®LINUX-SAUNA tuotantoa
Asiaan löytyy monia lähestymistapoja- ja näkökulmia. Tämä on yksi niistä. Tulisi joka tapauksessa ymmärtää; tietotekniikassa ei 100% aukottomuutta ole.
Linuxin vakiintuneita tapoja hyödyntäen voit kuitenkin käyttää tietokonettasi huoletta ja vapautuneesti.
Lähtökohdat
1. Linuxissa käyttäjähallinta on ylivoimainen verrattuna vaikkapa Windowsin malliin. Oikeuksia ei koroteta pääkäyttäjän oikeuksiksi yhdellä napsauksella saati jatkuvasti. Käyttäjätilit ovat toisistaan erillisiä.
2. Sovellukset eivät aja omaa koodiansa Linux-ydintilassa. Koodin ajaminen ydintilassa ohittaisi kaikki suojaukset, mutta se vaatii erillisen moduulin latauksen lisäksi ”jumaloikeudet”.
3. Portteja ei vakiollisesti ole järjestelmässä avoimena. Portti aukeaa – kun käynnistät vaikkapa Firefox-verkkoselaimen.
4. Hajautus itsessään tuo lisäturvaa: on useita eri Linux-jakeluita, vaikka ne toimivatkin yksi yhteen. Viruksen kirjoittaminen eri tyyppisille useille Linux-käyttöjärjestelmille on laajassa mielessä vaivalloista ja tehotonta.
5. Harjaantuneet turvamekanismit ovat Linuxin ytimessä itsessään toimessa vakiona – nämä estävät mahdollisten haittaohjelmien automaattisen ajon; Järjestelmän asetuksia ei voida muuttaa etänä niin että ohjelmia voitaisiin aloittaa ajamaan.
6. Mikäli kuitenkin viruksen sisältävä tiedosto ladattaisiinkin vakiintuneeseen Linux-käyttöjärjestelmään – se ei aiheuttaisi itsessään haittaa – vaan istuisi kiintolevyllä toimettomana kuin tatti.
7. Microsoftilla ja muissa vastaavissa suljetuissa linnakkeissa on joidenkin kymmenien ihmisten kokoisia tiimejä jotka käyvät lävitse miljoonia mahdollisia haittoja. Linux-maailmassa taas paljon pienempää määrää (ja etäisemmin mahdollisia) haittoja naaraavat sadattuhannet kehittäjät.
8. Kun haitake löytyy – paikkaus saadaan käyttäjille jaeltavaksi lyhyessä ajassa suhteessa megakorporaatiomallin käytäntöihin.
9. Linuxin ytimeen voidaan liittää ajon aikana moduuli-osia jotka yhä lisäävät sen toiminnallisuutta ja turvaa mikäli erityistilanne tilanne on päällä.
Pinnan alta
– vakiintuneessa Linux-käyttöjärjestelmässä ei ole olemassa ohjelmakehittäjän asettamia takaovia (Linuxin suomalainen isä vastaa asian tiimoilta esitettyyn kysymykseen tuossa paljastavan loistavasti).
Heti kun Linus Torvalds muutti Suomesta Yhdysvaltoihin – alkoivat ns. ”lämmittelyt” tiettyjen tahojen suunnalta. Nämä tahot eivät kuitenkaan ilmeisesti ymmärtäneet silloinkaan Linuxin olemusta.
Jotta perusoikeuksia rikkovia tunkeutumisia käyttäjää kohtaan voitaisiin suorittaa, olisi ensin ujutettava salassa tuollainen takaovi koodin sekaan; avoimuuden johdosta yrityksetkin havaitaan välittömästi.
– ei automaattista sulautusta mihinkään hämärään pilvipalveluun (jotkut Linux-jakelut voivat kylläkin asettaa pilvipalvelun tarjolle sillä malli on suosittu). Mutta kuten FSF asian ilmaisee:
(Ei ole pilveä vaan toisten ihmisten tietokoneita).
– Ei telemetriatietojen lähetystä. Yhdessäkään vakiintuneessa Linux-käyttöjärjestelmässä ei harrasteta käyttäjän tietämättä ja häntä tiedottamatta tietojen lähettelyä mihinkään.
Kaikki telemetria EI kuitenkaan ole pahasta – ohjelmakehityksen ja parannusten kannalta se on tärkeätä ja siihen kannattaa osallistua. Kyse on yleensä teknisestä knoppidatasta.
– Ei käynnistettäessä suoritettavaa automaattipäivitysmallia (jolloin turvarakenteet eivät ole vielä ajossa eli ns. kilvet ja keihäät ojossa).
– Turvapäivitykset toimitetaan Linuxissa ripeästi – kun taas muiden kohdalla käyttöjärjestelmät laahaavat usein pahasti jäljessä – ja ”auttava puhelin” ei vastaa eikä sitä kiinnosta. Linux-käyttäjä saa avun ja tiedon aktiivisen yhteisönkin ansiosta välittömästi.
Kulttuuri
– NSA:lla (kiitos Edward Snowden!) ei ole jalansijaa tavan perinteisissä Linux-käyttöjärjestelmissä. SELinux (turvapuskuri, jota siis kuitenkin tuo taho NSA kehittää) – on eri asia; koodi on julkista ja tuo puskuri on hyödyllinen.
– Ohjelmakoodi on todellakin avointa ja vapaata – sitä naarataan ja väijytään kuin haukat. Epäkohdat bongataan nopeasti. Käyttäjä- ja käyttäjän vapaus ovat Linux-maailmassa ”pyhää” aluetta.
– Sovellusten eli ”appien” asennus tapahtuu turvatuista, varmennetuista lähteistä myös salauksella (enkryptaus).
– Selkeän eheä oikeuksienhallintamalli. Käytännössä tämä merkitsee etua siinäkin tilanteessa mikäli haittatartunta tapahtuu – koko käyttöjärjestelmä ei sairastu laakista; ongelma voidaan korjata / siivota pois vain tietystä osa-alueesta nopeasti.
– Tietoturva edellä – siitä ei tingitä; järjelliset vakiot ja varmistetut ohjelmistolähteiden sovellukset.
– ”Pyörää ei jouduta keksimään alati uudelleen”; kehitys nopeutuu avoimuuden ansiosta.
– Vaikka Linuxin käyttö kasvaisi vuorokaudessa uusiin valtaviin käyttäjämääriin – olisi se siitäkin huolimatta Windowsia turvallisempi käyttäjän kannalta.
“Telemetriaongelma (käyttäjältä kysymätön) rehottaa Windows:issa – tietoja käytetään monella tavalla haitallisesti.
Microsoftin valitsemassa Windows-mallissa haittojen pesintä järjestelmäkomponenttien sisään on yleistä – leviäminen parvina seuraaviin järjestelmäprosesseihin ja esim. yhtiön paikallisverkon viereisiin Windows-koneisiin joissa on samat heikkoudet välittömästi hyödynnettäväksi.
Apple:n macOS:kin on ns. UNIX-johdannainen – ja siis valtavirran käyttöjärjestelmä – mutta aivan eri tasolla sekin Microsoftin Windowsiin nähden turvallisuudessa.
Linuxissa, muuten, ei ole UNIX-koodia riviäkään; tuo on väärinkäsitys jota joskus esiintyy. Linux ei siis perustu UNIXIIN – Linux kehitettiin puhtaalta pöydältä ilman UNIX-lähdekoodeja. Linux ei seuraa aivan tarkasti myöskään asiaan littyviä standardeja.
Kyse on innoittajasta (tarkemmin se oli Minix). SCO olisi voittanut oikeudenkäyntinsä (lue: koulukiusaamisensa) Linuxia vastaan asian ilmetessä toisin.
Peruskäyttö
Linux-ohjelmistoista suurin osa ladataan suoraan itse jakelun varmistetuista ja virallisista ohjelmavarastoista. Myös rajatussa hiekkalaatikossa ajetut snap- ja flatpak paketit ovat muodostuneet suosituiksi (ja toimivat universaalisti jakeluiden kesken).
Ohjelmavarastoja ”repoja” ylläpitää vapaita ohelmistoja / avointa lähdekoodia ja yhteishyötyä vaaliva yhteisö. Ohjelmakoodin sisältöä tarkkaillaan aina.
Linux-käytännössä ei ladata satunnaista (näennäisen turvallista) ajettavaa pakettia ”erittainhyvatiedostoluotameihin.com” -sivulta toivoen parasta.
Jollekin ulkoiselle verkkosivulle mennään lataamismielessä vain poikkeustilassa – vaikkapa Telegram:in ovat jotkut tottuneet lataamaan sen omilta palvelimilta. Poikkeuskäytäntö ei tässä tapauksessa ole pahasta – ohjelma löytyy kaikkien kärkijakeluiden omista ohjelmakaupoista niin ikään.
Paketointi- ja kauppamallit
Windowshan on vasta hiljan lähtenyt keskitettyyn kauppamalliinsa – mutta varsinainen laiva on jo kaukana taivaanrannassa ja bileet käynnissä – tavalliset Windows-käyttäjät latailevat .exe -tiedostoja selaimella sieltä ja täältä tottumuksesta. Windows-ekosysteemi on holtiton.
Linux-paketointimallissa paketoinnit pyrkivät vapauteen, ohjelmakoodiltaan avoimuuteen. Niiden koodi (eli toiminta) voidaan siis 100% todentaa.
Mm. Firefox-selain on ohjelmakoodiltaan avoin – vertauskohtana Google Chrome umpisuljettu (poislukien sen kehitysalusta Chromium – joka kuitenkin ”soittelee” sekin Googlelle kotiin).
Ohjelmakoodin vapaus lisää turvallisuutta ja nopeuttaa kehitystä (työtä- tai siivousta voidaan aina jatkaa siitä mihin edelliset pingviinibailut jäivät).
Microsoft on valintansa tehnyt
Windowsissa malli on päinvastainen. Luotatko megakorporaatioiden sanaan?
Windowsia ei suunniteltu alunperinkään toimittamaan asioita laajassa verkossa ollenkaan – vaan omillaan. Juuri sellaisenaan ja siinä pisteessä pönöttävänä PC-käyttöjärjestelmänä.
Voit tarkistaa paljonko viestintäportteja Windowsissa on alati auki antaen Windows-tietokoneessa käskyn:
netstat -a
Internet Explorer -selain. Nykyään nimeltään Edge – huolimatta käytössäsi olevasta Windowsista: IE-moottori on mukana ja valmiina ilkeille JavaScript-hyökkäyksille edelleen vuonna -23.
Windowsin hidastuminen?
Hidastumiseen vaikuttavat Windowsin omat ominaisuudet: Windowsissa pyörii taustaprosesseja toista sataa vaikka ainoastaan käynnistys olisi suoritettu.
Windows-kansiossa on kohde WinSxS (”Windows Side by Side” C:\Windows\WinSxS) joka on suuri kiintolevysyömäri: asenna Windows keväällä – ja totea jo syksyllä – että tilasi on ikään kuin vallattu. On osattava (ja ylipäätään ymmärrettävä) tehdä jatkuvia eritoimia – jotta Windowsin suorituskyky säilyisi.
Tuo kyseinen kansio siis kasvaa kasvamistaan koska se säilyttää kaikkien asennettujen ja poistettujenkin ohjelmien komponentit.
Entä karikot Linuxissa?
Yksi oleellinen vaara Linux-käyttäjälle on lisäillä järjestelmään varmistamattomia PPA-lähteitä (Personal Package Archive – nämä ovat usein yksittäisten sankarien omia pakettivarastoja joihin ei tule sokeasti luottaa).
“PPA-lähteiden lisäilyä ei enää pidä suositella. Nuo eivät ainoastaan ole usein epämääräisiä – myös rikkovat potentiaalisesti päivitysjatkumon*
Ellei haluttu sovellus löydy Linux-käyttöjärjestelmän omasta kaupasta – PPA-lähteiden sijasta tulisi käyttää kaikissa vakiintuneissa Linux-käyttöjärjestelmissä toimivia Snap– ja Flatpak -paketointeja (tai AppImage).
Nämä toimivat rajatussa hiekkalaatikossa (sandbox) – joka merkitsee lisäturvaa. Anti siis eristetään omaan tilaansa varsinaisesta käyttöjärjestelmästä. Erilupien myöntäminen on kuitenkin mahdollista – tuollainen tulisi kyseeseen jos tarvitaan lupa tiettyyn kansioon joka on vakiollisen hiekkalaatikoinnin ulkopuolella.
Toinen mainitsemisen arvoinen käytäntö on juuri (eli root) -salasanan yletön käyttö; sitä ei aina tarvita! Harkitse ennen kuin teet asioita juurikäyttäjän oikeuksin. Monet asiat tehdään ilman root-salasanaa ja sudo:a.
Markkinaosuus argumentti…
”Linuxin matalampi markkinaosuus pitää haitat vähäisinä”.
Tämä tietenkin liityy osittain asiaan ja useimmat haittaohjelmista rakennetaan Windowsia vastaan- mutta kurvit vedetään tuolla lauseella laiskan suoriksi.
Tulee ottaa huomioon oleellisen lähtökohtaiset tekniset eroavaisuudet. Oikeasti: joudut tekemään tarkoituksenmukaisia töitä sen eteen että saat Linuxiisi jonkun game over haitakkeen.
Tietokoneen ja tuolin välissä siintävää entiteettiä ei kuitenkaan tule milloinkaan aliarvioivan haittapotentiaalissaan itselleen – varsinkaan kun kouluissamme ei edelleenkään ole uusia tarvittavia kouluaineita tyyliin ”Internet- ja tietoturvaoppi”. Nilviäisten sukupuolielämä tms. on varmasti oleellisempaa. Kiitos Kummeli.
“Kyse on lähtökohtaisesti erilaisesta rakenteesta ja käytännöistä jotka ovat olleet oleellisia vaatimuksia Linux-kehityksen alusta alkaen
Internet pyörii Linuxin varassa. Markkinaosuus käytännössä yksinvaltius.
~90% kaikista palvelimina toimivista tietokoneista hyödyntää Linuxia. Jopa itse Microsoft luottaa enemmän Linuxiin kriittisissä kohteissaan. Harva on valmis taistelemaan Windowsin ärsykkeitä ja epävakautta vastaan kun shown tulee vain alati jatkua.
Linux on käytössä maailman palvelimissa 95%:sti. 4.5%:ssa palvelimista ajossa on muinainen UNIX, ja 0.1% luottaa Applen macOS:ään. 0.4% jää Windowsille.
Pienemmän käyttöosuuden näkökulma Linuxin turvallisempaan tolaan ei kanna koko totuutena – juurikin yli 90% kaikista palvelimista (jotka muodostavat Internetin) toimii Linuxilla.
Viruksen koodaaminen tähdäten täsmällisesti palvelimiin olisi PALJON kannattavampaa kuin vain yksilökäyttäjiin kohdistettava koulukiusaaminen.
“Linux-ydin on kasvanut verkkoympäristöissä – tietoturva on sisäänleivottu
Microsoft-ohjelmistoja on luokiteltu haittaohjelmiksi vakiintuneen haittaohjelmamääritelmän mukaisesti – asiasta ollaan yllättävän hissunkissun edelleen myös lehdistössä.
IT-maailman tola yleisesti
Tietoturvareiät ovat yksinkertaisesti yleensä koodausvirheitä. Ne ovat ihmisyyden sanelemia erheitä, joihin nämä nämä ns. virukset kurottavat. Virukset ovat siis oireita, järjestelmien bugien ollessa juurisyy.
Koodauksen toimittamiseen voidaan aina asettaa erittäin tiukkoja sääntöjä ja laatuvaatimuksia. Kun ohjelmakoodista tekee julkista voidaan epäkohdat havaita nopeammin – toimia nopeasti – vähintään toimittaa tieto välittömästi.
IT-maailmassa ei täydellisiä asioita ole olemassakaan – paitsi tietenkin mielipiteiden alueella – mutta haittaohjelmat Linuxissa ovat erittäin harvinaisia. Wikipedia näyttäisi 15 tunnettua virusta Linuxille joista osa on vain näyteosoituksia.
Windowsia kohtaan suunnattuja- tai jatkuvatoimisia viruksia on miljoonia.
Linuxiin on olemassa kymmenkunta rootkit-haittaa (piilohallintaohjelma) jotka voivat aiheuttaa _jotakin_ murhetta.
Tilanteeseen puututaan nopeastikun rootkit-hyökkäys havaitaan. Mahdollisuudet murskatuhoon ovat Linux-alustalla ohuet. Aktiivisia rootkit-haittoja on tällä hetkellä vieläkin vähemmän.
Seuraavaksi kehityksessä ovat vuorossa kokonaisuudessaan hiekkalaatikoidut ja ns. muuttumattomat Linux-käyttöjärjestelmät. Vakaus, käytön jatkuvuus -ja turvallisuustilanne on siis edelleen vahvistumassa.
Tehokkaampi suorituskyky vs. Windows
Jos ihmetellään syitä vaikkapa tehokkaampaan suorituskykyyn (esim. peliosastolla) – samalla laitteistolla – vastaukset löytyvät paremmin hyödynnetyistä resursseista / ominaisuuksista.
Yksi alue on tehokkaammat tiedostojärjestelmät joita Linuxissa yleisesti käytetään. Windows käyttää wanhaa NTFS-tiedostojärjestelmää (ethän muuten milloinkaan käytä tuota tiedostojärjestelmää alustaessasi kiintolevyä pelaamista varten Linuxilla – kuten Steam-asema). Muutosta eo ole ehkä tulossa vähään aikaan edelleenkään (ReFS?).
Proton (yhteensopivuuspaketti Windows-peleihin Linuxilla, Steam) hyödyntää Vulkan:ia DXVK:n lävitse – joka on rivakampi kuin Microsoftin vakiollinen DirectX tai OpenGL.
DXVK on myös vapaa ja universaali. macOS (Apple) on putoamassa pelikentältä pikkuhiljaa pois (!) – Linuxin noustessa.
Vaikka peli ajetaan tuon erillisen yhteensopivuuskerroksen kautta on suorite siltikin tehokkaampi. Asia on kuitenkin pelikohtainen – kaikki nimikkeet eivät vielä toimi vaikkapa ruudunpäivitykseltään (fps) paremmin kuin alkuperäisalusta Windowsissa.
Näin on kuitenkin jo tapahtunut ja tulevaisuus osoittaa Linuxin suuntaan paremman optimisaation sanelemana. Erilliset antivirus-ohjelmat, erilliset palomuuri- erilliset haittaohjelmaestot sekä ”apurit” (helpers) jäytävät Windowsissa mm. kiintolevyn I/O-siirräntää sekä suorittimen syklejä.
Kannettava Linux-pelikonsoli Steam Deck (Valve) on menestys ja pienen vallankumouksenkin aiheuttanut ilmiö.
✍️@Kopimi
Liity:
®LINUX-SAUNA | Apu lämmöllä Linuxiin