®LINUX-SAUNA tuotantoa
@ 
Asiaan löytyy monia lähestymistapoja- ja näkökulmia. Tämä on yksi. On myös hyvä sisäistää; tietotekniikassa ei ole 100% aukottomuutta.
Linuxin vakiintuneita tapoja hyödyntäen käytät tietokonettasi huoletta ja vapautuneesti.
Lähtökohdat
1. Linuxissa käyttäjähallinta on ylivoimainen verrattuna vaikkapa Windowsin malliin. Oikeuksia ei koroteta pääkäyttäjän oikeuksiksi yhdellä napsauksella saati jatkuvasti. Käyttäjätilit ovat toisistaan erillisiä.
2. Sovellukset eivät aja omaa koodiansa Linux-ydintilassa. Koodin ajaminen ydintilassa ohittaisi kaikki suojaukset / vaatii erillisen moduulin lisäksi ”jumaloikeudet”.
3. Portteja ei järjestelmässä oletuksellisesti avoimena. Portti aukeaa – kun käynnistät vaikkapa Firefox-verkkoselaimen.
4. Hajautus tuo lisäturvaa: on useita eri Linux-jakeluita, vaikka ne toimivatkin yksyhteen. Viruksen kirjoittaminen eri Linux-käyttöjärjestelmille on laajassa kaavassa vaivalloista ja tehotonta.
5. Harjaantuneet turvamekanismit ovat Linuxin ytimessä itsessään toimessa vakiona – nämä estävät mahdollisten haittaohjelmien automaattisen ajon; Järjestelmän asetuksia ei voida muuttaa etänä niin että ohjelmia voitaisiin ajaa toisaalta.
6. Mikäli viruksen sisältävä tiedosto kaikesta huolimatta ladattaisiinkin vakiintuneeseen Linux-käyttöjärjestelmään – se ei aiheuttaisi itsessään haittaa; tuo kököttäisi kiintolevyllä toimetonna kuin tatti.
7. Microsoftilla ja muissa vastaavissa suljetuissa linnakkeissa on pieniä tiimejä jotka käyvät lävitse miljoonia mahdollisia haittoja. Linux-maailmassa taas paljon pienempää määrää (ja etäisemmin mahdollisia) haittoja naaraavat sadattuhannet kehittäjät kuin haukat.
8. Kun haitake löytyy – paikkaus saadaan jaeltavaksi lyhyessä ajassa suhteessa megakorporaatioden käytäntöihin.
9. Linuxin ytimeen voidaan liittää ajonkin aikana moduuli-osia jotka yhä lisäävät turvaa erityistilanteen ollessa päällä.
Pinnan alta
– Vakiintuneessa Linux-käyttöjärjestelmässä ei ole olemassa ohjelmakehittäjän asettamia takaovia (Linuxin suomalainen isä vastaa asian tiimoilla esitettyyn kysymykseen tuossa paljastavan loistavasti).
Heti, kun Linus Torvalds muutti Suomesta Yhdysvaltoihin – alkoivat ns. ”lämmittelyt” tiettyjen tahojen suunnalta. Nämä tahot eivät kuitenkaan ilmeisesti ymmärtäneet silloinkaan Linuxin olemusta.
Jotta perusoikeuksia rikkovia tunkeutumisia voitaisiin suorittaa olisi ensin ujutettava salassa tuollainen takaovi koodin sekaan; avoimuuden johdosta yrityksetkin moiseen havaitaan nopeasti.
– Ei automaattista sulautusta mihinkään hämärään pilvipalveluun (jotkut Linux-jakelut voivat kylläkin asettaa pilvipalvelun tarjolle sillä malli on suosittu). Mutta – kuten FSF asian ilmaisee:
(Ei ole mitään pilveä vaan toisten ihmisten tietokoneita).
– Ei telemetriatietojen lähetystä. Yhdessäkään vakiintuneessa Linux-käyttöjärjestelmässä ei harrasteta käyttäjän tietämättä ja häntä tiedottamatta tietojen lähettelyä mihinkään.
Kaikki telemetria EI kuitenkaan ole pahasta – ohjelmakehityksen ja parannusten kannalta se on tärkeätä ja siihen kannattaa osallistua. Kyse on teknisestä knoppidatasta.
– Ei pakollista automaattipäivitysmallia käynnistyksen aikana (jolloin turvarakenteet eivät ole vielä ajossa eli kilvet ja keihäät ojossa).
– Turvapäivitykset toimitetaan Linuxissa ripeästi – toisaalle käyttöjärjestelmät laahaavat usein pahastikin jäljessä – ja ”auttava puhelin” ei vastaa (eikä sitä rehellisesti edes kiinnosta). Linux-käyttäjä saa avun ja tiedon aktiivisen yhteisönkin ansiosta välittömästi.
Kulttuuri
– NSA:lla (kiitos Edward Snowden!) ei ole jalansijaa tavan perinteisissä Linux-käyttöjärjestelmissä. SELinux (turvapuskuri, jota siis kuitenkin tuo taho NSA kehittää) – on eri asia; koodi on julkista / tuo puskuri on hyödyllinen.
– Ohjelmakoodi on todellakin avointa ja vapaata – sitä naarataan omistautuneesti. Epäkohdat bongataan nopeasti. Käyttäjä- ja käyttäjän vapaus ovat Linux-maailmassa kohtalaisen pyhää aluetta.
– Sovellusten asennus tapahtuu turvatuista / varmennetuista lähteistä myös salauksella.
– Selkeän eheä oikeuksienhallintamalli. Käytännössä tämä merkitsee etua siinäkin tilanteessa mikäli tartunta tapahtuu – koko käyttöjärjestelmä ei sairastu laakista; ongelma voidaan korjata / siivota pois vain tietystä osa-alueesta nopeasti.
– Tietoturva edellä – siitä ei tingitä; järjelliset vakiot ja varmistetut ohjelmistolähteiden sovellukset.
– Pyörää ei jouduta keksimään ”ainauudelleen”; kehitys nopeutuu ja laajenee avoimen lähdekoodin ansiosta.
– Vaikka Linuxin käyttö kasvaisi vuorokaudessa uusiin valtaviin käyttäjämääriin – olisi se siitäkin huolimatta käyttäjälle Windowsia turvallisempi.
“Telemetriaongelma rehottaa Windowsissa – tietoja käytetään monella tavalla haitallisesti.
Microsoftin valitsemassa mallissa haittojen pesintä järjestelmäkomponenttien sisään on yleistä – leviäminen parvina yhä edelleen seuraaviin järjestelmäprosesseihin. Homma jatkuu yhtiön paikallisverkon viereisiin Windows-koneisiin joissa samat heikkoudet välittömästi hyödynnettäväksi.
Linuxissa, muuten, ei ole UNIX-koodia riviäkään; tuo on väärinkäsitys jota joskus esiintyy. Linux ei siis perustu UNIXIIN – Linux kehitettiin puhtaalta pöydältä ilman UNIX-lähdekoodeja. Linux ei kunnioita orjallisen tarkasti myöskään asiaan liittyviä standardeja; tilanteet puntaroidaan yksilöllisesti.
Linuxin kohdalla lähtökohta on innoitus: se oli Minix). SCO olisi voittanut oikeudenkäyntinsä (koulukiusaamisensa) Linuxia vastaan mikäli koodia jaettaisiin.
Peruskäyttö
Linux-ohjelmistoista suurin osa ladataan suoraan itse jakelun varmistetuista ja virallisista ohjelmavarastoista. Myös rajatussa hiekkalaatikossa ajetut snap- ja flatpak paketit ovat jo arkipäivää (ja toimivat universaalisti jakeluiden kesken).
Ohjelmavarastoja ”repoja” ylläpitää vapaita ohelmistoja / avointa lähdekoodia / yhteishyötyä vaaliva yhteisö. Ohjelmakoodin sisältöä todella tarkkaillaan alati.
Linux-käytäntöihin ei kuulu satunnaisista (näennäisen turvallisista) lähteistä ajettavien pakettien ajo ”erittainhjuvafiluluotameihin.com”.
Jollekin ulkoiselle verkkosivulle mennään lataamismielessä lähinnä poikkeustilassa – vaikkapa Telegram:in ovat jotkut tottuneet lataamaan sen omilta palvelimilta. Poikkeuskäytäntö ei tässä tapauksessa ole pahasta – ohjelma löytyy kaikkien kärkijakeluiden omista ohjelmakaupoista niin ikään.
Paketointi- ja kauppamallit
Windowshan on vasta hiljan lähtenyt keskitettyyn kauppamalliinsa – mutta varsinainen laiva asian suhteen lähti satamasta ajat sitten ja seilaa jo kaukana taivaanrannassa – tavalliset Windows-käyttäjät latailevat .exe -tiedostoja selaimella sieltäsuntäältä tottumuksesta. Windows-ekosysteemi on holtiton.
Linuxin paketointimallissa pyritään vapauteen / ohjelmakoodin avoimuuteen. Sovellusten koodi (eli toiminta) voidaan todentaa kokonaisuudessaan.
Mm. Firefox-selain on ohjelmakoodiltaan avoin – vertauskohtana Google Chrome umpisuljettu (poislukien sen kehitysalusta Chromium – joka kuitenkin ”soittelee” sekin Googlelle himaan).
Microsoft on valintansa tehnyt
Windows-malli on päinvastainen. Luotatko megakorporaation sanaan?
Windowsia ei suunniteltu alunperin toimittamaan asioita laajassa verkossa ollenkaan – vaan omillaan. Juuri sellaisenaan / siinä pisteessä pönöttävänä möhkäleenä.
Voit tarkistaa paljonko viestintäportteja Windowsissa on alati auki antaen Windows-tietokoneessa käskyn:
netstat -a.
Windows hidastuu käytössä
Hidastumiseen vaikuttavat Windowsin omat ominaisuudet: Taustaprosesseja pyörii toista sataa vaikka olisi suoritettu ainoastaan käynnistys.
Windows-kansiossa on kohde WinSxS (”Windows Side by Side” C:\Windows\WinSxS) joka on kiintolevysyömäri: asenna Windows keväällä – totea jo syksyllä – että kallisarvoinen tilasi on ikään kuin vallattu. Olisi osattava (ja ylipäätään ymmärrettävä) tehdä jatkuvia eritoimia jotta Windowsin suorituskyky säilyisi.
Tuo kyseinen kansio siis kasvaa kasvamistaan koska se säilyttää kaikkien asennettujen ja poistettujenkin ohjelmien komponentit.
Entä karikot Linuxissa?
Yksi oleellinen vaara Linux-käyttäjälle on lisäillä järjestelmään varmistamattomia PPA-lähteitä (Personal Package Archive – nämä ovat usein yksittäisten sankarien omia varastoja joihin ei tule sokeasti luottaa).
“PPA-lähteiden lisäilyyn kannustaminen tulisi lopettaa. Nuo eivät ainoastaan voi olla epämääräisiä – vaan rikkovat myös todennäköisesti jossakin vaiheessa päivitysjatkumon*
Mikäli haluttu sovellusei löydy Linux-jakelun omasta kaupasta – PPA-lähteiden sijasta tulisi käyttää kaikissa vakiintuneissa Linux-käyttöjärjestelmissä toimivia Snap– ja Flatpak -paketointeja (tai AppImage).
Nämä toimivat rajatussa hiekkalaatikossa (sandbox) – joka merkitsee lisäturvaa. Liikkumavara rajoittuu omaan tilaansa varsinaisesta käyttöjärjestelmästä. Erilupien myöntäminen on kuitenkin mahdollista – joka tulee kyseeseen tarvittaessa lupa johonkin tiettyyn kansioon joka on hiekkalaatikoinnin ulkopuolella.
Oma ulottuvuutensa on juurikäyttö (eli root) – pääkäyttäjän salasanan viljely; sitä ei aina tarvita! Harkitse ennen kuin teet asioita juurikäyttäjän oikeuksin. Useimmat asiat tehdään ilman root-salasanaa / sudo:a.
Markkinaosuus argumentti…
”Linuxin matalampi markkinaosuus pitää haitat vähäisinä”.
Tämä tietenkin liityy osittain asiaan ja useimmat haittaohjelmista rakennetaan Windowsia vastaan – mutta kurvit vedetään tuolla lauseella laiskasti suoriksi.
Tulee ottaa huomioon oleelliset tekniset eroavaisuudet. Oikeasti: joudut tekemään hartijavoimin tarkoituksen mukaista duunia saadaksesi Linuxiisi jonkun game over haitakkeen.
Tietokoneen ja tuolin välissä siintävää entiteettiä ei tule kuitenkaan milloinkaan aliarvioitavan haitallisessa potentiaalissaan omalle itselleen – varsinkaan kun kouluissamme ei edelleenkään ole uusia tarvittavia kouluaineita ”Internet- ja tietoturvaoppi”. Nilviäisten sukupuolielämä tms. on oleellisempaa. Kiitos Kummeli.
“Lähtökohtaisesti erilainen rakenne- ja käytännöt ovat olleet oleellisia vaatimuksia Linux-kehityksen alusta alkaen
Internet pyörii Linuxin varassa. Palvelimissa markkinaosuus on käytännössä yksinvaltiutta.
~90% kaikista palvelimina toimivista tietokoneista hyödyntää Linuxia. Jopa itse Microsoft luottaa enemmän Linuxiin.
Maailman Linux-palvelimet: 95%. 4.5%:ssa palvelimista ajossa on muinaisjäänne UNIX. 0.1% luottaa Applen macOS:ään. Windowsille jää 0.4%.
Pienemmän käyttöosuuden näkökulma Linuxin turvallisempaan tolaan ei kanna – juurikin yli 90% kaikista palvelimista (jotka muodostavat Internetin) toimii Linuxilla.
Viruksen koodaaminen tähdäten täsmällisesti palvelimiin olisi PALJON kannattavampaa kuin vain yksilökäyttäjiin kohdistettava kiusa.
“Linux-ydin on kasvanut verkkoympäristöissä – tietoturva sisäänleivottu
Microsoft-ohjelmistoja on luokiteltu haittaohjelmiksi vakiintuneen määritelmän mukaisesti – asiasta ollaan yllättävän hissunkissun edelleen myös lehdistössä.
IT-maailman tola yleisesti
Reiät tietoturvassa ovat yleensä ja yksinkertaisesti koodausvirheitä. Ne ovat ihmisyyden sanelemia erheitä joihin nämä nämä ns. virukset kurottavat. Virukset ovat siis oireita, järjestelmien bugien ollessa juurisyy.
Koodauksen toimittamiseen voidaan aina asettaa tiukkoja sääntöjä ja laatuvaatimuksia. Kun ohjelmakoodista tekee julkista voidaan täten epäkohdat havaita nopeammin – toimia tehokkaasti – vähintään toimittaa tieto välittömästi.
IT-maailmassa ei täydellisiä asioita ole olemassakaan – paitsi tietenkin mielipiteiden alueella. Haittaohjelmat Linuxissa ovat erittäin harvinaisia. Wikipedia näyttäisi kirjoitushetkellä 15 tunnettua Linux-virusta joista osa on vain näytemielessä tehtyjä osoituksia.
Windowsia kohtaan suunnattuja- tai jatkuvatoimisia viruksia on miljoonia.
Linuxiin on olemassa kymmenkunta rootkit-haittaa (piilohallintaohjelma) jotka voivat aiheuttaa _jotakin_ murhetta.
Rootkit-hyökkäyksen alla toimitaan nopeasti. Mahdollisuudet murskatuhoon ovat Linux-alustojen kohdalla ohuita. Aktiivisia rootkit-haittoja on tällä hetkellä vieläkin vähemmän.
Seuraavaksi tulevat kokonaisuudessaan hiekkalaatikoidut ja ns. muuttumattomat ”immutable” Linux-käyttöjärjestelmät (Steam Deck:in Steam OS on sellainen). Vakaus, käytön jatkuvuus / turvallisuustilanne siis edelleen vahvistuu.
Tehokkaampi suorituskyky vs. Windows
Jos ihmetellään syitä vaikkapa parempaan suorituskykyyn (esim. peliosastolla) – samalla laitteistolla – vastaukset löytyvät paremmin hyödynnetyistä resursseista / ominaisuuksista.
Yksi alue on tehokkaammat tiedostojärjestelmät. Windows käyttää wanhaa NTFS-tiedostojärjestelmää (ethän milloinkaan käytä tuota alustaessasi kiintolevyä pelaamista varten Linuxissa – kuten Steam-asema).
Proton (yhteensopivuuspaketti Windows-peleille, Steam) hyödyntää Vulkan:ia DXVK:n lävitse – joka on rivakampi kuin Microsoftin vakiollinen DirectX tai OpenGL.
DXVK on myös vapaa ja universaali. macOS (Apple) on putoamassa pelikentältä pikkuhiljaa pois (!) – Linuxin noustessa.
Vaikka peli ajetaan tuon erillisen sovituskerroksen kautta on suorite siltikin tehokkaampi. Asiahan on pelikohtainen – kaikki nimikkeet eivät vielä toimi vaikkapa ruudunpäivitykseltään (fps) paremmin.
Näin on kuitenkin jo tapahtunut ja tulevaisuus osoittaa Linuxin suuntaan paremman optimisaation sanelemana. Erilliset antivirus-ohjelmat, erilliset palomuuri- erilliset haittaohjelmaestot sekä ”apurit” (helpers) jäytävät Windowsissa mm. kiintolevyn I/O-siirräntää sekä suorittimen syklejä.
Steam Deck (Valve) pelikonsoli on menestys – jo pienen vallankumouksenkin tuonut ilmiö. Linuxilla aurinkoinen tulevaisuus 🌞
✍️@Kopimi
Liity:
®LINUX-SAUNA | Apu lämmöllä Linuxiin