LNX Kroeg - Deel 2

Sjah schreef op donderdag 15 mei 2025 @ 13:59:
Als ik @Guus... post lees, zou je bijna denken dat Linux onveilig is, en vraag je je bijna af waarom er geen Antivirus nodig is.

_{Had laatst een vaag app installt, en daarna weer uninstallt, mocht dat malware zijn vraag ik me af of een uninstall afdoende is..}

Ja en nee, nee en ja

Ergens heeft @Guus... een punt, net als @Sjah:

Security, antivirus, en kwetsbaar zijn is van 101 zaken afhankelijk: fysieke toegang, kwetsbare gebruik/standaard instellingen, Linux (en ICT algemeen) draait sterk om vertrouwen.

Onderaan de streep zijn er 101 stuks aan software, libraries, hardware. Firmware, datacenters etc. Welke allemaal een onderdeel en rol hebben in een lange ketting van … vertrouwen.

Er is altijd ergens een kans dat iemand zijn rechten en bevoegdheden misbruikt. Ieder stukje software en bron wat je gebruikt leukt op vertrouwen.

Er is -niets- 100% veilig. Maar ik (en mijn klanten ) zijn in mijn beleving een stuk minder kwetsbaar dan gemiddeld Windows netwerk of servertje.

Maar om nu te stellen dat xorg VS wayland nu zo’n gigantisch verschillend zijn, acht ik beperkt. Zelfde geld over de meeste pakketjes of bundels: deze download je ergens, daarbij vertrouwen we de bron, de isp verbinding, de ontwikkelaars, de controle systemen, etc etc

Security en veiligheid is nooit klaar - en kunt het super strak maken. Maar ergens ligt een balans tussen bruikbaarheid en geaccepteerd risico

[ Voor 4% gewijzigd door himlims_ op 16-05-2025 01:17 ]

ResuCigam schreef op vrijdag 16 mei 2025 @ 10:10:
[Afbeelding]

Het erge is dat ik ook direct geloof dat dit echt is, Linux gebruikers zijn absoluut een vak apart.

ResuCigam schreef op vrijdag 16 mei 2025 @ 10:10:
[Afbeelding]

Je zag dit natuurlijk ook bij de XZ backdoor. Die targette ook alleen het build proces van .deb en .rpm (meen ik). Waardoor een heel aantal andere distros sowieso al niet vatbaar waren.

RobertMe schreef op vrijdag 16 mei 2025 @ 10:28:
[...]

Je zag dit natuurlijk ook bij de XZ backdoor. Die targette ook alleen het build proces van .deb en .rpm (meen ik). Waardoor een heel aantal andere distros sowieso al niet vatbaar waren.

Alle distros waren vatbaar, die ssh via systemd lieten lopen.

HollowGamer schreef op vrijdag 16 mei 2025 @ 11:55:
[...]

Alle distros waren vatbaar, die ssh via systemd lieten lopen.

Neen. Het extra gebeuren werd tijdens het compilen/packagen uitgevoerd en gebeurde alleen bij .deb en .rpm builds. Hoewel het misbruik wellicht wel zou werken op andere distro's werd dus niet mee gecompileerd voor dir distro's (maar als je de bestanden uit die .deb file zou gebruiken op een andere distro kan het best dat het dan wel "werkte" / je vatbaar was. Maar uiteraard gaat niemand een .deb op bv Arch installeren, voor een package dat gewoon in de Arch repo zit).

Dus dat alle distro's vatbaa/getroffenr waren is gewoon pertinent niet waar.

RobertMe schreef op vrijdag 16 mei 2025 @ 14:27:
[...]

Neen. Het extra gebeuren werd tijdens het compilen/packagen uitgevoerd en gebeurde alleen bij .deb en .rpm builds. Hoewel het misbruik wellicht wel zou werken op andere distro's werd dus niet mee gecompileerd voor dir distro's (maar als je de bestanden uit die .deb file zou gebruiken op een andere distro kan het best dat het dan wel "werkte" / je vatbaar was. Maar uiteraard gaat niemand een .deb op bv Arch installeren, voor een package dat gewoon in de Arch repo zit).

Dus dat alle distro's vatbaa/getroffenr waren is gewoon pertinent niet waar.

Dat is beetje wat bedoelde met mijn bijna logoschenpost hierboven; zo veel factoren die meespelen. Als het allemaal zo’n gaten kaas zou zijn, zou huidig internet niet bestaan

HollowGamer schreef op donderdag 15 mei 2025 @ 21:45:
[...]

Ja, je praat inderdaad te kort door de bocht (sorry).

Sudo is een middel om root te worden, maar dan nog moet je wel in de juiste groep daarvoor zitten. De meeste apps draaien niet meer in root, en met een Flatpak zelfs in een sandbox. Browsers hebben hun eigen sandbox, maar dat is nogal onhandig met Flatpaks, aangezien je twee lagen door moet.

Ook dat is te kort door de bocht
Sudo is een middel om commando's uit te voeren als een andere user waarbij root de default andere user is. Groepen zijn ook niet per se nodig, je kunt gewoon een specifieke user in de configuratie opnemen zonder groep en die toegang geven tot bepaalde commando's als root, als een andere user of toegang tot alle commando's. En dat kan ook weer zonder password, het is maar net hoe je het wil inrichten.

En we zijn weer terug op Arch Linux (cachyos).

Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.

Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.

Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.

Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.

Zeker een aanrader, maar enkel als je geen beginner meer bent.

[ Voor 5% gewijzigd door HollowGamer op 24-05-2025 21:09 ]

HollowGamer schreef op zaterdag 24 mei 2025 @ 21:07:
En we zijn weer terug op Arch Linux (cachyos).

Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.

Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.

Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.

Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.

Zeker een aanrader, maar enkel als je geen beginner meer bent.

Ik ben ook al een jaar bij Cachy en ga nergens meer heen. Je kan er alles op installeren (kan ook een probleem zijn) en out of the box ready. Om toch een beet look and feel te houden met andere distro's draai ik wel een VM.

Wordt Proxmox hier gebruikt? Als ik 3 containers heb voor Samba, NFS en Syncthing, kan ik hetzelfde pad mounten aan de 3 containers zonder problemen? Maak ik 3 verschillende users op de host of maar 1 en map de 3 users van de containers naar hetzelfde user op de host?

Ruitenwisser schreef op maandag 26 mei 2025 @ 13:04:
Wordt Proxmox hier gebruikt? Als ik 3 containers heb voor Samba, NFS en Syncthing, kan ik hetzelfde pad mounten aan de 3 containers zonder problemen? Maak ik 3 verschillende users op de host of maar 1 en map de 3 users van de containers naar hetzelfde user op de host?

Jazekers, is zelfs een apart subforum voor:
Het grote Proxmox VE topic

Stel je vraag daar even.

pporrio schreef op maandag 26 mei 2025 @ 13:53:
[...]

Jazekers, is zelfs een apart subforum voor:
Het grote Proxmox VE topic

Stel je vraag daar even.

Aha, dank hiervoor, had deze over het hoofd gezien.

Vandaag white-hat-hackers op visite voor pentest

Erg leuke en interessante dag gebleken, wat weten die boys toch veel van 101 protocollen en systemen.

Damn voel me zo dom vandaag

Maar, vooruit lopen op rapportage; doen we het stiekem best goed. De meeste fouten en kwetsbaarheden komen voor uit “legacy” de manager met creditcard en illegale systemen.

Ik vind mooi

[ Voor 35% gewijzigd door himlims_ op 26-05-2025 15:36 ]

Vandaag weer kennis gemaakt met een oude liefde...

Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram

Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk

HollowGamer schreef op woensdag 4 juni 2025 @ 21:09:
[...]

Mag ik vragen waarom je het niet met Docker/podman doet?

Als je al een Proxmox machine hebt, waarom dan met een externe container systeem werken wanneer LXC zit ingebakken? Zal dus eenvoud zijn.

Hero of Time schreef op woensdag 4 juni 2025 @ 21:23:
[...]

Als je al een Proxmox machine hebt, waarom dan met een externe container systeem werken wanneer LXC zit ingebakken? Zal dus eenvoud zijn.

Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?

Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.

HollowGamer schreef op woensdag 4 juni 2025 @ 21:35:
[...]

Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?

Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.

Docker + Wireguard is sowieso dikke bullshit. Wireguard is een kernel module. En vervolgens heb je iets in een Docker container draaien dat die kernel features aanspreekt, waarvoor die container dus ook elevated permissions nodig heeft (cap NAT blabla?).
En voor LXC geldt uiteraard hetzelfde.

En in beide gevallen zit je by default in een separate network namespace te rommelen, waardoor hetgeen dat je in de container (Docker of LXC) doet ook weer niet buiten de container zichtbaar is. En ook daarvoor ligt de oplossing weer in meer rechten geven aan de container / minder isolatie toepassen.

Enige dat Docker / LXC vervolgens toevoegt is dat je een prebuild container zult hebben waar waarschijnlijk een user friendly tool in zit. I.p.v. dus (bv) met de hand alle wg ... en ip .... commando's uitvoeren. Maar..., de netwerk tools op het host OS ondersteunen vast ook Wireguard. NetworkManager en systemd-networkd doen dat sowieso (want die gebruik ik ), netplan denk ik ook. Blijft alleen Debians ifupdown / /etc/network/interfaces verhaal over waarvan ik niet weet of die dat kan. * RobertMe draait systemd-networkd op zijn zelfbouw router met plain Debian waarbij Wireguard dus gewoon op de router zit ingebakken, zowel als client (naar een publieke VPN zoals PIA / Nord / ...), een "server" (om vanaf telefoon/laptop van buitenaf te verbinden) en een "mesh" (tussen thuis, router bij familie, en een VPS).

HollowGamer schreef op woensdag 4 juni 2025 @ 21:35:
[...]

Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?

Ligt maar net aan wat je wil doen. Stel dat je een paar distro's wil testen, hoe ga je dat in een container doen dan? Of zakelijk gezien waar nog veel Windows heerst?

Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.

Docker vind ik vreselijk met hun netwerk termen. NAT noemen ze 'bridge', echt, gaat heen met die verwarrende term. Want met bridge denk ik gelijk dat de container als een aparte entiteit op het netwerk gezien wordt, maar dat is het helemaal niet. Als je 't buiten de host bereikbaar moet zijn, moet je poorten opgeven waarover het te benaderen is. Een brug is niet hetzelfde als een sluis!

HollowGamer schreef op woensdag 4 juni 2025 @ 21:09:
[...]

Mag ik vragen waarom je het niet met Docker/podman doet?

Vooral het feit dat LXC al zit ingebakken inderdaad, vind Docker niet zoveel toevoegen in mijn situatie, plus ik vind het wel leuk om het niet kant-en-klaar te starten maar nog enigszins te kunnen doorgronden wat het nou doet

Inflexibel qua resources valt in dit geval dus wel mee, de VM pakt net zoveel ram als de linux container die 'ie verving.

Overigens vind ik het argument van security in het geval van een VPN server ook wel valide, alle howto's die startten met "maak een privileged lxc container aan en doe eerst vanalles op de host" heb ik direct weg geklikt

Vanwege LXC's etc, en het feit dat BSD toch vaak wel wat achterloopt tov Linux, was ik juist meer van BSD naar Linux aan het bewegen. Dit was meer een random test die ineens onverwacht positief uitpakte in het voordeel van BSD.

Hero of Time schreef op woensdag 4 juni 2025 @ 21:46:
[...]

Docker vind ik vreselijk met hun netwerk termen. NAT noemen ze 'bridge', echt, gaat heen met die verwarrende term. Want met bridge denk ik gelijk dat de container als een aparte entiteit op het netwerk gezien wordt, maar dat is het helemaal niet. Als je 't buiten de host bereikbaar moet zijn, moet je poorten opgeven waarover het te benaderen is. Een brug is niet hetzelfde als een sluis!

Tegelijkertijd maken ze wel per (Docker) bridge ook een Linux bridge aan. Containers hangen vervolgens met een virtuele adapter aan die bridge. En die bridge heeft dan zijn eigen subnet, waarbij verkeer naar buiten toe gemasquarade wordt. En naar binnen heb je dan DNAT nodig voor port forwards.

En de bridge die jij bedoelt kan ook. Alleen heet dat dan macvlan / ipvlan. Ook weer gebaseerd op de onderliggende Linux kernel "technieken" die rechtstreeks gebruikt worden.

En puur een bridge "zoals nu" alleen dan waar ook de fysieke adapter in zit kan denk ik ook niet rechtstreeks?Want IIRC kan maar 1 "element" (adapter of de bridge zelf) een IP adres hebben? Terwijl containers allemaal een eigen IP (moeten) hebben en deze dus ook onderling kunnen babbelen op basis van het IP / DNS (automatisch in voorzien door Docker waarbij by default de containernaam ook via DNS resolved naar de container).

strandbal schreef op woensdag 4 juni 2025 @ 18:06:
Vandaag weer kennis gemaakt met een oude liefde...

Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram

Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk

draait hier prima; https://community-scripts...oxVE/scripts?id=wireguard
vervolgens ./pivpn -a user

RobertMe schreef op woensdag 4 juni 2025 @ 23:37:
[...]

Tegelijkertijd maken ze wel per (Docker) bridge ook een Linux bridge aan. Containers hangen vervolgens met een virtuele adapter aan die bridge.

Dat noem ik dan 'internal-only' netwerk, zodat ze onderling kunnen communiceren, eventueel ook met de host.

En die bridge heeft dan zijn eigen subnet, waarbij verkeer naar buiten toe gemasquarade wordt. En naar binnen heb je dan DNAT nodig voor port forwards.

NAT dus.

En de bridge die jij bedoelt kan ook. Alleen heet dat dan macvlan / ipvlan. Ook weer gebaseerd op de onderliggende Linux kernel "technieken" die rechtstreeks gebruikt worden.

Jep, dat ken ik. Met dank aan Qemu/KVM. Het haakt dan aan je fysieke NIC.

En puur een bridge "zoals nu" alleen dan waar ook de fysieke adapter in zit kan denk ik ook niet rechtstreeks?Want IIRC kan maar 1 "element" (adapter of de bridge zelf) een IP adres hebben? Terwijl containers allemaal een eigen IP (moeten) hebben en deze dus ook onderling kunnen babbelen op basis van het IP / DNS (automatisch in voorzien door Docker waarbij by default de containernaam ook via DNS resolved naar de container).

De manier hoe een virtuele (TAP) adapter werkt, zie ik als 2 kanten. Eentje binnen de container, daar hangt het IP adres aan. De andere zijde is bij de host en is onderdeel van de bridge. Die bridge heeft een IP adres, wat door de Host gebruikt wordt voor de eigen communicatie e.d.

Ik heb iig in het verleden een IP adres op zowel de bridge interface als de fysieke interface dat onderdeel was er van. Niet dat het fatsoenlijk werkte, maar het kon wel.

xah5kiDe schreef op vrijdag 9 mei 2025 @ 10:43:
https://www.nporadio1.nl/fragmenten/nieuwsweekend/01962907-9cce-7007-95eb-031cd13e9588/2025-04-12-repair-cafe-heeft-list-om-250-miljoen-computers-van-de-schroot-te-redden
Allemaal aan de Linux, op naar het repair cafe!

Ik heb twee keer geholpen omdat ik toch wel benieuwd was of er ook onder "gewone" mensen nog een beetje animo voor was. Was een succes dus komt er een vervolg op 16 mei:
https://www.repaircafe.org/linux-repair-cafe/

Naar aanleiding van dit bericht, ben ik aan het kijken of het mogelijk is om een Linux Repaircafe te starten in de 'regio Haarlem'. Zijn er Linux deskundigen in die regio die het leuk zouden vinden om hieraan als vrijwilliger mee te werken met hun deskundigheid?
Dan graag een PM / DM

ahbart schreef op dinsdag 10 juni 2025 @ 13:03:
[...]


Naar aanleiding van dit bericht, ben ik aan het kijken of het mogelijk is om een Linux Repaircafe te starten in de 'regio Haarlem'. Zijn er Linux deskundigen in die regio die het leuk zouden vinden om hieraan als vrijwilliger mee te werken met hun deskundigheid?

zo iets is altijd leuk - of er veel draagvlak en vraag is [..] valt nog te bezien. hebben dat hier in dorp paar keer gedaan, was leuke dag, maar niet heel veel werkzaamheden.

himlims_ schreef op dinsdag 10 juni 2025 @ 13:05:
[...]

zo iets is altijd leuk - of er veel draagvlak en vraag is [..] valt nog te bezien. hebben dat hier in dorp paar keer gedaan, was leuke dag, maar niet heel veel werkzaamheden.

In Amsterdam was het een redelijk succes. Daar heeft dit 2 x plaatsgevonden. Met het naderende einde van windows 10, lijkt hier wel wat belangstelling voor te ontstaan.

We zijn geen plek voor werving van mensen. Ik kap het hierbij dus gelijk af. Er zijn andere plekken om personeel/vrijwilligers te vinden.

Ik zal niet melden dat vrijwilligers altijd nodig zijn. Dat is een open deur

Modbreak:

En dan alsnog de topicwarning keihard negeren, heel verhaal plaatsen met een vraag.

Maak een apart topic aan en vraag fatsoenlijk voor hulp waar je tegenaan loopt. Extra wol waarom iets nodig is, is niet direct relevant.

[ Voor 81% gewijzigd door Hero of Time op 11-06-2025 19:10 ]

Vorige week een nieuwe laptop voor mijzelf aangeschaft - de vorige, na 13 jaar, begon soms spontaan uit te vallen.

Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).

En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.

Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.

Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.

vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.

Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)

vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan.

Het zou wel een eerlijker vergelijk zijn om met de Microsoft media creation tool een USB-stick te prepareren. Microsoft werkt de installatie-images continu bij met updates er in, itt de OEMs die dat hooguit na elke jaarlijkse release doen. Je mist dan de OEM software, wat imo eerder een voordeel dan een nadeel is.

RobertMe schreef op maandag 16 juni 2025 @ 12:59:
[...]

Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)

Ik denk dat je gelijk hebt. In m'n herinnering was het een Dell package, maar als ik nu in de package repository van Debian testing zoek naar packages met 'dell' er in, vind ik niets wat er bij past.

Dus bij nader inzien gok ik dat het idd fwupd was die dan een update heeft gedownload waar dan 'dell' in de naam staat.

HollowGamer schreef op maandag 16 juni 2025 @ 13:06:
Vind je het vervelend als ik zeg dat ik 1000 euro voor zo'n specs, een behoorlijk bedrag vind?

Nee, niet vervelend

Ik zocht een laptop waarbij ik het vertrouwen had dat het ding een tijdje mee kan. Bij deze Dell, bedoeld voor de zakelijke markt, vindt je bij Dell zelf handleidingen hoe je allerlei dingen zelf kan repareren/vervangen (CPU koeling bijvoorbeeld). Dat geeft mij dan wel het vertrouwen dat het ding niet als wegwerpprodukt bedoeld is.

Verder... tja, zat eerst naar een goedkoper model te kijken maar deze heeft ook een NPU. Geen idee wat ik daar aan ga hebben, maar stel dat deze weer lang mee gaat, kan ik maar beter zo iets er bij hebben.

Daarnaast kreeg ik bij Dell ook wel het gevoel dat hun produkten - zelfs als niet met Linux leverbaar - wel met Linux in het achterhoofd op de markt gebracht worden.

@vanaalten, ik heb op m'n werk de iets kleinere voorloper, de 5440. Werkt idd wel lekker, maar sleep heb ik wat issues mee, gaat niet altijd goed (wordt regelmatig direct weer wakker) en wanneer ik m'n externe schermen via USB-C heb aangesloten, doet hibernate het niet altijd. Koppel ik ze los, dan geen probleem.

In sommige gevallen mag de prestaties wel wat beter, maar dat is eigenlijk meer een Windows probleem als VM. Want daar merk ik dat de prestaties soms wat achter blijven. Maar zoals gezegd, dat zal wellicht meer een Windows ding zijn, want het staat constant iets te doen en dat is aan het CPU gebruik ook te merken.

@RobertMe, Samsung doet alleen firmwares aanbieden van hun SSDs, maar voor de rest niets. Voor het idee, Acer, 8bitdo, Adata, Fujitsu en nog veel meer fabrikanten leveren firmware voor hun hardware. Samsung maakt meer dan alleen telefoons en SSDs.

RobertMe schreef op maandag 16 juni 2025 @ 12:59:
[...]

Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)

Dell en IBM zijn/waren fanatiek steunend/gebruiker van OSS. (Ik ben er al even uit)

Maar Dell was enkele jaren terug een van de weinige enterprise leveranciers die bij enkele modellen ook met ubuntu(support) verkocht werden

Hoe het zit met FW upgrades geen idee - ik ben altijd beetje sceptisch en terughoudend met (automatische)bios/firmware upgrades. (Maar dat is mijn wantrouwen)

Hedendaagse werkt praktisch iedere laptop(onderdelen) wel icm Linux. Enige wat mij vaak irriteert en beperkt ondersteund wordt; RGB/Fams/bepaalde touchscreens/trackpads en of varianten daarvan.

himlims_ schreef op maandag 16 juni 2025 @ 23:32:
[...]

Dell en IBM zijn/waren fanatiek steunend/gebruiker van OSS. (Ik ben er al even uit)

Maar Dell was enkele jaren terug een van de weinige enterprise leveranciers die bij enkele modellen ook met ubuntu(support) verkocht werden

Hoe het zit met FW upgrades geen idee - ik ben altijd beetje sceptisch en terughoudend met (automatische)bios/firmware upgrades. (Maar dat is mijn wantrouwen)

Hedendaagse werkt praktisch iedere laptop(onderdelen) wel icm Linux. Enige wat mij vaak irriteert en beperkt ondersteund wordt; RGB/Fams/bepaalde touchscreens/trackpads en of varianten daarvan.

Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.

Het klinkt dus spannender dan dat het eigenlijk is

Miki schreef op dinsdag 17 juni 2025 @ 09:07:
[...]

Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.

Het klinkt dus spannender dan dat het eigenlijk is

Volgens mij zijn die updates effectief ook in een standaard bestandsformaat (moet ook wel, want zoveel BIOS merken zijn er niet). Het enige issue is dus daadwerkelijk aan het "ruwe" update bestand komen. Want bij bv Lenovo zit die verpakt in zelfs 2 executables (de een is een "gecomprimeerd" bestand en als die is uitgepakt zit daarin de bios flasher executable die vervolgens weer de ruwe update file bevat)), en zitten er nog wat "headers" bij die je er in ieder geval af moet strippen als je het bios bestand rechtstreeks op de bios chip wilt flashen (zoals ik heb moeten doen met mijn bricked bios).

En hetzelfde geldt ook voor NVME drives. Linux' nmcli kan prima op een standaard manier firmware updates via NVME SSDs doen. Het grote probleem is alleen dat maar weinig fabrikanten de daadwerkelijke firmware file vrijgeven, maar deze dus vaak verpakt zit in een Windows executable.

vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.

Het is op een hoop punten haasje over gegaan. Het is het typische verhaal van de laatste-zullen-de-eerste zijn. MS had lang het voordeel dat hun installatieprocedure niet heel makkelijk hoefde te zijn want de meeste mensen kregen het voorgeinstalleerd bij hun computer. Daarbij zorgde iedere fabrikant er zelf wel voor dat z'n spul compatible was met Windows en de Windows Installer. MS daar ook niet heel veel meer aan te doen dan de drivers testen die de fabrikanten zelf aanleverden.

Linux had dat allemaal niet dus moest er drie keer zo hard gewerkt worden om alles superbetrouwbaar, compatible en gladjes te maken. In mijn ervaring is Linux installeren al minstens 10 jaar makkelijker dan Windows mits je goede drivers hebt voor alle hardware. 10 jaar geleden was dat al prima te doen omdat 90%(?) van de hardware al goed werd ondersteunt, maar die laatste 10% gooide toch vaak roet in het eten.

In de afgelopen 10 jaar is de ondersteuning alleen maar beter geworden, zowel in de breedte als in de diepte. De meeste mainstream hardware wordt out-of-the-box ondersteund en de veel gebruikte drivers zijn in een uitstekende conditie, onder andere omdat veel fabrikanten nu zelf drivers voor Linux schrijven en daar bij de ontwikkeling al rekening mee houden.

Het heeft een ontzettend solide en snelle basis opgeleverd.

Ik heb een kennis die een tijd de gewoonte had om zijn speelcomputer dagelijks te herinstalleren, soms meerdere keren op een dag. Hij kon dat binnen 10 minuten. Een volledige herinstallatie doen was makkelijker dan uitzoeken wat hij verkeerd had gedaan. Daar kun je veel van denken maar de installer deed het goed

RobertMe schreef op dinsdag 17 juni 2025 @ 11:04:
En hetzelfde geldt ook voor NVME drives. Linux' nmcli kan prima op een standaard manier firmware updates via NVME SSDs doen. Het grote probleem is alleen dat maar weinig fabrikanten de daadwerkelijke firmware file vrijgeven, maar deze dus vaak verpakt zit in een Windows executable.

Ik vind het een enorm enge gedachte dat de NetworkManager Command Line Interface ook maar iets met m'n ssd kan doen. En al helemaal met de firmware ervan.

Alle firmware updates lopen in principe via fwupd. Er zijn grafische interfaces omheen, zoals Gnome Firmware, Gnome Software, KDE Discover en meer.

Ik denk dat je flashrom of flashprog bedoelde, die kan firmware zoals BIOS, NIC en andere apparaten direct schrijven. Omschrijving in Debian:

flashprog is a tool for identifying, reading, writing, verifying and erasing flash chips. It's often used to flash BIOS/EFI/coreboot/firmware/optionROM images in-system using a supported mainboard, but it also supports flashing of network cards (NICs), SATA controller cards, and other external devices which can program flash chips.

Hero of Time schreef op dinsdag 17 juni 2025 @ 20:46:
[...]

Ik vind het een enorm enge gedachte dat de NetworkManager Command Line Interface ook maar iets met m'n ssd kan doen. En al helemaal met de firmware ervan.

Alle firmware updates lopen in principe via fwupd. Er zijn grafische interfaces omheen, zoals Gnome Firmware, Gnome Software, KDE Discover en meer.

Ik denk dat je flashrom of flashprog bedoelde, die kan firmware zoals BIOS, NIC en andere apparaten direct schrijven. Omschrijving in Debian:

[...]

Good one, nmcli . Ik bedoelde nvme-cli.

V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.

---

And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop . Is geïnstalleerd met full disk encryption en TPM unlock. Reboot gedaan, bios update geïnstalleerd, en vervolgens moest ik de recovery key invullen
Dat gewoon werkte en dan boote die. Alleen had ik een verkeerde kronkel en dacht ik dat het een secure boot issue was. Eerst gewoon sbctl enroll-keys -m gedaan maar dat gaf een error dat die niks met de keys kon en ik (mogelijk) chattr -i op de errorende bestanden moest doen. Maar daarvan stond niks mij bij van originele installatie, en de Arch wiki vermelde het ook niet. Als gevolg daarvan in de BIOS settings gaan zitten rommelen waardoor ik ineens bij boot op een Dell scherm uit kwam met iets van "HTTP(S) boot" en om met wifi te connecten. En daar kwam ik maar niet vanaf. Waarbij ik mij intussen wel had bedacht dat ik geen SB issue had maar een TPM issue (want het systeem boote gewoon, kreeg Manjaro splash screen en "halverwege" vroeg systemd/luks/... voor de recovery key. Met een SB failure zal die natuurlijk niet beginnen te booten). Conclusie dus dat ik intussen meer stuk had gemaakt dan nodig was.
Toch maar eens op die "HTTP(S) boot" gezocht en daarbij wees het internet uit dat dit gewoon een boot optie is en er geen (werkende) boot optie was. Vervolgens SB ("weer") in audit mode gezet en waarempel, Manjaro startte weer (met uiteraard dan wel vraag naar recovery key). Vervolgens nog eens sbctl enroll-keys -m en weer dezelfde error. Toch maar eens beginnen te typen aan sudo chattr... en hmm, dat commando stond blijkbaar toch in de shell history . Uitgevoerd, nieuwe enroll poging, en succes. Reboot, bios gecheckt, en SB stond weer in de normale modus (oftewel: SB wordt volledig gecontroleerd en afgedwongen), en de boel boote nog steeds.
Dus toen maar weer gepuzzeld om de / een nieuwe enrollment van de/een LUKS key naar de TPM te schrijven en dat was natuurlijk vrij eenvoudig: sudo systemd-cryptenroll /dev/<nvme...> --wipe-slot=tpm2 --tpm2-device=auto. Waarbij die zowel een nieuwe key als ook een token (verwijzende naar die key) aanmaakt voor gebruik met de TPM, deze ook weg schrijft naar de TPM, en als de nieuwe enrollment succesvol is daarna in dit geval een "wipe" doet van alle bestaande tpm2 tokens/keys behalve die wat nu net is aangemaakt. En daarna kwam ik met een reboot weer meteen op het login scherm uit zonder enige interactie.

Oorzaak hiervan zal dus vast samen liggen met het "niveau" tot waar de hard- en software gecontroleerd wordt door de TPM. En dat door de bios update dezelfde hardware niet meer "geldig" was door een wijziging in de (low level) software.

RobertMe schreef op dinsdag 17 juni 2025 @ 21:12:
[...]

Good one, nmcli . Ik bedoelde nvme-cli.

V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.

Gezien het feit dat ik nvme-cli niet geïnstalleerd heb staan, maar wel m'n SSD firmware eens heb bijgewerkt (laptop werk), gok ik zo dat fwupd het ook zelf kan. Het heeft alleen voor m'n WD Black in m'n thuis pc geen firmware bekend.

And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop . Is geïnstalleerd met full disk encryption en TPM unlock. Reboot gedaan, bios update geïnstalleerd, en vervolgens moest ik de recovery key invullen

[heel verhaal over onjuiste conclusie wat mis was gegaan en tpm re-enrollen]

Ik ben niet bekent met jouw methode om LUKS met TPM te unlocken. Op m'n werk heb ik ook LUKS+TPM maar dat doe ik via Clevis. Bij het opstarten staat 'ie wel een paar seconden te wachten bij de vraag om de passphrase, maar daarna gaat 'ie door. Heb nog niet kunnen vinden waar de timeout staat, want zou het liever zien dat 'ie hooguit 1 seconde wacht en doorgaat met TPM en pas bij een fout om de passphrase gaat vragen.

Ik heb ook al meerdere BIOS/UEFI firmware updates gedaan en niet de TPM key opnieuw te moeten enrollen. Maar ik heb SB ook uit staan, m'n log wordt vol gespuugd met een warning als ik met KVM een VM start en dat is alleen als SB aan staat.

Hero of Time schreef op dinsdag 17 juni 2025 @ 21:37:
[...]

Ik ben niet bekent met jouw methode om LUKS met TPM te unlocken.

sbctl dus voor SB en systemd doet volgens mij het LUKS verhaal. systemd-boot gebruik ik maar is denk ik geen vereiste. Daarnaast zitten er ook wat extra dingen in het initramfs image. Procedure zoals hier beschreven op de Arch wiki: https://wiki.archlinux.or...with_TPM2_and_Secure_Boot

Maar ik heb SB ook uit staan, m'n log wordt vol gespuugd met een warning als ik met KVM een VM start en dat is alleen als SB aan staat.

Wat is het nut van FDE met TPM unlocking etc maar geen secure boot? Volgens mij kun je zonder secure boot al gewoon een init=/bin/bash op de boot line/options van de bootmanager gooien en ben je als root ingelogd nadat de TPM de boel geunlocked heeft. Terwijl een boot manager wel slim genoeg is om SB te herkennen en op dat moment het editten van de boot options niet toe te staan. Nog los van dat ik toch meen dat er zonder SB veel meer opties zijn om de TPM uit te lezen / te omzeilen (simpelweg omdata de TPM veel "eerder" de opgeslagen gegevens vrij geeft. Er wordt minder gevalideerd van de "omgeving" waardoor een "onveilige" omgeving toch als "veilig genoeg" wordt aangemerkt en die dus gewoon uit te lezen is).

Als virtualisatie geen log spam zou veroorzaken, of andere zaken die gaat janken hierover, heb ik niet zo'n probleem om SB aan te zetten. Tot die tijd is het eerder een klein kind dan dat het in mijn ogen zin heeft.

FDE is omdat het een zakelijk systeem betreft en we het als beleid hebben. Ik heb ook geen zin om welke keer als ik herstart of van hibernate hervat het wachtwoord in moet vullen. Ik zet m'n laptop in de ochtend aan, pak koffie en kan inloggen/ontgrendelen.

Hero of Time schreef op dinsdag 17 juni 2025 @ 22:44:
FDE is omdat het een zakelijk systeem betreft en we het als beleid hebben.

Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan? Of het beleid om een adequate beveiliging te hebben waar FDE met de juist (lees: veilige) ingestelde unlocking instellingen onder valt?

Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.

* als in: iemand die echt "binnen wilt komen" werkt er zo omheen. Maar als je de laptop op straat verliest zal een willekeurig iemand niet op de power knop kunnen duwen en aan de documenten kunnen, of de SSD er uit kunnen halen en in een ander systeem mounten. Maar als je getarget wordt door een hacker / ... dan is FDE met TPM maar zonder SB bij mijn weten extreem makkelijk te omzeilen.

RobertMe schreef op dinsdag 17 juni 2025 @ 23:05:
[...]

Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan? Of het beleid om een adequate beveiliging te hebben waar FDE met de juist (lees: veilige) ingestelde unlocking instellingen onder valt?

Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.

Zoals het op mijn laptop nu is, is iig dat niet iemand zomaar de disk eruit kan halen of via externe media kan starten en zomaar de data uitlezen. Er moet wat meer gedaan worden. Onze Windows systemen hebben bitlocker en W11 vereist TPM+SB. Maar ook die unlocked vrolijk de schijf als je de aan knop indrukt waarna je op het inlogscherm staat en men alle trucs uit de hoed kan halen om het systeem in te komen. Maar zomaar opstarten van externe media of de schijf eruit halen geeft alsnog geen data op de disk vrij. En daar gaat het om.

* als in: iemand die echt "binnen wilt komen" werkt er zo omheen. Maar als je de laptop op straat verliest zal een willekeurig iemand niet op de power knop kunnen duwen en aan de documenten kunnen, of de SSD er uit kunnen halen en in een ander systeem mounten. Maar als je getarget wordt door een hacker / ... dan is FDE met TPM maar zonder SB bij mijn weten extreem makkelijk te omzeilen.

Als iemand echt wil, komt 'ie overal wel doorheen. Het is alleen de vraag hoeveel moeite het uiteindelijk kost.

HollowGamer schreef op woensdag 18 juni 2025 @ 09:20:
[...]

Helaas doen ze dat zelfs niet. Ik heb voor sommige modellen echt een Windows Live USB moeten opzetten met Rufus, en dan via Samsung Magician de MVMe/SSD moeten upgraden. Dit geld overigens voor nog wel meer firmware upgrades (niet alleen Samsung), die ik helaas nodig had.

Het was iig wat ik zo even snel zag op fwupd.org. WD/Sandisk bied ook firmware aan zeggen ze, maar mijn WD Black SN850X wordt er niet aangeboden, terwijl ik weet dat er nieuwere firmware is. Sandisk, het bedrijf dat WD heeft overgenomen, biedt niet eens de firmware als aparte download aan, het moet via een of ander dashboard software zut. Ook wel bedroevend.

HollowGamer schreef op woensdag 18 juni 2025 @ 09:22:
[...]

Hij bedoelt de nvme-cli commando. Daar kun je inderdaad upgrades mee doen, en ook een controller reset enzo.

Dat zei 'ie al. Maar dat is geen vereiste voor het updaten van de firmware van je ssd als fwupd deze in z'n repo heeft.