Linux kysymyksiä

[Barbarossa]

Linux Mint 20 Cinnamonilla ja bootissa ennen kryptauksen avaamista tulee tälläistä:



Joutuuko noista olemaan huolissaan?

Jos kaikki toimii niin ei kannata välittää.

Harmillisesti UEFI/BIOSien ACPI toteutukset ovat varsin usein bugista roskaa, varsinkin MS:n työkalut tuottavat iloisesti speksinvastaista tavaraa. Jostakin syystä moni emolevyvalmistaja silti käyttää niitä ja tuloksena on ongelmia muille kuin Windowseille jotka puolestaan noudatavat ACPI speksiä.

Yleensä (uudemmissa) kerneleissä löytyy workaroundit pahimmille aivovammoille mutta tuottaa silti virheitä ja varoituksia bootissa.

 

[TenderBeef]

Mitenkäs tuo initramfs ja sertifikaatti viestit? Eri asioita kuin nuo ACPI jutut?

Tässä mitä testannut niin en vielä ainakaan ole ehtinyt törmätä mihinkään toimimattomaan jonka luulisin aiheutuvan noista ACPI viesteistä, kaikenlaista pientä ja keskisuurta ongelmaa/ihmeteltävää kyllä on tullut jo vastaan aika paljon, ehkä odotettavaa kun winkasta siirtyy linuxiin (vihdoinkin on työn alla, on ollu pari "false-starttia" aiemmin.. tiedä vaikka jää koko homma, aika paljon on ongelmaa ja säätämistä ja kikkailua vaatii, varsinkin kun ihan kaikkia softia ei saa kuin windowsille (joo, tiedän wine/virtualbox/etc.)). Hibernaten olen saanut toimimaan ~99%:sti (swapfile kryptatulla osiolla), rauta vaan aiheuttaa jotain pieniä ongelmia joskus, joka hibernatessa tulee "acpi hardware changed while hibernated success doubtful" mutta lähes täydellisesti toimii, joskus tulee joku ongelma, esim. kerran läppärin virtanapin painaminen ei toiminutkaan hibernaten jälkeen, bootin jälkeen taas. "Hybrid sleep" (hibernate+suspend) on sellainen juttu joka jumittaa koneen joka kerta hibernatesta ulos tullessa, tosin se ei ehkä ole ihan pakollinen saada käyttöön.

Softien päivitysasioissa tuli ikävää yllätystä. Olin jo tietoinen, että ei-rolling-distron kanssa paketinhallinnasta ei kauheasti saa uusia versioita softiin.. silti se vähän yllätti kun katsoin jotain softia mistä oli vuosia vanhaa versiota tarjolla vaikka Mint 20 on just tullut ulos. Olin lukenut monesti kuinka ihmiset tykkäävät Flatpakeista ja kritisoivat Snappeja (muistakin asioista kuin pakkopäivityksistä). Olin ymmärtänyt, että Flatpakkien päivitystä pystyisi kontrolloimaan, jopa ehkä niin hyvin kuin pakettihallinnasta normaaliasennuksia mutta yllätys oli, että Flatpak päivitys on aika surkea sellaiselle joka haluaa olla tietoinen mitä päivitetään ja antaa luvan päivittää kun itse haluaa. Flatpakit, ainakin Mintissä, näköjään päivittyy taustalla automaattisesti ja hiljaisesti mitään ilmoittamatta ainoastaan kun useri boottaa/loggaa sisään (lisäongelma jos ei paljon boottaile, esim. sleep tai hibernate käytössä, ei paljon softat sitten päivity jos ei manuaalisesti tee sitä). Ei sovi minulle ainakaan tuo. Ja on siinä Flatpakissa muutakin vikaa, esim. miten käy dependencies päivityksille? Nehän taitaa jäädä sen Flatpakin julkaisijan vastuulle, ei distron vastuulle kuten distron PPA:ta käyttäessä. Ei toimi desktop GUIn teemat kunnolla Flatpakeissa. Joku valitteli, että Gimpin Flatpakissa ei saa toimimaan G'MIC plugaria. Flatpakkien asennus/poisto/jne. ei vaadi sudoa. Ei löydy "update check" toimintoa ollenkaan, pelkkä upgrade joka tarkistaa ja päivittää samalla. Vähän heikolta näyttää tuo linuxmaailman softahomma tällä hetkellä omasta mielestäni. Oli kova pettymys, ajattelin, että pääsee eroon siitä jatkuvasta softien päivitysten tsekkauksesta (onneksi SUMo softa, joka ei kuitenkaan 100% täydellinen), latauksesta ja asennusrumbasta mikä windowsissa on. Automaattisista päivityksistä en vain tykkää myöskään, pitää olla kontrolli omaan järjestelmään ja softiin mikä niissä muuttuu eri versioissa. Snap/Flatpak/Appimage eivät ole kovin kummoisia ratkaisuja IMO tällä hetkellä.. tässäkin asiassa toivoisi, että saisivat puhallettua yhteen hiileen ja kehitettyä jonkun paremman järjestelmän.

Onko softien itsensä ylläpitämät PPA:t (jos edes löytyy) kuinka turvallisia? Esim. latasin Vivaldin deb tiedoston ja se automaattisesti lisäsi oman Vivaldi PPA:n pakettihallintaan. Defaulttina siellä oli jo Spotifyn oma PPA Mintin asennuksen jälkeen. Voinko huoletta lisätä noita, esim. MKVToolNix/qBittorrent/Audacity? Libreofficelta, jos oikein olen ymmärtänyt, ei löydy hyvää stable PPA:ta ollenkaan, sellaista joka päivittyisi aina viimeisempään stableen, on vain "fresh" ja esim. "LibreOffice 7.0.x" johon tulee vain "minor" tason päivityksiä, ei päivity siis ollenkaan 7.1.x versioon. Ja sitten on tällaisia 3:n osapuolen PPA-lähteitä kuten tämä GIMPille, näitä ei varmaan kannata lähteä käyttämään? Ajattelin, että pakosta voisi muutama softa olla ihan distron tarjoamia vanhoja versioita mutta aika monesta olisi kyllä hyvä saada uusimmat. Yksi Appimage softa on ainakin pakko asentaa kun muuta ei siitä ole tarjolla, nuo Appimaget pitää vaan itse tsekkailla uudet versiot ja käsin päivittää ne, ainakin tuo yksi softa.

Sori, tää oli vähän tämmöinen venttiilin avaaminen..

 

[=JP=]

Softien päivitysasioissa tuli ikävää yllätystä. Olin jo tietoinen, että ei-rolling-distron kanssa paketinhallinnasta ei kauheasti saa uusia versioita softiin.. silti se vähän yllätti kun katsoin jotain softia mistä oli vuosia vanhaa versiota tarjolla vaikka Mint 20 on just tullut ulos. Olin lukenut monesti kuinka ihmiset tykkäävät Flatpakeista ja kritisoivat Snappeja (muistakin asioista kuin pakkopäivityksistä). Olin ymmärtänyt, että Flatpakkien päivitystä pystyisi kontrolloimaan, jopa ehkä niin hyvin kuin pakettihallinnasta normaaliasennuksia mutta yllätys oli, että Flatpak päivitys on aika surkea sellaiselle joka haluaa olla tietoinen mitä päivitetään ja antaa luvan päivittää kun itse haluaa. Flatpakit, ainakin Mintissä, näköjään päivittyy taustalla automaattisesti ja hiljaisesti mitään ilmoittamatta ainoastaan kun useri boottaa/loggaa sisään (lisäongelma jos ei paljon boottaile, esim. sleep tai hibernate käytössä, ei paljon softat sitten päivity jos ei manuaalisesti tee sitä). Ei sovi minulle ainakaan tuo. Ja on siinä Flatpakissa muutakin vikaa, esim. miten käy dependencies päivityksille? Nehän taitaa jäädä sen Flatpakin julkaisijan vastuulle, ei distron vastuulle kuten distron PPA:ta käyttäessä.

Näyttäs olevan Mintin ominaisuus, että Flatpakit päivitetään aina bootissa kyselemättä käyttäjältä, sen tiete saa pois päältä:
Settings --> Session and Startup. Click the Application Autostart and check to see if Flatpak (Apply Flatpak Updates) is checked.

Dependecyt pakataan noihin Flatpak paketteihin mukaan (mikä mahdollistaa niiden käytön missä Linux jakelussa tahansa, mitä näillä haetaankin), joten ei pitäisi tuottaa ongelmia kyllä käyttäjän kannalta (paketin kehittäjä tietenkin joutuu näkemään vaivaa), sen takia vaativat reilusti enemmän levytilaa.
One of the key advantages of Flatpak is that it allows application authors to bundle whatever libraries or dependencies that they want. This means that developers aren’t constrained by which libraries are available through Linux distributions.

Dependencies — Flatpak documentation

docs.flatpak.org

Tällä on kätevä hallita, mihin kaikkeen nuo asennetut Flatpak softat pääsee käsiksi, jos haluaa tarkemmin rajata oikeuksia:

Install Flatseal on Linux | Flathub

Manage Flatpak permissions

flathub.org

Ja tosiaan, jos haluaa heti uusimmat versiot softista "helposti", niin rolling release Linux jakelua joutuu käyttämään silloin. Mutta aina ei ole kaikki softat saatavilla jokaiselle jakelulle, nämä yleensä on erikoisempia softia ainakin omasta kokemuksesta.

Itse meinasin kokeilla OpenSUSE Tumbleweed, vähän vähemmän tunnettu jakelu, mutta lukemani perusteella pitäisi olla oikein näppärä. Siihen rakentaa BTRFS -tiedostojärjestelmän ympärille sitten snapshot pohjaisen varmuuskopioinnin, jolla ennen päivityksiä ottaa varmistukset, jos sattuu jotain ilkeää, niin helppo palata takas edelliseen ja odotella korjauksia. Mutta eipä tuollaisia tapauksia näyttäisi olleen oikeastaan montakaan vuosien varrella...

 

[JiiPee]

Siihen rakentaa BTRFS -tiedostojärjestelmän ympärille sitten snapshot pohjaisen varmuuskopioinnin, jolla ennen päivityksiä ottaa varmistukset, jos sattuu jotain ilkeää, niin helppo palata takas edelliseen ja odotella korjauksia.

Itte pitäs jaksaa rakennella toi oma nussinassi toimintaan. Aiemmin on tullut ajeltua mdadm pakkaa mutta nyt päätin että en enää ala sen kanssa touhuamaan. Aikani tutkiskelin vaihtoehtoja ja päädyin sellaiseen viritykseen että snapraid hoitamaan pariteetti ja sitten mergefs:llä levyt nippuun. ext4 varmaan menen kun ei toi btrfs mielestäni tarjoa mitään oleellista tuohon viritykseen.
Tuossa on monta plussaa verrattuna mdadm tai zfs virityksiin. Voi helposti kasvattaa poolia ja kaikkia laikkoja ei tartte pyörittää vaan riittää että se laikka jossa data on pyörii.
Vähän enemmänhän toi vaatii työtä rakennella mutta siihen käyttöön mihin toi on niin vaikuttaa varsin mainiolta viritykseltä.

 

[=JP=]

Itte pitäs jaksaa rakennella toi oma nussinassi toimintaan. Aiemmin on tullut ajeltua mdadm pakkaa mutta nyt päätin että en enää ala sen kanssa touhuamaan. Aikani tutkiskelin vaihtoehtoja ja päädyin sellaiseen viritykseen että snapraid hoitamaan pariteetti ja sitten mergefs:llä levyt nippuun. ext4 varmaan menen kun ei toi btrfs mielestäni tarjoa mitään oleellista tuohon viritykseen.
Tuossa on monta plussaa verrattuna mdadm tai zfs virityksiin. Voi helposti kasvattaa poolia ja kaikkia laikkoja ei tartte pyörittää vaan riittää että se laikka jossa data on pyörii.
Vähän enemmänhän toi vaatii työtä rakennella mutta siihen käyttöön mihin toi on niin vaikuttaa varsin mainiolta viritykseltä.

Juuh, NAS ympäristöissä onkin omat vaatimuksensa, niin siellä voipi olla paljonkin erilaisia ja parempia vaihtoehtoja.
Tuo BTRFS vaan näyttäs olevan kätevä työpöytä käytössä ottamaan snapshottei aina tarvittaessa, itsellekin uusi tuttavuus (kryptaukset tulee myös lisäämään omat jännitykset), joten katsotaan miten käy, mutta monessa paikkaa kyllä suositellaan peruskäyttöön...

 

[TenderBeef]

Dependecyt pakataan noihin Flatpak paketteihin mukaan (mikä mahdollistaa niiden käytön missä Linux jakelussa tahansa, mitä näillä haetaankin), joten ei pitäisi tuottaa ongelmia kyllä käyttäjän kannalta (paketin kehittäjä tietenkin joutuu näkemään vaivaa), sen takia vaativat reilusti enemmän levytilaa.

Tarkoitin sitä, että kun ne jää jonkun softapaakarin harteille, niin onko ne kaikki sellaisia henkilöitä, että pitävät huolta, että nuo "riippulisät" (mikähän olisi hyvä suomennos tälle ) ovat sitten aina pätsätty?

Ja tosiaan, jos haluaa heti uusimmat versiot softista "helposti", niin rolling release Linux jakelua joutuu käyttämään silloin.

Näin kait se on. Itse katselin jossain vaiheessa KDE Neon:ia joka näytti/näyttää aika hyvältä ja esim. muistin kulutuskin on huimasti pienempää kuin jopa Mintin xfce:llä. Niillä kuitenkin oli asennusvelho vuosikausia buginen (custom osiointi ja kryptaus) tietoisesti eikä se jättänyt itselle ainakaan hyvää kuvaa siitä jakelusta. Lisäksi lukenut muutamia ihmisten kokemuksia, että alussa on aivan mahtava mutta aikaa myöten rupeaa tahmaamaan ja rupeaa tulemaan ongelmia, tiedä onko sitten yksittäisiä tapauksia vai ei. Mintti nyt vaan taitaa olla "helpoin" tällaiselle uudelle käyttäjälle, tarjoavat helposti kaikki perusjutut, nvidian ajurihommat (intel+nvidia optimus) snapshotit (timeshift).. ja itselle oli tärkeä kuinka ottivat selvästi kantaa snappeja vastaan tässä hiljattain.

 

[=JP=]

Tarkoitin sitä, että kun ne jää jonkun softapaakarin harteille, niin onko ne kaikki sellaisia henkilöitä, että pitävät huolta, että nuo "riippulisät" (mikähän olisi hyvä suomennos tälle ) ovat sitten aina pätsätty?

Tämä on yksi ongelma noissa Flatpak paketeissa, että pidetään päivitettyinä kaikilta osin. Tämä jää pitkälti käyttäjän harteille, varmistella että paketit kunnossa ja lopettaa käytön jos näin ei ole.
Mutta sama ongelma se on myös vaikka PPA kanssa Ubuntu maailmassa, jopa pahempi jos sen ylläpitäjä yhtäkkiä pistää sitä kautta tulemaan päivitettyjä kirjastoja ja koko sun systeemi menee jumiin sen takia, vaikka ajatuksena oli korjata joku tietoturva.

Se on hemmetin vaikeata saada kaikki parhaimmat ominaisuudet yhteen pakettiin, jossa kaikki olisi uusinta uutta ja aina turvallista käyttää

Kyllähän esimerkiksi Qubes OS: A reasonably secure operating system on yksi vaihtoehto, jossa sitten ajetaan ihan kaikki sandboxeissa, erikseen ja pidetään tietoturvasta huolta. Mutta sitten saakin koneesta löytyä puhtia reippaasti ja muistiakin tarpeeksi. Puhumatta muista käytännön ongelmista, joita tuosta aiheutuu...

 

[TenderBeef]

Mutta sama ongelma se on myös vaikka PPA kanssa Ubuntu maailmassa, jopa pahempi jos sen ylläpitäjä yhtäkkiä pistää sitä kautta tulemaan päivitettyjä kirjastoja ja koko sun systeemi menee jumiin sen takia, vaikka ajatuksena oli korjata joku tietoturva.

Puhut ilmeisesti 3:nen osapuolen PPA-lähteistä, et distron PPA:sta? Onko noissa muita huomioon otettavia ongelmia? Muitakin kuin, että joku kaappaa jonkun PPA:n ja jakelee sen kautta ties mitä tavaraa. Jos ajattelisin käyttää tätä Minttiä niin pakko olisi useampiakin 3:nen osapuolen PPA-lähteitä käytettävä.

 

[=JP=]

Puhut ilmeisesti 3:nen osapuolen PPA-lähteistä, et distron PPA:sta? Onko noissa muita huomioon otettavia ongelmia? Muitakin kuin, että joku kaappaa jonkun PPA:n ja jakelee sen kautta ties mitä tavaraa. Jos ajattelisin käyttää tätä Minttiä niin pakko olisi useampiakin 3:nen osapuolen PPA-lähteitä käytettävä.

Joudut luottamaan sen PPAn ylläpitäjään, siinä ei ole muita vaihtoehtoja, jos haluat sieltä jotain asentaa (ja tietenkin siellä on vaara, että pahat pojat kaappaa ja täten voivat jakaa omia koodejaan). En tiedä onko noissa miten ollut ongelmia, koska en ole käyttänyt Ubuntu pohjaisia jakeluita vuosiin, enkä täten seurannut mitenkään tarkkaan uutisiakaan.

Muistan vaan aikoinaan lukeneeni juttuja, että oli PPA ylläpitäjä vähän pistänyt päivitettyjä kirjastoja jakoon, jotta softa toimisi kunnolla ja täten aikas monen ihmisen järjestelmät menneet solmuun siinä sivussa. Liekkö miten vaarana nykyään, en tiedä sen tarkemmin, jäänyt vaan mieleen...

 

[Juha Uotila]

Näin kait se on. Itse katselin jossain vaiheessa KDE Neon:ia joka näytti/näyttää aika hyvältä ja esim. muistin kulutuskin on huimasti pienempää kuin jopa Mintin xfce:llä. Niillä kuitenkin oli asennusvelho vuosikausia buginen (custom osiointi ja kryptaus) tietoisesti eikä se jättänyt itselle ainakaan hyvää kuvaa siitä jakelusta. Lisäksi lukenut muutamia ihmisten kokemuksia, että alussa on aivan mahtava mutta aikaa myöten rupeaa tahmaamaan ja rupeaa tulemaan ongelmia, tiedä onko sitten yksittäisiä tapauksia vai ei. Mintti nyt vaan taitaa olla "helpoin" tällaiselle uudelle käyttäjälle, tarjoavat helposti kaikki perusjutut, nvidian ajurihommat (intel+nvidia optimus) snapshotit (timeshift).. ja itselle oli tärkeä kuinka ottivat selvästi kantaa snappeja vastaan tässä hiljattain.

KDE Neon ei ole ns. rolling-release distort muuta kuin KDE:n osalta. Katse tulee oikeastaan kääntää Arch puolelle ja sieltä sitten vaikka EndeavourOS tai Manjaro, joista ainakin itse suosin ensiksi mainittua. Itse ajelen tuossa "daily driver" läppärissä juuri EOSia btfrs:llä ja siinä sitten timeshiftilla autsnapshotit.

HOWTO - GPT/UEFI install with full disk encryption: BTRFSonLUKS with separate root, home and pkg subvolumes; hibernation with a swapfile; auto-snapshots with easy system rollback (GUI); boot into snapshots

+++ VERBOSE VERSION ++++++++++++++++++++++++++++++++ If you’re installing to a dedicated hdd/sdd just copy & paste the commands provided above! The following information is just for the technical interested and/or in the event you have a more complicated setting (e. g. dual boot and/or already...

forum.endeavouros.com

 

[TenderBeef]

KDE Neon ei ole ns. rolling-release distort muuta kuin KDE:n osalta.

Joo, unohdin mainita, ubuntu LTS pohjalla ja rolling KDE päällä.

Katse tulee oikeastaan kääntää Arch puolelle ja sieltä sitten vaikka EndeavourOS tai Manjaro, joista ainakin itse suosin ensiksi mainittua.

Manjaroa pikkaisin vilkuillut jos tullut jotain siihen liittyvää uutista vastaan. Olen vaan kerännyt paljon tietoa ubuntu/debian jutuista jo niin jotenkin ei jaksaisi heittää niitä roskiin, ainakaan vielä. Jos yrittäisi vain tällä Mintillä ja katsoo jatkossa archin puolelle jos tuntuu ettei hommat pelitä kunnolla.

Semmoista kysäisisin, että miten archin kanssa, pärjääkö kuinka hyvin virallisilla repoilla, vai joutuuko paljon käyttämään AUR:ia? Jos olen oikein ymmärtänyt, tuo AUR sisältää 3:nen osapuolten tekemiä softapaketointeja, tavallaan kuin 3rd party PPA/Snap/Flatpak/Appimaget? AUR:sta voi jotkut paketit nousta virallisiin repoihin jos niitä äänestetään ja niillä on joitain trusted user-suosittelijoita?

 

[=JP=]

Manjaroa pikkaisin vilkuillut jos tullut jotain siihen liittyvää uutista vastaan. Olen vaan kerännyt paljon tietoa ubuntu/debian jutuista jo niin jotenkin ei jaksaisi heittää niitä roskiin, ainakaan vielä. Jos yrittäisi vain tällä Mintillä ja katsoo jatkossa archin puolelle jos tuntuu ettei hommat pelitä kunnolla.

Semmoista kysäisisin, että miten archin kanssa, pärjääkö kuinka hyvin virallisilla repoilla, vai joutuuko paljon käyttämään AUR:ia? Jos olen oikein ymmärtänyt, tuo AUR sisältää 3:nen osapuolten tekemiä softapaketointeja, tavallaan kuin 3rd party PPA/Snap/Flatpak/Appimaget? AUR:sta voi jotkut paketit nousta virallisiin repoihin jos niitä äänestetään ja niillä on joitain trusted user-suosittelijoita?

Aikas moni asia on universaalia eri Linux jakeluissa, kuitenkin sama kernel se siellä taustalla toimii, ympärille vaan on sitten kasattu vähän eri osista paloja, tietenkin jotkut osat on sitten täysin jakelun mukaan tehtyjäkin. Siksi kannattaa kokeilla erilaisia jakeluja vaikka ihan virtuaaliympäristössä jos ei löydy useampaa konetta (saat paljon paremman kuvan toiminnasta kun ajat oikealla raudalla), josko löytyisi jotain parempaa omaan käyttöön.

Ja se on ihan käyttäjästä kiinni, mitä tarvitsee, että löytyykö jakelun repoista tarvittavat softat, eli tuohon on aikas mahdotonta antaa suoraa vastausta. Yleensä kyllä pystyy katsomaan ennakkoon web sivuilta (ainakin isoimmissa jakeluissa), mitä virallisista repoista löytyy ja etsimään josko ne omat halutut siellä olisi. Voithan myöskin Live ympäristön bootata ja katsoa mitä sieltä löytyy, taikka virtuaaliympäristöön asennat.

Itse en ole tarvinnut AUR käyttää koskaan esimerkiksi Archissa, ja tarvittaessa on löytynyt vaihtoehtoja omiin tarpeisiin ihan virallisista repoista.
Ja en usko että löydät jakelua, josta löytyisi joka ikinen softa, mitä maailmasta löytyy...

 

[Juha Uotila]

Archin paketteja on hyvä tarkistella ihan packages.archlinux.org:n kautta ja sama sitten aur:lle aur.archlinux.org.

Vähän tosiaan riippuu omista tarpeista tarvitseeko AURia. Softathan siellä tosiaan on epävirallisia käyttäjien "paketoimia" eli kyllähän sillä systeemin rikki saa jos ihan suinpäin asentelee jotain järjestelmäkirjastoja tms.

 

[TenderBeef]

Archin paketteja on hyvä tarkistella ihan packages.archlinux.org:n kautta ja sama sitten aur:lle aur.archlinux.org.

Kiitoksia, pitääkin vertailla vähän versioita. Nopeasti katsoin, että Vivaldi selain olisi vain AUR:sta saatavilla, joten siltä osin (tärkein softa varmaan työpöydällä) ubuntu/debian vie pisteen kun saa softan kehittäjän oman PPA:n kautta. Pitää vertailla vielä muita.

 

[JiiPee]

Fedorassa aika yleisesti käytetty lisänä RPM Fusion repoa

Enabling the RPM Fusion repositories

Third party repositories There are a number of third-party software repositories for Fedora. They have more liberal licensing policies and provide software packages that Fedora excludes for various reasons. These…

fedoraproject.org

Ja sitten RPM Fusion taas listaa muita 3rd party repoja jotka toimii yhteen ok

FedoraThirdPartyRepos - RPM Fusion

 

[TenderBeef]

Archin wikissä on tällainen swapin kryptaus sivulla:

The following three methods are alternatives for setting up an encrypted swap for suspend-to-disk. If you apply any of them, be aware that critical data swapped out by the system may potentially stay in the swap over a long period (i.e. until it is overwritten). To reduce this risk consider setting up a system job which re-encrypts swap, e.g. each time the system is going into a regular shut-down, along with the method of your choice.

Mitähän tuo oikein tarkoittaa? Yksi noista kolmesta tavasta on swapfile, jota itsekin käytän mintissä jonka osio on kryptattu. Miksi sitä swapfileä pitäisi erikseen kryptailla esim. shutdownissa jos se kerran sijaitsee kryptatulla osiolla?

 

[telcoM]

Koska swappiin voi periaatteessa mennä ihan mitä tahansa mitä koneen RAM-muistissa on, ja kopio datasta pysyy siellä kunnes se ylikirjoitetaan, tietoturvamielessä suositeltavin tapa käyttää swappia on arpoa konetta käynnistettäessä satunnainen salausavain jota ei tallenneta mihinkään, jolloin koneen sammutuksen jälkeen swapin salausavainta ei ole enää tallessa yhtään missään ja swappiin mahdollisesti kirjoittuneet salaisuudet hukatun salausavaimen takana ovat käytännössä merkityksetöntä bittikohinaa jos salaus oli kunnollinen.

Tällöin swappia ei kuitenkaan voi käyttää hibernaatioon (suspend-to-disk), koska RAM-muistin virran katkeamisen jälkeen swapissa olevalla hibernaatioimagella ei tee yhtään mitään jos sen avainta ei ole enää käytettävissä. Eli jos käytät suspend-to-disk toimintoa, olisi hyvä huolehtia että swapin kryptausavain tulee aina välillä vaihdetuksi, niin riski siitä että swappiin jäisi makaamaan epämääräisen pitkäksi ajaksi kopio jostain luottamuksellisesta tiedostosta jonka luulet asianmukaisesti hävittäneesi käyttötarpeen loputtua jo ajat sitten.

Eli kysymys on siitä että sitten kun tieten tahtoen tuhoat jonkin arkaluontoisen tiedoston ja ylikirjoitat sen (+ tiedostojärjestelmässä olevan vapaan tilan, jos tiedostoa käyttävä sovellus harrastaa tilapäistiedostojen tekoa) voit olla varsin varma että koneellasi ei enää ole ainoatakaan kopiota siitä arkaluontoisesta tiedosta missään muodossa, ja voit ainakin sen asian puolesta vaikka antaa koneen salasanan huoletta hyökkääjälle, jos vaihtoehtona on saada suolatut bambutikut kynsien alle tai muuta ikävää.

 

[TenderBeef]

Eli jos käytät suspend-to-disk toimintoa, olisi hyvä huolehtia että swapin kryptausavain tulee aina välillä vaihdetuksi

Jos tarvitsee kuvailemasi kaltaista turvatasoa, niin miten tämä onnistuu swapfilen kanssa joka sijaitsee kryptatulla osiolla (jossa myös koko järjestelmä)?

 

[JiiPee]

Jos tarvitsee kuvailemasi kaltaista turvatasoa, niin miten tämä onnistuu swapfilen kanssa joka sijaitsee kryptatulla osiolla (jossa myös koko järjestelmä)?

Luomalla se swapfile aina bootissa uudelleen käyttämällä avaimena vaikka /dev/random ulostetta jota ei talleteta minnekkään.

 

[TenderBeef]

Mutta kun ei swapfileessä ole mitään kryptausta erikseen, se file on osiolla joka on kokonaan kryptattu. Ja kuten telcoM tuossa yllä sanoi, swapfileä ei silloin edes pystyisi käyttämään hibernateen.

EDIT: Ylikirjoittaminenkaan ei taida toimia jos levynä on SSD/NVMe.

Swapfilen käyttö hibernateen tarvitsee GRUBiin pari parametriä jotta osion kryptauksen avaamisen jälkeen järjestelmä osaa palauttaa tilanteen swapfilestä:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash resume=UUID=<UUID tähän> resume_offset=<offset tähän>"

 

[TenderBeef]

EndeavourOS tai Manjaro, joista ainakin itse suosin ensiksi mainittua.

Katselin tuossa Manjaron eri työpöytävideoita ja latasin xfce:n ja KDE:n joita katson vielä itse livenä. Oliko sulla joku erityinen juttu miksi valitsit juuri EndeavourOS:n?

 

[=JP=]

Katselin tuossa Manjaron eri työpöytävideoita ja latasin xfce:n ja KDE:n joita katson vielä itse livenä. Oliko sulla joku erityinen juttu miksi valitsit juuri EndeavourOS:n?

Manjaro ei ole puhdas Arch jakelu, siellä lykätään aina pari viikkoa softien tuloa käyttäjille ja on omat repot sun muuta, kun taasen EndeavourOS käyttää Archin omia repoja, eli kaikki tulee suoraan alkuperäisestä Archin jakelusta.

Tarkemmin Manjarosta:

Manjaro:A Different Kind of Beast

wiki.manjaro.org

Ja EndeavourOS (EndeavourOS):
With the exception for our in-house developed reflector-auto, eos-welcome, a kernel manager and the eos-update-notifier, all the packages are directly installed from the Arch repos or the AUR, so there are no customized or modified packages coming from our own repo. We want to stay as close to Archlinux as possible.

 

[TenderBeef]

Manjaro ei ole puhdas Arch jakelu, siellä lykätään aina pari viikkoa softien tuloa käyttäjille ja on omat repot sun muuta

Tämä itseasiassa kuulostaa ihan hyvältä minulle, ei tarvitse olla bleeding-edge, ja jos on jotain kiireellistä turvapäivitystä niin käsittääkseni Manjaro voi hypätä yli tuon "testausvaiheen" ja tuoda suoraan ne pätsit stableen. Ymmärsinkö oikein, että vaikka Manjarolla on omat repot, niin kuitenkin sinne tulee kaikki archin repossa olevat (pienellä viivellä)?

 

[=JP=]

Tämä itseasiassa kuulostaa ihan hyvältä minulle, ei tarvitse olla bleeding-edge, ja jos on jotain kiireellistä turvapäivitystä niin käsittääkseni Manjaro voi hypätä yli tuon "testausvaiheen" ja tuoda suoraan ne pätsit stableen. Ymmärsinkö oikein, että vaikka Manjarolla on omat repot, niin kuitenkin sinne tulee kaikki archin repossa olevat (pienellä viivellä)?

Tästä asiasta on saanut lukea eriäväisiä mielipiteitä paljonkin, riippuu paljon tilanteesta ja käyttäjän tarpeista. Eli Manjaro developerit käsittelee Archin päivitykset (ja tarvittaessa tekevät muutoksia, josta voi olla montaa eri mieltä), jonka jälkeen ne menee jakeluun käyttäjille.

Kannattaa myöskin huomioida, että joidenkin softien päivitysten tulo saattaa kestää jopa kuukausia, jos tarviit jonkun uuden ominaisuuden heti, niin joudut kikkailemaan. Lukee ihan tuolla Manjaron Wikissä:
A consequence of accommodating this testing process is that Manjaro will never be quite as bleeding-edge as Arch. Software may be released to the stable repositories days, weeks, or potentially even months later

 

[Sulava]

Manjaro on sen verran kyseenalainen distro etten suosittelisi sen käyttämistä. Viimeisimpänä draamana projektin rahoista vastannut henkilö käytännössä pakotettiin ulos projektista, koska ei suoraan hyväksynyt devin 2000€ läppärin ostoa projektin rahoilla.

Manjaro viivästyttää vain Archin repossa olevia paketteja, ei AURin. Käytännössä tämän takia voi AURista asennetut paketit hajota, koska ne saattavat olettaa käytössä olevan Archin reposta paketti versiolla X, mutta Manjarolla on käytössä vanhempi versio Y. Tämä on onneksi aika harvinaista, mutta silti mahdollista.
Tietoturvapaketit pusketaan yleensä Manjaron repoon nopeammin, mutta ei aina. Aikoinaan vaihdoin distroa, kun Manjaro ei saanut päivitettyä Firefoxia yli viikkoon, vaikka kyseisessä versiossa oli aktiivisesti hyväksikäytetty haavoittuvuus.
Hieman myös syö distrolta luotettavuutta, kun kotisivun SSL sertifikaatti unohdetaan uusia useampaan kertaan.

EndeavourOS vaikuttaa paljon fiksummalta vaihtoehdolta, vaikka omakohtaista kokemusta siitä ei olekaan.

 

[JiiPee]

Mutta kun ei swapfileessä ole mitään kryptausta erikseen, se file on osiolla joka on kokonaan kryptattu. Ja kuten telcoM tuossa yllä sanoi, swapfileä ei silloin edes pystyisi käyttämään hibernateen.

EDIT: Ylikirjoittaminenkaan ei taida toimia jos levynä on SSD/NVMe.

Swapfilen käyttö hibernateen tarvitsee GRUBiin pari parametriä jotta osion kryptauksen avaamisen jälkeen järjestelmä osaa palauttaa tilanteen swapfilestä:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash resume=UUID=<UUID tähän> resume_offset=<offset tähän>"

No siis tehdään tiedosto joka cryptataan ja dm ottaa sen sitten hallintaansa ja swappi sitten tehdään osoittamalla sitä tiedostoa dm:n läpi.
Ylikirjoittamisella ei ole mitään väliä koska sen swappitiedoston rippeet jota mahdollisesti asemalle jää on salattu avaimella josta ei ole mitään tietoa bootin jälkeen eli se näkyy täysin random datana.

Tuossa jotain juttua lisää ja myös jotain lätinää että voipi olla ongelmia.

How do I set up an encrypted swap file in Linux?

2017 WARNING! The accepted answer appears to work, but with recent kernels I discovered that the system would hang as soon as it started swapping. If you attempt using an encrypted swap file, make...

unix.stackexchange.com

 

[=JP=]

Ei mielestäni kannata foliopipoa kuiteskaa noin tiukalle kiristää, kyllä riittää tuollainen normaali levyjen kryptaus perus käyttäjälle, ei siellä nyt niin tärkeitä maailman salaisuuksia voi olla koneella, että pitää alkaa kikkailee kaikenlaista. Se myöskin taasen aiheuttaa sen, että pikkasen menee bitti vinoon taikka itse tekee jonkun virheen, niin katoaa ne tiedostot samantein bittiavaruuteen, ellei sitten halua harrastuksen vuoksi alkaa säätämään ja on tietoinen mahdollisista ongelmista...

 

[TenderBeef]

No siis tehdään tiedosto joka cryptataan ja dm ottaa sen sitten hallintaansa ja swappi sitten tehdään osoittamalla sitä tiedostoa dm:n läpi.
Ylikirjoittamisella ei ole mitään väliä koska sen swappitiedoston rippeet jota mahdollisesti asemalle jää on salattu avaimella josta ei ole mitään tietoa bootin jälkeen eli se näkyy täysin random datana.

Jos nyt ymmärsin oikein, niin tämä ei onnistu jos haluaa suspend-to-disk/hibernatea käyttää. En oikein ymmärrä miksi olet nyt jo muutaman kerran tämän pointin ohittanut kokonaan.

Ei mielestäni kannata foliopipoa kuiteskaa noin tiukalle kiristää, kyllä riittää tuollainen normaali levyjen kryptaus perus käyttäjälle, ei siellä nyt niin tärkeitä maailman salaisuuksia voi olla koneella, että pitää alkaa kikkailee kaikenlaista.

Samaa mieltä, tämä keskustelu oli ihan vain mielenkiinnosta miten asia hoituisi.. tosin jos olisi selvinnyt, että tuollaisen setupin saisi helposti ja ilman mitään penalttia niin sellaisen toki olisi voinut laittaa.

 

[JiiPee]

Jos nyt ymmärsin oikein, niin tämä ei onnistu jos haluaa suspend-to-disk/hibernatea käyttää. En oikein ymmärrä miksi olet nyt jo muutaman kerran tämän pointin ohittanut kokonaan.

Jos se maksimaalinen tietoturha on tarkoitus saada, niin silloin moisista ominaiosuuksista on varmasti valmis luopumaan. Ja pääasiassa vastasin sinun vänkäämiseen ettei ssd:llä voi ylikirjoittaa johon kerroin että sillä ei ole mitään väliä jos se swapfile luodaan aina bootissa uudelleen random avaimella jota ei minnekkään talleteta.

 

[TenderBeef]

Vaikea äijä, puhut asian sivusta ja sitten rupeat kutsumaan vänkääjäksi... opettele lukemaan ja ymmärtämään mistä on kyse ja kommentoi sitä.

---

Katselin tuossa Manjaron xfce:tä ja kyllä sielläkin official repoissa on jonnin verran vanhaa softaversiota, ainakin niistä mitä itse katselin. Osa oli ihan tuoretta että siltä osin vähän parempi tilanne kuin mintissä.

 

[Lammas]

Töissä on käytössä joku tyhmä "Windows-jako" (en tiedä mikä on oikea termi), joka toimii siten, että kun Windowsin tiedostohallinnassa kirjoittaa osoiteriville "\\jotain", niin avautuu tavallista kansiosisältöä muistuttava näkymä, jossa on listattu useampi kansiota muistuttava kohde, jotka ei fyysisesti sijaitse omalla koneella vaan jossain serverillä, mutta joita voi käyttää kuten tavallisia kansioita. Siis esim. tässä tuo BRINK-W10PC parissa ekassa kuvassa vastaa omassa tapauksessani "jotain":ta.

Jos mulla on työläppäri kotona, niin voin Windowsissa toimia täsmälleen samalla tavalla kuin töissä, kunhan olen ensin avannut VPN-yhteyden Pulse Secure -ohjelmalla. Ubuntussa osaan avata VPN-yhteyden openconnect-ohjelmalla, joka näyttäisi toimivan, koska jos esim. menen Google Mapsiin niin se ehdottaa sijainnikseni työpaikkaa eikä kotia. En kuitenkaan saa otettua yhteyttä noihin "Windows-jakoihin". Olen yrittänyt seuraavaa:

smbclient -L \\\\jotain.yritys.com -W YRITYS -n KONENIMI

Tuloksena on "do_connect: Connection to jotain.yritys.com failed (Error NT_STATUS_NETWORK_UNREACHABLE)". Tässä YRITYS ja KONENIMI on samat kuin läppärin Windowsissa on määritelty domainiksi (?) ja tietokoneen nimeksi. Töissä Ubuntu-virtuaalikoneessa tuo sama smbclient-komento toimii hyvin. Pitääkö vikaa lähteä etsimään openconnectista vai smbclientistä, vai jostain muusta?

edit: Tuo URL "jotain.yritys.com" on siis päätelty ihan maalaisjärjellä ja testasin myös Windowsissa että se toimii samalla tavalla explorerissa kuin pelkkä "jotain".

 

[JiiPee]

Tuloksena on "do_connect: Connection to jotain.yritys.com failed (Error NT_STATUS_NETWORK_UNREACHABLE)". Tässä YRITYS ja KONENIMI on samat kuin läppärin Windowsissa on määritelty domainiksi ja tietokoneen nimeksi. Töissä Ubuntu-virtuaalikoneessa tuo sama smbclient-komento toimii hyvin. Pitääkö vikaa lähteä etsimään openconnectista vai smbclientistä, vai jostain muusta?

Voi olla ettei se linux kykene resolvaan sitä palvelimen ip osoitetta, kaiva se ip osoite windows koneella ja koita suoraan ip:llä.

 

[Lammas]

Voi olla ettei se linux kykene resolvaan sitä palvelimen ip osoitetta, kaiva se ip osoite windows koneella ja koita suoraan ip:llä.

Windowsin ping antaa saman ipv6-osoitteen kuin linuxin host (riippumatta onko VPN:n päällä vai ei). Jos lisään tuohon smbclient-komentoon perään "-I 12345" missä 12345 on ipv6-osoite, niin mikään ei muutu (paitsi virheilmoituksessa on URL:n sijasta IP).

edit: Jos laitan URL:n tilalle jotain roskaa jota ei oikeasti ole olemassa, niin tulee eri virheilmoitus: "Error NT_STATUS_UNSUCCESSFUL".

 

[JiiPee]

Windowsin ping antaa saman ipv6-osoitteen kuin linuxin host (riippumatta onko VPN:n päällä vai ei). Jos lisään tuohon smbclient-komentoon perään "-I 12345" missä 12345 on ipv6-osoite, niin mikään ei muutu (paitsi virheilmoituksessa on URL:n sijasta IP).

edit: Jos laitan URL:n tilalle jotain roskaa jota ei oikeasti ole olemassa, niin tulee eri virheilmoitus: "Error NT_STATUS_UNSUCCESSFUL".

Jos se antaa saman ip:n oli vpn päällä taikka ei niin se on sitten väärä osoite johon koitat ottaa kiinni koska firmassa tuskin on samba auki julkiseen verkkoon. Koitas mitä windowsissa nslookup palvelin ja palvelimeksi ainoastaan se minkä siellä windowsissa näet palvelimen nimenä josta jaot näkyy.

 

[Lammas]

Jos se antaa saman ip:n oli vpn päällä taikka ei niin se on sitten väärä osoite johon koitat ottaa kiinni koska firmassa tuskin on samba auki julkiseen verkkoon. Koitas mitä windowsissa nslookup palvelin ja palvelimeksi ainoastaan se minkä siellä windowsissa näet palvelimen nimenä josta jaot näkyy.

Windowsin nslookup antoi VPN päällä tuon ipv6-osoitteen lisäksi toisenkin IP-osoitteen (ipv4). Kun laitan sen Linuxissa VPN päällä smbclientin I-vivun perään, niin tulee uusi virheilmoitus: "Error NT_STATUS_IO_TIMEOUT".

Minulla on muuten Linuxissa sama käyttäjänimi kuin Windowsissa, joten U-vipua ei kai tarvitse. Mutta kokeilin sitäkin, ei vaikutusta.

 

[runboy93]

Ei hitsi kauan meni etsiessä kuinka lubuntussa saa poistettua touchpadin käytöstä pysyvästi, tehokkain ratkaisu oli blacklist, muut toimivat vain session ajan ja taas oli mennyt päälle uudelleenkäynnistyksen jälkeen, blacklist pitää varmasti pois päältä, muissa ubuntu flavoreissa on ilmeisesti ihan hiiriasetuksissa asetus jolla saa touchpadin helposti kytkettyä pois päältä.

 

[ississ]

Töissä on käytössä joku tyhmä "Windows-jako" (en tiedä mikä on oikea termi), joka toimii siten, että kun Windowsin tiedostohallinnassa kirjoittaa osoiteriville "\\jotain", niin avautuu tavallista kansiosisältöä muistuttava näkymä, jossa on listattu useampi kansiota muistuttava kohde, jotka ei fyysisesti sijaitse omalla koneella vaan jossain serverillä, mutta joita voi käyttää kuten tavallisia kansioita. Siis esim. tässä tuo BRINK-W10PC parissa ekassa kuvassa vastaa omassa tapauksessani "jotain":ta.

\\jotain tarkoittaa palvelimen nimeä. Sen "alta" löytyy levyjakotunnuksia joihin viitataan suoraan windowsissa tyyliin \\palvelin\jako

Jos mulla on työläppäri kotona, niin voin Windowsissa toimia täsmälleen samalla tavalla kuin töissä, kunhan olen ensin avannut VPN-yhteyden Pulse Secure -ohjelmalla. Ubuntussa osaan avata VPN-yhteyden openconnect-ohjelmalla, joka näyttäisi toimivan, koska jos esim. menen Google Mapsiin niin se ehdottaa sijainnikseni työpaikkaa eikä kotia. En kuitenkaan saa otettua yhteyttä noihin "Windows-jakoihin". Olen yrittänyt seuraavaa:

smbclient -L \\\\jotain.yritys.com -W YRITYS -n KONENIMI

Tuloksena on "do_connect: Connection to jotain.yritys.com failed (Error NT_STATUS_NETWORK_UNREACHABLE)". Tässä YRITYS ja KONENIMI on samat kuin läppärin Windowsissa on määritelty domainiksi (?) ja tietokoneen nimeksi. Töissä Ubuntu-virtuaalikoneessa tuo sama smbclient-komento toimii hyvin. Pitääkö vikaa lähteä etsimään openconnectista vai smbclientistä, vai jostain muusta?

edit: Tuo URL "jotain.yritys.com" on siis päätelty ihan maalaisjärjellä ja testasin myös Windowsissa että se toimii samalla tavalla explorerissa kuin pelkkä "jotain".

Eli sulla on windows- kone jossa pyörii virtuaalilinux.
Molemmista ei kannata pitää vpn- putkeä päällä samaan paikkaan.
Itselläni on vastaavassa tilanteessa toiminut hyvin että laittaa virtuaalikoneen verkon nat- tilaan jolloin koko hostin verkko on virtuaalin käytössä, myös vpn- yhteydet (= molemmilla pääsee/ei pääse samopihin paikkoihin).
Tässä mallissa otat siis normaalin pulse vpn- yhteyden windowsista ja molemmissa toimii samat yhteydet. Pitäisi toimia myös sama dns.
Toimii ainakin vmware ja virtualbox kanssa.

 

[Lammas]

Eli sulla on windows- kone jossa pyörii virtuaalilinux.
Molemmista ei kannata pitää vpn- putkeä päällä samaan paikkaan.
Itselläni on vastaavassa tilanteessa toiminut hyvin että laittaa virtuaalikoneen verkon nat- tilaan jolloin koko hostin verkko on virtuaalin käytössä, myös vpn- yhteydet (= molemmilla pääsee/ei pääse samopihin paikkoihin).
Tässä mallissa otat siis normaalin pulse vpn- yhteyden windowsista ja molemmissa toimii samat yhteydet. Pitäisi toimia myös sama dns.
Toimii ainakin vmware ja virtualbox kanssa.

Siis työläppärissä, jota tämä ongelma koskee, ei ole virtuaalikonetta vaan ihan dual boot. Työpaikalla sijaitsevassa pöytäkoneessa sen sijaan on windows, ja siinä virtualboxissa ubuntu-guest. Pöytäkoneessa siis kaikki toimii, ja konfiguraatio on juuri sellainen kuin kuvailit eli vpn-yhteys otetaan vain windowsissa. Lähinnä tuon virtuaalikoneen tarkoituksena tässä oli varmistaa, että olen ymmärtänyt smbclientin syntaksin oikein (kenoviivojen lukumäärä yms.).

Tuolla n-vivulla (clientin netbios-nimi) ei muuten ole vaikutusta mihinkään. En tiedä mikä sen pointti on. Eikö autentikointi tapahtuu pelkän usernamen, salasanan, ja ehkä workgroupin perusteella?

 

[ississ]

Siis työläppärissä, jota tämä ongelma koskee, ei ole virtuaalikonetta vaan ihan dual boot. Työpaikalla sijaitsevassa pöytäkoneessa sen sijaan on windows, ja siinä virtualboxissa ubuntu-guest. Pöytäkoneessa siis kaikki toimii, ja konfiguraatio on juuri sellainen kuin kuvailit eli vpn-yhteys otetaan vain windowsissa. Lähinnä tuon virtuaalikoneen tarkoituksena tässä oli varmistaa, että olen ymmärtänyt smbclientin syntaksin oikein (kenoviivojen lukumäärä yms.).

Tuolla n-vivulla (clientin netbios-nimi) ei muuten ole vaikutusta mihinkään. En tiedä mikä sen pointti on. Eikö autentikointi tapahtuu pelkän usernamen, salasanan, ja ehkä workgroupin perusteella?

Pystyykö läppärissä käyttämään virtuaalia jos se ratkaisee ongelman ?
En muista koskaan käyttäneeni n- vipstaakia.

 

[Lammas]

Pystyykö läppärissä käyttämään virtuaalia jos se ratkaisee ongelman ?
En muista koskaan käyttäneeni n- vipstaakia.

Kyseessä on jonkun entisen työntekijän ylijäämäläppäri, jonka Windows toimii niin hitaasti, että samalla vaivalla menee toimistoon ja tekee asiat siellä. Sen takia asensin Linuxin.

Muutenkin olen kyllästynyt virtuaalikoneisiin, koska GPU ei toimi, ja on kaikkia ärsyttäviä pikkubugeja. Esimerkiksi KDE-sovelluksissa ei vieläkään voi liikuttaa hiirtä ja skrollata hiiren rullalla samanaikaisesti. En ole tosin kokeillut muita virtuaalikoneohjelmia kuin virtualbox.

 

[ississ]

Kyseessä on jonkun entisen työntekijän ylijäämäläppäri, jonka Windows toimii niin hitaasti, että samalla vaivalla menee toimistoon ja tekee asiat siellä. Sen takia asensin Linuxin.

Muutenkin olen kyllästynyt virtuaalikoneisiin, koska GPU ei toimi, ja on kaikkia ärsyttäviä pikkubugeja. Esimerkiksi KDE-sovelluksissa ei vieläkään voi liikuttaa hiirtä ja skrollata hiiren rullalla samanaikaisesti. En ole tosin kokeillut muita virtuaalikoneohjelmia kuin virtualbox.

Joo, käytettävyys riippuu kyllä koneesta.
Oman kokemuksen perusteella vmware toimii huomattavasti sujuvammin kuin vbox.
Mutta takaisin alkuperäiseen ongelmaan eli levyjakoihin.
Voi olla että pulse on konffattu tarkastamaan tiettyjä asioita koneesta ja sen mukaan saa yhteyksiä tai ei.
Yksi helppo testi on ottaa yhteys molemmilla käyttiksillä ja tallentaa reittitaulu. Ja lopuksi vertaa saako molemmilla samat reitit.

 

[ississ]

Ubuntussa osaan avata VPN-yhteyden openconnect-ohjelmalla, joka näyttäisi toimivan

Ehkä kannattaisi kokeilla ubuntussa pulsen omaa clienttia kun sellainenkin löytyy linuxille.

 

[telcoM]

Jos tarvitsee kuvailemasi kaltaista turvatasoa, niin miten tämä onnistuu swapfilen kanssa joka sijaitsee kryptatulla osiolla (jossa myös koko järjestelmä)?

Eli siis mitä tuollaisessa tapauksessa kannattaa tehdä sen jälkeen kun erittäin arkaluontoinen tiedosto on tehtävänsä tehnyt ja ylikirjoitettu esim. shred-komennolla? No silloin sanotaan "swapoff -a", ylikirjoitetaan swappitiedosto myös shred-komennolla, alustetaan se uudestaan mkswap-komennolla ja sitten taas "swapon -a"-komennolla swappi takaisin käyttöön.

Jos on aikaa ja/tai epäilys että jokin ohjelma teki arkaluontoisista tiedoista tilapäiskopioita, sitten kirjoitetaan vielä kaikki levyn tyhjä tila kertaalleen täyteen puppaa /dev/urandomista (tähänkin on muistaakseni jokin valmis komento...) ennen kuin lähdetään läppärin kanssa liikkeelle turvallisesta käyttöpaikasta.

SSD-levyjen kanssa "fstrim"-komento saattaa olla suunnilleen yhtä hyvä kuin levyn vapaan tilan täyttäminen roskalla... jos levyn valmistajaan on luottamista, ja jos tarkoitus ei ole peittää myös sitä kuinka paljon dataa levyllä on.

 

[telcoM]

Töissä on käytössä joku tyhmä "Windows-jako" (en tiedä mikä on oikea termi), joka toimii siten, että kun Windowsin tiedostohallinnassa kirjoittaa osoiteriville "\\jotain", niin avautuu tavallista kansiosisältöä muistuttava näkymä, jossa on listattu useampi kansiota muistuttava kohde, jotka ei fyysisesti sijaitse omalla koneella vaan jossain serverillä, mutta joita voi käyttää kuten tavallisia kansioita.

Windows-levyjako, tunnetaan myös SMB-protokollana, toimii nykyisin TCP-portissa 445.
Joskus muinoin ennen WannaCry-matoa saman protokollan ykkösversio saattoi käyttää myös TCP- ja UDP-portteja 137..139, vaan WannaCry:n jälkeen SMB-protokollan ykkösversiota ei pidä käyttää enää yhtään missään.

Jos mulla on työläppäri kotona, niin voin Windowsissa toimia täsmälleen samalla tavalla kuin töissä, kunhan olen ensin avannut VPN-yhteyden Pulse Secure -ohjelmalla. Ubuntussa osaan avata VPN-yhteyden openconnect-ohjelmalla, joka näyttäisi toimivan, koska jos esim. menen Google Mapsiin niin se ehdottaa sijainnikseni työpaikkaa eikä kotia.

Voi hyvinkin olla että Pulse Secure-ohjelmalla avattavalle VPN:lle sallitaan työpaikan päässä eri asiat kuin OpenConnect-VPN:lle.
Tätä pitää kysyä työpaikan IT-ihmisiltä, ei julkiselta webbifoorumilta.

Tuolla n-vivulla (clientin netbios-nimi) ei muuten ole vaikutusta mihinkään. En tiedä mikä sen pointti on. Eikö autentikointi tapahtuu pelkän usernamen, salasanan, ja ehkä workgroupin perusteella?

Sillä oli jotain merkitystä aikanaan SMB-protokollan ykkösversiota ja vanhempia Windows-palvelimia käytettäessä, mutta nykyisin sillä ei pitäisi enää olla vaikutusta. Ja kyllä, Windows-työryhmän/toimialueen (workgroup/domain) nimi on todennäköisesti mukana autentikoinnissa, koska protokollan sisäisesti käyttäjätunnus välitetään muodossa toimialue\tunnus, eli OMAKONE\LAMMAS on eri tunnus kuin TYÖPAIKKA\LAMMAS tai TYÖKONE\LAMMAS.

 

[TenderBeef]

Linuxmatka jatkuu vaikka välillä tuntuu, että on 10 000 metrin aitajuoksukisa menossa. Ongelmaksi tuli nyt verkkojakojen hitaus. Windows-puolella tulee se about max. 110 megaa kumpaan suuntaan vaan gigabitin verkossa, mutta linuxissa (jaot avattu/mountattu nemosta) voi tiedonsiirrot jäädä jopa kolmasosaan! En taida olla ensimmäinen jolla samat ongelmat. Mitenkäs teillä? Onko löytynyt jotain asetuksia/toimenpiteitä joilla tiedonsiirron saisi windowsin tasolle? Onko jakojen avaus/mounttaus nemosta oikea/paras tapa? Katsoin synologyn lokista, että yhteydenotot jakoihin tapahtui samalla CIFS(SMB3) tavalla kuin windowsin puolellakin, eli siitä ei ole ainakaan kysymys. Tämä asia on vähän pakko saada jotenkin kuntoon.

Muutenkin verkkojaoissa olevien tiedostojen kanssa työskentely on selvästi vaikeampaa kuin windowsissa. Esim. nemossa hiiren context-menussa paikallisella levyllä olevalle iso-tiedostolle tulee tällaisia toimintoja:

Open with disk image mounter
Open with -> Archive manager
Open with -> Disk image writer
Check SHA256
Make bootable USB stick
Mount archive
Send by email
...

Mutta verkkojaolla olevalle iso-tiedostolle on vain nämä tarjolla:

Open
Open with other applications...
Make bootable USB stick
Send by email
...

Sain ison mountattua tuon "Open with other applications..." kautta (disk image mounter). Tuli devices kohtaan näkyviin nemossa ja toimi ihan hyvin mutta sen pois ottaminen ei sitten ollutkaan yhtä helppoa. Vaikka sen unmounttasi siitä devices kohdasta, se jäi siihen unmountattuna ja tietenkin iso tiedosto on lukittuna sen takia. Piti avata "disks" ohjelma josta sai sen lopullisesti pois.

Synologyn nassi ottaa snapshotteja jostain levyjaoistani ja ne näkyvät ei-salatuissa levyjaoissa "#snapshot" kansiossa. Jostain kumman syystä linuxin puolella tuossa kansiossa näkyy vain viimeisin snapshot kansio, esim. "GMT+03-2020.10.01-06.25.03" kansio mutta ei muita vanhempia kansioita. En ymmärrä tätäkään ollenkaan. Miten nämä verkkojakoasiat ovat niin heikosti toimivia linuxin puolella? Vai onko minun setupissa jotain ongelmaa.. tai itse mintissä?


Sivukysymyksenä; mitä pakattujen tiedostojen softaa käytätte? Mintin defaultsofta on aivan avuton ja ei edes osaa lukea kaikkia paketteja, erroria vaan pukkaa. Peazip:iä kokeilin ja se ainakin osasi paketteja availla/purkaa mutta en yhtään pitänyt sen käyttöliittymästä. Lisäksi sitä ei taida saada nemon context-menuihin mitenkään*? Ja sen päivityksiä pitäisi kytätä manuaalisesti, ei mikään deal-breaker mutta ei kiva, varsinkaan jos softia on enemmän mitä joutuu manuaalisesti tsekkailemaan ja päivittelemään.

* EDIT: Tarkoitan tietenkin, että ei ole "extract here" / "extract to..." / "add to archive/zip", yms. optioita siellä menussa suoraan.

 

[JiiPee]

Onko nussinassissa jumbo framet päällä? Ittellä ainakin on ollut samban kanssa ongelmia jumbo frameilla, en jaksanu leikkiä ja otin pois sen kokonaan. Hiukan siinä perffi hittiä tulee mutta parempi se että toimii kuin että ei toimi välillä ollenkaan.

 

[TenderBeef]

Onko nussinassissa jumbo framet päällä?

Ei löydy mitään siihen viittaavaa asetusta ainakaan gui:n puolelta.

 

[JiiPee]

Ei löydy mitään siihen viittaavaa asetusta ainakaan gui:n puolelta.

Jos jossain näyttää MTU koon niin 9000 on jumpo päällä 1500 on poijes.

 

[TenderBeef]

Jos jossain näyttää MTU koon niin 9000 on jumpo päällä 1500 on poijes.

Helpissä ja guissa on maininta MTU:sta: "SMB2 and Large MTU" kohdasta "Maximum SMB protocol".

Itsellä seuraavat asetukset synossa:



SMB1 on pakko olla päällä kun on käytössä sellainen mediatoistin tuolla olkkarissa, että se ei osaa muita kuin SMB1:sen. Pitäisikö tai olisiko hyvä jotain noista asetuksista muuttaa? Windowsin kanssa on kuitenkin toiminut hyvin. Esim. "Apply default UNIX permissions", pitäisikö tuolla olla päällä (ei auta nopeusongelmaan mutta muuten)?

 

[kaakau<"'\\/>]

Sivukysymyksenä; mitä pakattujen tiedostojen softaa käytätte? Mintin defaultsofta on aivan avuton ja ei edes osaa lukea kaikkia paketteja, erroria vaan pukkaa. Peazip:iä kokeilin ja se ainakin osasi paketteja availla/purkaa mutta en yhtään pitänyt sen käyttöliittymästä. Lisäksi sitä ei taida saada nemon context-menuihin mitenkään*? Ja sen päivityksiä pitäisi kytätä manuaalisesti, ei mikään deal-breaker mutta ei kiva, varsinkaan jos softia on enemmän mitä joutuu manuaalisesti tsekkailemaan ja päivittelemään.

* EDIT: Tarkoitan tietenkin, että ei ole "extract here" / "extract to..." / "add to archive/zip", yms. optioita siellä menussa suoraan.

Komentorivisoftia paketeista, tar, unzip, gzip, dpkg jne..

Verkkolaitteiden framekoon saat selville komennolla: ip link show tai ifconfig