:strip_exif()/u/7689/Copicon.gif?f=community)
:strip_icc():strip_exif()/u/289675/crop6401bf2c85501_cropped.jpg?f=community)
Het stomme is dus dat SB dus wel werkt, maar hij sinds de laatste update aangeeft dat het niet volledig werkt. Of interpreteer ik het verkeerd?:
[...]
Ja.
[...]
Ik niet. Maar mijn laatste BIOS update is alweer een tijdje geleden.
spoiler:Wat een beknopte vraag. Hoe moeten we hier nu op antwoorden?Je geeft niet aan welke hardware (behalve "sinds laatste BIOS update", maar waarvan dan?), je geeft niet aan welke distro, .... Daar kunnen we toch niks mee
En in mijn geval, Manjaro, met een eigen key, op een Dell laptop (waar ik al een aantal maanden geen firmware updates / update check op gedaan heb). En met een eigen key verwacht ik niet dit soort problemen. En zal @Hero of Time vast op het juiste pad zitten. Waarschijnlijk iets met een shim die door MS ondertekend is en dat die keys niet meer werken of niet meer gaan werken.
Snapshots terug? Is een virtuele bak?:
[...]
Ik kan wel meerdere snapshots terug.
Ga het morgen eens proberen.
Of is het de host/hypervisor/kvm etc?
Ik doe praktisch niets met SB, een recovery-usb en dan chroot naar je host en nieuwe bootloader bouwen? Of is dat te kort door de bocht ?
//edit; zowel zakelijk als privé zet secure boot / bit locker veelal uit;
Privé - alleen maar irritant
Zakelijk - draait 9/10x in strak beveiligd datacenter, kans op fysieke toegang door ongeautoriseerd volk is zeeeeerr klein.
Ooit storing gehad, waardoor niet in gelegenheid was om aanmelding en toegang verzoek in te dienen bij datacenter. Waardoor toegang geweigerd werd (opzich terecht) situatie die hierop volgde was best bizar;
Voordat de locatie beheerder mij kon autorisatie moest verificatie vragen via telefoon, mail en mijn leidinggevende - terwijl ik voor zijn neus stond met ID
Na akkoord moet een 3e medewerker met ook een sleutel het specifiek server rack / patchkast openen; 2 sleutel principe
Ofwel; ik geloof het wel met die secure boot; kans dat iemand anders fysiek toegang krijgt acht ik minimaal
En im vind alleen maar irritant; boot issues, vertraging boot proces/of file access, vage Linux dingen met die prioritaire meuk
[ Voor 57% gewijzigd door himlims_ op 18-04-2025 00:51 ]
/u/125506/link-8bit.png?f=community)
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
Kon pas voor een paar tientjes een oude Mac Pro 5,1 ophalen, dikke 6-core Xeon en 48 GB geheugen. Wel verouderd natuurlijk, maar heb nooit zo veel met Mac gedaan dus vond het wel interessant. Inmiddels heeft elk denkbaar OS er wel opgestaan denk ik. Linux was een beetje een uitdaging omdat hij geen UEFI boot ondersteunt, dus een cd-tje gebrand met de Ubuntu 18.04 LTS mini.iso en daar van kunnen booten.
Daarna de updates naar 20.04 LTS, 22.04 LTS, 24.04 LTS en uiteindelijk 24.10 gedaan. En nu ben ik me weer aan het vervelen want Ubuntu heeft de updates naar 25.10 tijdelijk uitgezet.
Daarna de updates naar 20.04 LTS, 22.04 LTS, 24.04 LTS en uiteindelijk 24.10 gedaan. En nu ben ik me weer aan het vervelen want Ubuntu heeft de updates naar 25.10 tijdelijk uitgezet.
/u/298857/crop6471d9676d431.png?f=community)
Tijd om een andere distro te proberen. Misschien Arch dan ben je zeker langer bezig met alles zelf compileren.:
Kon pas voor een paar tientjes een oude Mac Pro 5,1 ophalen, dikke 6-core Xeon en 48 GB geheugen. Wel verouderd natuurlijk, maar heb nooit zo veel met Mac gedaan dus vond het wel interessant. Inmiddels heeft elk denkbaar OS er wel opgestaan denk ik. Linux was een beetje een uitdaging omdat hij geen UEFI boot ondersteunt, dus een cd-tje gebrand met de Ubuntu 18.04 LTS mini.iso en daar van kunnen booten.
Daarna de updates naar 20.04 LTS, 22.04 LTS, 24.04 LTS en uiteindelijk 24.10 gedaan. En nu ben ik me weer aan het vervelen want Ubuntu heeft de updates naar 25.10 tijdelijk uitgezet.
Alles zelf compileren? Volgens mij ben je in de war met Gentoo of Linux from Scratch.:
[...]
Tijd om een andere distro te proberen. Misschien Arch dan ben je zeker langer bezig met alles zelf compileren.
Zelf compileren is bij Arch toch echt niet nodig. Hoogstens als je stuff uit de Arch User Repository (AUR) wilt installeren, dan krijg je alleen het PKGBUILD bestand.
* RobertMe heeft in die 10, 15 jaar dat die Arch gebruikt nog nooit hoeven te compileren om een werkend systeem te krijgen.
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor
.
[ Voor 9% gewijzigd door synoniem op 25-04-2025 13:39 ]
* RobertMe heeft ooit eens het "Linux from Scratch" boek doorlopen, in een VM, op een laptop, met een Core2Duo CPU, waarbij VTx was uitgeschakeld en niet in BIOS zat. Dan krijg je wel een paar dagen om.:
[...]
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor
Die laptop, intussen bijna 18 jaar oud, heb ik nog liggen. Vorig jaar ergens nog een Arch installatie op gezet, maar dan uiteraard wel op een SSD, en dat loopt verrassend prima. Ondanks dat die naast de extreem oude CPU ook maar iets van 2 of 4 GB RAM heeft.
Maar ik heb ook Arch draaien op mijn intussen ~7 jaar oude Asus Transformer T103. Met een kreupele Atom CPU en denk ook maar 4GB RAM en eMMC opslag. En ook dat gaat best aardig. (Zou me niks verbazen als de eMMC opslag een groter probleem is dan de CPU).
Waar ik Arch schrijf bedoel ik Arch met KDE. Dus niet met een lightweight DE / alleen een window manager. Maar uiteraard wel puur plasma + ... geïnstalleerd en niet het meta package met "heel KDE".
* RobertMe heeft nu ook gekeken naar een nieuwe Lenovo Duet Chromebook. Maar vind het net iets te iffy. De voorganger, Duet 3, is supported door PostmarketOS. Maar deze (nog?) niet. Linux / kernel support lijkt er dan weer wel te zijn. Of in ieder geval zijn er wat commits te vinden die refereren aan de gerart / ciri codenames van het hardware platform waarop deze Chromebook gebaseerd is. (Blijkbaar worden er altijd referentie borden samengesteld waarbij vervolgens meerdere fabrikanten weer nieuwe modellen maken op basis van dat referentie model. Waarbij Gerart en/of Ciri de codenames zijn die hier mee samenhangen).
En jip. Ben op zoek naar iets met een kickstand en afneembaar (soft) keyboard. Alternatief is een MS Surface. Maar die zit uiteraard in een iets andere prijscategorie.
gentoo heeft tegenwoordig ook prebuild/binaries, weet dat er ooit bijna een week mee bezig ben geweest:
[...]
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor
:strip_icc():strip_exif()/u/284419/Mexican%2520Wolf%2520Klein.jpg?f=community)
:strip_icc():strip_exif()/u/951531/crop63af0747c8ba8_cropped.jpg?f=community)
Ik heb Cosmic geprobeerd als Fedora Atomic spin.
De reden voor Atomic, is dat je echt een goed snapshot krijgt en kunt 'snappen' tussen verschillende versies.
Er zijn er die het op Arch draaien, ook nog met mixed packages ook (kuch Brodie), maar dat raad ik echt af. Je wilt echt een clean state en geen mixed packages of andere invloeden.
Er zijn memory leaks, houd daar rekening mee.
Het jammere vind ik wel dat ik fan ben van libadwaita apps. Deze zijn mooi, rond, touch vriendelijk en hebben een moderne look. Maar op Cosmic is daar dus weer die klassieke 'vierkantige' look en feel.
Ik ga zeker Cosmic een kans geven, maar ik moet echt zeggen dat Gnome flinke stappen aan het zetten is. Misschien ook wel doordat Cosmic en KDE beide goed aan de weg timmeren?
:strip_exif()/u/9676/12.gif?f=community)
Ik mis vaak wel dat UAC op Linux. Je vult steeds je wachtwoord in, maar dat is inderdaad minder veilig op Xorg apps. Op macOS kan je ook de vinger op de touch houden.
Bestaat zoiets ook voor Linux?
Vroeger had je gksudo/kdesu, tegenwoordig gaat het via polkit. Je krijgt dan een melding dat een applicatie meer rechten nodig heeft. Geeft ook aan welke dat is.
Jazeker, als je fingerprint reader wordt ondersteund en je hebt die ingesteld, kan je ook met je vinger akkoord geven voor sudo, net zoals je inlogt of ontgrendeld.Bestaat zoiets ook voor Linux?
Commandline FTW | Tweakt met mate
Ja en nee, nee en ja
Ergens heeft @Guus... een punt, net als @Sjah:
Security, antivirus, en kwetsbaar zijn is van 101 zaken afhankelijk: fysieke toegang, kwetsbare gebruik/standaard instellingen, Linux (en ICT algemeen) draait sterk om vertrouwen.
Onderaan de streep zijn er 101 stuks aan software, libraries, hardware. Firmware, datacenters etc. Welke allemaal een onderdeel en rol hebben in een lange ketting van … vertrouwen.
Er is altijd ergens een kans dat iemand zijn rechten en bevoegdheden misbruikt. Ieder stukje software en bron wat je gebruikt leukt op vertrouwen.
Er is -niets- 100% veilig. Maar ik (en mijn klanten ) zijn in mijn beleving een stuk minder kwetsbaar dan gemiddeld Windows netwerk of servertje.
Maar om nu te stellen dat xorg VS wayland nu zo’n gigantisch verschillend zijn, acht ik beperkt. Zelfde geld over de meeste pakketjes of bundels: deze download je ergens, daarbij vertrouwen we de bron, de isp verbinding, de ontwikkelaars, de controle systemen, etc etc
Security en veiligheid is nooit klaar - en kunt het super strak maken. Maar ergens ligt een balans tussen bruikbaarheid en geaccepteerd risico
[ Voor 4% gewijzigd door himlims_ op 16-05-2025 01:17 ]
:strip_icc():strip_exif()/u/140237/ResuAvatar.jpg?f=community){kind=avatar}
:strip_exif()/f/image/WVo544sfKGI4SjQPhSBQs4fw.png?f=user_large)
:strip_icc():strip_exif()/u/403106/3868954827-1_60x60.jpg?f=community)
Ook dat is te kort door de bocht
Sudo is een middel om commando's uit te voeren als een andere user waarbij root de default andere user is. Groepen zijn ook niet per se nodig, je kunt gewoon een specifieke user in de configuratie opnemen zonder groep en die toegang geven tot bepaalde commando's als root, als een andere user of toegang tot alle commando's. En dat kan ook weer zonder password, het is maar net hoe je het wil inrichten.
En we zijn weer terug op Arch Linux (cachyos).
Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.
Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.
Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.
Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.
Zeker een aanrader, maar enkel als je geen beginner meer bent.
Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.
Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.
Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.
Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.
Zeker een aanrader, maar enkel als je geen beginner meer bent.
[ Voor 5% gewijzigd door HollowGamer op 24-05-2025 21:09 ]
Ik ben ook al een jaar bij Cachy en ga nergens meer heen. Je kan er alles op installeren (kan ook een probleem zijn) en out of the box ready. Om toch een beet look and feel te houden met andere distro's draai ik wel een VM.:
En we zijn weer terug op Arch Linux (cachyos).
Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.
Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.
Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.
Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.
Zeker een aanrader, maar enkel als je geen beginner meer bent.
/u/346071/crop57f12a024058c_cropped.png?f=community)
Aha, dank hiervoor, had deze over het hoofd gezien.:
[...]
Jazekers, is zelfs een apart subforum voor:
Het grote Proxmox VE topic
Stel je vraag daar even.
:strip_icc():strip_exif()/u/88058/strandballengifts1032_200.jpg?f=community)
Vandaag weer kennis gemaakt met een oude liefde...
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
Hier stond een dode link.
Mag ik vragen waarom je het niet met Docker/podman doet?:
Vandaag weer kennis gemaakt met een oude liefde...
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
Docker + Wireguard is sowieso dikke bullshit. Wireguard is een kernel module. En vervolgens heb je iets in een Docker container draaien dat die kernel features aanspreekt, waarvoor die container dus ook elevated permissions nodig heeft (cap NAT blabla?).
En voor LXC geldt uiteraard hetzelfde.
En in beide gevallen zit je by default in een separate network namespace te rommelen, waardoor hetgeen dat je in de container (Docker of LXC) doet ook weer niet buiten de container zichtbaar is. En ook daarvoor ligt de oplossing weer in meer rechten geven aan de container / minder isolatie toepassen.
Enige dat Docker / LXC vervolgens toevoegt is dat je een prebuild container zult hebben waar waarschijnlijk een user friendly tool in zit. I.p.v. dus (bv) met de hand alle wg ... en ip .... commando's uitvoeren. Maar..., de netwerk tools op het host OS ondersteunen vast ook Wireguard. NetworkManager en systemd-networkd doen dat sowieso (want die gebruik ik
), netplan denk ik ook. Blijft alleen Debians ifupdown / /etc/network/interfaces verhaal over waarvan ik niet weet of die dat kan. * RobertMe draait systemd-networkd op zijn zelfbouw router met plain Debian waarbij Wireguard dus gewoon op de router zit ingebakken, zowel als client (naar een publieke VPN zoals PIA / Nord / ...), een "server" (om vanaf telefoon/laptop van buitenaf te verbinden) en een "mesh" (tussen thuis, router bij familie, en een VPS).
Ligt maar net aan wat je wil doen. Stel dat je een paar distro's wil testen, hoe ga je dat in een container doen dan?
Of zakelijk gezien waar nog veel Windows heerst?Docker vind ik vreselijk met hun netwerk termen. NAT noemen ze 'bridge', echt, gaat heen met die verwarrende term. Want met bridge denk ik gelijk dat de container als een aparte entiteit op het netwerk gezien wordt, maar dat is het helemaal niet. Als je 't buiten de host bereikbaar moet zijn, moet je poorten opgeven waarover het te benaderen is. Een brug is niet hetzelfde als een sluis!
Commandline FTW | Tweakt met mate
Vooral het feit dat LXC al zit ingebakken inderdaad, vind Docker niet zoveel toevoegen in mijn situatie, plus ik vind het wel leuk om het niet kant-en-klaar te starten maar nog enigszins te kunnen doorgronden wat het nou doet
Inflexibel qua resources valt in dit geval dus wel mee, de VM pakt net zoveel ram als de linux container die 'ie verving.
Overigens vind ik het argument van security in het geval van een VPN server ook wel valide, alle howto's die startten met "maak een privileged lxc container aan en doe eerst vanalles op de host" heb ik direct weg geklikt
Vanwege LXC's etc, en het feit dat BSD toch vaak wel wat achterloopt tov Linux, was ik juist meer van BSD naar Linux aan het bewegen. Dit was meer een random test die ineens onverwacht positief uitpakte in het voordeel van BSD.
Hier stond een dode link.
draait hier prima; https://community-scripts...oxVE/scripts?id=wireguard:
Vandaag weer kennis gemaakt met een oude liefde...
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
vervolgens ./pivpn -a user
Dat noem ik dan 'internal-only' netwerk, zodat ze onderling kunnen communiceren, eventueel ook met de host.
NAT dus.
Jep, dat ken ik. Met dank aan Qemu/KVM. Het haakt dan aan je fysieke NIC.
De manier hoe een virtuele (TAP) adapter werkt, zie ik als 2 kanten. Eentje binnen de container, daar hangt het IP adres aan. De andere zijde is bij de host en is onderdeel van de bridge. Die bridge heeft een IP adres, wat door de Host gebruikt wordt voor de eigen communicatie e.d.
Ik heb iig in het verleden een IP adres op zowel de bridge interface als de fysieke interface dat onderdeel was er van. Niet dat het fatsoenlijk werkte, maar het kon wel.
Commandline FTW | Tweakt met mate
:strip_icc():strip_exif()/u/46311/crop67969c002c0ce_cropped.jpg?f=community)
Ik zal niet melden dat vrijwilligers altijd nodig zijn. Dat is een open deur
[ Voor 81% gewijzigd door Hero of Time op 11-06-2025 19:10 ]
Theo
:strip_icc():strip_exif()/u/65843/chef60x60.jpg?f=community)
Vorige week een nieuwe laptop voor mijzelf aangeschaft - de vorige, na 13 jaar, begon soms spontaan uit te vallen.
Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).
En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).
En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Vind je het vervelend als ik zeg dat ik 1000 euro voor zo'n specs, een behoorlijk bedrag vind?:
Vorige week een nieuwe laptop voor mijzelf aangeschaft - de vorige, na 13 jaar, begon soms spontaan uit te vallen.
Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).
En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Dat heeft vast niks met leren te maken, maar met willen. Samsung staat nu niet bekend als premium laptop merk en heeft vast ook geen / maar een beperkte zakelijke afzet. Dus dit soort "premium ondersteuning" kost alleen maar geld en ze zullen er niet spontaan veel meer hardware door verkopen.
Terwijl Dell sowieso een (forse) meerprijs heeft maar uitstekende ondersteuning tegenover staat. Waarbij elke klant dus "te veel betaald" maar tegelijkertijd Dell die "winst" wel kan steken in zaken die minder rendabel zijn (Linux support) waardoor ook de (zakelijke) afzet weer groter wordt.
Maar een consument gaat echt niet 100 of 200 euro meer betalen voor dezelfde specs omdat de ondersteuning beter is (tenzij het van Apple is natuurlijk
)
:strip_exif()/u/34750/Trooper.gif?f=community)
Ik denk dat je gelijk hebt. In m'n herinnering was het een Dell package, maar als ik nu in de package repository van Debian testing zoek naar packages met 'dell' er in, vind ik niets wat er bij past.
Dus bij nader inzien gok ik dat het idd fwupd was die dan een update heeft gedownload waar dan 'dell' in de naam staat.
Nee, niet vervelend
Ik zocht een laptop waarbij ik het vertrouwen had dat het ding een tijdje mee kan. Bij deze Dell, bedoeld voor de zakelijke markt, vindt je bij Dell zelf handleidingen hoe je allerlei dingen zelf kan repareren/vervangen (CPU koeling bijvoorbeeld). Dat geeft mij dan wel het vertrouwen dat het ding niet als wegwerpprodukt bedoeld is.
Verder... tja, zat eerst naar een goedkoper model te kijken maar deze heeft ook een NPU. Geen idee wat ik daar aan ga hebben, maar stel dat deze weer lang mee gaat, kan ik maar beter zo iets er bij hebben.
Daarnaast kreeg ik bij Dell ook wel het gevoel dat hun produkten - zelfs als niet met Linux leverbaar - wel met Linux in het achterhoofd op de markt gebracht worden.
Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.
Het klinkt dus spannender dan dat het eigenlijk is
Volgens mij zijn die updates effectief ook in een standaard bestandsformaat (moet ook wel, want zoveel BIOS merken zijn er niet). Het enige issue is dus daadwerkelijk aan het "ruwe" update bestand komen. Want bij bv Lenovo zit die verpakt in zelfs 2 executables (de een is een "gecomprimeerd" bestand en als die is uitgepakt zit daarin de bios flasher executable die vervolgens weer de ruwe update file bevat)), en zitten er nog wat "headers" bij die je er in ieder geval af moet strippen als je het bios bestand rechtstreeks op de bios chip wilt flashen (zoals ik heb moeten doen met mijn bricked bios).:
[...]
Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.
Het klinkt dus spannender dan dat het eigenlijk is
En hetzelfde geldt ook voor NVME drives. Linux' nmcli kan prima op een standaard manier firmware updates via NVME SSDs doen. Het grote probleem is alleen dat maar weinig fabrikanten de daadwerkelijke firmware file vrijgeven, maar deze dus vaak verpakt zit in een Windows executable.
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
![[Afbeelding]](https://tweakers.net/i/mBZmEu1JqOc0F6F00KCFwQ49mis=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/OS2bw7RO6Y2LEXG3xcOayUXR.png?f=user_large){kind=link}
Het is op een hoop punten haasje over gegaan. Het is het typische verhaal van de laatste-zullen-de-eerste zijn. MS had lang het voordeel dat hun installatieprocedure niet heel makkelijk hoefde te zijn want de meeste mensen kregen het voorgeinstalleerd bij hun computer. Daarbij zorgde iedere fabrikant er zelf wel voor dat z'n spul compatible was met Windows en de Windows Installer. MS daar ook niet heel veel meer aan te doen dan de drivers testen die de fabrikanten zelf aanleverden.:
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Linux had dat allemaal niet dus moest er drie keer zo hard gewerkt worden om alles superbetrouwbaar, compatible en gladjes te maken. In mijn ervaring is Linux installeren al minstens 10 jaar makkelijker dan Windows mits je goede drivers hebt voor alle hardware. 10 jaar geleden was dat al prima te doen omdat 90%(?) van de hardware al goed werd ondersteunt, maar die laatste 10% gooide toch vaak roet in het eten.
In de afgelopen 10 jaar is de ondersteuning alleen maar beter geworden, zowel in de breedte als in de diepte. De meeste mainstream hardware wordt out-of-the-box ondersteund en de veel gebruikte drivers zijn in een uitstekende conditie, onder andere omdat veel fabrikanten nu zelf drivers voor Linux schrijven en daar bij de ontwikkeling al rekening mee houden.
Het heeft een ontzettend solide en snelle basis opgeleverd.
Ik heb een kennis die een tijd de gewoonte had om zijn speelcomputer dagelijks te herinstalleren, soms meerdere keren op een dag. Hij kon dat binnen 10 minuten. Een volledige herinstallatie doen was makkelijker dan uitzoeken wat hij verkeerd had gedaan. Daar kun je veel van denken maar de installer deed het goed
This post is warranted for the full amount you paid me for it.
Good one, nmcli
. Ik bedoelde nvme-cli.V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.
And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop
. Is geïnstalleerd met full disk encryption en TPM unlock. Reboot gedaan, bios update geïnstalleerd, en vervolgens moest ik de recovery key invullenDat gewoon werkte en dan boote die. Alleen had ik een verkeerde kronkel en dacht ik dat het een secure boot issue was. Eerst gewoon sbctl enroll-keys -m gedaan maar dat gaf een error dat die niks met de keys kon en ik (mogelijk) chattr -i op de errorende bestanden moest doen. Maar daarvan stond niks mij bij van originele installatie, en de Arch wiki vermelde het ook niet. Als gevolg daarvan in de BIOS settings gaan zitten rommelen waardoor ik ineens bij boot op een Dell scherm uit kwam met iets van "HTTP(S) boot" en om met wifi te connecten. En daar kwam ik maar niet vanaf. Waarbij ik mij intussen wel had bedacht dat ik geen SB issue had maar een TPM issue (want het systeem boote gewoon, kreeg Manjaro splash screen en "halverwege" vroeg systemd/luks/... voor de recovery key. Met een SB failure zal die natuurlijk niet beginnen te booten). Conclusie dus dat ik intussen meer stuk had gemaakt dan nodig was.
Toch maar eens op die "HTTP(S) boot" gezocht en daarbij wees het internet uit dat dit gewoon een boot optie is en er geen (werkende) boot optie was. Vervolgens SB ("weer") in audit mode gezet en waarempel, Manjaro startte weer (met uiteraard dan wel vraag naar recovery key). Vervolgens nog eens sbctl enroll-keys -m en weer dezelfde error. Toch maar eens beginnen te typen aan sudo chattr... en hmm, dat commando stond blijkbaar toch in de shell history
. Uitgevoerd, nieuwe enroll poging, en succes. Reboot, bios gecheckt, en SB stond weer in de normale modus (oftewel: SB wordt volledig gecontroleerd en afgedwongen), en de boel boote nog steeds.Dus toen maar weer gepuzzeld om de / een nieuwe enrollment van de/een LUKS key naar de TPM te schrijven en dat was natuurlijk vrij eenvoudig: sudo systemd-cryptenroll /dev/<nvme...> --wipe-slot=tpm2 --tpm2-device=auto. Waarbij die zowel een nieuwe key als ook een token (verwijzende naar die key) aanmaakt voor gebruik met de TPM, deze ook weg schrijft naar de TPM, en als de nieuwe enrollment succesvol is daarna in dit geval een "wipe" doet van alle bestaande tpm2 tokens/keys behalve die wat nu net is aangemaakt. En daarna kwam ik met een reboot weer meteen op het login scherm uit zonder enige interactie.
Oorzaak hiervan zal dus vast samen liggen met het "niveau" tot waar de hard- en software gecontroleerd wordt door de TPM. En dat door de bios update dezelfde hardware niet meer "geldig" was door een wijziging in de (low level) software.
Gezien het feit dat ik nvme-cli niet geïnstalleerd heb staan, maar wel m'n SSD firmware eens heb bijgewerkt (laptop werk), gok ik zo dat fwupd het ook zelf kan.:
[...]
Good one, nmcli
V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.
Het heeft alleen voor m'n WD Black in m'n thuis pc geen firmware bekend.Ik ben niet bekent met jouw methode om LUKS met TPM te unlocken. Op m'n werk heb ik ook LUKS+TPM maar dat doe ik via Clevis. Bij het opstarten staat 'ie wel een paar seconden te wachten bij de vraag om de passphrase, maar daarna gaat 'ie door. Heb nog niet kunnen vinden waar de timeout staat, want zou het liever zien dat 'ie hooguit 1 seconde wacht en doorgaat met TPM en pas bij een fout om de passphrase gaat vragen.And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop
[heel verhaal over onjuiste conclusie wat mis was gegaan en tpm re-enrollen]
Ik heb ook al meerdere BIOS/UEFI firmware updates gedaan en niet de TPM key opnieuw te moeten enrollen. Maar ik heb SB ook uit staan, m'n log wordt vol gespuugd met een warning als ik met KVM een VM start en dat is alleen als SB aan staat.
Commandline FTW | Tweakt met mate
Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan?
Of het beleid om een adequate beveiliging te hebben waar FDE met de juist (lees: veilige) ingestelde unlocking instellingen onder valt?Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.
* als in: iemand die echt "binnen wilt komen" werkt er zo omheen. Maar als je de laptop op straat verliest zal een willekeurig iemand niet op de power knop kunnen duwen en aan de documenten kunnen, of de SSD er uit kunnen halen en in een ander systeem mounten. Maar als je getarget wordt door een hacker / ... dan is FDE met TPM maar zonder SB bij mijn weten extreem makkelijk te omzeilen.
Zoals het op mijn laptop nu is, is iig dat niet iemand zomaar de disk eruit kan halen of via externe media kan starten en zomaar de data uitlezen. Er moet wat meer gedaan worden. Onze Windows systemen hebben bitlocker en W11 vereist TPM+SB. Maar ook die unlocked vrolijk de schijf als je de aan knop indrukt waarna je op het inlogscherm staat en men alle trucs uit de hoed kan halen om het systeem in te komen. Maar zomaar opstarten van externe media of de schijf eruit halen geeft alsnog geen data op de disk vrij. En daar gaat het om.:
[...]
Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan?
Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.
Als iemand echt wil, komt 'ie overal wel doorheen. Het is alleen de vraag hoeveel moeite het uiteindelijk kost.
Het was iig wat ik zo even snel zag op fwupd.org. WD/Sandisk bied ook firmware aan zeggen ze, maar mijn WD Black SN850X wordt er niet aangeboden, terwijl ik weet dat er nieuwere firmware is. Sandisk, het bedrijf dat WD heeft overgenomen, biedt niet eens de firmware als aparte download aan, het moet via een of ander dashboard software zut. Ook wel bedroevend.
Dat zei 'ie al. Maar dat is geen vereiste voor het updaten van de firmware van je ssd als fwupd deze in z'n repo heeft.
Commandline FTW | Tweakt met mate
Let op:
Distro- en OS-wars voer je maar IRL
Hou het dus gezellig en vooral over NOS
POST UW VRAGEN IN EEN NIEUWE DRAAD AUB
Discussies en ervaringen over distro's passen beter in Het grote welk OS (bijvoorbeeld linux distro) topic deel 8.
Voor desktopomgevingen kan je beter terechten in De voordelen en nadelen van bekende Desktop Environments.
Distro- en OS-wars voer je maar IRL
Hou het dus gezellig en vooral over NOS
POST UW VRAGEN IN EEN NIEUWE DRAAD AUB
Discussies en ervaringen over distro's passen beter in Het grote welk OS (bijvoorbeeld linux distro) topic deel 8.
Voor desktopomgevingen kan je beter terechten in De voordelen en nadelen van bekende Desktop Environments.