26

Re: Linux is dood op de desktop, leve Linux

Debian heeft geen SElinux, wel Gr-security.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

27 Laatst bewerkt door QzZRBNMdJdsCmwx (27 Feb 2017 20:05:25)

Re: Linux is dood op de desktop, leve Linux

MeneerJansen schreef:

Helaas heb ik geen kaas gegeten van Linux servers. Maar ik heb begrepen dat er zoiets is als SELinux. Schijnt hard nodig te zijn. Debian staat bekend als de meest "stabiele" distro. Dus, lijkt mij, erg geschikt voor servers.

Helaas treitert Debian (en daarmee ook Ubuntu) iedereen met het 'alternatives' systeem en dat soort ongein. We hebben Ubuntu ondermeer ook op GPU machines draaien (voor machinaal leren). Af en toe wordt er een andere versie van gcc geïnstalleerd (als dependency of omdat iemand het nodig heeft). Dan worden de gcc symlinks automatisch bijgewerkt en werkt de CUDA compiler niet meer (verwacht een specifieke gcc versie) en is iedereen grumpy.

Ja, ik weet dat je een bepaalde keuze kunt forceren met update-alternatives. Maar het illustreert een algemeen probleem met Debian/Ubuntu. Overal worden extra indirecties toegevoegd, van symlinks tot .d directories waar de daadwerkelijke configuratiebestanden uit geconcateneerd worden.

Red Hat is over het algemeen iets conservatiever en misschien consistenter.

Verder is Red Hat Enterprise Linux in een bepaalde zin strikter. Versies worden nl. voor een veel langere periode ondersteund. Dus je kunt in 2014 een RHEL 7 machine geïnstalleerd hebben en je hebt ondersteuning tot 2024 (of nog langer als je genoeg geld kunt neertellen). Als je een systeem echt voor een lange tijd wilt draaien is RHEL een veel veiligere keuze.

Erg jammer dat ze de veiligheid dan niet in een hoog vaandel hebben staan. En er is zo iets als sandboxing. Zit dat al in SELinux? Schijnt wel in Android te zitten.

SELinux zit in Debian in de zin dat je een paar packages moet installeren en je in principe aan de slag kunt. Maar omdat het itt. Red Hat niet de default is, is het minder getest en zul je tegen meer problemen aanlopen. Helaas heeft alleen Red Hat een vooruitziende blik. Ja, Android heeft ook SELinux. Helaas is de gemiddelde Android telefoon een gatenkaas (geen updates) en zijn de app permissies nogal 'shotgun' (veel of niets).

Verder is het op de desktop sowieso allemaal pointless, zolang elke X11 app alles kan afluisteren. Ook hier is Red Hat de enige die geen oogkleppen op heeft: Fedora 25 draait Wayland. De volgende RHEL waarschijnlijk ook. In de tussentijd leveren Debian, Ubuntu, Mint, etc. hun gebruikers over aan allerlei scrupuul (één browser kwetsbaarheid weg van 'al je data op straat').

28

Re: Linux is dood op de desktop, leve Linux

Laten we stellen dat RH meer op de enterprice markt is gericht en Debian op de 'so called' 'experts'.

Daniel, de eis voor een specifieke compiler doet mij vermoeden dat de cuda compiler een gesloten blob is right ?
Jammer als dat zo is, maar ja het is Nvidea dus mag je blij zijn als er ubehaupt iets is.
Wat doen jullie met die cuda ?

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

29 Laatst bewerkt door QzZRBNMdJdsCmwx (27 Feb 2017 22:17:56)

Re: Linux is dood op de desktop, leve Linux

pascal schreef:

Daniel, de eis voor een specifieke compiler doet mij vermoeden dat de cuda compiler een gesloten blob is right ?
Jammer als dat zo is, maar ja het is Nvidea dus mag je blij zijn als er ubehaupt iets is.
Wat doen jullie met die cuda ?

Klopt. De CUDA compiler is gesloten. We gebruiken CUDA voor matrix berekeningen (ondermeer deep learning, bijv. met Tensorflow). Helaas is er niet echt een andere weg. Voor veel van ons werk is het 10-20x sneller dan high-end Xeon CPUs. OpenCL is nooit echt van de grond gekomen (de meeste bibliotheken ondersteunen het niet), dus we zitten vast aan CUDA + NVIDIA.

Overigens is het geen straf. NVIDIA maakt heel erg goede hardware (Tesla) en goede bibliotheken als CuDNN.

Re: Linux is dood op de desktop, leve Linux

Helaas is alles OSS voor velen niet weggelegd. Kan niet altijd feest zijn he.

31

Re: Linux is dood op de desktop, leve Linux

Tja ikke weet Leon... ik doe e.e.a. met fpga's   als je dat op een enigzinds zinvolle schaal wil doen hang je gewoon vast aan de betreffende gesloten software.
Ben al lang blij dat de meeste fabrikanten tegenwoordig versies uitbrengen die onder linux (lees RedHat en als je geluk hebt onder een paar andere versies) draaien.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

32 Laatst bewerkt door devtroll (28 Feb 2017 08:19:35)

Re: Linux is dood op de desktop, leve Linux

Ja, ik weet dat je een bepaalde keuze kunt forceren met update-alternatives. Maar het illustreert een algemeen probleem met Debian/Ubuntu. Overal worden extra indirecties toegevoegd, van symlinks tot .d directories waar de daadwerkelijke configuratiebestanden uit geconcateneerd worden.
Red Hat is over het algemeen iets conservatiever en misschien consistenter.

Dankjewel. Dit is precies het voordeel met het RHEL eco systeem t.a.v. Debian. De opsec is een stukje beter. RHEL durft gewaagde keuzes te maken, zoals SElinux per default aan te zetten of voor Wayland te kiezen. Daarnaast valt mij op dat ze vaak dingen overnemen van upstream. Debian smeert alles onder een Debian smaak, zoals de opzet van Apache 2 directories. Je pikt de sysadmin vrij snel eruit die alleen gewend zijn om in het Debian vaarwater te varen.  Fijne van RHEL is dat alles inderdaad vrij voorspelbaar is. De LTS support is ook heel erg fijn.

Daarbij maakt Debian nogal opmerkelijke keuzes, zoals het aanslingeren van Daemons direct na installatie. De knakker van major.io heeft dat mooi omschreven:

If I install an electrical switch at home, I don’t install it in the ON position with my circuit breaker in the ON position. I install it with everything off, verify my work, ensure that it fits in place, and then I apply power. The installation and actual use of the new switch are two completely separate activities with additional work required in between.

I strongly urge the Debian community to consider switching to a mechanism where daemons don’t start until the users configure them properly and are ready to use them. This makes configuration management much easier, improves security, and provides consistency with almost every other Linux distribution.

bron: https://major.io/2014/06/26/install-deb … g-daemons/

Dit heeft mij mening gevorm om Debian tot hobby OS te verklaren. Ik neem daarom ook developers een stuk minder serieus als zij hun software ontwikkelen op Ubuntu en dan hun neus stoten tegen conservatieve systemen, zoals RHEL. Terug naar de Desktop. Ik denk dat Fedora dit prima afdekt voor prof. gebruikers. Vraag is wat de "Desktop" is, voor mij is dit meer dan voldoende.

Dit soort compromieen doen mijn nekharen rijzen, als dat nodig is voor de desktop, dan nee dankjewel!

The reasoning generally goes something like: “Why would you want to install X (where X is something that requires a running service), if you don’t want X running?” Additionally, the point is usually raised that this is the Element of Least Surprise for a less knowledgeable user, and that it is far easier for them to figure out how to shut a service down (including by removal of the package), than it is to scratch their head wondering if the installation succeeded, or if the software is working.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

Hmmmm. Weer wat geleerd: voor niets gaat de zon op. Wil je als professional en veilige server: neem dan Red Hat (RHEL). Debian: leuk voor distrobakkers die wat leuks willen maken voor eindgebruikers zoals ik (Ubuntu, Mint etc.).

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

Re: Linux is dood op de desktop, leve Linux

Je kunt voor de veiligheid altijd al beginnen met Firefox te sandboxen. wink

https://firejail.wordpress.com/document … fox-guide/

35

Re: Linux is dood op de desktop, leve Linux

Iets met dweilen en een open kraan....

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

MeneerJansen schreef:

neem dan Red Hat (RHEL). Debian: leuk voor distrobakkers die wat leuks willen maken voor eindgebruikers zoals ik (Ubuntu, Mint etc.).

Ik denk dat voor de gemiddelde eindgebruiker een gecertificeerde Dell machine met RHEL (of desnoods CentOS) vele malen beter zou werken dan Ubuntu, Mint, e.a. M'n mond valt soms ook open van verbazing wat voor obscure Ubuntu forks hier soms aangeraden worden.

RHEL is stabiel en veranderd niet. Toch krijg je jaren security en driver updates. Dat lijkt me wat de gemiddelde gebruiker wil. Evt. met Flatpak om nog wat nieuwere applicaties te installeren.

(Laten we niet vergeten dat behalve het feit dat Ubuntu en derivaten nogal vaak dingen kapot maken, wegens een gebrek aan QA, distributeurs als Mint er nogal onverantwoorde security praktijken op na houden. Gehackte server en alleen MD5 hashes zegt genoeg.

37

Re: Linux is dood op de desktop, leve Linux

Om een voorbeeld te geven bij DDK: Ik heb een ex-vriendin waarbij ik 3 jaar geleden een Centos 7 laptop heb ingericht. Ze zweer er inmiddels bij.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

Owyeah.... Centos!

Re: Linux is dood op de desktop, leve Linux

devtroll schreef:

Iets met dweilen en een open kraan....

Yep. Meerdere open kranen zelfs. Geen OS-level sandboxing. En daarbovenop amper applicatie-level sandboxing. In Firefox worden alle tabs gerendered door hetzelfde proces. Eén lek in Firefox en de sites kunnen elkaars DOMs lezen. Verder is het content rendering proces alleen op Windows sandboxed (en op Mac OS in betas), op Linux alleen in trunk. Op Firefox is een site effectief één vulnerability weg van al je data.

Chrome gebruikt één process per tab en die processen zijn ook nog eens sandboxed. Conclusie: vrienden raden vrienden Chrome aan. Of Chromium als het uploaden van je zoek/browsedata naar het moederschip niet je favoriete hobby is.

Overigens doet Safari dit ook al jaren (zie hieronder). Dus Firefox is de enige browser die voorlopig nog in 2010 leeft.

https://www.dropbox.com/s/4mk6caki8vt1pzi/Screen%20Shot%202017-02-28%20at%2020.22.10.png?dl=1

40 Laatst bewerkt door devtroll (01 Mar 2017 07:53:32)

Re: Linux is dood op de desktop, leve Linux

Yes, en zonder trucjes heb je dit zelfs op serverside, zoals  onder Apache met ipm-itk, waardoor elke vhost een eigen uid/guid krijgt. heb je met een lekke wordpress website? Dan kan je mooi verwachten dat elke vhost besmet is. Twijfel je? Upload eens een php shell kit naar een shared hosting platform voor de LOL.  Ik probeer mij hier altijd hard voor te maken door elke vhost dir dicht te trappen met chmod 700 en een unieke guid/uid toe te wijzen. Het is allemaal bewerkelijk en verontrustend. Zeker omdat dit geen common practise is.  Over de browser (we hadden het over desktops after all) Chrome is veiliger, maar FF is weer privacy vriendelijker. Dus vrienden zeggen tegen vrienden: Pick your poison wink. Ik kies trouwens voor Chrome.

Over die laptop, want ik zal aardig wat wenkbrauwen doen fronzen met deze zeer conservatieve keuze. Ik heb tijdens de oplevering heel hard afgesproken dat dit haar werklaptop is. Dat zij alleen deze gebruikt voor administratie,browsen,muziekjes  en eens in de zoveel tijd een Skype conferense call. Niet dat ze verwacht hier full blown games op te spelen en/of films. Hierdoor is de functionaliteit zeer duidelijk en niet een een 1001 ding. Ze heeft een oudere macbook waar ze video's en photo's op bewerkt. Het hele idee dat wij alles met 1 apparaat moeten doen, is juist de grootste opsec hazard en daardoor krijg je dus allerlei rare fratsen.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

41 Laatst bewerkt door QzZRBNMdJdsCmwx (01 Mar 2017 08:21:21)

Re: Linux is dood op de desktop, leve Linux

devtroll schreef:

Het hele idee dat wij alles met 1 apparaat moeten doen, is juist de grootste opsec hazard en daardoor krijg je dus allerlei rare fratsen.

Dat weet ik niet. Als een OS in principe vrijwel elke applicatie sandboxed, geen unsigned binaries draait, dan ben je al heel eind op weg. Je kunt nog een stap verder gaan: bijv. de op de Mac zorgt System Integrity Protection ervoor dat systeembinaries alleen vervangen kunnen worden door binaries die door Apple getekend zijn met een installer die door Apple getekend is. Dat betekent dat zelfs een proces met root privileges malware niet diep in het systeem kan nestelen. Neem daarbij dat macOS alleen signed kernel modules draait, wat kernel module rootkits ook uitsluit.

Op de Mac kun je dit alles uitzetten (in recovery systeem booten en dan kun je met csrutil dingen uitschakelen [1]), maar ik denk dat het voor de gemiddelde gebruiker goede standaardinstellingen zijn. Ook is het nog niet overal waterdicht, maar ze timmeren iig hard aan de desktop security weg.

Ik kan eigenlijk niet wachten tot de MBPs met Touchbar betaalbaarder worden, want een hardware credential opslag met biometrische authenticatie en dat alles draaiend op een apart geïsoleerd OS, vind ik wel een heel erg grote stap vooruit in veiligheid.

[1] https://developer.apple.com/library/con … ction.html

Re: Linux is dood op de desktop, leve Linux

Als ik echt veilig wil computeren trek ik de netwerk stekker uit mijn compu.

Dan ga ik in de Bibliotheek zitten en dan zoek ik, net als toen internet nog niet bestond, alles op in boeken in plaats van op internet. Back-ups maak ik automatisch naar SD kaartjes van een tientje en ik heb er een stuk of 20 van in een lucifersdoosje. Die ligt in een brandveilige kluis. Cloud gebruik ik niet: ik heb ook back-ups bij mijn ouders liggen voor het geval mijn huis afbrandt.

Wat ik bedoel is: wat een tijd waarin we leven. Computers zijn in feite zo veilig als het maar zijn kan (qua software en hardware). De kans dat je van een collega een virus krijgt via een floppy disk is ver achter ons. Kapot gaan copu's niet meer zo vaak en hard disks ook niet. En omdat opslagmedia zo groot en goedkoop zijn is back-uppen geen kostbare zaak meer. Als we het over veiligheid hebben dan hebben we het alleen over internet. Vroegah betekende netwerk: een file- of printserver. Kans dat zo'n server besmet wordt als je geen internet hebt is tegenwoordig denk ik vrijwel nul.

Internet is onmisbaar, maar het levert ook een boel veiligheidsrisico's op. De allerergste vind ik ransom ware op je desktop!

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

43

Re: Linux is dood op de desktop, leve Linux

Vind je dat? Wat dacht je van een destructie van jou als persoon, als al jouw privé gegevens op straat liggen? We kunnen er hard om lachen hoor, over die filmpjes van Paay , maar het is bijzonder hoe mensen tegenwoordig tegen privacy aankijken. Tevens bevatte desktops heel veel intieme dingen van ons.  Dit nog los van wat dataloss voor jouw betekend.  En als je niets te verbergen hebt: Gooi dan maar de ssh poort voor mij open van je 'niets te verbergen desktop'

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

Privacy en informatiebeveiliging hebben 1 grote overeenkomst.... het draait om risico's en hoe die acceptabel klein te houden. Met nuchter nadenken en een paar eenvoudige handreikingen kun je vaak behoorlijk veilig werken. Behoorlijk veilig in een brede context bezien dan he.

Vanuit een breder perspectief is veiligheid vanuit iso27k/privacy en een risico-analyse veel waardevoller dan een pentest/systeemanalyse.

45

Re: Linux is dood op de desktop, leve Linux

Vanuit een breder perspectief is veiligheid vanuit iso27k/privacy en een risico-analyse veel waardevoller dan een pentest/systeemanalyse.

Dit gaat over bedrijven en niet over desktops van particulieren. De ubtunu distro wordt ontwikkeld voor hobbyisten. Heb je wel eens de PCI standaarden naast een Ubuntu server gelegd?
Tevens ben ik meer voor pro actieve/agressie pentesten via zo genaamde redteams. Die doen niet aan vinkjesbeleid en oh boy, 99x% hebben deze profit.

Verder is de stelling dat air gapped  computers + rommelen met floppies en virussen nog steeds geldig. Remember stuxnet, diginotar? Allemaal payloads via usb sticks of anders, maar in ieder geval fysiek geweest, want het betrof air gapped computers. Er is zelfs een hele markt voor: https://hakshop.com/  .  Ik denk dat het namelijk vrij snel game over met  usb/ bij plaatsing attacks. Rottige is, je kan USB mounts/digitale fake toetsenborden a.k.a. rubber duckie attacks, niet uitzetten in Linux. USB is geen kernel module die er in geladen wordt. Oftewel, elke server is op elke locatie up and running kwetsbaar voor zo'n attack.  Dit zou kunnen worden te gegaan als wij de mogelijkheid hadden om USB uit te zetten, waarom dat nog niet kan is mij een raadsel.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

Klopt.... neemt niet weg dat particulieren vaak te weinig aan risico's met hun pc's of servers denken. Soms met flinke gevolgen. Eenmaal in het vizier ben je zo in een botnet opgenomen.

Ik dacht trouwens dat het met ubuntu-server wel meeviel... niet dus?

Re: Linux is dood op de desktop, leve Linux

devtroll schreef:

Vind je dat? Wat dacht je van een destructie van jou als persoon, als al jouw privé gegevens op straat liggen? We kunnen er hard om lachen hoor, over die filmpjes van Paay , maar het is bijzonder hoe mensen tegenwoordig tegen privacy aankijken. Tevens bevatte desktops heel veel intieme dingen van ons.  Dit nog los van wat dataloss voor jouw betekend.  En als je niets te verbergen hebt: Gooi dan maar de ssh poort voor mij open van je 'niets te verbergen desktop'

Da's nog een tweede grote verandering sinds de tijd v/d standalone PC en de Bibliotheek versus de internet tijd waarin we nu leven. Goede opmerking. Leuk dat internet, maar wat een risico's allemaal hè?

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

48

Re: Linux is dood op de desktop, leve Linux

*bump*

Kwam zo juist een interessant artikel hier over tegen. https://itvision.altervista.org/why.lin … rrent.html

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Linux is dood op de desktop, leve Linux

devtroll schreef:

*bump*

Kwam zo juist een interessant artikel hier over tegen. https://itvision.altervista.org/why.lin … rrent.html

Eigenlijk moet ik niet ingaan op dat soort eenzijdige artikelen van websites die nu niet bepaald "main stream" zijn, maar ik kan het niet laten om daar toch een paar kanttekeningen bij te plaatsen.

N.a.v. de samenvatting. De meeste grieven aldaar zijn bekend en oud. Libraries en API problemen. Volgens mij zijn die er net zo goed onder Windows aangezien iedere applicatie de lib mag installeren die hij wil. Was in ieder geval wel altijd een probleem. Software problemen: Libre Office heeft al heel lang geen problemen meer met MS Office docs. En de problemen met backwards compatibiliteit qua KDE en Gnome applicaties zijn bekend. Grootste grief gaat over Flash. Da's geen discussie meer waard: dat wordt wereldwijd uitgefaseerd.

Kortom: met al de genoemde problemen kan iedereen al eeuwen "dealen".

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

50

Re: Linux is dood op de desktop, leve Linux

Dit is mijn grootste frustratie die ik kan beamen:

!! Incomplete or missing support for certain power saving features modern laptops employ (like e.g. PCIe ASPM, proper video decoding acceleration, deep power saving states, etc.) thus under Linux you won't get the same battery life as under Windows or MacOS and your laptop will run a lot hotter. Jupiter (discontinued unfortunately), see Advanced Power Management for Linux.

Rot ding werkt prima voor 6 uur onder Windows. Linux max 2 uur. Praat dan over een Thinkpad T440s. niet het goedkoopste model of zo.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."