Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Snufkin - 10.11.22 - klo:15.13
-
Tähän ketjuun pohdintaa tietoturvasta.
Pitäisikö tietokoneen BIOSia joskus päivittää? Luin jostain, että mm. Lenovon koneissa oli havaittu haavoittuvuuksia BIOSissa. En ymmärrä lainkaan miten nuo toimivat. Kellään hyvää linkkiä aiheeseen?
-
Lenovon tietoturvailmoituksista on kooste sivulla https://support.lenovo.com/fi/fi/product_security/ps500001-lenovo-product-security-advisories, jolle sivu itse kehottaa tekemään kirjanmerkin. Itse tykkään seurata tiedotteita RSS-syötteen avulla.
konetta hankkiessa kannattaa Lenovon tukisivustolta aina napata kirjanmerkiksi juuri tasan kyseisen mallin tukisivu, jolta päivityksiä voi ladata. Useimmat päivitykset ovat vain Windowsille, mutta BIOS-päivityksistä Lenovo julkaisee aina myös Bootable CD -version, jonka avulla BIOS:n voi päivittää vaikka Windows olisi jo jyrätty. Tosin nykyiselle Ubuntu-koneelleni sellainen on viimeksi julkaistu vuonna 2018.
-
Lenovon tietoturvailmoituksista on kooste sivulla https://support.lenovo.com/fi/fi/product_security/ps500001-lenovo-product-security-advisories,
Koitin tutkia, mutta ei tuolta löytynyt kuin noita päivityksiä windows-koneisiin. Eikö kuitenkin BIOS ole järjestelmäriippumaton osa läppäriä? Voiko olla, ettei liki 10v vanhoille koneille ole yhtään päivitystä tarjolla? Esim. Lenovo X240.
-
Minähän sanoin että tuolla on tiedotteita ja että varsinaiset päivitykset täytyy hakea konemallikohtaisilta sivuilta. Sinun täytyy löytää juuri sinun koneesi mallin mukainen tukisivu, jonka kautta löytyy sen oikean "BIOS Update (Bootable CD)"-paketin lataus.
-
Koneen päälle merkityn mallin lisäksi saattaa joskus olla tarpeen tietää "type model". Sen saa selville komennolla
cat /sys/devices/virtual/dmi/id/product_nameMuita: cat /sys/devices/virtual/dmi/id/sys_vendor
cat /sys/devices/virtual/dmi/id/product_version (viimeinen on ainakin mun läppärissä se kanteen merkitty nimi).
-
Koneen päälle merkityn mallin lisäksi saattaa joskus olla tarpeen tietää "type model". Sen saa selville komennolla cat /sys/devices/virtual/dmi/id/product_name
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Ehkä tuo pitää lukea niin, että BIOS on riittävästi ajan tasalla.
-
Tuosta tapauksesta en tiedä, mutta sinänsä BIOSia ei ole tietääkseni välttämätöntä päivittää, ellei tiedä siitä olevan itselle/koneelle jotain konkreettista hyötyä.
Minä päivitän kuitenkin ehkä kerran vuodessa tjs, jos päivityksiä on tarjolla. Pieni riskihän se joka kerta on, mutta itse en ole koskaan ongelmiin törmännyt sen 10-15 päivityksen kanssa, mitä olen vuosien varrella eri koneisiin tehnyt.
-
Tuosta tapauksesta en tiedä, mutta sinänsä BIOSia ei ole tietääkseni välttämätöntä päivittää, ellei tiedä siitä olevan itselle/koneelle jotain konkreettista hyötyä.
Minä päivitän kuitenkin ehkä kerran vuodessa tjs, jos päivityksiä on tarjolla. Pieni riskihän se joka kerta on, mutta itse en ole koskaan ongelmiin törmännyt sen 10-15 päivityksen kanssa, mitä olen vuosien varrella eri koneisiin tehnyt.
Kuten alussa sanoin, etten paljoa näistä ymmärrä, mutta törmäsin tällaiseen.
https://support.lenovo.com/us/en/product_security/LEN-94952
-
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Et ole etsimässä Linuxia, vaan BIOS-päivitystä. Sieltä pitäisi löytyä "Ajurit ja ohjelmistot" (suomeksi tai enkuksi) ja sen alta ladattavien luokat ja luokan BIOS/UEFI sivulta viimeisin BIOS-päivitys.
-
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Et ole etsimässä Linuxia, vaan BIOS-päivitystä. Sieltä pitäisi löytyä "Ajurit ja ohjelmistot" (suomeksi tai enkuksi) ja sen alta ladattavien luokat ja luokan BIOS/UEFI sivulta viimeisin BIOS-päivitys.
Näin minä mielstäni etsin, mutta tuolta voi valita myös käyttiksen
https://pcsupport.lenovo.com/fi/fi/products/laptops-and-netbooks/thinkpad-x-series-laptops/thinkpad-x240/20al/20al008ems/downloads/driver-list/component?name=BIOS%2FUEFI
-
Valitset sen Bootable CD:n, niin voit tehdä asennuksen irtotaltiolta. Itselle ei ole vielä tullut se operaatio eteen, joten enempää en osaa neuvoa.
-
Lähinnä nyt kiinnostaisi, että onko joku BIOS-päivitys ylipäätään tarpeen? Tuo kuvauksen mukaan en näe tarvetta.
-
Mitä ehdin vilkaista kuvauksia noista haavoittuvuuksista, niin ne jotka näin olivat kaikki sellaisia, joissa murtautuminen aatii fyysisen pääsyn koneelle. Lopetin lukemisen aika äkisti.
Löysin ohjeen: https://www.cyberciti.biz/faq/update-lenovo-bios-from-linux-usb-stick-pen/ mutta en ole itse sitä kokeillut.
-
Lähinnä nyt kiinnostaisi, että onko joku BIOS-päivitys ylipäätään tarpeen? Tuo kuvauksen mukaan en näe tarvetta.
Kannattaa lukaista julkaisumuistio. Monesti on jokin hyvin speciaali ongelma, mikä on päivityksessä korjattu, jolloin ei ole tarvetta päivitellä. Joskus voi tuoda huomattaviakin parannuksia toimintaan, kuten aikoinaan Ryzenin julkaisun jälkeen ostamani kokoonpano alkoi vasta varmaan kymmenennen bios päivityksen jälkeen toimimaan kaatuilematta.
Eräs toinen kone ei taas Linuxia saanut asennettua, mutta bios päivityksessä oli jokin windows 7 asennukseen liittyvä korjaus tehty, jonka jälkeen toimi Linuxikin siinä.
-
Kyse ei olekaan pelkästään BIOS:n haavoittuvuudesta: https://support.lenovo.com/fi/fi/product_security/ps500513-third-party-bootloader-vulnerabilities (ihan tuore tiedote)
-
[raimo@kone-3 ~]$ cat /sys/devices/virtual/dmi/id/product_name
HP EliteDesk 800 G1 SFF
Kone on jo niinsanotusti "iällä" oliskohan 2016?
Mutta silti viimeksi eilen tuli automaattinen päivitys HP:ltä.
Ne tulee koneen käynnistyessä, sen vertaa enempää kyselemättä asentuu sinisessä ikkunassa.
Tämä ei nyt Lenovoon liity, onhan vain esimerkki siitä että koneen valmistaja voi hoitaa asiat jos niin haluaa. Kyseessä on vanha yritys-pöytäkone.
-
Kyse ei olekaan pelkästään BIOS:n haavoittuvuudesta: https://support.lenovo.com/fi/fi/product_security/ps500513-third-party-bootloader-vulnerabilities (ihan tuore tiedote)
Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.
-
Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.
Sama kokemus Edge-sarjan koneesta, joka minusta on yrityskäyttöön tarkoitettu.
Tämä ei nyt Lenovoon liity, onhan vain esimerkki siitä että koneen valmistaja voi hoitaa asiat jos niin haluaa. Kyseessä on vanha yritys-pöytäkone.
Niinpä.
-
Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.
Sama kokemus Edge-sarjan koneesta, joka minusta on yrityskäyttöön tarkoitettu.
Nää kans molemmat käytettyjä yritysläppäreitä.
Tuohon tietoturvaa otan nyt sen asenteen, että pyrin kryptaamaan tietoa koneella. Se ainakin turvaa tiedot läppärin hukkaamisen/varastamisen tapauksessa. Hakkerointiin/haittaohjelmiin ei ehkä niin hyvä suoja, jos kryptattu tiedosto/osio on auki, kun käytössä.
Salasanat suojatuvat kohtuullisesti Firefoxin master passwordilla ja tietovarastot tuolla LUKS-osiolla.
Mikähän mahtaisi olla hyvä ja "state of the art" ohjelma, jolla voi luoda kryptattuja tiedostoja? Verakryptiä joskus käyttänyt, mutta siitä aikaa. Sillä voisi tehdä pilveen varakopioita, joissa hyvä tieturva.
-
Mikähän mahtaisi olla hyvä ja "state of the art" ohjelma, jolla voi luoda kryptattuja tiedostoja? Verakryptiä joskus käyttänyt, mutta siitä aikaa. Sillä voisi tehdä pilveen varakopioita, joissa hyvä tieturva.
Yksi vaihtoehto (https://forum.ubuntu-fi.org/index.php?PHPSESSID=93d3eq7c2ger8s7o8kpf79u5e0&topic=56653.msg432591#msg432591) tuli vastaan täällä palstalla ja tuli laitettua itselle kirjanmerkiksi, mutta en ole vielä vaivautunut ottamaan käyttöön, vaikka koko ajan olen aikeissa. Olen käyttänyt viime aikoina Tomb (https://dyne.org/software/tomb/):a, joka löytyy pakettivarastosta.
-
Löytyi tällainen hyvä linkki. En ole vielä kokeillut saanko GPG:n Thunarilla toimimaan, mutta jos saan, niin tuo olisi huippunäppärä. Jos ymmärrän oikein, niin sillä voi kryptata tiedostoja tuosta File managerista käsin, mutta ne voi sitten tarpeen vaatiessa avata komentoriviltä tuolla GnuPG-ohjelmalla.
Eli jos vaikka läppäri varastetaan reissussa, niin pilvessä säilyy tiedot kryptatussa muodossa ja ne on melko helppo palauttaa kunhan vain saa jostain uuden tietokoneen. Ääkkösiä kannattaa varmaan välttää, jos joutuu hankkimaan varakoneen jostain maailmalta.
https://www.linux.com/topic/desktop/how-encrypt-files-within-file-manager/
-
Piti oikein miettiä, miksi en ole vielä kokeillut tiedostoselaimen laajennusta, ja taitaa olla syynä se, että kaipaan työkalua joka toimisi samalla tavalla sekä Windowsissa että Linuxissa. Kun tarvitsen yhteensopivaa työkalua, käytän nyt 7zippiä, mutta tuollainen tiedostoselaimen laajennus olisi kyllä kätevä.
Edit: ja onhan sellainen keino: Gpg4win:n mukana tuleva GpgEX (https://www.gpg4win.org/features.html). Huoh. Olenkohan tulossa vanhaksi.
-
... ja taitaa olla syynä se, että kaipaan työkalua joka toimisi samalla tavalla sekä Windowsissa että Linuxissa.
Veracrypt on tuollainen, eli toimii Lin, Win, Mac. Siinä on ollut jotain lisenssiongelmia tms minkä takia ei löydy vakiona noista repositorioista. Käsittääkseni kuitenkiin hyvin turvallinen, ellei jonkun NSA:n kanssa joudu vastatusten. :)
https://fi.wikipedia.org/wiki/Veracrypt
-
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Hmm, enpä tiedä liittyykö tämä mitenkään tähän asiaan, mutta olen antanut itselleni kertoa, että Linux buutatessaan suurin piirtein ensi töikseen heittää BIOSin mäkeen ja alkaa käyttää omaa koodiaan IO:ta varten.
-
Onko sillä eroa tietoturvan kannalta, jos koneella on vain yksi käyttäjä tai jos perustaa itselleen eri profiilin kuin minkä salasana toimi sudo-käskyissä? Tai voiko/olisiko tarpeen määritellä root:lle eri salasana?
Tuon yhden käyttäjän salasanahan on sama kuin pääkäyttäjän salasana.
Tai ylipäätään, mikä on tietoturvallisin tapa toimia näiden tilien suhteen, kun kyseessä yhden ihmisen käyttämä läppäri?
-
Onko sillä eroa tietoturvan kannalta, jos koneella on vain yksi käyttäjä tai jos perustaa itselleen eri profiilin kuin minkä salasana toimi sudo-käskyissä? Tai voiko/olisiko tarpeen määritellä root:lle eri salasana?
Root-tunnuksen tai sudon erityinen turvaaminen ei mielestäni ole olennaista, jos konetta käyttää vain yksi ihminen. Silloin tietoturvan kannalta tärkeintä on turvata käyttäjän oma data ja syötteet, johon tavallisella tunnuksella on jo käytännössä suora pääsy. Haittaohjelma/tunkeutuja ei siis saavuta erityistä lisähyötyä root-oikeuksilla. Muutenkin suurimmat tietoturvariskit liittyvät käyttäjän omaan, tavallisilla oikeuksilla suoritettuihin sovelluksiin, erityisesti nettiselaimeen.
Jos kuitenkin välttämättä haluat vetää foliohatun korviin saakka, voit harkita erillistä käyttäjätunnusta tai isäntäjärjestelmästä eristettyä virtuaalikonetta nettiselailuun. Siirrä isäntäjärjestelmän/tunnuksen puolelle vain sellaisia tiedostoja, jotka on skannattu virusten ja troijalaisten varalta.
Jos kone on valvomatta tiloissa, joihin muilla ihmisillä on pääsy, riski fyysiselle tunkeutumiselle ja mm. keyloggerien asentamiselle kasvaa. Siihenkään ei erillisestä root-tilistä ole apua.
-
Jos kuitenkin välttämättä haluat vetää foliohatun korviin saakka, voit harkita erillistä käyttäjätunnusta tai isäntäjärjestelmästä eristettyä virtuaalikonetta nettiselailuun. Siirrä isäntäjärjestelmän/tunnuksen puolelle vain sellaisia tiedostoja, jotka on skannattu virusten ja troijalaisten varalta.
Kyllä mulle riittää ihan tuollainen kevyt foliopipo. :) Lähinnä kyselen, kun yritän päivä päivältä hahmottaa enemmän tätä Linuxin sielunelämää ja samalla pitää ylläpitää jonkinlaista tietoturvaa.
Mulla on kaksi eri konetta, ja vain toisessa mitään tärkeitä tiedostoja. Toisella voi sitten surffailla melko rauhassa. Ja toki varakopiot yms. olemassa.
-
Korjasin kirjoitusvirheen ketjun otsikosta. Koska se häiritsi. Kiitos ja anteeksi.