Ik kan wel meerdere snapshots terug.himlims_ schreef op donderdag 17 april 2025 @ 23:26:
[...]
eigenlijk zelden, wel raar zo na een update. kunt zeker geen rollback doen?
en SB uitschakelen helpt ook niet?
Ga het morgen eens proberen.
Het stomme is dus dat SB dus wel werkt, maar hij sinds de laatste update aangeeft dat het niet volledig werkt. Of interpreteer ik het verkeerd?RobertMe schreef op donderdag 17 april 2025 @ 23:21:
[...]
Ja.
[...]
Ik niet. Maar mijn laatste BIOS update is alweer een tijdje geleden.
spoiler:Wat een beknopte vraag. Hoe moeten we hier nu op antwoorden?Je geeft niet aan welke hardware (behalve "sinds laatste BIOS update", maar waarvan dan?), je geeft niet aan welke distro, .... Daar kunnen we toch niks mee
En in mijn geval, Manjaro, met een eigen key, op een Dell laptop (waar ik al een aantal maanden geen firmware updates / update check op gedaan heb). En met een eigen key verwacht ik niet dit soort problemen. En zal @Hero of Time vast op het juiste pad zitten. Waarschijnlijk iets met een shim die door MS ondertekend is en dat die keys niet meer werken of niet meer gaan werken.
Dat is niet perse wat er letterlijk staat. Het kan ook zijn dat SB is ingeschakeld maar dat die in setup mode staat bv.HollowGamer schreef op donderdag 17 april 2025 @ 23:36:
[...]
Het stomme is dus dat SB dus wel werkt, maar hij sinds de laatste update aangeeft dat het niet volledig werkt. Of interpreteer ik het verkeerd?
Gerommel met verkeerde keys verwacht ik in ieder geval eerder dat die helemaal niet boot. Maar een evt onbekende key terwijl SB in setup mode staat zal die wel gewoon booten.
Maar het kan ook liggen aan een combinatie van zaken, geen idee. Het kan ook zijn dat Linux (kernel? Systemd/init systeem? ...?) doet/moet controleren of SB correct actief is (incl dat de EFI executable correct gesigned is dus). Ik weet niet hoe dat proces in elkaar zit. Maar ik weet wel dat in mijn geval met FDE de TPM niet geunlocked zal worden als er een andere signing key gebruikt wordt. (Dus een ander OS / ... heeft geen toegang tot de encryption key uit de TPM doordat die geen toegang heeft/kan krijgen tot de signing key en dus zijn eigen EFI executable niet kan signen met die key).
Snapshots terug? Is een virtuele bak?HollowGamer schreef op donderdag 17 april 2025 @ 23:35:
[...]
Ik kan wel meerdere snapshots terug.
Ga het morgen eens proberen.
Of is het de host/hypervisor/kvm etc?
Ik doe praktisch niets met SB, een recovery-usb en dan chroot naar je host en nieuwe bootloader bouwen? Of is dat te kort door de bocht ?
//edit; zowel zakelijk als privé zet secure boot / bit locker veelal uit;
Privé - alleen maar irritant
Zakelijk - draait 9/10x in strak beveiligd datacenter, kans op fysieke toegang door ongeautoriseerd volk is zeeeeerr klein.
Ooit storing gehad, waardoor niet in gelegenheid was om aanmelding en toegang verzoek in te dienen bij datacenter. Waardoor toegang geweigerd werd (opzich terecht) situatie die hierop volgde was best bizar;
Voordat de locatie beheerder mij kon autorisatie moest verificatie vragen via telefoon, mail en mijn leidinggevende - terwijl ik voor zijn neus stond met ID
Na akkoord moet een 3e medewerker met ook een sleutel het specifiek server rack / patchkast openen; 2 sleutel principe
Ofwel; ik geloof het wel met die secure boot; kans dat iemand anders fysiek toegang krijgt acht ik minimaal
En im vind alleen maar irritant; boot issues, vertraging boot proces/of file access, vage Linux dingen met die prioritaire meuk
[ Voor 57% gewijzigd door himlims_ op 18-04-2025 00:51 ]
Ik heb dus een TPM met SB, en het werkt gewoon.RobertMe schreef op vrijdag 18 april 2025 @ 00:02:
[...]
Dat is niet perse wat er letterlijk staat. Het kan ook zijn dat SB is ingeschakeld maar dat die in setup mode staat bv.
Gerommel met verkeerde keys verwacht ik in ieder geval eerder dat die helemaal niet boot. Maar een evt onbekende key terwijl SB in setup mode staat zal die wel gewoon booten.
Maar het kan ook liggen aan een combinatie van zaken, geen idee. Het kan ook zijn dat Linux (kernel? Systemd/init systeem? ...?) doet/moet controleren of SB correct actief is (incl dat de EFI executable correct gesigned is dus). Ik weet niet hoe dat proces in elkaar zit. Maar ik weet wel dat in mijn geval met FDE de TPM niet geunlocked zal worden als er een andere signing key gebruikt wordt. (Dus een ander OS / ... heeft geen toegang tot de encryption key uit de TPM doordat die geen toegang heeft/kan krijgen tot de signing key en dus zijn eigen EFI executable niet kan signen met die key).
De BIOS factory keys heb ik al gereset.
Daarom kwam ik er pas achter toen ik naar de Settings ging.
Dit is het rapport dat je kunt printen:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
| Device Security Report ====================== Report details Date generated: 2025-04-18 09:32:04 fwupd version: 2.0.8 System details Hardware model: LENOVO ... Processor: AMD Ryzen 7 8845HS w/ Radeon 780M Graphics OS: Aeon Security level: HSI:3! (v2.0.8) HSI-1 Tests UEFI Bootservice Variables: Pass (Locked) TPM v2.0: Pass (Found) System Management Mode: Pass (Locked) BIOS Firmware Updates: Pass (Enabled) UEFI Secure Boot: Pass (Enabled) Fused Platform: Pass (Locked) TPM Platform Configuration: Pass (Valid) HSI-2 Tests AMD Firmware Write Protection: Pass (Enabled) TPM Reconstruction: Pass (Valid) IOMMU Protection: Pass (Enabled) Platform Debugging: Pass (Locked) HSI-3 Tests Pre-boot DMA Protection: Pass (Enabled) AMD Firmware Replay Protection: Pass (Enabled) Suspend To RAM: Pass (Not Enabled) Control-flow Enforcement Technology: Pass (Supported) Suspend To Idle: Pass (Enabled) HSI-4 Tests Encrypted RAM: ! Fail (Not Supported) Supervisor Mode Access Prevention: Pass (Enabled) AMD Secure Processor Rollback Protection: ! Fail (Not Enabled) Runtime Tests Linux Swap: Pass (Encrypted) Firmware Updater Verification: Pass (Not Tainted) Control-flow Enforcement Technology: Pass (Supported) Linux Kernel Verification: ! Fail (Tainted) Linux Kernel Lockdown: Pass (Enabled) Host security events 2025-04-17 21:43:15 Linux Kernel Lockdown Pass (Not Enabled → Enabled) 2025-04-17 21:43:15 UEFI Secure Boot Pass (Not Enabled → Enabled) For information on the contents of this report, see https://fwupd.github.io/hsi.html |
Hier lijkt dus alles ook goed te staan?
snapper - dat is het voordeel van Atomic-design. Dit heb je ook met Fedora bijvoorbeeld.
[ Voor 47% gewijzigd door HollowGamer op 18-04-2025 09:34 ]
Tainted kernel is normaliter toch dat er non-GPL / out of tree? / ... modules ingeladen zijn? (Ik ken het voornamelijk van de Nvidia propriatary driver)NewGuest schreef op vrijdag 18 april 2025 @ 17:30:
Ik zie dat regel 45 Linux kernel verification een Fial aan geeft. Misschien dat secure boot een andere verficatie-code heeft en dat het daar niet meer mee overeen komt.
In mijn geval klopt dit inderdaad precies zo (NVIDIA driver).RobertMe schreef op vrijdag 18 april 2025 @ 17:49:
[...]
Tainted kernel is normaliter toch dat er non-GPL / out of tree? / ... modules ingeladen zijn? (Ik ken het voornamelijk van de Nvidia propriatary driver)
Ik heb dus werkelijk geen idee?
Dus je hebt een AMD CPU met Radeon 780M erin en dan ook nog een aparte nVidia videokaart? Waarom? Maar dat verklaart wel gelijk de 'tainted' vermelding, de module is niet ondertekend. Of iig niet met de key die ook in je Secure Boot te vinden is.HollowGamer schreef op vrijdag 18 april 2025 @ 19:14:
[...]
In mijn geval klopt dit inderdaad precies zo (NVIDIA driver).
Ik heb dus werkelijk geen idee?
Commandline FTW | Tweakt met mate
Het is de nvidia open driver, moet je die onderteken?Hero of Time schreef op vrijdag 18 april 2025 @ 21:08:
[...]
Dus je hebt een AMD CPU met Radeon 780M erin en dan ook nog een aparte nVidia videokaart? Waarom? Maar dat verklaart wel gelijk de 'tainted' vermelding, de module is niet ondertekend. Of iig niet met de key die ook in je Secure Boot te vinden is.
Ik heb die melding vaker gezien, maar hoeft niet perse slecht te zijn. Misschien hebben ze die melding strenger gemaakt? Want zogezegd lijkt SB dus wel gewoon te werken.
Daarna de updates naar 20.04 LTS, 22.04 LTS, 24.04 LTS en uiteindelijk 24.10 gedaan. En nu ben ik me weer aan het vervelen want Ubuntu heeft de updates naar 25.10 tijdelijk uitgezet.
Tijd om een andere distro te proberen. Misschien Arch dan ben je zeker langer bezig met alles zelf compileren.Jazzy schreef op vrijdag 25 april 2025 @ 11:11:
Kon pas voor een paar tientjes een oude Mac Pro 5,1 ophalen, dikke 6-core Xeon en 48 GB geheugen. Wel verouderd natuurlijk, maar heb nooit zo veel met Mac gedaan dus vond het wel interessant. Inmiddels heeft elk denkbaar OS er wel opgestaan denk ik. Linux was een beetje een uitdaging omdat hij geen UEFI boot ondersteunt, dus een cd-tje gebrand met de Ubuntu 18.04 LTS mini.iso en daar van kunnen booten.
Daarna de updates naar 20.04 LTS, 22.04 LTS, 24.04 LTS en uiteindelijk 24.10 gedaan. En nu ben ik me weer aan het vervelen want Ubuntu heeft de updates naar 25.10 tijdelijk uitgezet.
Alles zelf compileren? Volgens mij ben je in de war met Gentoo of Linux from Scratch.synoniem schreef op vrijdag 25 april 2025 @ 11:19:
[...]
Tijd om een andere distro te proberen. Misschien Arch dan ben je zeker langer bezig met alles zelf compileren.
Zelf compileren is bij Arch toch echt niet nodig. Hoogstens als je stuff uit de Arch User Repository (AUR) wilt installeren, dan krijg je alleen het PKGBUILD bestand.
* RobertMe heeft in die 10, 15 jaar dat die Arch gebruikt nog nooit hoeven te compileren om een werkend systeem te krijgen.
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.RobertMe schreef op vrijdag 25 april 2025 @ 11:49:
[...]
Alles zelf compileren? Volgens mij ben je in de war met Gentoo of Linux from Scratch.
Zelf compileren is bij Arch toch echt niet nodig. Hoogstens als je stuff uit de Arch User Repository (AUR) wilt installeren, dan krijg je alleen het PKGBUILD bestand.
* RobertMe heeft in die 10, 15 jaar dat die Arch gebruikt nog nooit hoeven te compileren om een werkend systeem te krijgen.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor
[ Voor 9% gewijzigd door synoniem op 25-04-2025 13:39 ]
* RobertMe heeft ooit eens het "Linux from Scratch" boek doorlopen, in een VM, op een laptop, met een Core2Duo CPU, waarbij VTx was uitgeschakeld en niet in BIOS zat. Dan krijg je wel een paar dagen om.synoniem schreef op vrijdag 25 april 2025 @ 13:37:
[...]
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor.
Die laptop, intussen bijna 18 jaar oud, heb ik nog liggen. Vorig jaar ergens nog een Arch installatie op gezet, maar dan uiteraard wel op een SSD, en dat loopt verrassend prima. Ondanks dat die naast de extreem oude CPU ook maar iets van 2 of 4 GB RAM heeft.
Maar ik heb ook Arch draaien op mijn intussen ~7 jaar oude Asus Transformer T103. Met een kreupele Atom CPU en denk ook maar 4GB RAM en eMMC opslag. En ook dat gaat best aardig. (Zou me niks verbazen als de eMMC opslag een groter probleem is dan de CPU).
Waar ik Arch schrijf bedoel ik Arch met KDE. Dus niet met een lightweight DE / alleen een window manager. Maar uiteraard wel puur plasma + ... geïnstalleerd en niet het meta package met "heel KDE".
* RobertMe heeft nu ook gekeken naar een nieuwe Lenovo Duet Chromebook. Maar vind het net iets te iffy. De voorganger, Duet 3, is supported door PostmarketOS. Maar deze (nog?) niet. Linux / kernel support lijkt er dan weer wel te zijn. Of in ieder geval zijn er wat commits te vinden die refereren aan de gerart / ciri codenames van het hardware platform waarop deze Chromebook gebaseerd is. (Blijkbaar worden er altijd referentie borden samengesteld waarbij vervolgens meerdere fabrikanten weer nieuwe modellen maken op basis van dat referentie model. Waarbij Gerart en/of Ciri de codenames zijn die hier mee samenhangen).
En jip. Ben op zoek naar iets met een kickstand en afneembaar (soft) keyboard. Alternatief is een MS Surface. Maar die zit uiteraard in een iets andere prijscategorie.
gentoo heeft tegenwoordig ook prebuild/binaries, weet dat er ooit bijna een week mee bezig ben geweestsynoniem schreef op vrijdag 25 april 2025 @ 13:37:
[...]
Ja ik haalde ze inderdaad door elkaar. Bij Gentoo moet je zo ongeveer alles zelf compileren en bij Arch alleen bij gebruik van de AUR.
Met een stevige XEON en genoeg geheugen zal dat vast niet zo lang duren als bij mij op mijn testmachientje met een Celeron processor.
Ik draai hier nu een tijdje Manjaro met KDE op een Surface Go 3, gewoon omdat 't kan. Werkt bijzonder goed, zelfs al is het een Pentium 6500Y met 4 GB RAM. Installeren was eigenlijk supersimpel en bijna alles werkte out of the box (behalve automatische schemrotatie, was ook niet heel spannend om in te stellen).RobertMe schreef op vrijdag 25 april 2025 @ 13:53:
[...]
En jip. Ben op zoek naar iets met een kickstand en afneembaar (soft) keyboard. Alternatief is een MS Surface. Maar die zit uiteraard in een iets andere prijscategorie.
Gebruik hem nu vooral om als VPN-streaming-doos te draaien bij m'n TV, maar heb er ook daadwerkelijk één en ander aan werk op gedaan op vakantie (VSCode) en dat werkte ook prima. Toch tof hoe lightweight het kan zijn dat een device met 4 GB RAM in 2025 nog steeds soepel werkt.
kwam dit project tegen; https://games-on-whales.github.io/wolf/stable/
ziet er best leuk uit qua features, iemand ervaring hiermee?
Allemaal aan de Linux, op naar het repair cafe!
Ik heb twee keer geholpen omdat ik toch wel benieuwd was of er ook onder "gewone" mensen nog een beetje animo voor was. Was een succes dus komt er een vervolg op 16 mei:
https://www.repaircafe.org/linux-repair-cafe/
Theo
Post install handleiding https://www.repaircafe.or..._start_met_Linux_19-1.pdfxah5kiDe schreef op vrijdag 9 mei 2025 @ 10:43:
https://www.nporadio1.nl/fragmenten/nieuwsweekend/01962907-9cce-7007-95eb-031cd13e9588/2025-04-12-repair-cafe-heeft-list-om-250-miljoen-computers-van-de-schroot-te-redden
Allemaal aan de Linux, op naar het repair cafe!
Ik heb twee keer geholpen omdat ik toch wel benieuwd was of er ook onder "gewone" mensen nog een beetje animo voor was. Was een succes dus komt er een vervolg op 16 mei:
https://www.repaircafe.org/linux-repair-cafe/
Ik heb Cosmic geprobeerd als Fedora Atomic spin.Denoiser schreef op maandag 12 mei 2025 @ 20:44:
Nog meer mensen die de Cosmic desktop al aan het uitproberen zijn? Ik word er wel blij van. Het lijkt een beetje tussen KDE en Gnome in te liggen. Over beiden ben ik erg te spreken dus Cosmic sluit zich daar mooi bij aan, en zelf ben ik een groot voorstander van software geschreven in Rust. Cosmic draait tot nu toe ook behoorlijk stabiel voor iets wat nog in de alpha-fase zit.
De reden voor Atomic, is dat je echt een goed snapshot krijgt en kunt 'snappen' tussen verschillende versies.
Er zijn er die het op Arch draaien, ook nog met mixed packages ook (kuch Brodie), maar dat raad ik echt af. Je wilt echt een clean state en geen mixed packages of andere invloeden.
Er zijn memory leaks, houd daar rekening mee.
Het jammere vind ik wel dat ik fan ben van libadwaita apps. Deze zijn mooi, rond, touch vriendelijk en hebben een moderne look. Maar op Cosmic is daar dus weer die klassieke 'vierkantige' look en feel.
Ik ga zeker Cosmic een kans geven, maar ik moet echt zeggen dat Gnome flinke stappen aan het zetten is. Misschien ook wel doordat Cosmic en KDE beide goed aan de weg timmeren?
Ja, zelf ben ik ook nogal fan van de look van Gnome/gtk4/libadwaita. Kalm, modern. En Gnome heeft erg fijne anti-aliasing, alles ziet er crisp en tegelijkertijd vrij 'zacht' uit. En de activities overview vind ik ook goed bedacht: met één druk op de knop heb je én toegang tot je dock, én tot je workspaces. De geanimeerde contextmenu's vind ik alleen wat minder.HollowGamer schreef op dinsdag 13 mei 2025 @ 14:47:
Het jammere vind ik wel dat ik fan ben van libadwaita apps. Deze zijn mooi, rond, touch vriendelijk en hebben een moderne look. Maar op Cosmic is daar dus weer die klassieke 'vierkantige' look en feel.
Ik ga zeker Cosmic een kans geven, maar ik moet echt zeggen dat Gnome flinke stappen aan het zetten is. Misschien ook wel doordat Cosmic en KDE beide goed aan de weg timmeren?
Daar staat tegenover dat ik Cosmic iets meer naar smaak kan aanpassen. En Rust dus.
DE was een van mijn zwakte als gaat om Linux, echt alle ins en uit geprobeerd. Mee bijgedragen aan ontwikkelingen (programmeren kan ik niet, maar icoontjes tekenen, thema’s en kleurtjes bij elkaar rapen wel)Denoiser schreef op dinsdag 13 mei 2025 @ 18:42:
[...]
Ja, zelf ben ik ook nogal fan van de look van Gnome/gtk4/libadwaita. Kalm, modern. En Gnome heeft erg fijne anti-aliasing, alles ziet er crisp en tegelijkertijd vrij 'zacht' uit. En de activities overview vind ik ook goed bedacht: met één druk op de knop heb je én toegang tot je dock, én tot je workspaces. De geanimeerde contextmenu's vind ik alleen wat minder.
Daar staat tegenover dat ik Cosmic iets meer naar smaak kan aanpassen. En Rust dus.
Was toen vrij beperkt; gnome, kde en xfce(?)
Inmiddels een kwam meer keuzes en mogelijkheden bij gekomen; geen een is zalig makend. Maar wel zo te maken dat exact jouw smaak en workflow is.
KDE blijf ik een prachtige omgeving vinden, maar onderaan de streep val ik vaak terug op xfce; simpel en snel.
Dat gezegd hebben; doen jullie reacties en huidige nieuwe systemen mijn eerdere standvastigheid aan xfce heroverwegen
Ik snap je enthousiasme. Ik vind het zelf ook erg leuk dat er zoveel keuze is en ben altijd nieuwsgierig naar andere DE's, terwijl ze eigenlijk allemaal grofweg dezelfde concepten gebruiken, zij het in iets andere configuraties. Wel of geen dock, wel of geen topbar, wel of geen startmenu, en ze bieden vrijwel allemaal workspaces en soortgelijke basisapplicaties. Dus uiteindelijk maakt het allemaal niet zoveel uit, zolang mijn apps maar draaien en het geheel redelijk probleemloos functioneert. Wayland-support vind ik wel een vereiste in verband met veiligheid.himlims_ schreef op dinsdag 13 mei 2025 @ 21:36:
[...]
DE was een van mijn zwakte als gaat om Linux, echt alle ins en uit geprobeerd. Mee bijgedragen aan ontwikkelingen (programmeren kan ik niet, maar icoontjes tekenen, thema’s en kleurtjes bij elkaar rapen wel)
Was toen vrij beperkt; gnome, kde en xfce(?)
Inmiddels een kwam meer keuzes en mogelijkheden bij gekomen; geen een is zalig makend. Maar wel zo te maken dat exact jouw smaak en workflow is.
KDE blijf ik een prachtige omgeving vinden, maar onderaan de streep val ik vaak terug op xfce; simpel en snel.
Dat gezegd hebben; doen jullie reacties en huidige nieuwe systemen mijn eerdere standvastigheid aan xfce heroverwegen
[ Voor 80% gewijzigd door HollowGamer op 14-05-2025 22:11 ]
Wat is er onveilig aan xorg?Denoiser schreef op woensdag 14 mei 2025 @ 21:12:
[...]
Wayland-support vind ik wel een vereiste in verband met veiligheid.
In xorg hebben alle windows (misschien ook draaiende applicaties) toegang tot je input devices ook als ze niet in focus zijn. Dus als je 1 app hebt die een keylogger heeft werkt deze ook terwijl je in je browser typt.
Er zijn nog een hoop andere manieren waarop een foute app schade kan aanrichten dus het is niet alsof je met wayland helemaal beschermt bent. Meeste apps hebben toegang tot /home bijvoorbeeld.
Om de linux desktop echt veiliger te maken tegen apps met malicious code is er nog een stuk meer sandboxing nodig maar de beweging die kant op is wel aan de gang met bijvoorbeeld atomic desktops en flatpaks/snaps. Maar met flatpak moet je bijvoorbeeld nog zelf de toegangsrechten beperken ipv toestaan wat mag. Het is ook niet zo dat dit bij Windows is opgelost vziw. Op mobiel is het al wel een stuk verder.
Had laatst een vaag app installt, en daarna weer uninstallt, mocht dat malware zijn vraag ik me af of een uninstall afdoende is..
Wat betreft Wayland vs Xorg, ik gebruik bijvoorbeeld KeepassXC en deze heeft een auto-type functie. Dit kan het doen met specifieke items door te kijken naar de titel van het venster dat op dat ogenblik focus heeft. Werkt prima in Windows en met Xorg, maar op Wayland hebben applicaties geen inzicht in venter namen, types etc.
Het delen van een venster met bijvoorbeeld Teams of Discord gaat ook wat anders en is niet zo vanzelfsprekend als bij Xorg.
Commandline FTW | Tweakt met mate
Xorg is helaas onveilig, en genoeg apps die allang op Wayland hadden kunnen zitten.Sjah schreef op donderdag 15 mei 2025 @ 13:59:
Als ik @Guus... post lees, zou je bijna denken dat Linux onveilig is, en vraag je je bijna af waarom er geen Antivirus nodig is.
Had laatst een vaag app installt, en daarna weer uninstallt, mocht dat malware zijn vraag ik me af of een uninstall afdoende is..
Er zijn nog genoeg dingen mis met Wayland, maar gelukkig komen er al snel wat protocollen, etc. bij.
Hee, je bent een mod die ik respecteer omdat je kennis hebt, althans daar vertrouw ik op. Je mag soms best er meer met gestrekt been ingaan voor Linux.... Is het bijv niet zo dat in Linux een malicious app niet zomaar eeuwig opgestart wordt, zoals in Win nog wel ns lijkt? En Apple heeft ook niet de naam onveilig te zijn.Hero of Time schreef op donderdag 15 mei 2025 @ 18:23:
Voor malware infecties heb je nooit zekerheid dat alles weg is als je het programma waar het mee kwam verwijdert. Het OS maakt wat dat betreft niet uit.
Het was niet bedoeld als gestrekt been. Maar als een applicatie extra dingen doet dan je verwacht, zoals extra bestanden aanmaken e.d., dan is de uninstaller uitvoeren, of in geval van Linux het package verwijderen, niet afdoende. Zie maar wat XZ met Openssh kon doen. Als het misbruikt was, was het niet voldoende om XZ te verwijderen, het kwaad was al geschied en de backdoor geïnstalleerd.Sjah schreef op donderdag 15 mei 2025 @ 18:59:
[...]
Hee, je bent een mod die ik respecteer omdat je kennis hebt, althans daar vertrouw ik op. Je mag soms best er meer met gestrekt been ingaan voor Linux.... Is het bijv niet zo dat in Linux een malicious app niet zomaar eeuwig opgestart wordt, zoals in Win nog wel ns lijkt? En Apple heeft ook niet de naam onveilig te zijn.
Er bestaat genoeg malware voor Linux. Veel is oud en werkt wellicht niet meer. Maar immuun is Linux echt niet. Er staat mij wat bij dat een malware een bestand maakte, werd uitgevoerd en dat bleef draaien op de achtergrond. Maar het bestand werd wel verwijdert, dus een 'ls' op de map toonde niks. Alleen met 'lsof' en dan zoeken op verwijderde bestanden kon je het zien. Pogingen om het de nek om te draaien resulteerde in een kat-muis gevecht, je stopt het proces en net voordat het sloot maakte het proces weer een nieuwe aan met dezelfde truc.
Commandline FTW | Tweakt met mate
Uiteindelijk zijn er altijd wel mogelijkheden. Als het malware in een legitiem ogende app is kan die ook bij (eerste keer) opstarten een systemd user unit activeren bv die elke login opstart (geen root voor nodig, zoals wel het geval is voor een system unit). En er zijn vast nog meer manieren om iets malicious te doen (aanpassen shell config bv?).Sjah schreef op donderdag 15 mei 2025 @ 18:59:
[...]
Hee, je bent een mod die ik respecteer omdat je kennis hebt, althans daar vertrouw ik op. Je mag soms best er meer met gestrekt been ingaan voor Linux.... Is het bijv niet zo dat in Linux een malicious app niet zomaar eeuwig opgestart wordt, zoals in Win nog wel ns lijkt? En Apple heeft ook niet de naam onveilig te zijn.
En v.w.b. verwijderen is Linux wellicht op het eerste oog iets veiliger. Als je iets via een package installeert kun je er vanuit gaan dat met het verwijderen van het package alles dat door het package geinstalleerd is ook weer weg is. I.t.t. Windows waar een installer ook maar gewoon een programma is, maar dan toevallig een programma dat bestanden op het systeem in bepaalde mappen plaatst. En een uninstaller ook maar gewoon een programma is dat bestanden verwijderd, maar dus ook bewust minder kan verwijderen dan geinstalleerd was. Maar ook daarbij geldt dat het programma dat je zelf installeert vervolgens bij de eerste keer uitvoeren allemaal extra download en "installeert", en dus vervolgens ook niet meer verwijderd wordt.
Zelf ben ik van mening dat antivirus op Linux wel degelijk nodig is. Ik zou niet weten waarom Linux minder vatbaar voor malware zou zijn dan andere besturingssystemen. Ik draai dan ook Bitdefender GravityZone, ook op mijn privé-laptop met Fedora. Druist dit in tegen de free software gedachte? Absoluut. Maar security vind ik erg belangrijk, ook al is mijn threat level niet bijzonder.Sjah schreef op donderdag 15 mei 2025 @ 13:59:
Als ik @Guus... post lees, zou je bijna denken dat Linux onveilig is, en vraag je je bijna af waarom er geen Antivirus nodig is.
Had laatst een vaag app installt, en daarna weer uninstallt, mocht dat malware zijn vraag ik me af of een uninstall afdoende is..
Ik geef wel toe: het is verdomd moeilijk om een goed beeld te krijgen van hoe Linux er vandaag de dag voor staat wat beveiliging betreft. Veel mensen op Reddit roepen lukraak dat Linux superveilig is, maar veel zelfbenoemde experts beweren het tegenovergestelde. Zelf denk ik dan maar: liever een laagje beveiliging teveel dan te weinig.
Ik kan mij sowieso niet indenken dat Linux "super veilig" is. Er zijn wellicht minder echte "lekken" (zero days etc), maar, er zijn sowieso veel minder users en dus ook minder aandacht om dergelijke lekken te vinden (immers is de "winst" kleiner als je zo'n lek vind en kunt uitbuiten).Denoiser schreef op donderdag 15 mei 2025 @ 20:20:
Ik geef wel toe: het is verdomd moeilijk om een goed beeld te krijgen van hoe Linux er vandaag de dag voor staat wat beveiliging betreft. Veel mensen op Reddit roepen lukraak dat Linux superveilig is, maar veel zelfbenoemde experts beweren het tegenovergestelde. Zelf denk ik dan maar: liever een laagje beveiliging teveel dan te weinig.
En ik denk dat tegenwoordig (/al jaren), ongeacht het OS, het grootste beveiligingslek in de stoel zit. Willekeurig software installeren waar malware / ... in zit etc. En dat maakt het besturingssysteem niet perse lek. De vraag is dan alleen hoeveel die software kan. En dan heeft zowel Windows als Linux wel "iets" van beveiliging (als in: beiden hebben een systeem waarbij je verhoogde rechten nodig hebt om echt kwaad te kunnen doen), maar bij beiden geldt dan ook weer "de gebruiker is het grootste risico" (als je zonder na te denken het root WW invult of in Windows op "Ja" / "Doorgaan" / ... klikt maakt dat het OS niet perse onveilig(er)).
En verder heb je dan nog zaken zoals waarmee hier de discussie begon. dat bij Xorg elke applicatie (/Xorg client) op elk moment alle inputs kan uitlezen (lekker handig voor keyloggers dus), kan zien welke programma's er open staan, screenshots maken, .... En daar is Wayland wel veiliger in.
Ik krijg de indruk dat social engineering tegenwoordig een van de grotere risico's is die je als willekeurig persoon loopt. Dat heeft dus weinig met de veiligheid van het OS te maken. Daarentegen lees ik ook genoeg over zero click exploits en malware die via advertenties op reguliere websites wordt verspreid. Dan ben jij in je stoel toch niet zelf het probleem. Malware verspreidt zich niet alleen doordat mensen zelf onbekende bestanden openen en zomaar allerlei zooi installeren, dus met alleen waakzaamheid kom je er niet.RobertMe schreef op donderdag 15 mei 2025 @ 20:32:
En ik denk dat tegenwoordig (/al jaren), ongeacht het OS, het grootste beveiligingslek in de stoel zit. Willekeurig software installeren waar malware / ... in zit etc.
Is Bitdefender niet uit Rusland?Denoiser schreef op donderdag 15 mei 2025 @ 20:20:
[...]
Zelf ben ik van mening dat antivirus op Linux wel degelijk nodig is. Ik zou niet weten waarom Linux minder vatbaar voor malware zou zijn dan andere besturingssystemen. Ik draai dan ook Bitdefender GravityZone, ook op mijn privé-laptop met Fedora. Druist dit in tegen de free software gedachte? Absoluut. Maar security vind ik erg belangrijk, ook al is mijn threat level niet bijzonder.
Ik geef wel toe: het is verdomd moeilijk om een goed beeld te krijgen van hoe Linux er vandaag de dag voor staat wat beveiliging betreft. Veel mensen op Reddit roepen lukraak dat Linux superveilig is, maar veel zelfbenoemde experts beweren het tegenovergestelde. Zelf denk ik dan maar: liever een laagje beveiliging teveel dan te weinig.
Ik raad een virusscanner echt niet aan op Linux. De reden is dat het voornamelijk scant op Windows malware en de meeste zijn erg privacy gevoelig. Vroeger was er echt nog een offline scanner, tegenwoordig is dat vrijwel niet meer zo. De meeste hebben basic rules, maar veel gebeurd in de cloud.
Het is natuurlijk je eigen keuze. Maar SELinux/Apparmor en Flatpaks met Wayland, zouden al vrij dicht moeten zitten. Mocht je het niet vertrouwen, dan heb je nog alternativen die zich echt focussen op Linux, rkhunter bijvoorbeeld.
Linux draait op 80% van de servers.RobertMe schreef op donderdag 15 mei 2025 @ 20:32:
[...]
Ik kan mij sowieso niet indenken dat Linux "super veilig" is. Er zijn wellicht minder echte "lekken" (zero days etc), maar, er zijn sowieso veel minder users en dus ook minder aandacht om dergelijke lekken te vinden (immers is de "winst" kleiner als je zo'n lek vind en kunt uitbuiten).
En ik denk dat tegenwoordig (/al jaren), ongeacht het OS, het grootste beveiligingslek in de stoel zit. Willekeurig software installeren waar malware / ... in zit etc. En dat maakt het besturingssysteem niet perse lek. De vraag is dan alleen hoeveel die software kan. En dan heeft zowel Windows als Linux wel "iets" van beveiliging (als in: beiden hebben een systeem waarbij je verhoogde rechten nodig hebt om echt kwaad te kunnen doen), maar bij beiden geldt dan ook weer "de gebruiker is het grootste risico" (als je zonder na te denken het root WW invult of in Windows op "Ja" / "Doorgaan" / ... klikt maakt dat het OS niet perse onveilig(er)).
En verder heb je dan nog zaken zoals waarmee hier de discussie begon. dat bij Xorg elke applicatie (/Xorg client) op elk moment alle inputs kan uitlezen (lekker handig voor keyloggers dus), kan zien welke programma's er open staan, screenshots maken, .... En daar is Wayland wel veiliger in.
En nu raak je precies aan de kern van de zwakte van root WW of ja klikken. Dat doet geen mens zomaar....maar het is wel zo dat je lang niet altijd zowel Google als Bing van tevoren geheel afzoekt naar de gevaren van een programma. Dus wat nou niet nadenken , dat hele systeem van root WW en sudo is nepveiligheid, want dat type je toch wel in omdat het moet. Maar misschien praat ik nu teveel als Windows-opgevoed nerdje zonder HBO-informatica.RobertMe schreef op donderdag 15 mei 2025 @ 20:32:
[...]
als je zonder na te denken het root WW invult of in Windows op "Ja" / "Doorgaan" /
Ik probeer je te begrijpen, maar wat bedoel je precies met apps opstarten?Sjah schreef op donderdag 15 mei 2025 @ 18:59:
[...]
Hee, je bent een mod die ik respecteer omdat je kennis hebt, althans daar vertrouw ik op. Je mag soms best er meer met gestrekt been ingaan voor Linux.... Is het bijv niet zo dat in Linux een malicious app niet zomaar eeuwig opgestart wordt, zoals in Win nog wel ns lijkt? En Apple heeft ook niet de naam onveilig te zijn.
Apple heeft die naam overigens wel. Ze hebben nu Gatekeeper (of hoe dat ding tegenwoordig heet), een soort mini Windows Defender. Het voordeel is dat Apple een Store heeft, de meeste users zullen die gebruiken. Daarbuiten wordt ook alles geblokkeerd zoals Windows dat doet als je unsigned apps wilt installeren. Je moet echt die radio omzetten, maar met macOS is dat nog iets strakker geregeld.
Alle OS zijn vatbaar, er is wel meer op slot bij sommige, maar ik vergelijk het meer met meerdere lagen. Je kunt daar altijd wel omheen werken, vraag maar hoe ze dat doen bij de onhackbare iPhone.
Ja, je praat inderdaad te kort door de bocht (sorry).Sjah schreef op donderdag 15 mei 2025 @ 21:40:
[...]
En nu raak je precjes aan de kern van de zwakte van root WW of ja klikken. Dat doet geen mens zomaar....maar het is wel zo dat je lang niet al/tijd zowel Google als Bing van tevoren geheel afzoekt naar de gevaren van een programma. Dus wat nou niet nadenken , dat hele systeem van root WW en sudo is nepveiligheid, want dat type je toch wel in omdat het moet. Maar misschien praat ik nu teveel als Windows-opgevoede nerdje zonder HBO-informatica.
Sudo is een middel om root te worden, maar dan nog moet je wel in de juiste groep daarvoor zitten. De meeste apps draaien niet meer in root, en met een Flatpak zelfs in een sandbox. Browsers hebben hun eigen sandbox, maar dat is nogal onhandig met Flatpaks, aangezien je twee lagen door moet.
Bij Linux zijn er altijd verschillende groepen geweest (multi-user), Windows is altijd gericht geweest op een user (single-user). Daar zijn ze inmiddels wel op terugkomen. Maar daardoor kan Linux veel eenvoudiger met iets als SELinux zeggen waar CUPS bij mag komen, en bij Windows iedereen gewoon.
Als ik op Windows een programma installeer zal ik vrij snel op "Ja" klikken ja. Maar als ik gewoon aan het surfen zou zijn en ineens een UAC (of hoe hete dat ding?) prompt krijg klik ik toch echt niet zomaar op "Ja". En hetzelfde uiteraard op Linux (alhoewel je daar die prompt eigenlijk niet krijgt, maar ik iets op CLI doe en weet dat ik sudo de wel of de niet moet doen).Sjah schreef op donderdag 15 mei 2025 @ 21:40:
[...]
En nu raak je precies aan de kern van de zwakte van root WW of ja klikken. Dat doet geen mens zomaar....maar het is wel zo dat je lang niet altijd zowel Google als Bing van tevoren geheel afzoekt naar de gevaren van een programma. Dus wat nou niet nadenken , dat hele systeem van root WW en sudo is nepveiligheid, want dat type je toch wel in omdat het moet. Maar misschien praat ik nu teveel als Windows-opgevoed nerdje zonder HBO-informatica.
Ik mis vaak wel dat UAC op Linux. Je vult steeds je wachtwoord in, maar dat is inderdaad minder veilig op Xorg apps. Op macOS kan je ook de vinger op de touch houden.RobertMe schreef op donderdag 15 mei 2025 @ 21:46:
[...]
Als ik op Windows een programma installeer zal ik vrij snel op "Ja" klikken ja. Maar als ik gewoon aan het surfen zou zijn en ineens een UAC (of hoe hete dat ding?) prompt krijg klik ik toch echt niet zomaar op "Ja". En hetzelfde uiteraard op Linux (alhoewel je daar die prompt eigenlijk niet krijgt, maar ik iets op CLI doe en weet dat ik sudo de wel of de niet moet doen).
Bestaat zoiets ook voor Linux?
Bitdefender komt uit Roemenië.HollowGamer schreef op donderdag 15 mei 2025 @ 21:33:
[...]
Is Bitdefender niet uit Rusland?
Ik raad een virusscanner echt niet aan op Linux. De reden is dat het voornamelijk scant op Windows malware en de meeste zijn erg privacy gevoelig. Vroeger was er echt nog een offline scanner, tegenwoordig is dat vrijwel niet meer zo. De meeste hebben basic rules, maar veel gebeurd in de cloud.
Het is natuurlijk je eigen keuze. Maar SELinux/Apparmor en Flatpaks met Wayland, zouden al vrij dicht moeten zitten. Mocht je het niet vertrouwen, dan heb je nog alternativen die zich echt focussen op Linux, rkhunter bijvoorbeeld.
Antivirus doet tegenwoordig veel meer dan alleen het klassieke signature scanning. Het meest waardevolle is juist dat het gedrag van apps en scripts en het netwerkverkeer wordt gemonitord. Het is daarmee inderdaad helaas ook een beetje een inbreuk op je privacy.
Vroeger had je gksudo/kdesu, tegenwoordig gaat het via polkit. Je krijgt dan een melding dat een applicatie meer rechten nodig heeft. Geeft ook aan welke dat is.HollowGamer schreef op donderdag 15 mei 2025 @ 21:49:
[...]
Ik mis vaak wel dat UAC op Linux. Je vult steeds je wachtwoord in, maar dat is inderdaad minder veilig op Xorg apps. Op macOS kan je ook de vinger op de touch houden.
Jazeker, als je fingerprint reader wordt ondersteund en je hebt die ingesteld, kan je ook met je vinger akkoord geven voor sudo, net zoals je inlogt of ontgrendeld.Bestaat zoiets ook voor Linux?
Commandline FTW | Tweakt met mate
Ja en nee, nee en jaSjah schreef op donderdag 15 mei 2025 @ 13:59:
Als ik @Guus... post lees, zou je bijna denken dat Linux onveilig is, en vraag je je bijna af waarom er geen Antivirus nodig is.
Had laatst een vaag app installt, en daarna weer uninstallt, mocht dat malware zijn vraag ik me af of een uninstall afdoende is..
Ergens heeft @Guus... een punt, net als @Sjah:
Security, antivirus, en kwetsbaar zijn is van 101 zaken afhankelijk: fysieke toegang, kwetsbare gebruik/standaard instellingen, Linux (en ICT algemeen) draait sterk om vertrouwen.
Onderaan de streep zijn er 101 stuks aan software, libraries, hardware. Firmware, datacenters etc. Welke allemaal een onderdeel en rol hebben in een lange ketting van … vertrouwen.
Er is altijd ergens een kans dat iemand zijn rechten en bevoegdheden misbruikt. Ieder stukje software en bron wat je gebruikt leukt op vertrouwen.
Er is -niets- 100% veilig. Maar ik (en mijn klanten ) zijn in mijn beleving een stuk minder kwetsbaar dan gemiddeld Windows netwerk of servertje.
Maar om nu te stellen dat xorg VS wayland nu zo’n gigantisch verschillend zijn, acht ik beperkt. Zelfde geld over de meeste pakketjes of bundels: deze download je ergens, daarbij vertrouwen we de bron, de isp verbinding, de ontwikkelaars, de controle systemen, etc etc
Security en veiligheid is nooit klaar - en kunt het super strak maken. Maar ergens ligt een balans tussen bruikbaarheid en geaccepteerd risico
[ Voor 4% gewijzigd door himlims_ op 16-05-2025 01:17 ]
Het erge is dat ik ook direct geloof dat dit echt is, Linux gebruikers zijn absoluut een vak apart.
VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente
Je zag dit natuurlijk ook bij de XZ backdoor. Die targette ook alleen het build proces van .deb en .rpm (meen ik). Waardoor een heel aantal andere distros sowieso al niet vatbaar waren.
Alle distros waren vatbaar, die ssh via systemd lieten lopen.RobertMe schreef op vrijdag 16 mei 2025 @ 10:28:
[...]
Je zag dit natuurlijk ook bij de XZ backdoor. Die targette ook alleen het build proces van .deb en .rpm (meen ik). Waardoor een heel aantal andere distros sowieso al niet vatbaar waren.
Neen. Het extra gebeuren werd tijdens het compilen/packagen uitgevoerd en gebeurde alleen bij .deb en .rpm builds. Hoewel het misbruik wellicht wel zou werken op andere distro's werd dus niet mee gecompileerd voor dir distro's (maar als je de bestanden uit die .deb file zou gebruiken op een andere distro kan het best dat het dan wel "werkte" / je vatbaar was. Maar uiteraard gaat niemand een .deb op bv Arch installeren, voor een package dat gewoon in de Arch repo zit).HollowGamer schreef op vrijdag 16 mei 2025 @ 11:55:
[...]
Alle distros waren vatbaar, die ssh via systemd lieten lopen.
Dus dat alle distro's vatbaa/getroffenr waren is gewoon pertinent niet waar.
Dat is beetje wat bedoelde met mijn bijna logoschenpost hierboven; zo veel factoren die meespelen. Als het allemaal zo’n gaten kaas zou zijn, zou huidig internet niet bestaanRobertMe schreef op vrijdag 16 mei 2025 @ 14:27:
[...]
Neen. Het extra gebeuren werd tijdens het compilen/packagen uitgevoerd en gebeurde alleen bij .deb en .rpm builds. Hoewel het misbruik wellicht wel zou werken op andere distro's werd dus niet mee gecompileerd voor dir distro's (maar als je de bestanden uit die .deb file zou gebruiken op een andere distro kan het best dat het dan wel "werkte" / je vatbaar was. Maar uiteraard gaat niemand een .deb op bv Arch installeren, voor een package dat gewoon in de Arch repo zit).
Dus dat alle distro's vatbaa/getroffenr waren is gewoon pertinent niet waar.
Ook dat is te kort door de bochtHollowGamer schreef op donderdag 15 mei 2025 @ 21:45:
[...]
Ja, je praat inderdaad te kort door de bocht (sorry).
Sudo is een middel om root te worden, maar dan nog moet je wel in de juiste groep daarvoor zitten. De meeste apps draaien niet meer in root, en met een Flatpak zelfs in een sandbox. Browsers hebben hun eigen sandbox, maar dat is nogal onhandig met Flatpaks, aangezien je twee lagen door moet.
Sudo is een middel om commando's uit te voeren als een andere user waarbij root de default andere user is. Groepen zijn ook niet per se nodig, je kunt gewoon een specifieke user in de configuratie opnemen zonder groep en die toegang geven tot bepaalde commando's als root, als een andere user of toegang tot alle commando's. En dat kan ook weer zonder password, het is maar net hoe je het wil inrichten.
Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.
Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.
Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.
Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.
Zeker een aanrader, maar enkel als je geen beginner meer bent.
[ Voor 5% gewijzigd door HollowGamer op 24-05-2025 21:09 ]
Ik ben ook al een jaar bij Cachy en ga nergens meer heen. Je kan er alles op installeren (kan ook een probleem zijn) en out of the box ready. Om toch een beet look and feel te houden met andere distro's draai ik wel een VM.HollowGamer schreef op zaterdag 24 mei 2025 @ 21:07:
En we zijn weer terug op Arch Linux (cachyos).
Ik heb Fedora en OpenSUSE geprobeerd, maar beide hebben nadelen.
De meeste vind ik toch echt het ontbreken van goede documentatie, extra package support (geen AUR) en Flatpaks hebben voor mij als developer ook nog wat nadelen.
Het fijnste van non-Atomic is dat je heel snel packages kunt installeren. Bij de Atomic moest ik steeds opnieuw rebooten en ik ondervond ook genoeg performance issues. Daarnaast heb ik een NV, en op beide was het teleurstellend geregeld.
Het meest teleurstellende vond ik toch echt OpenSUSE. Ze hebben issues met hun update manager, en dat is al langer dan een week geen updates (dus ook geen Firefox security fixes!). Toevallig vond ik het op Reddit, anders had ik geen idee wat aan de hand was.
Tot nu toe goede performance en je kunt ook heel eenvoudig bloat verwijderen, al vind ik de basis netter vergeleken met andere als uBlue images.
Zeker een aanrader, maar enkel als je geen beginner meer bent.
Jazekers, is zelfs een apart subforum voor:Ruitenwisser schreef op maandag 26 mei 2025 @ 13:04:
Wordt Proxmox hier gebruikt? Als ik 3 containers heb voor Samba, NFS en Syncthing, kan ik hetzelfde pad mounten aan de 3 containers zonder problemen? Maak ik 3 verschillende users op de host of maar 1 en map de 3 users van de containers naar hetzelfde user op de host?
Het grote Proxmox VE topic
Stel je vraag daar even.
Aha, dank hiervoor, had deze over het hoofd gezien.pporrio schreef op maandag 26 mei 2025 @ 13:53:
[...]
Jazekers, is zelfs een apart subforum voor:
Het grote Proxmox VE topic
Stel je vraag daar even.
Erg leuke en interessante dag gebleken, wat weten die boys toch veel van 101 protocollen en systemen.
Damn voel me zo dom vandaag
Maar, vooruit lopen op rapportage; doen we het stiekem best goed. De meeste fouten en kwetsbaarheden komen voor uit “legacy” de manager met creditcard en illegale systemen.
Ik vind mooi
[ Voor 35% gewijzigd door himlims_ op 26-05-2025 15:36 ]
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
Hier stond een dode link.
Mag ik vragen waarom je het niet met Docker/podman doet?strandbal schreef op woensdag 4 juni 2025 @ 18:06:
Vandaag weer kennis gemaakt met een oude liefde...
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
Ik vind het eigenlijk heel vervelend dat ik bedrijven en kennissen moet smeken om een wachtwoord manager te gebruiken.himlims_ schreef op maandag 26 mei 2025 @ 15:35:
Vandaag white-hat-hackers op visite voor pentest
Erg leuke en interessante dag gebleken, wat weten die boys toch veel van 101 protocollen en systemen.
Damn voel me zo dom vandaag
Maar, vooruit lopen op rapportage; doen we het stiekem best goed. De meeste fouten en kwetsbaarheden komen voor uit “legacy” de manager met creditcard en illegale systemen.
Ik vind mooi
Wat heb je nog meer geleerd?
Als je al een Proxmox machine hebt, waarom dan met een externe container systeem werken wanneer LXC zit ingebakken? Zal dus eenvoud zijn.HollowGamer schreef op woensdag 4 juni 2025 @ 21:09:
[...]
Mag ik vragen waarom je het niet met Docker/podman doet?
Commandline FTW | Tweakt met mate
Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?Hero of Time schreef op woensdag 4 juni 2025 @ 21:23:
[...]
Als je al een Proxmox machine hebt, waarom dan met een externe container systeem werken wanneer LXC zit ingebakken? Zal dus eenvoud zijn.
Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.
Docker + Wireguard is sowieso dikke bullshit. Wireguard is een kernel module. En vervolgens heb je iets in een Docker container draaien dat die kernel features aanspreekt, waarvoor die container dus ook elevated permissions nodig heeft (cap NAT blabla?).HollowGamer schreef op woensdag 4 juni 2025 @ 21:35:
[...]
Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?
Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.
En voor LXC geldt uiteraard hetzelfde.
En in beide gevallen zit je by default in een separate network namespace te rommelen, waardoor hetgeen dat je in de container (Docker of LXC) doet ook weer niet buiten de container zichtbaar is. En ook daarvoor ligt de oplossing weer in meer rechten geven aan de container / minder isolatie toepassen.
Enige dat Docker / LXC vervolgens toevoegt is dat je een prebuild container zult hebben waar waarschijnlijk een user friendly tool in zit. I.p.v. dus (bv) met de hand alle wg ... en ip .... commando's uitvoeren. Maar..., de netwerk tools op het host OS ondersteunen vast ook Wireguard. NetworkManager en systemd-networkd doen dat sowieso (want die gebruik ik
Ligt maar net aan wat je wil doen. Stel dat je een paar distro's wil testen, hoe ga je dat in een container doen dan?HollowGamer schreef op woensdag 4 juni 2025 @ 21:35:
[...]
Het verbaast mij nog dat mensen een VM draaien, is dat niet heel inflexibel en vervelend met het delen van resources?
Docker vind ik vreselijk met hun netwerk termen. NAT noemen ze 'bridge', echt, gaat heen met die verwarrende term. Want met bridge denk ik gelijk dat de container als een aparte entiteit op het netwerk gezien wordt, maar dat is het helemaal niet. Als je 't buiten de host bereikbaar moet zijn, moet je poorten opgeven waarover het te benaderen is. Een brug is niet hetzelfde als een sluis!Volgens mij kan je met Docker een netwerk bridge maken met Wireguard enzo. Tailscale schijnt ook goed te werken, alleen zelf geen ervaring mee.
Commandline FTW | Tweakt met mate
Vooral het feit dat LXC al zit ingebakken inderdaad, vind Docker niet zoveel toevoegen in mijn situatie, plus ik vind het wel leuk om het niet kant-en-klaar te starten maar nog enigszins te kunnen doorgronden wat het nou doetHollowGamer schreef op woensdag 4 juni 2025 @ 21:09:
[...]
Mag ik vragen waarom je het niet met Docker/podman doet?
Inflexibel qua resources valt in dit geval dus wel mee, de VM pakt net zoveel ram als de linux container die 'ie verving.
Overigens vind ik het argument van security in het geval van een VPN server ook wel valide, alle howto's die startten met "maak een privileged lxc container aan en doe eerst vanalles op de host" heb ik direct weg geklikt
Vanwege LXC's etc, en het feit dat BSD toch vaak wel wat achterloopt tov Linux, was ik juist meer van BSD naar Linux aan het bewegen. Dit was meer een random test die ineens onverwacht positief uitpakte in het voordeel van BSD.
Hier stond een dode link.
Tegelijkertijd maken ze wel per (Docker) bridge ook een Linux bridge aan. Containers hangen vervolgens met een virtuele adapter aan die bridge. En die bridge heeft dan zijn eigen subnet, waarbij verkeer naar buiten toe gemasquarade wordt. En naar binnen heb je dan DNAT nodig voor port forwards.Hero of Time schreef op woensdag 4 juni 2025 @ 21:46:
[...]
Docker vind ik vreselijk met hun netwerk termen. NAT noemen ze 'bridge', echt, gaat heen met die verwarrende term. Want met bridge denk ik gelijk dat de container als een aparte entiteit op het netwerk gezien wordt, maar dat is het helemaal niet. Als je 't buiten de host bereikbaar moet zijn, moet je poorten opgeven waarover het te benaderen is. Een brug is niet hetzelfde als een sluis!
En de bridge die jij bedoelt kan ook. Alleen heet dat dan macvlan / ipvlan. Ook weer gebaseerd op de onderliggende Linux kernel "technieken" die rechtstreeks gebruikt worden.
En puur een bridge "zoals nu" alleen dan waar ook de fysieke adapter in zit kan denk ik ook niet rechtstreeks?Want IIRC kan maar 1 "element" (adapter of de bridge zelf) een IP adres hebben? Terwijl containers allemaal een eigen IP (moeten) hebben en deze dus ook onderling kunnen babbelen op basis van het IP / DNS (automatisch in voorzien door Docker waarbij by default de containernaam ook via DNS resolved naar de container).
draait hier prima; https://community-scripts...oxVE/scripts?id=wireguardstrandbal schreef op woensdag 4 juni 2025 @ 18:06:
Vandaag weer kennis gemaakt met een oude liefde...
Al een tijdje ruzie met Wireguard VPN in een Linux LXC op Proxmox, geen idee wat ik fout doe maar ik krijg het niet lekker werkend. Bij wijze van test een FreeBSD 14 VM opgespind (had gelezen dat Wireguard sinds 14 in de kernel zit) en kreeg het in no time werkend... Hele VM gebruikt 500MB ram
Het blijft een heerlijk systeem om mee te werken, lekker overzichtelijk
vervolgens ./pivpn -a user
Dat noem ik dan 'internal-only' netwerk, zodat ze onderling kunnen communiceren, eventueel ook met de host.RobertMe schreef op woensdag 4 juni 2025 @ 23:37:
[...]
Tegelijkertijd maken ze wel per (Docker) bridge ook een Linux bridge aan. Containers hangen vervolgens met een virtuele adapter aan die bridge.
NAT dus.En die bridge heeft dan zijn eigen subnet, waarbij verkeer naar buiten toe gemasquarade wordt. En naar binnen heb je dan DNAT nodig voor port forwards.
Jep, dat ken ik. Met dank aan Qemu/KVM. Het haakt dan aan je fysieke NIC.En de bridge die jij bedoelt kan ook. Alleen heet dat dan macvlan / ipvlan. Ook weer gebaseerd op de onderliggende Linux kernel "technieken" die rechtstreeks gebruikt worden.
De manier hoe een virtuele (TAP) adapter werkt, zie ik als 2 kanten. Eentje binnen de container, daar hangt het IP adres aan. De andere zijde is bij de host en is onderdeel van de bridge. Die bridge heeft een IP adres, wat door de Host gebruikt wordt voor de eigen communicatie e.d.En puur een bridge "zoals nu" alleen dan waar ook de fysieke adapter in zit kan denk ik ook niet rechtstreeks?Want IIRC kan maar 1 "element" (adapter of de bridge zelf) een IP adres hebben? Terwijl containers allemaal een eigen IP (moeten) hebben en deze dus ook onderling kunnen babbelen op basis van het IP / DNS (automatisch in voorzien door Docker waarbij by default de containernaam ook via DNS resolved naar de container).
Ik heb iig in het verleden een IP adres op zowel de bridge interface als de fysieke interface dat onderdeel was er van. Niet dat het fatsoenlijk werkte, maar het kon wel.
Commandline FTW | Tweakt met mate
Naar aanleiding van dit bericht, ben ik aan het kijken of het mogelijk is om een Linux Repaircafe te starten in de 'regio Haarlem'. Zijn er Linux deskundigen in die regio die het leuk zouden vinden om hieraan als vrijwilliger mee te werken met hun deskundigheid?xah5kiDe schreef op vrijdag 9 mei 2025 @ 10:43:
https://www.nporadio1.nl/fragmenten/nieuwsweekend/01962907-9cce-7007-95eb-031cd13e9588/2025-04-12-repair-cafe-heeft-list-om-250-miljoen-computers-van-de-schroot-te-redden
Allemaal aan de Linux, op naar het repair cafe!
Ik heb twee keer geholpen omdat ik toch wel benieuwd was of er ook onder "gewone" mensen nog een beetje animo voor was. Was een succes dus komt er een vervolg op 16 mei:
https://www.repaircafe.org/linux-repair-cafe/
Dan graag een PM / DM
zo iets is altijd leuk - of er veel draagvlak en vraag is [..] valt nog te bezien. hebben dat hier in dorp paar keer gedaan, was leuke dag, maar niet heel veel werkzaamheden.ahbart schreef op dinsdag 10 juni 2025 @ 13:03:
[...]
Naar aanleiding van dit bericht, ben ik aan het kijken of het mogelijk is om een Linux Repaircafe te starten in de 'regio Haarlem'. Zijn er Linux deskundigen in die regio die het leuk zouden vinden om hieraan als vrijwilliger mee te werken met hun deskundigheid?
In Amsterdam was het een redelijk succes. Daar heeft dit 2 x plaatsgevonden. Met het naderende einde van windows 10, lijkt hier wel wat belangstelling voor te ontstaan.himlims_ schreef op dinsdag 10 juni 2025 @ 13:05:
[...]
zo iets is altijd leuk - of er veel draagvlak en vraag is [..] valt nog te bezien. hebben dat hier in dorp paar keer gedaan, was leuke dag, maar niet heel veel werkzaamheden.
Commandline FTW | Tweakt met mate
[ Voor 81% gewijzigd door Hero of Time op 11-06-2025 19:10 ]
Theo
Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).
En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Vind je het vervelend als ik zeg dat ik 1000 euro voor zo'n specs, een behoorlijk bedrag vind?vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Vorige week een nieuwe laptop voor mijzelf aangeschaft - de vorige, na 13 jaar, begon soms spontaan uit te vallen.
Nou komt dat ding standaard met Windows 11 en die wilde ik toch er op laten voor het geval ik Windows ooit voor iets nodig mocht hebben. Dus, in gebruik nemen. Hele rits vragen over 'data naar Microsoft sturen voor blablabla'. Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan. Nachtje aan laten staan zodat 'ie zelf op z'n gemak updates kan downloaden (maar ja, na een half uurtje ofzo gaat 'ie automatisch in sleep, dus volgende ochtend praktisch geen vooruitgang).
En dan parallel Linux installeren, Debian 'testing'. Tijdens het installeren vraagt 'ie over package informatie naar Debian sturen - met het vinkje al default op 'no', netjes. Daarna vraagt 'ie om een internet mirror voor packages. Kwartiertje later is alles geinstalleerd en bijgewerkt.
Was wel verrast dat er ook een of ander Dell package standaard geinstalleerd werd - die automatisch mij ook een BIOS update gaf. Dell lijkt dus behoorlijk Linux-friendly te zijn.
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Ik heb een DELL dock, en het was echt heel gek dat het kwam met allemaal firmware updates, en dat vanuit Gnome Software/fwupd app.RobertMe schreef op maandag 16 juni 2025 @ 12:59:
[...]
Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)
Daar kan Samsung echt nog iets van leren.
Maar je hebt dan wel een Dell incl Linux support (incl dus firmware updates die je vanuit Linux kunt installeren en meegaan met updates die je via PackageKit doet).HollowGamer schreef op maandag 16 juni 2025 @ 13:06:
[...]
Vind je het vervelend als ik zeg dat ik 1000 euro voor zo'n specs, een behoorlijk bedrag vind?
Dat is wel iets anders dan mijn Lenovo laptop waarbij BIOS updates verpakt zitten in meerdere Windows tools en vervolgens, met uitvoeren onder Windows, de BIOS corrupt raakt / update faalt en ze doodleuk zeggen "ja meneertje, de garantie is 2 maanden terug verlopen. Maar ik kan je wel nu nog een verlengde garantie aanbieden met wat korting". /rant
Dat heeft vast niks met leren te maken, maar met willen. Samsung staat nu niet bekend als premium laptop merk en heeft vast ook geen / maar een beperkte zakelijke afzet. Dus dit soort "premium ondersteuning" kost alleen maar geld en ze zullen er niet spontaan veel meer hardware door verkopen.HollowGamer schreef op maandag 16 juni 2025 @ 13:07:
Daar kan Samsung echt nog iets van leren.
Terwijl Dell sowieso een (forse) meerprijs heeft maar uitstekende ondersteuning tegenover staat. Waarbij elke klant dus "te veel betaald" maar tegelijkertijd Dell die "winst" wel kan steken in zaken die minder rendabel zijn (Linux support) waardoor ook de (zakelijke) afzet weer groter wordt.
Maar een consument gaat echt niet 100 of 200 euro meer betalen voor dezelfde specs omdat de ondersteuning beter is (tenzij het van Apple is natuurlijk
Het zou wel een eerlijker vergelijk zijn om met de Microsoft media creation tool een USB-stick te prepareren. Microsoft werkt de installatie-images continu bij met updates er in, itt de OEMs die dat hooguit na elke jaarlijkse release doen. Je mist dan de OEM software, wat imo eerder een voordeel dan een nadeel is.vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Dan eindelijk bij de desktop: Dell wil updates installeren. Windows wil updates installeren - en wel heul veul. En telkens tussendoor een reboot nodig hebben voor 'ie met volgende updates door kan.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Ik denk dat je gelijk hebt. In m'n herinnering was het een Dell package, maar als ik nu in de package repository van Debian testing zoek naar packages met 'dell' er in, vind ik niets wat er bij past.RobertMe schreef op maandag 16 juni 2025 @ 12:59:
[...]
Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)
Dus bij nader inzien gok ik dat het idd fwupd was die dan een update heeft gedownload waar dan 'dell' in de naam staat.
Nee, niet vervelendHollowGamer schreef op maandag 16 juni 2025 @ 13:06:
Vind je het vervelend als ik zeg dat ik 1000 euro voor zo'n specs, een behoorlijk bedrag vind?
Ik zocht een laptop waarbij ik het vertrouwen had dat het ding een tijdje mee kan. Bij deze Dell, bedoeld voor de zakelijke markt, vindt je bij Dell zelf handleidingen hoe je allerlei dingen zelf kan repareren/vervangen (CPU koeling bijvoorbeeld). Dat geeft mij dan wel het vertrouwen dat het ding niet als wegwerpprodukt bedoeld is.
Verder... tja, zat eerst naar een goedkoper model te kijken maar deze heeft ook een NPU. Geen idee wat ik daar aan ga hebben, maar stel dat deze weer lang mee gaat, kan ik maar beter zo iets er bij hebben.
Daarnaast kreeg ik bij Dell ook wel het gevoel dat hun produkten - zelfs als niet met Linux leverbaar - wel met Linux in het achterhoofd op de markt gebracht worden.
In sommige gevallen mag de prestaties wel wat beter, maar dat is eigenlijk meer een Windows probleem als VM. Want daar merk ik dat de prestaties soms wat achter blijven. Maar zoals gezegd, dat zal wellicht meer een Windows ding zijn, want het staat constant iets te doen en dat is aan het CPU gebruik ook te merken.
@RobertMe, Samsung doet alleen firmwares aanbieden van hun SSDs, maar voor de rest niets. Voor het idee, Acer, 8bitdo, Adata, Fujitsu en nog veel meer fabrikanten leveren firmware voor hun hardware. Samsung maakt meer dan alleen telefoons en SSDs.
Commandline FTW | Tweakt met mate
Dell en IBM zijn/waren fanatiek steunend/gebruiker van OSS. (Ik ben er al even uit)RobertMe schreef op maandag 16 juni 2025 @ 12:59:
[...]
Ik neem aan fwupd? Dat is niet van Dell. Maar bedrijven kunnen zich daar wel bij aanmelden om firmwares via de infrastructuur (& software) van hun te distribueren. Iets dat Dell dus doet, maar dat geldt ook voor andere (voornamelijk zakelijke) merken / modellen. (Lenovo doet het volgens mij alleen voor ThinkPads bv)
Maar Dell was enkele jaren terug een van de weinige enterprise leveranciers die bij enkele modellen ook met ubuntu(support) verkocht werden
Hoe het zit met FW upgrades geen idee - ik ben altijd beetje sceptisch en terughoudend met (automatische)bios/firmware upgrades. (Maar dat is mijn wantrouwen)
Hedendaagse werkt praktisch iedere laptop(onderdelen) wel icm Linux. Enige wat mij vaak irriteert en beperkt ondersteund wordt; RGB/Fams/bepaalde touchscreens/trackpads en of varianten daarvan.
Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.himlims_ schreef op maandag 16 juni 2025 @ 23:32:
[...]
Dell en IBM zijn/waren fanatiek steunend/gebruiker van OSS. (Ik ben er al even uit)
Maar Dell was enkele jaren terug een van de weinige enterprise leveranciers die bij enkele modellen ook met ubuntu(support) verkocht werden
Hoe het zit met FW upgrades geen idee - ik ben altijd beetje sceptisch en terughoudend met (automatische)bios/firmware upgrades. (Maar dat is mijn wantrouwen)
Hedendaagse werkt praktisch iedere laptop(onderdelen) wel icm Linux. Enige wat mij vaak irriteert en beperkt ondersteund wordt; RGB/Fams/bepaalde touchscreens/trackpads en of varianten daarvan.
Het klinkt dus spannender dan dat het eigenlijk is
Volgens mij zijn die updates effectief ook in een standaard bestandsformaat (moet ook wel, want zoveel BIOS merken zijn er niet). Het enige issue is dus daadwerkelijk aan het "ruwe" update bestand komen. Want bij bv Lenovo zit die verpakt in zelfs 2 executables (de een is een "gecomprimeerd" bestand en als die is uitgepakt zit daarin de bios flasher executable die vervolgens weer de ruwe update file bevat)), en zitten er nog wat "headers" bij die je er in ieder geval af moet strippen als je het bios bestand rechtstreeks op de bios chip wilt flashen (zoals ik heb moeten doen met mijn bricked bios).Miki schreef op dinsdag 17 juni 2025 @ 09:07:
[...]
Ik heb toevallig een tweedehands Dell Optiplex hier staan die ik voorzien heb van Linux. Met fwupd gebeurt niet veel anders dan dat je via Windows update de bios zou updaten. Er wordt door de applicatie bijvoorbeeld een bios bestand gedownload en vervolgens krijg je de vraag om opnieuw op te starten. Vervolgens boot je in de Dell firmware upgrade omgeving van je UEFI en wordt het proces doorlopen om het specifieke component te updaten.
Het klinkt dus spannender dan dat het eigenlijk is
En hetzelfde geldt ook voor NVME drives. Linux' nmcli kan prima op een standaard manier firmware updates via NVME SSDs doen. Het grote probleem is alleen dat maar weinig fabrikanten de daadwerkelijke firmware file vrijgeven, maar deze dus vaak verpakt zit in een Windows executable.
Het is op een hoop punten haasje over gegaan. Het is het typische verhaal van de laatste-zullen-de-eerste zijn. MS had lang het voordeel dat hun installatieprocedure niet heel makkelijk hoefde te zijn want de meeste mensen kregen het voorgeinstalleerd bij hun computer. Daarbij zorgde iedere fabrikant er zelf wel voor dat z'n spul compatible was met Windows en de Windows Installer. MS daar ook niet heel veel meer aan te doen dan de drivers testen die de fabrikanten zelf aanleverden.vanaalten schreef op maandag 16 juni 2025 @ 12:44:
Ik ben best tevreden over het Linux (Debian) installatieproces.
Heb toch in gedachte nog steeds 'windows makkelijk next-next-next, Linux gedoe met drivers en werkend krijgen'. Dat is toch wel verbeterd, lijkt het.
Linux had dat allemaal niet dus moest er drie keer zo hard gewerkt worden om alles superbetrouwbaar, compatible en gladjes te maken. In mijn ervaring is Linux installeren al minstens 10 jaar makkelijker dan Windows mits je goede drivers hebt voor alle hardware. 10 jaar geleden was dat al prima te doen omdat 90%(?) van de hardware al goed werd ondersteunt, maar die laatste 10% gooide toch vaak roet in het eten.
In de afgelopen 10 jaar is de ondersteuning alleen maar beter geworden, zowel in de breedte als in de diepte. De meeste mainstream hardware wordt out-of-the-box ondersteund en de veel gebruikte drivers zijn in een uitstekende conditie, onder andere omdat veel fabrikanten nu zelf drivers voor Linux schrijven en daar bij de ontwikkeling al rekening mee houden.
Het heeft een ontzettend solide en snelle basis opgeleverd.
Ik heb een kennis die een tijd de gewoonte had om zijn speelcomputer dagelijks te herinstalleren, soms meerdere keren op een dag. Hij kon dat binnen 10 minuten. Een volledige herinstallatie doen was makkelijker dan uitzoeken wat hij verkeerd had gedaan. Daar kun je veel van denken maar de installer deed het goed
This post is warranted for the full amount you paid me for it.
Ik vind het een enorm enge gedachte dat de NetworkManager Command Line Interface ook maar iets met m'n ssd kan doen. En al helemaal met de firmware ervan.RobertMe schreef op dinsdag 17 juni 2025 @ 11:04:
En hetzelfde geldt ook voor NVME drives. Linux' nmcli kan prima op een standaard manier firmware updates via NVME SSDs doen. Het grote probleem is alleen dat maar weinig fabrikanten de daadwerkelijke firmware file vrijgeven, maar deze dus vaak verpakt zit in een Windows executable.
Alle firmware updates lopen in principe via fwupd. Er zijn grafische interfaces omheen, zoals Gnome Firmware, Gnome Software, KDE Discover en meer.
Ik denk dat je flashrom of flashprog bedoelde, die kan firmware zoals BIOS, NIC en andere apparaten direct schrijven. Omschrijving in Debian:
flashprog is a tool for identifying, reading, writing, verifying and erasing flash chips. It's often used to flash BIOS/EFI/coreboot/firmware/optionROM images in-system using a supported mainboard, but it also supports flashing of network cards (NICs), SATA controller cards, and other external devices which can program flash chips.
Commandline FTW | Tweakt met mate
Good one, nmcliHero of Time schreef op dinsdag 17 juni 2025 @ 20:46:
[...]
Ik vind het een enorm enge gedachte dat de NetworkManager Command Line Interface ook maar iets met m'n ssd kan doen. En al helemaal met de firmware ervan.
Alle firmware updates lopen in principe via fwupd. Er zijn grafische interfaces omheen, zoals Gnome Firmware, Gnome Software, KDE Discover en meer.
Ik denk dat je flashrom of flashprog bedoelde, die kan firmware zoals BIOS, NIC en andere apparaten direct schrijven. Omschrijving in Debian:
[...]
V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.
And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop
Dat gewoon werkte en dan boote die. Alleen had ik een verkeerde kronkel en dacht ik dat het een secure boot issue was. Eerst gewoon sbctl enroll-keys -m gedaan maar dat gaf een error dat die niks met de keys kon en ik (mogelijk) chattr -i op de errorende bestanden moest doen. Maar daarvan stond niks mij bij van originele installatie, en de Arch wiki vermelde het ook niet. Als gevolg daarvan in de BIOS settings gaan zitten rommelen waardoor ik ineens bij boot op een Dell scherm uit kwam met iets van "HTTP(S) boot" en om met wifi te connecten. En daar kwam ik maar niet vanaf. Waarbij ik mij intussen wel had bedacht dat ik geen SB issue had maar een TPM issue (want het systeem boote gewoon, kreeg Manjaro splash screen en "halverwege" vroeg systemd/luks/... voor de recovery key. Met een SB failure zal die natuurlijk niet beginnen te booten). Conclusie dus dat ik intussen meer stuk had gemaakt dan nodig was.
Toch maar eens op die "HTTP(S) boot" gezocht en daarbij wees het internet uit dat dit gewoon een boot optie is en er geen (werkende) boot optie was. Vervolgens SB ("weer") in audit mode gezet en waarempel, Manjaro startte weer (met uiteraard dan wel vraag naar recovery key). Vervolgens nog eens sbctl enroll-keys -m en weer dezelfde error. Toch maar eens beginnen te typen aan sudo chattr... en hmm, dat commando stond blijkbaar toch in de shell history

Dus toen maar weer gepuzzeld om de / een nieuwe enrollment van de/een LUKS key naar de TPM te schrijven en dat was natuurlijk vrij eenvoudig: sudo systemd-cryptenroll /dev/<nvme...> --wipe-slot=tpm2 --tpm2-device=auto. Waarbij die zowel een nieuwe key als ook een token (verwijzende naar die key) aanmaakt voor gebruik met de TPM, deze ook weg schrijft naar de TPM, en als de nieuwe enrollment succesvol is daarna in dit geval een "wipe" doet van alle bestaande tpm2 tokens/keys behalve die wat nu net is aangemaakt. En daarna kwam ik met een reboot weer meteen op het login scherm uit zonder enige interactie.
Oorzaak hiervan zal dus vast samen liggen met het "niveau" tot waar de hard- en software gecontroleerd wordt door de TPM. En dat door de bios update dezelfde hardware niet meer "geldig" was door een wijziging in de (low level) software.
Gezien het feit dat ik nvme-cli niet geïnstalleerd heb staan, maar wel m'n SSD firmware eens heb bijgewerkt (laptop werk), gok ik zo dat fwupd het ook zelf kan.RobertMe schreef op dinsdag 17 juni 2025 @ 21:12:
[...]
Good one, nmcli. Ik bedoelde nvme-cli.
V.w.b. fwupd durf ik niet te zeggen hoe die exact werkt. Of die alles zelf implementeert of bv nvme-cli aanspreekt voor NVME SSDs, etc etc.
Ik ben niet bekent met jouw methode om LUKS met TPM te unlocken. Op m'n werk heb ik ook LUKS+TPM maar dat doe ik via Clevis. Bij het opstarten staat 'ie wel een paar seconden te wachten bij de vraag om de passphrase, maar daarna gaat 'ie door. Heb nog niet kunnen vinden waar de timeout staat, want zou het liever zien dat 'ie hooguit 1 seconde wacht en doorgaat met TPM en pas bij een fout om de passphrase gaat vragen.And on that note: vanmorgen op mijn Dell laptop van het werk een bios update gedaan (middels fwupd dus). 2 uur later had ik weer een werkende laptop. Is geïnstalleerd met full disk encryption en TPM unlock. Reboot gedaan, bios update geïnstalleerd, en vervolgens moest ik de recovery key invullen
[heel verhaal over onjuiste conclusie wat mis was gegaan en tpm re-enrollen]
Ik heb ook al meerdere BIOS/UEFI firmware updates gedaan en niet de TPM key opnieuw te moeten enrollen. Maar ik heb SB ook uit staan, m'n log wordt vol gespuugd met een warning als ik met KVM een VM start en dat is alleen als SB aan staat.
Commandline FTW | Tweakt met mate
sbctl dus voor SB en systemd doet volgens mij het LUKS verhaal. systemd-boot gebruik ik maar is denk ik geen vereiste. Daarnaast zitten er ook wat extra dingen in het initramfs image. Procedure zoals hier beschreven op de Arch wiki: https://wiki.archlinux.or...with_TPM2_and_Secure_BootHero of Time schreef op dinsdag 17 juni 2025 @ 21:37:
[...]
Ik ben niet bekent met jouw methode om LUKS met TPM te unlocken.
Wat is het nut van FDE met TPM unlocking etc maar geen secure boot? Volgens mij kun je zonder secure boot al gewoon een init=/bin/bash op de boot line/options van de bootmanager gooien en ben je als root ingelogd nadat de TPM de boel geunlocked heeft. Terwijl een boot manager wel slim genoeg is om SB te herkennen en op dat moment het editten van de boot options niet toe te staan. Nog los van dat ik toch meen dat er zonder SB veel meer opties zijn om de TPM uit te lezen / te omzeilen (simpelweg omdata de TPM veel "eerder" de opgeslagen gegevens vrij geeft. Er wordt minder gevalideerd van de "omgeving" waardoor een "onveilige" omgeving toch als "veilig genoeg" wordt aangemerkt en die dus gewoon uit te lezen is).Maar ik heb SB ook uit staan, m'n log wordt vol gespuugd met een warning als ik met KVM een VM start en dat is alleen als SB aan staat.
FDE is omdat het een zakelijk systeem betreft en we het als beleid hebben. Ik heb ook geen zin om welke keer als ik herstart of van hibernate hervat het wachtwoord in moet vullen. Ik zet m'n laptop in de ochtend aan, pak koffie en kan inloggen/ontgrendelen.
Commandline FTW | Tweakt met mate
Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan?Hero of Time schreef op dinsdag 17 juni 2025 @ 22:44:
FDE is omdat het een zakelijk systeem betreft en we het als beleid hebben.
Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.
* als in: iemand die echt "binnen wilt komen" werkt er zo omheen. Maar als je de laptop op straat verliest zal een willekeurig iemand niet op de power knop kunnen duwen en aan de documenten kunnen, of de SSD er uit kunnen halen en in een ander systeem mounten. Maar als je getarget wordt door een hacker / ... dan is FDE met TPM maar zonder SB bij mijn weten extreem makkelijk te omzeilen.
Helaas doen ze dat zelfs niet. Ik heb voor sommige modellen echt een Windows Live USB moeten opzetten met Rufus, en dan via Samsung Magician de MVMe/SSD moeten upgraden. Dit geld overigens voor nog wel meer firmware upgrades (niet alleen Samsung), die ik helaas nodig had.Hero of Time schreef op maandag 16 juni 2025 @ 19:06:
@RobertMe, Samsung doet alleen firmwares aanbieden van hun SSDs, maar voor de rest niets. Voor het idee, Acer, 8bitdo, Adata, Fujitsu en nog veel meer fabrikanten leveren firmware voor hun hardware. Samsung maakt meer dan alleen telefoons en SSDs.
Je kon vroeger dat doen via een shell file, verstopt tussen de firmware file. Alleen zijn die instructies karig en niet zonder een risico. Een leek kan het zeker niet doen, en ik vind dat ze het gewoon via fwupdate moeten aanbieden.
Hij bedoelt de nvme-cli commando. Daar kun je inderdaad upgrades mee doen, en ook een controller reset enzo.Hero of Time schreef op dinsdag 17 juni 2025 @ 20:46:
[...]
Ik vind het een enorm enge gedachte dat de NetworkManager Command Line Interface ook maar iets met m'n ssd kan doen. En al helemaal met de firmware ervan.
Alle firmware updates lopen in principe via fwupd. Er zijn grafische interfaces omheen, zoals Gnome Firmware, Gnome Software, KDE Discover en meer.
Ik denk dat je flashrom of flashprog bedoelde, die kan firmware zoals BIOS, NIC en andere apparaten direct schrijven. Omschrijving in Debian:
[...]
Dit is precies hoe ik het ook heb gedaan! Met CachyOS was dat een eitje:RobertMe schreef op dinsdag 17 juni 2025 @ 21:52:
[...]
sbctl dus voor SB en systemd doet volgens mij het LUKS verhaal. systemd-boot gebruik ik maar is denk ik geen vereiste. Daarnaast zitten er ook wat extra dingen in het initramfs image. Procedure zoals hier beschreven op de Arch wiki: https://wiki.archlinux.or...with_TPM2_and_Secure_Boot
[...]
Wat is het nut van FDE met TPM unlocking etc maar geen secure boot? Volgens mij kun je zonder secure boot al gewoon een init=/bin/bash op de boot line/options van de bootmanager gooien en ben je als root ingelogd nadat de TPM de boel geunlocked heeft. Terwijl een boot manager wel slim genoeg is om SB te herkennen en op dat moment het editten van de boot options niet toe te staan. Nog los van dat ik toch meen dat er zonder SB veel meer opties zijn om de TPM uit te lezen / te omzeilen (simpelweg omdata de TPM veel "eerder" de opgeslagen gegevens vrij geeft. Er wordt minder gevalideerd van de "omgeving" waardoor een "onveilige" omgeving toch als "veilig genoeg" wordt aangemerkt en die dus gewoon uit te lezen is).
https://wiki.cachyos.org/configuration/secure_boot_setup/
Wat je zegt klopt ook. Je hebt Secure Boot min of meer nodig zodat TPM werkt. Het hoeft niet, maar wat SB + TPM doet, is checken of dingen zijn gesigned en of je apparaat veilig genoeg is om automatisch te unlocken.
Je kunt dit zonder SB doen, maar het is dus de combinatie van die twee, die het veilig(er) maken.
Zoals het op mijn laptop nu is, is iig dat niet iemand zomaar de disk eruit kan halen of via externe media kan starten en zomaar de data uitlezen. Er moet wat meer gedaan worden. Onze Windows systemen hebben bitlocker en W11 vereist TPM+SB. Maar ook die unlocked vrolijk de schijf als je de aan knop indrukt waarna je op het inlogscherm staat en men alle trucs uit de hoed kan halen om het systeem in te komen. Maar zomaar opstarten van externe media of de schijf eruit halen geeft alsnog geen data op de disk vrij. En daar gaat het om.RobertMe schreef op dinsdag 17 juni 2025 @ 23:05:
[...]
Het beleid om FDE te gebruiken, onafhankelijk van de veiligheid ervan?Of het beleid om een adequate beveiliging te hebben waar FDE met de juist (lees: veilige) ingestelde unlocking instellingen onder valt?
Als in: bij mijn weten is FDE met TPM unlocking maar zonder SB als het er op aan komt* helemaal niet veiliger dan geen FDE. Dus ja, je kunt nu het vinkje zetten bij "FDE wordt toegepast". Maar AFAIK voegt het aan de effectieve beveiliging, zonder SB, totaal niks toe.
Als iemand echt wil, komt 'ie overal wel doorheen. Het is alleen de vraag hoeveel moeite het uiteindelijk kost.* als in: iemand die echt "binnen wilt komen" werkt er zo omheen. Maar als je de laptop op straat verliest zal een willekeurig iemand niet op de power knop kunnen duwen en aan de documenten kunnen, of de SSD er uit kunnen halen en in een ander systeem mounten. Maar als je getarget wordt door een hacker / ... dan is FDE met TPM maar zonder SB bij mijn weten extreem makkelijk te omzeilen.
Het was iig wat ik zo even snel zag op fwupd.org. WD/Sandisk bied ook firmware aan zeggen ze, maar mijn WD Black SN850X wordt er niet aangeboden, terwijl ik weet dat er nieuwere firmware is. Sandisk, het bedrijf dat WD heeft overgenomen, biedt niet eens de firmware als aparte download aan, het moet via een of ander dashboard software zut. Ook wel bedroevend.HollowGamer schreef op woensdag 18 juni 2025 @ 09:20:
[...]
Helaas doen ze dat zelfs niet. Ik heb voor sommige modellen echt een Windows Live USB moeten opzetten met Rufus, en dan via Samsung Magician de MVMe/SSD moeten upgraden. Dit geld overigens voor nog wel meer firmware upgrades (niet alleen Samsung), die ik helaas nodig had.
Dat zei 'ie al. Maar dat is geen vereiste voor het updaten van de firmware van je ssd als fwupd deze in z'n repo heeft.HollowGamer schreef op woensdag 18 juni 2025 @ 09:22:
[...]
Hij bedoelt de nvme-cli commando. Daar kun je inderdaad upgrades mee doen, en ook een controller reset enzo.
Commandline FTW | Tweakt met mate
Distro- en OS-wars voer je maar IRL
Hou het dus gezellig en vooral over NOS
POST UW VRAGEN IN EEN NIEUWE DRAAD AUB
Discussies en ervaringen over distro's passen beter in Het grote welk OS (bijvoorbeeld linux distro) topic deel 8.
Voor desktopomgevingen kan je beter terechten in De voordelen en nadelen van bekende Desktop Environments.