissä on myös koneita Mintin eri versioin enkä ole kuullut vastaavasta ongelmasta.
Viisaammat saa kertoa miten tuota ongelmaa kannattaisi lähestyä.

 

[Pertti Kosunen]

Kiitoksia! Tuolta ei löytynyt omaa Crucial MX300:sta joten ilmeisesti "discardia" voisi kokeilla. Tosin googlatessa sattui silmään muutamia MX300:n omistajia joilla ongelmia levyn kanssa ja olivat vaihtaneet toisen valmistajan tuotteeseen jolla ongelmat hävisivät. Arvelivat, että johtuisi emolevyn ja SSD:n yhteiselosta.

Minulla on yksi 525GB MX300 käytössä ja se on toiminut moitteetta Gentoossa trim päällä ext4 tiedostojärjestelmän kanssa.

Nykyään lähes kaikilla levyillä voi tulla yhteensopivuusongelmia joissakin kokoonpanoissa, yleistä on mm. ettei levy ehdi tunnistua käynnistyksessä UEFI tilassa, mutta legacy BIOS tilassa toimii ja jopa niin, että sama levy toimii toisessa identtisessä koneessa ongelmitta. Noihin tulee usein korjaus BIOS-päivityksessä, mutta niiden julkaisussa voi kestää pitkään.

Tämän tarkoitus ei oikein aukene. Yleensä /usrin omistaja on root ja kirjoitusoikeudet koko hakemistolle pelkästään rootilla. Mitä lisäarvoa read only mounttaus tässä antaa jos kirjoituksen mahdollistamiseksi riittää pelkkä remount roottina? Jos mahdollinen vihamielinen taho pääsee rootin oikeuksilla mellastamaan niin se oli sitten siinä oli /usr read only mountattu tai ei.

Olikohan niin, että systemd tiputti tuen pois erilliseltä /usr osiolta, kun jotkin ohjelmat tarvitsevat käynnistyksessä tavaraa /usr/lib* alta? Aika harvoissa tapauksissa tuolle on käyttöä enää nykypäivänä.

 

[TheMeII]

Tää laajenee niin paljon että tää xkcd alkaa vaikuttaa kohta todennäköiseltä.
xkcd: Cautionary

 

[TenderBeef]

Kotihakemiston salaus on toteutettu eCryptfs:llä joka ei tarvitse sille omistettua osiota, vaan toimii olemassaolevan tiedostojärjestelmän päällä. Muodostaa siis eräänlaisen "virtuaalisen" salatun osion.

Tuolla linkin takana oli heikkouslistassa tämä:

File names longer than 143 characters cannot be encrypted (with the FNEK option).[1] This can break some programs in your home directory (for example Symfony caching).

Eli tiedostonimet pitää olla yli 100 merkkiä lyhyempiä kuin normaalisti. Testasin tuon juuri itse ja pitää paikkansa. Ei hjyva.

Taitaa tuolla pelkän /home:n salauksella olla muutakin problematiikkaa; vaikuttaa selvästi enemmän suorituskykyyn kuin koko levyn salaus, ja swap ja esim. /tmp /var/tmp jäävät salaamatta.

Sitten taas koko levyn salaus tuntuu olevan rakettitiedettä jos haluaa sen dual boottiin. Ja koko levyn/osion salauksessa on näköjään monta eri vaihtoehtoa joissa eri plussat ja miinukset. Lisäksi ilmeisesti on joissain vaihtoehdoissa jotain problematiikkaa SSD trim/discardin kanssa. Rabbit hole here I come, tuo aikaisempi linkattu xkcd-strippi on kyllä pelottava. Pitää jotain kokeilla virtualboxissa jos saisi pelittämään..

Tässä oli joku vuosia vanha ohje jolla saisi toimimaan, MUTTA joka ikinen salattu osio pitäisi avata salasanalla joka bootissa. Kommenteissa löytyy joku ohje jolla saa järjestelmän jossa kysytään vain yhtä salasanaa, jos oikein ymmärsin niin tuo olisi kait (aikaisemmasta "eri vaihtoehtoja" linkistä bongattu termi) "LVM on LUKS"-tyyppinen järjestelmä.

Tosin edelleen ihmetyttää että Mint haluaa alustaa koko levyn salatakseen, kun tosiasiassa ainoastaan osio tarvitsee alustaa. Ihme hommaa.

Tuota eCryptfs:ää kun googlailin niin joku kommentoi tiedostonimipituus-bugitiketissä muutama kuukausi sitten näin:

And last time I heard, full disk encryption poses problems when Windows is installed on the same disk

Jos et ajatellut päästää muita käyttäjiä omilla tunnuksillaan koneellesi etkä tee omaa koodia tai scriptausta taikka ajele epämääräisiä pökäleitä paketinhallinnan ohi niin varsin pieni. Lisäksi, ext4:ssä on oletuksen tietty osa vapaasta tilasta varattu pääkäyttäjälle, ellei distron asennus sooloile omiaan. Pienentää todennäköisyyttä että koko järjestelmä korahtaa jos käyttäjä sössii.

Ja aina voi bootata USBilta liven ja käydä sitä kautta korjaamassa tilanne.

Koodausta ja skriptausta tulee kyllä tehtyä aivan varmasti (kuten allekirjoituksestani voi todeta), joitain windows batchejäni on pakko portata linuxin puolelle. Mutta jos live-cd:n kautta voi setviä niin eipä tuo sitten isolta ongelmalta vaikuta.

Osioiden siirtely jälkikäteen kun on aina hieman riskialtista puuhaa, eikä kyllä normikäytön piiriin kuulu.

Näinhän se taitaa olla mutta melkein pakollinen paha rajoitetun levytilan kanssa dual bootissa jossa ei halua varata windows-osiolle turhaa tilaa suurimmaksi ajaksi. Pelailen yleensä vain 3rd person point&click-seikkailupelejä, mutta joskus tulee "arcade-meiningillä" pelailtua jotain FPS:ää. Seikkailupelit, poislukien Telltalen jotkut sarjat, eivät kauheasti vie tilaa ja ajattelin, että laitan windowsille 30-50 gigaa tilaa, mutta jotkut FPS:t ovat järkyttäviä mammutteja ja eivät tuohon tilaan mahdu (josta menee about 10 gigaa jo windowsille). Tarkoitus oli, että jos osioiden säätäminen onnistuu jälkikäteen, niin voi erityistapauksessa suurentaa windowsin osiota. Tämä tosin aiheuttaa sen, että linuxin osiota joutuu pienentämään JA mikä riskialtteinta, samalla sen osion siirtämistä yhteen suuntaan.

EDIT: Jos ymmärsin oikein, levyn/osioiden salaus saattaa estää kokonaan tuollaisen siirtelyn.

F11 pitäisi näyttää mitä on meneillään bootissa tahi sammutuksessa.

Kiitos vinkistä. Tämä olikin mielenkiintoista mitä paljastui. Mustaan jumittuneeseen ruutuun kun painaa kerran F11 tulee tällainen esiin:

Ja F11 uudestaan painamalla:

Joka bootissa tätä ei kuitenkaan tapahdu ja en saa kiinni missä eksaktissa tilanteessa tuo tulisi.

Onko swap osio kryptattu oletus Mint-asennuksessa jossa vain /home on laitettu salatuksi? Vai mitä tuo meinaa? Enterillä menee eteenpäin kuitenkin.


Tiedä sitten onko taas kyse virtualboxin omituisuuksista. Kun välillä tulee vieläkin bootatessa jotain outoa EFI cdrom boot failurea (ei mitään levykuvaa levyasemassa) ja boottaa suoraan windowsiin ilman GRUBia (windowsissa kun laittaa restarttia niin sitten tuleekin seuraavassa bootissa GRUB). Onneton vähän testailla näitä dual boot-juttuja jos virtualbox aiheuttaa jotain ongelmia.


Taidan pitää nyt päivän parin tauon näistä jutuista.

 

[Barbarossa]

Koodausta ja skriptausta tulee kyllä tehtyä aivan varmasti (kuten allekirjoituksestani voi todeta), joitain windows batchejäni on pakko portata linuxin puolelle. Mutta jos live-cd:n kautta voi setviä niin eipä tuo sitten isolta ongelmalta vaikuta.

Ei se kyllä peruskäytössä ole. Ehkä jos roottina sössii jotenkin kaiken levytilan voi saada järjestelmän sellaiseen tilaan että pitää liven kautta käydä tekemässä korjausliikkeitä, mutta normaalisti käyttäjänä hommaillessa mitään isompaa hämminkiä ei yleensä pääse syntymään.

Pahimmillaan olen tilan loputtua joutunut vaan keskeyttämään hetkeksi sen mitä olin tekemässä ja mikä sen tilan loppumisen aiheutti ja tekemään lisää tilaa, kertaakaan ei ole tarvinnut turvautua liveen levytilan täyttymisen takia.

Kernelin tai bootloaderin kanssa värkätessä taas toisinaan sattuu vahinkoja...

(E: liikaa typoja ja ajatuskatkoksia )

 

[TheMeII]

Kernelin tai bootloaderin kanssa värkätessä taas toisinaan sattuu vahinkoja...

Vinkki, väsyneenä ei myöskään kannata dd:llä leikkiä. if ja of asemillehan on Aivan sama kummin päin ne on.

 

[apoiuyt]

Itsellä 11 vuotta sitten meni parit yöunet Grub-ongelmien kanssa, en enää muista mitä sössin mut dualbootin jollain triviaalilla tavalla kuitenkin sain solmuun. Nykyään kun en pelaa, en tarvitse dualbootia vaan virtualisoin Windowsin että saa vaimon aktiivirannekkeen synkattua.

Jossain vaiheessa viime vuosikymmenellä Archin ja Slackwaren kanssa meinasi mennä xkcd-stripin mukaisesti. Onneksi en sentään kokeillut kovia kamoja Gentoota ja Linux from Scratchia.

Ai niin, nykyään on Ubuntut koneissa lähes oletusasetuksilla

 

[TenderBeef]

Itse käytän aina LUKS/dm-crypt menetelmää. LUKS on siitä näppärä, että se sisältää useamman "slotin" avaimille, eli sille voi määrittää useamman eri salasanan ja avaintiedoston.

Mulla menee kyllä ihan ohi jo tämäntasoinen keskustelu. Mikä skenaario sulla siis on käytössä tuon aikaisemman linkkaamani sivun mukaan? "LUKS on LVM"?

En tiedä mitä skenaarioita aiemmin linkkaamani ohje tekee, mutta kommenteissa joku opastaa ilmeisesti "LVM on LUKS" tyyppistä skenaariota, joka olisi ilmeisesti helpoin kun hibernatea pitäisi käyttää. Rupesi jo vähän huimaamaan kun luin noita archin wikiohjeita. Ihme ettei asennusvelhoon ole saatu helppoa metodia noobeille asentaa salattu linux dual boottiin windowsin kanssa. Voisi vetää uusia käyttäjiä linux puolelle.

EDIT: niin, _piti_ pitää pieni tauko.

 

[otsir]

Mulla menee kyllä ihan ohi jo tämäntasoinen keskustelu. Mikä skenaario sulla siis on käytössä tuon aikaisemman linkkaamani sivun mukaan? "LUKS on LVM"?

En tiedä mitä skenaarioita aiemmin linkkaamani ohje tekee, mutta kommenteissa joku opastaa ilmeisesti "LVM on LUKS" tyyppistä skenaariota, joka olisi ilmeisesti helpoin kun hibernatea pitäisi käyttää. Rupesi jo vähän huimaamaan kun luin noita archin wikiohjeita. Ihme ettei asennusvelhoon ole saatu helppoa metodia noobeille asentaa salattu linux dual boottiin windowsin kanssa. Voisi vetää uusia käyttäjiä linux puolelle.

EDIT: niin, _piti_ pitää pieni tauko.

arch ei muutenkaan ole kohdistettu aloittelevalle/peruskäyttäjälle vaan niille jotka haluavat kasata järjestelmänsä itse

 

[TenderBeef]

arch ei muutenkaan ole kohdistettu aloittelevalle/peruskäyttäjälle vaan niille jotka haluavat kasata järjestelmänsä itse

Joo ei varmaankaan, tuolla vain oli hyviä ohjeita ja selityksiä. Mint kun ei valitettavasti anna asennusvelhossa tehdä dual boot setuppia jossa linux olisi salattu, pakko se on etsiä ohjeita silloin jostain.

 

[Monologi]

Miten saa Rasbianissa ssh:n päälle tekstitiedostoa muuttaen?
Siis jos ei ole näyttöä, näppäimistöä ja hiirtä Raspberry Pi:lle niin pakko olla tuo etäohjaus ssh päällä.

 

[Barbarossa]

Miten saa Rasbianissa ssh:n päälle tekstitiedostoa muuttaen?
Siis jos ei ole näyttöä, näppäimistöä ja hiirtä Raspberry Pi:lle niin pakko olla tuo etäohjaus ssh päällä.

Kohta 3:
SSH (Secure Shell) - Raspberry Pi Documentation

 

[Monologi]

Kohta 3:
SSH (Secure Shell) - Raspberry Pi Documentation

Doh..miten yksinkertainen toimenpide ja olin tuosta aikaisemminkin lukenut, mutta tuntui vaan ajatukselta niin liian häröltä tyhjä tiedosto vaan muistikortille jonka nimi ssh

 

[Monologi]

Onko tuohon mitään kikkaa, jos ei tiedä ssh:lle käyttäjätunnusta ja salasanaa?

 

[otsir]

oletuksena on käyttäjätunnus pi ja salasana raspberry, oletko muuttanut niitä?

 

[Asiantuntija]

Onko tuohon mitään kikkaa, jos ei tiedä ssh:lle käyttäjätunnusta ja salasanaa?

Google. "Default login (distron nimi)"

 

[Monologi]

oletuksena on käyttäjätunnus pi ja salasana raspberry, oletko muuttanut niitä?

En toki. Mietin vain skenaariota, kun eri distroille voi olla eri käyttäjätunnarit ja salasanat, että pystyykö noita jollain helpolla kikkakolmosella muuttaa.
Käytän MobaXtermiä niin se osaa muistaa entiset salasanat, mutta käyttäjätunnus täytyy laittaa kuitenkin vielä oikein.

 

[8540]

@TenderBeef
Swap kuuluisi olla Mintissä salattu aina, välittämättä siitä mitä valintoja käytät. /tmp, /var yms. on normaalisti salaamattomia. Joudut itse ne salaamaan jälkikäteen jos haluat salata.

Koko levyn salaus ja dual boottaaminen ei ole sen hankalempaa kuin salaamaton levy ja dual boottaaminen. Vaihtoehtoja toki on paljon, pätee moneen asiaan Linux-maailmassa. Itsellä on käytössä LVM on LUKS -versio, jonka uskon olevan myös yleisin valinta. Ei sen discardin kanssa niinkään problematiikkaa ole (toiminnallisesti), mutta se ei ole käytössä oletuksena ja sen käyttöönotto vaatii lisäaskeleen. Se "problematiikka" mitä siinä vain on tulee siitä että se muuttaa salauksen turvallisuutta:

The device-mapper maintainers have made it clear that TRIM support will never be enabled by default on dm-crypt devices because of the potential security implications.[3][4] Minimal data leakage in the form of freed block information, perhaps sufficient to determine the filesystem in use, may occur on devices with TRIM enabled. An illustration and discussion of the issues arising from activating TRIM is available in the blog of a cryptsetup developer. If you are worried about such factors, keep also in mind that threats may add up: for example, if your device is still encrypted with the previous (cryptsetup <1.6.0) default cipher --cipher aes-cbc-essiv, more information leakage may occur from trimmed sector observation than with the current default.

Vaikka sinulla olisi miljoona salattua osiota, saa kaiken aukeamaan automaattisesti, yhdellä salasanalla tai niin monella eri salasanalla kuin haluat. Erilliset salatut osiot (kuten itselläni /home) puretaan crypttabilla, jonka OS lukee sen jälkeen kun levy jossa järjestelmä on, on aukaistu. Crypttab luetaan ennen fstabia, jolloin crypttabilla voidaan purkaa levyt jotka liitetään automaattisesti fstabilla. Se miten tämä automaattinen purku onnistuu, on käyttäen avaintiedostoa. Eli jokaisen salatun osion salasana sijaitsee tiedostossa jossa ei ole muuta tekstiä kuin salasana, eikä uutta riviä lisättynä loppuun, jonka vuoksi salasanan kirjoitus tiedostoon kannattaa tehdä käyttäen echo:a eikä tekstieditoria. Tämä avaintiedosto tehdään luettavaksi vain rootille (chmod 400 ja chown root:root). En ole itse kokeillut mutta muistaakseni avaintiedoston saa bootloaderiinkin jolloin se aukaisee itse päälevyn, joka voi sisältää toki salasanoja muillekkin levyille automaattiseen purkuun. Tällöin toki tämä salasana on selkokielisenä luettavissa levyltä. Tässä setupissa kuitenkaan ei tarvitse ainuttakaan salasanaa kirjoittaa levyn aukaisemiseksi, toisaalta sama koskee myös muita jotka tietokoneeseesi käsiksi pääsee. Itsellä on siten että avaan ensimmäisen levyn manuaalisesti bootissa ja sen sisältä löytyy sitten keyfile jota käyttäen crypttab aukaisee /home:n osion automaattisesti toiselta levyltä ja fstab liittää sen. Normisetuppi on se että jokainen liitettävä osio kysyy salasanan vuorollaan bootin aikana. Tämä ei liity siihen mikä konfiguraatio sinulla on käytössä.

Ainakin joissain konfiguraatioissa osioden muuttelu jälkikäteen ei ole mahdollista salatulla osiolla, mutta joissain se pitäisi onnistua, joskin on hankalempaa. En ole tosin itse tätä kokeillut, mutta tällainen käsitys itselläni on.

Tuo toisen kuvan skenaario on se miten Mint kysyy salatun osion salasanaa bootissa. Siinä on tuommoinen hienompi boxi missä se sitä kysyy kun itselläni on vaatimaton komentolinjaversio.
En tiedä mikä menee pieleen että se tuota swapin salasanaa kysyy. En ole itse moiseen törmännyt eläessäni, voi johtua Virtualboxistakin. Swapinkin salaukseen on useampi lähestymistapa ja ongelmanratkaisu riippuu käytetystä tavasta. Mutta jos se ei systemaattisesti tule joka bootissa, uskon sen johtuvan virtualisoinnista.
Ja kuten sanoin, Mint on ilmoittanut että he salaavat Swapin AINA, oli sinulla salaamaton asennus, /home salattu tai koko levy salattu. Tuossa tilanteessa se siis haluaa swappiin liittyvän salasanan sinulta. Jotain toki kertoo se että se menee enterillä eteenpäin ilman salasanaa.

Todella vahvasti tulee sellainen kuva että se virtualbox sotkee tähän liittyviä asioita, koska oireet ovat satunnaisia ja ainakin itse kuulen tälläisistä ensimmäistä kertaa.

Sen järjestelmänhän voisi toki asentaakkin koneelle, niin saisi kenties realistisemman kuvan siitä miten se toimii, nyt kun virtualboxissa on harjoiteltu jo varsin pitkään.
Voihan se aluksi toki useamman asennuksen ottaa että saat järjestelmän sellaiseksi kuin haluat, varsinkin jos haluat jotain erikoisempaa kokoonpanoa, jota ei oletuksena "tueta".

 

[TenderBeef]

Kiitoksia taas vastauksista.

Sen järjestelmänhän voisi toki asentaakkin koneelle, niin saisi kenties realistisemman kuvan siitä miten se toimii, nyt kun virtualboxissa on harjoiteltu jo varsin pitkään.

Mutta kun ongelma on vielä, että miten se linux-puoli salattuna+dual boot oikeasti saa konffattua, suoraan asennusvelholla kun sitä ei saa. Vaatii käsin puukottamista niin paljon, että (vielä) minulla ei sellaista osaamista ole. Turha mennä räveltämään live-systeemin kanssa.

Kokeilen nyt ehkä jo viikonloppuna virtualboxiin saada tuollaisen aikaiseksi googlettamalla ja säveltämällä itse, esim. kokeilen sen aiemmin linkkaamani artikkelin ja sen kommentoinnissa annettuja ohjeita. Ongelma vain tuollaisten käyttämisellä on, että onko ne ohjeet päteviä ja kattavia (onko kaikki tarvittavat vaiheet), varsinkin ne terminaalin puukotuskomennot? Voiko niihin luottaa? Varsinkin kun on jotain salaus-systeemiä laittamassa. Se tässä on ongelma. Varmaan "Stallman-partamiehille" LVMmät, LUKSIT, Crypttabit, fstabit, ja ynnä muut ovat tuttua huttua ja oikeat komennot tulevat nukkuessakin, minulla kun taas ei ole yhtään kokemusta, vasta oppinut vain ihan perusteita ja en ymmärrä vielä rakenteita ja konsepteja miten kaikki nivoutuu yhteen järjestelmässä. Pystyttekö kuvittelemaan itsenne näppäilemään kymmeniä erillisiä käskyjä joista ette tajua 90% yhtään mitään? Kovasti olen yrittänyt lukea näistä kaikista mitä täällä on kirjoitettu ja jotain kyllä olen oppinut mutta sellainen kokonaisuuden ymmärtäminen systeemistä on jäänyt vajaaksi.. tulossa vanhaksi kun ei enää opi samalla lailla asioita kuin aiemmin?

EDIT: Sen verran on (kait) ymmärrystä, että jos "LVM on LUKS" tyyppistä konfiguraatiota lähtisin hakemaan, niin ensiksi, windowsin asennuksen jälkeen, tehtäisiin salattu osio, sen päälle/sisälle rakennetaan LVM:llä "loogiset osiot" rootille ja swapille (erillistä homea en varmaan aio tehdä), ne pitäisi sitten jotenkin varmaan "aktivoida" ja kertoa linuxille että tällaisia olisi olemassa, ole hyvä ja mounttaa nämä ja käytä tätä salausavainta. Lisäksi sitten pitäisi tehdä salaamaton boot osio, ja ilmeisesti efille myös joku (/boot/efi?, vai meneekö sinne windowsin tekemälle osiolle), ja sen jälkeen jos oikein olen käsittänyt, voisin asennusvelhon kautta tehdä mukautetun asennuksen jossa säädän vaan mount pointit kohdalleen. Helppoa.. öö.. EDIT2: niin ja kait jos hibernatea aikoo käyttää tämmöisen salaus-systeemin kanssa, niin sille pitää tehdä jotain säätöä.. GRUBiin? Ei näillä eväillä voi live-systeemiasennusta lähteä tekemään, ei ole ihan hallussa homma käsitetasolla, ja kaikki manuaalinen säätämistietoa puuttuu kokonaan.

Jos en saa toimimaan itse, niin varmaan ehkä olisi hyvä kysäistä mintin foorumilta?

 

[greenlight]

Distro on valittava tarkoituksen ja oman osaamistason mukaan. Esimerkiksi Ubuntu tukee kryptausta suoraan asennusvelhosta ja konffaa kaiken valmiiksi. Kai se nyt tänä päivänä osaa jo uefi-bootinkin. Ainoastaan /boot-osion tulee olla salaamaton, jotta kernel saadaan ladattua. Ja kun käyttää btrfs:ää ja sen subvolumeja – tai heittää kaiken yhdelle ext/xfs/tms. osiolle – niin crypttabiinkaan ei tarvitse koskea. (Swapin kryptaamiseen Arch Linuxissa oli valmis konffirivi crypttabissa, joten riitti ottaa se käyttöön ja vaihtaa osiotunnus oikeaksi.)

Henkilökohtaisesti en ymmärrä, miksi kaikki nyypät aina lähtevät Mintin kyytiin, kun kaikki lukemani saa sen kuulostamaan huonolta niin vasta-alkajille kuin kokeneillekin käyttäjille.

Eikä homman tekeminen manuaalisesti ole vaikeaa. Välivaiheiden määrä ehkä tuplaantuu tavallisesta asennuksesta, joten olisi hyvä, jos ymmärtäisi ensin kryptaamattoman asennusprosessin ja lähtee vasta sen jälkeen näppäilemään salausten kanssa.

Omalla kohdallani homman teki vaikeaksi se, että yritin yhdellä kertaa viritellä btrfs:ää, kryptausta ja uefi-boottia Arch Linuxille ja jokainen näistä asioista oli dokumentoitu erilliseen wikiartikkeliin, joten oli vaikea pysyä kärryllä toimenpiteiden täsmällisestä järjestyksestä. Mutta jos on epävarmempi siitä, mitä on tekemässä, niin on fiksua koostaa yhtenäinen ohje vaikka omin käsin.

Sulla on hommassa niin paljon auki ihan perusjutuissa, ettet ole ymmärtänyt vielä lukemiasi käyttöohjeita. Luehan vähän lisää.

 

[8540]

@TenderBeef
Asennat salatun Linuxin, ja käytät GRUB:ia bootloaderina (GRUB 2, ei GRUB legacy). Grubiin lisäät sitten Windowsin entryn kuten salaamattomassakin asennuksessa. Windowsiin bootatessa salaus ei muuta asioita, kunhan GRUB ei ole salattu. Tällöin siis täytyy olla se erillinen osio /boot:lle kuten aikaisemmin jo kirjoitin.
Kun käynnistät, tulee postauksen jälkeen GRUB, jossa valikosta voi valita minkä käynnistää. Jos valitset Windowsin, menee se Windowsiin eikä salattu Linux vaikuta asiaan mitenkään, kuten ei salaamatonkaan. Jos valitset GRUB:sta Linuxin, käynnistää se Linuxin ja kysyy salasanaa osion salauksen aukaisemiseksi.
Windows-entry tehdään GRUB:n valikkoon Linuxista toki, ja tämä onnistuu samalla tavoin kuin salaamattomassakin asennuksessa.

Kokonaisuuden itse ymmärsin vasta kun asensin järjestelmää fyysisesti ja tuli ongelmia esiin joita piti paikallistaa ja korjata. Etukäteen on mahdotonta päästä jyvälle koko hommasta. Myöskin Mint automatisoi niin suuren osan järjestelmän asennuksesta että siinäkin jää suuria alueita kokonaan näkemättä. Arch wiki kertoo paljon asioita, ja sieltä kun eri sivut etsii jotka vastaavat sinun järjestelmääsi ja luet ne järjestyksessä USB:n boottaamisesta työpöydän asentamiseen, saa aika hyvän kokonaiskuvan.
Yleisesti ottaen, käskyjä joiden toimintaa ei ymmärrä/sisäistä ei kannata suorittaa, etenkään su-oikeuksilla.

Tässä nyt varsin typistetty versio salatusta asennuksesta, joka suoritettu puhtaasti Arch wikin pohjalta, ja tarkoitus antaa suuntaa eikä olla totaalinen ohje. Kokonaiset komennot ja kunnon ohjeet löytyvät Arch wikistä.

Ensin osioidaan levylle EFI:n partitio (en ole käyttänyt Windowsin EFI:ä, tein Linuxille oman koska ovat jokatapauksessa eri levyillä fyysisesti, Windows EFI:n käyttö ei nyt kummoista vaikuta olevan, Arch wikissä hyvät ohjeet siihenkin), sitten tehdään toinen osio jossa loppujärjestelmä. LVM on LUKS -tyyppisessä asennuksessa tätä toista partitiota ei siis formatoida, mutta sille asetetaan LVM flag (parted set x lvm on, jossa osio on numero x levyllä kuten parted sen ilmoittaa). Tämän jälkeen luodaan salaus, käyttäen komentoa "cryptsetup .... luksFormat /dev/sdXy", joka perään aukaistaan komennolla "cryptsetup open /dev/sdXy nimi" jossa nimi on nimi joka annetaan tälle osiolle jolla se sitten ilmestyy kohdan /dev/mapper alle. Esim. nimi "salattu" näkyy kohdassa /dev/mapper/salattu. Tähän sitten luodaan fyysinen voluumi, komennolla pvcreate, johon luodaan voluumiryhmä komennolla vgcreate. Voluumiryhmään luodaan sitten halutut loogiset voluumit komennolla lvcreate, joita voi olla erillinen /home, /swap jne.. Tässä vaiheessa luodaan tiedostojärjestelmät loogisille voluumeille (esim. mkfs.ext4 /dev/mapper/vol-root). Mountataan nämä luodut loogiset voluumit oikeisiin kohtiin /mnt alle (kuten /mnt olisi asennetun järjestelmän / eli root). Mountataan myös erillinen GRUB:n sisältävä osio, joka siis aikaisemman keskustelun pohjalta tulee EFI-asennuksessakin olla /boot jos Linux on kokonaan salattu, muutoin joudut konffaamaan GRUB:n toimimaan salatulta osiolta ja täten syöttämään lisäsalasanan. Ensin luodaan kansio mkdir /mnt/boot ja sitten liitetään: mount /dev/sdXy /mnt/boot.

Seuraavasta vaiheesta Minttiä käytettäessä ei itsellä tietoa, mutta Archissa asennetaan "base" ryhmän paketit (eli perusjärjestelmä) kohtaan /mnt käyttäen komentoa pacstrap. Luodaan fstab tiedosto kaikista mountatuista osioista (eli tämä on se vaihe missä "kerrotaan" linuxille näistä luoduista asemista) komennolla genfstab -U /mnt >> /mnt/etc/fstab, jossa -U siis tarkoittaa että käytetään aikaisemmin mainittua UUID:tä, mikä suositeltavaa. Tämän jälkeen chrootataan /mnt:iin ja asennetaan järjestelmä loppuun, esim. lokaalit, nettidaemonit, työpöytä, bootloaderi...
Sellainen muutos normiasennukseen on (tässä LVM on LUKS -versio), että konfiguroidaan mkinitcpio sisältämään salatun osion tiedostojärjestelmä "moduulit" kohdassa, sekä koukut ("hooks") nimeltä keyboard ja keymap ennen koukkua block, jonka jälkeen listaan lisätään vielä koukut encrypt ja lvm2 ennen koukkua filesystems.
Oma mkinitcpio.conf siis näyttää tähän liityviltä osioilta tältä:
MODULES=(ext4)
HOOKS=(base udev autodetect modconf keyboard keymap block encrypt lvm2 filesystems fsck)
Lisäksi muokataan GRUB:ia. Aukaistaan "/etc/default/grub" ja kohtaan "GRUB_CMDLINE_LINUX=" lisätään entry nimeltä cryptdevice, joka itsellä näyttää tältä: "cryptdevice=UUID=osionuuidtähän:salattu root=/dev/mapper/vol-root" koska itsellä tässä esimerkissä on siis salattu containeri avattu nimelle "salattu" (komennolla cryptsetup open) ja voluumiryhmä (joka luotiin komennolla vgcreate) on nimeltään "vol" ja siinä sijaitseva osio jossa järjestelmä on (luotiin lvcreate komennolla), on nimeltään "root". Jos halutaan trim käyttöön niin rivi lukee näin: "GRUB_CMDLINE_LINUX=cryptdevice=UUID=osionuuidtähän:salattu:allow-discards root=/dev/mapper/vol-root". Lisäksi vaihdetaan "issue_discards" optio LVM:n konffissa (/etc/lvm/lvm.conf) numerosta 0 numeroon 1.
UUID:n näkee tosiaan komennolla "ls -l /dev/disk/by-uuid". Grubiin tuleva osion UUID on siis se FYYSINEN osio missä järjestelmä on asennettuna (eli ei /dev/mapper alainen UUID!!).

Arch wikissä on selostettu swapin asetukset nukkumista varten: dm-crypt/Swap encryption - ArchWiki
Muutoin jatketaan taas samoin kuin salaamattomassakin asennuksessa, huomoiden että jos swap on tiedostona tai loogisena voluumina luodun salatun containerin sisällä, ei sitä tarvitse erikseen enää salata.

Ubuntu-pohjaisille jakeluille on olemassa "Grub customizer" joka tuo graafisen liittymän GRUB:n muokkaamiseen: Grub Customizer in Launchpad
Manuaalinen lisäys on mielestäni hyvin kerrottu Arch wikissä: GRUB - ArchWiki
Ja niin kauan kun GRUB sijaitsee salaamattomalla osiolla, ei Linuxin salaus vaikuta lainkaan dual boottaamiseen tai Windowsin toimintaan.

Useissa artikkeleissa mitä itse alunperin joskus luin oli esim. MBR-tiedostotaulu ja vastaavat käytössä. Paras on lukea aikaisemmin mainitsemistani wiki-sivustoista tietoa, koska pääsääntöisesti sisältävät kaikki eri vaihtoehdot ja niiden toteutuksen, kun eri artikkelit sotkevat eri tavoin varsinkin jos niitä yrittää yhdistellä ymmärtämättä koko systeemiä totaalisesti. Jokainen artikkeli kun käyttää esimerkiksi eri ohjelmaa levyn partitioimiseen jolloin komennot eivät ole yhteneväisiä. Jos artikkeleiden ja blogien mukaan haluat asentaa niin valitse yksi ja mene kokonaan sen mukaan, muuten menee solmuun. Vaihtoehtoisesti kokoa esim. Arch wikistä haluamasi kombinaatio. Toisaalta sen kertomat komennot eroavat osittain Ubuntun vastaavista, ja jos haluat näin syvälle mennä järjestelmän manuaaliseen kasaamiseen, kannattaa valita jokin muu distro kuin Mint. En tiedä kuinka hyvin Mint tukee manuaalista asennusta. En usko että kovin hyvin, koska se on rakennettu varsin pitkälle graafiseen maailmaan ja automatisoi paljon. Kannattaa myös kokeilla että mahdollistaako vaikkapa Debian koko osion salausta alustamatta koko levyä. Tosin en muista oliko Mintissä tarjottu vaihtoehto alustaa levy omin haluin ja muuten käyttää graafista asennusta?

Painotan kuitenkin, että osion salaus ei vaikuta Windowsin boottaamiseen. Eikä dual boottaamiseen. Se vaikuttaa vain Linuxin boottaamiseen, oli se ainoa OS tai yksi useista.

Ja kuten @greenlight sanoi, tälläisessä monimutkaisessa asennuksessa kannattaa ajan kanssa kirjoittaa kirjaimelliset ohjeet jossa komennot oikeassa järjestyksessä esim. wiki-sivustoja lähteinä käyttäen ja asentaa tämän oman henkilökohtaisen ohjeen mukaan.

Ja mitä Minttiin tulee, se sopii varsin hyvin vasta-alkajille, Windows-maailmasta hyppäys siihen on pieni. Toki siinäkin samat rajoitukset on kuin muuallakin Linux-maailmassa, esimerkiksi tulostintuki. Itse siitä aloitin aikoinaan, mutta kasvoin siitä ulos. Se ei antanut minulle mahdollisuutta tehdä OS:stä sellaista kuin sen haluan olevan, toisinkuin monet muut distrot, kuten Arch.

Mint sopii varsin hyvin kun käyttäjä haluaa helposti ylläpidettävän Linuxin, jonka asennus on äärimmäisen helppoa. Tämä johtaa siihen että erikoisemmat asennusyhdistelmät, kuten @TenderBeef haluaa käyttää, eivät ole kovinkaan helppoja asentaa. Toisaalta perusjärjestelmä, vaikkapa salattuna (ilman dualboottia tai eri levyin) on helppoa. Vähän samoin kuin Windowsissa, missä kaikki on helppoa niin kauan kuin menet sitä yhtä tietä minkä Microsoft on määrännyt.

[Pahoittelen mahdollisia kirjoitusvirheitä, tämä sanakirja ei tue kovinkaan montaa Suomen sanaa ja näyttää valtaosan punaisella joten too much errors että viitsii tarkistaa.]

 

[apoiuyt]

Jos sulla @TenderBeef olisi mahdollisuus vaikka vanhemmalle tietokoneelle ensin tehdä salaamaton dual boot setup ja sitten harjoitella siihen Linuxin salattujen osioiden teko, niin pääsisit huomattavasti helpommalla. Mutta jos sitä mahdollisuutta ei ole niin sitten sitä ei ole. Tsemppiä projektiin!

Muokkaus: Oikeastaan pelkkä toinen kiintolevykin riittäisi, jos vaan nappaat tuotantokäytössä olevan aina irti ja kytket ropelluslevyn kiinni kun alat temmeltämään.

 

[Stanley H. Tweedle]

Vähemmän tullut laitettua UEFI-systeemejä, mutta eikö se toimi yksinkertaisesti näin:

- grub "windowsin" efille
- erillinen salaamaton /boot jossa kernelit

Näin tublabootti toimii ja kukin OS hoitaa salauksensa itse.

Secure boot ja windowsin nopea käynnistys pois päältä.

 

[keskiverto]

<pedantic>
Ei ole "windowsin efiä", vaan vain "käyttisneutraali efi" (EFI System Partition, aka ESP) jonne jokainen käyttis saa lisätä oman lataajansa.
</pedantic>

 

[Stanley H. Tweedle]

<pedantic>
Ei ole "windowsin efiä", vaan vain "käyttisneutraali efi" (EFI System Partition, aka ESP) jonne jokainen käyttis saa lisätä oman lataajansa.
</pedantic>

Siksi se olikin lainausmerkeissä... Se windows nimittäin, lainasit aivan väärin.

 

[Xiyng]

Henkilökohtaisesti en ymmärrä, miksi kaikki nyypät aina lähtevät Mintin kyytiin, kun kaikki lukemani saa sen kuulostamaan huonolta niin vasta-alkajille kuin kokeneillekin käyttäjille.

Todetaanko nyt vaikka niin, että täällä ainakin on pelkästään hyviä kokemuksia Mintistä nimenomaan aloittelevan käyttäjän näkökulmasta. Minulla ei myöskään ole tiedossani merkittävästi parempia vaihtoehtoja, joten jos sellaisia on, kuulisin niistä mieluusti.

 

[TenderBeef]

Kiitoksia vastauksista. Huomaan, että osittain jostain asioista joko A) minä en ole osannut selittää ongelmaa/tarvetta oikein, B) olen käsittänyt teidän kirjoitukset väärin, tai C) te ette ole käsittäneet mitä olen kirjoittanut. Mutta eipä hätää, etiäpäin.

Distro on valittava tarkoituksen ja oman osaamistason mukaan. Esimerkiksi Ubuntu tukee kryptausta suoraan asennusvelhosta ja konffaa kaiken valmiiksi. Kai se nyt tänä päivänä osaa jo uefi-bootinkin.

Tiedän, mutta taisit nyt missata, että dual bootissa windows asennettuna Mint/Ubuntu ei osaa asennusvelhossa tarjota linuxin salausta windowsin rinnalle, siinä tässä on nyt ongelma kun pitäisi käsin ruveta sitä konffaamaan.

Asennat salatun Linuxin, ja käytät GRUB:ia bootloaderina (GRUB 2, ei GRUB legacy). Grubiin lisäät sitten Windowsin entryn kuten salaamattomassakin asennuksessa.

En nyt ihan ymmärrä mitä tarkoitat, ensiksi salatun linuksin asennus ja sitten vasta windows? Kiitos kuitenkin yksityiskohtaisista ohjeista, jotka tosin vielä vaikuttavat jonkin verran hankalilta. Kokeilen tässä paria muuta kikkaa joita keksin ja jos ei onnistu niin rupean sitten opiskelemaan asiaa enemmän sinun ohjeiden pohjalta.

Etukäteen on mahdotonta päästä jyvälle koko hommasta.

Näinpä, senpä takia aloinkin kokeilemaan virtualboxissa, oli erittäin viisas ratkaisu.

Painotan kuitenkin, että osion salaus ei vaikuta Windowsin boottaamiseen. Eikä dual boottaamiseen. Se vaikuttaa vain Linuxin boottaamiseen, oli se ainoa OS tai yksi useista.

Tästä olen ollut samassa ymmärryksessä alusta lähtien.

Ja kuten @greenlight sanoi, tälläisessä monimutkaisessa asennuksessa kannattaa ajan kanssa kirjoittaa kirjaimelliset ohjeet jossa komennot oikeassa järjestyksessä esim. wiki-sivustoja lähteinä käyttäen ja asentaa tämän oman henkilökohtaisen ohjeen mukaan.

Sitä juuri olen tässä yrittänyt saada aikaiseksi, ajattelin, että jos saan salatun Mintin ja windowsin aikaiseksi, teen kokonaan uuden topikin johonkin tänne muita varten joita sama asia saattaa kiinnosta mutta ei osaaminen riitä.

Jos sulla @TenderBeef olisi mahdollisuus vaikka vanhemmalle tietokoneelle ensin tehdä salaamaton dual boot setup ja sitten harjoitella siihen Linuxin salattujen osioiden teko, niin pääsisit huomattavasti helpommalla.

Miksi helpommalla? Eikö virtuaalikone aja ihan saman asian, tai jopa helpommalla? (poislukien muutaman harmittoman ongelman boottausvaiheessa vboxissa mintin kanssa)

 

[TenderBeef]

Nopea päivitys ja yksi kysymys.

Yritin kikkailla asennusvelholla niin että ensin tein (muiden windows/efi-osioiden lisäksi) pelkän kryptatun osion tyhjälle tilalle ja menin takaisin velhossa ja valitsin sen perus "asenna muiden käyttisten lisäksi" mutta velho ei osaa pistää salauksella sille kryptatulle osiolle vaan yrittää tarjota vain windowsin pienentämistä, ei toimi. Sitten kokeilin josko voisi asentaa ensin tyhjälle levylle salatun linuksin ja vasta sen jälkeen windowsin asennus, mutta sekään ei toimi, gparted ei tue "crypt-luks" osion muuttamista millään lailla, eli pienentäminen windowsia varten ei onnistu. Pitää sitten tehdä näköjään vaikeimman kautta.

Onko jotain ongelmaa (esim. turvallisuuden kanssa) siinä, että käyttäisi salatulle osiolle ja itse linuksin käyttäjätunnukselle samaa salasanaa?

 

[apoiuyt]

@TenderBeef siksi helpommalla että vältyt Virtualboxin aiheuttamilta ongelmilta. Silloin et jää turhaan mihinkään jumiin. Ajattelin myös että sulle voisi olla hyötyä siitä, että saat asennushomman selväksi itsellesi jolloin ohjeista on helpompi nähdä ne kryptaamiseen liittyvät asiat.

Substanssiosaamista mulla ei ole tähän asiaan joten siirryn takaisin taustalle seuraamaan tilanteen kehittymistä.

 

[TenderBeef]

Ei tule ainakaan itselle mieleen.

Jees. Ajattelin, että helpottaisi kun olisi vain yksi pw millä aukeaisi salattu osio ja toimisi sudottelussa. Mutta itseasiassa nyt kun vielä mietin pidemmälle tuota niin parempi ehkä olisi laittaa (tarpeeksi) pitkä hyvä passphrase salaukselle ja erittäin lyhyt pw käyttäjätunnukselle (vaikka autokirjautuminen päällä, mutta nopeuttaisi sudo-hommeleita).

 

[Barbarossa]

Jees. Ajattelin, että helpottaisi kun olisi vain yksi pw millä aukeaisi salattu osio ja toimisi sudottelussa. Mutta itseasiassa nyt kun vielä mietin pidemmälle tuota niin parempi ehkä olisi laittaa (tarpeeksi) pitkä hyvä passphrase salaukselle ja erittäin lyhyt pw käyttäjätunnukselle (vaikka autokirjautuminen päällä, mutta nopeuttaisi sudo-hommeleita).

Sudonhan voi konfiguroida käyttäjä- ja/tai komentokohtaisesti olemaan kyselmättä salasanaa. Ilmeisistä syistä ei suositeltavaa, mutta tuossa tapauksessa ehkä käyttäisin ennemmin tätä kuin kikkelisalasanaa käyttäjällä.

 

[TenderBeef]

Sudonhan voi konfiguroida käyttäjä- ja/tai komentokohtaisesti olemaan kyselmättä salasanaa. Ilmeisistä syistä ei suositeltavaa, mutta tuossa tapauksessa ehkä käyttäisin ennemmin tätä kuin kikkelisalasanaa käyttäjällä.

Piti lukea useamman kerran ja en vieläkään ole satavarma tajusinko mitä tarkoitat. Suosittelet minulle sudon pw-kyselyjä pois? Ehkä kuitenkin haluaisin, ja olisi muutenkin viisaampaa, jättää kysely niin aina tietää että nyt mennään normaalitoimintojen alueelta pois. Mitä helpompi/lyhyempi pw, niin nopeammin suoriutuu siitä, kun kerran ei tarvitse käyttispassulla estää ihmisiä pääsemästä koneelleni. Mitä tarkoitat kikkelipassulla?

 

[Barbarossa]

Piti lukea useamman kerran ja en vieläkään ole satavarma tajusinko mitä tarkoitat. Suosittelet minulle sudon pw-kyselyjä pois? Ehkä kuitenkin haluaisin, ja olisi muutenkin viisaampaa, jättää kysely niin aina tietää että nyt mennään normaalitoimintojen alueelta pois. Mitä helpompi/lyhyempi pw, niin nopeammin suoriutuu siitä, kun kerran ei tarvitse käyttispassulla estää ihmisiä pääsemästä koneelleni. Mitä tarkoitat kikkelipassulla?

Antamalla komennon 'sudo nnn' ollaan jo menossa syvään päähän. Komennon seuraukset pitää tiedostaa jo sitä kirjoittaessa, salasanan kysyminen enterin päätteeksi ei asiaa muuksi muuta. Kikkelisalasana = triviaali salasana, eli mikä tahansa helppo/lyhyt salasana. Esim. 'kikkeli'.

Luehan vielä kerran, oikeastaan suosittelin olemaan tekemättä niin, mutta toin kuitenkin kyseisen vaihtoehdon esille koska olit vielä aikaisemmin helppoa haluamassa. Myönnän kyllä että en ymmärrä lainkaan mitä oikeastaan tavoittelet.

 

[greenlight]

Yritin kikkailla asennusvelholla niin että ensin tein (muiden windows/efi-osioiden lisäksi) pelkän kryptatun osion tyhjälle tilalle ja menin takaisin velhossa ja valitsin sen perus "asenna muiden käyttisten lisäksi" mutta velho ei osaa pistää salauksella sille kryptatulle osiolle vaan yrittää tarjota vain windowsin pienentämistä, ei toimi.

Minkä ihmeen takia et asentanut käyttistä suoraan osioimisen jälkeen vaan lähdit takaisin kokeilemaan niitä nyyppämoodeja? Ei kai se onnistu, jos oikein yrittää epäonnistua.

 

[TenderBeef]

Antamalla komennon 'sudo nnn' ollaan jo menossa syvään päähän. Komennon seuraukset pitää tiedostaa jo sitä kirjoittaessa, salasanan kysyminen enterin päätteeksi ei asiaa muuksi muuta.

Lähinnä kyllä tarkoitin sudolla myös graafisenpuolen sudokyselyitä. Mielestäni on kyllä parempi, että tulee kysely kun ei tule, oli sitten "kikkelipassu" tai ei. Jos taas "sudot" menee automaattisesti läpi niin onhan se varmasti turvallisuusriski.

 

[TenderBeef]

Minkä ihmeen takia et asentanut käyttistä suoraan osioimisen jälkeen vaan lähdit takaisin kokeilemaan niitä nyyppämoodeja? Ei kai se onnistu, jos oikein yrittää epäonnistua.

Mitä vattua sinä nyt selität? Et ihan taida olla kartalla mitä tässä ollaan hakemassa. Lueppas uudestaan viestejä taaksepäin.

 

[greenlight]

Mitä vattua sinä nyt selität? Et ihan taida olla kartalla mitä tässä ollaan hakemassa. Lueppas uudestaan viestejä taaksepäin.

Vaikea tajuta, mitä sinä haluat, kun mielesi muuttuu koko ajan. Viimeksi sanoit minulle, että haluat tehdä kryptatun osion ja asentaa Linuxin sille. Nyt olit jo onnistunut tekemään sen osion muttet kuitenkaan halunnut asentaa Linuxia. Eli sekoilet ihan ihmeellisesti.

Varmistin juuri ennen viestini kirjoittamista, että Ubuntun installeri todellakin osaa konffata manuaalisesti luodun osion kryptatuksi juureksi ja asentaa Linuxin sille. Eli kaikki onnistuu sillä graafisella asennustyökalulla ilman komentoriviä.

 

[Barbarossa]

Lähinnä kyllä tarkoitin sudolla myös graafisenpuolen sudokyselyitä. Mielestäni on kyllä parempi, että tulee kysely kun ei tule, oli sitten "kikkelipassu" tai ei. Jos taas "sudot" menee automaattisesti läpi niin onhan se varmasti turvallisuusriski.

Eli siis... haluat jonkinlaista UAC tyylistä vahvistusdialogia automaagisesti aina kun teet jotakin joka vaatii enemmän oikeuksia kuin normaalikäyttäjä, sen sijaan että tämä pitää ymmärtää jo siinä vaiheessa kun alkaa sitä jotakin tekemään?