Linux.fi - Käyttäjän muokkaukset [fi]

Keskustelu käyttäjästä:Ajt

2005-11-23T09:19:40Z

Ajt:

Onhan sinulla lupa tietoturvaoppaan kirjoittajalta tuoda nuo jutut wikiin ([[Linux.fi:Lisenssi|CC-lisenssin alle]])? --[[Käyttäjä:Maakuth|Maakuth]] 22. marraskuuta 2005 kello 17:00:45 (EET)

Olen saanut nyt kaikilta tietoturvaoppaan kirjoittajilta luvan heidän materiaalinsa käyttöön. Puolet onkin jo siirretty, loputkin tulossa pian. --[[Käyttäjä:Ajt|Ajt]] 23. marraskuuta 2005 kello 11:19:40 (EET)
:Jeps, hieno juttu. Näitä Linux-artikkeleita on suomenkielisiäkin Internet pullollaan, olis kyllä mainio juttu kun saataisiin niitä kasattua tämän sivun alle. --[[Käyttäjä:Maakuth|Maakuth]] 22. marraskuuta 2005 kello 19:51:10 (EET)

Fedora Linux/Päivittäminen

2005-11-23T09:08:40Z

Ajt:

== Huomautus ==

Tämä teksti on kirjoitettu alkuvuonna 2004 sen aikaisten Red Hat ja Fedora-versioiden pohjalta ja
on siten osittain vanhentunut. Jotakuta uudemman version käyttäjää pyydetään muokkaamaan sisältö ajan
tasalle ja poistamaan tämä huomautus.

== Johdanto ==

[[Fedora Core]] on [[Red Hat]] Linuxin "ilmaisversio". Viimeinen Red Hatin nimellä julkaistu vapaa Red Hat oli versio 9. Fedora Coren tämän hetkinen uusin versio on 2. Kummatkin distribuutiot käyttävät tavanomaista Red Hatin paketointijärjestelmää, RPM - Red Hat Package Manager. Tämä järjestelmä pitää kirjaa tietokannassaan siitä, mitä ohjelmia ja mitkä versiot ohjelmista on järjestelmään asenettu. Näin ollen ohjelmien lisääminen, poistaminen ja päivittäminen sujuu helposti mukana tulevien ohjelmien avulla.

Tämä dokumentti esittelee neljä työkalua ohjelmien päivittämiseen:

* ''[[rpm]]'':n, joka on molempien distibuutioiden perustyökalu. Toinen perustyökalu on
* ''up2date'', joka on Red Hatin ja Fedoran ohjelmien päivitystyökalu.
* ''Red Carpet'' taas on Ximianin luoma graafinen työkalu ohjelmien päivittämiselle,
* ''[[yum]]'' taas on Fedoran mukana tuleva monipuolisempi ja osaavampi komentorivityökalu kuin mitä perus-rpm on.

== RPM ==

RPM on siis Red Hatin perustyökalu ohjelmien asentamiseen. Sen toiminta on varsin
yksinkertaista:

rpm -i paketti.rpm

Ja paketti asentuu koneeseen. Verkon ylitse pakettia noudettaessa pitää laittaa komentoon
koko hakuosoite. ''Rpm'' osaa käyttää sekä ftp- että http-protokollaa:

<nowiki>rpm -i http://updates.example.com/paketti.rpm</nowiki>

Edellisessä esimerkissä optio '''-i''' (install) asensi uuden paketin koneeseen. Koneessa jo
olevan ohjelman voi päivittää käyttämällä optiota '''-U'''. Huomaa kirjainkoko! Jälkimmäinen
on todella kirjoitettu isolla ja edellinen pienellä. Jos -U-optiolla asennettaessa ohjelmaa
ei ole koneessa vielä, se asennetaan. Sitä voi siis käyttää perusasennukseenkin.

Yksi kätevä ''rpm'':n vipu on '''-F''': Se asentaa paketin, jos siitä on olemassa koneella
joku versio. Tätä voi käyttää hyväkseen vaikkapa silloin, kun halutaan hakea päivityspalvelimelta
kaikki paketit. Tällöin komento päivittää vain ne paketit, jotka on jo koneessa. Näin voidaan
tehdä pikainen päivitys tyyliin

rpm -Fvh *

Optiot '''-v''' ja '''-h''' lisäävät komennon tulosteita. Ensinmainittu on "verbose", joka
käskee komennon kertomaan, mitä tapahtuu, ja jälkimmäinen taas piirtää ruutu-merkeillä "janan",
joka kuvaa paketin purkamisen edistymistä. Yhdessä näillä saa siisteimmän tuloksen.

Ohjelman asennus poistetaan komentamalla

rpm -e paketti

=== RPM:n heikkouksia ===

Pahin heikkous on riippuvuuksien hallitsemattomuus. Jos jokin ohjelmapaketti vaatii
toisen paketin olemassaoloa, ''rpm'' ei osaa asentaa näitä paketteja vaan ne pitää
asentaa erikseen. Toisinsanoen ohjelman asentaja joutuu itse selvittämään, missä ihmeen
paketissa se rpm:n vaatima tiedosto on! Tämä on kaikkea muuta kuin kätevää.

Toinen ''rpm'':n heikkous on kyvyttömyys tarkastaa itse, onko paketteihin tullut
päivityksiä. Tästä syystä on kehitelty parempia ohjelmia
asian hoitamiseksi. Näitä ohjelmia ovat ''Red Carpet'' sekä ''yum''.

== Up2date ==

[[Kuva:fedora_up2date_merkki.png|Fedora up2daten merkki]]

''Up2date'' on Red Hatin ja Fedoran tarjoama perustyökalu ohjelmien päivittämiselle.
Se vaatii rekisteröitymisen Red Hat Network:iin (rhn) ja toimii aluksi 30 päivää testivaiheessa.
Jos käyttöä jatkaa tämän jälkeen, tulee tunnus aktivoida vastaamalla pieneen kyselyyn.

Rekisteröinti onnistuu hatun alta '''System tools''' - '''Red Hat Network'''
-valinnalla.

Edellisen kappaleen alussa oleva kuvake tehtäväpalkissa kertoo päivitystarpeen. Sitä klikkaamalla
näkee, mitä päivitettävää löytyy:

[[Kuva:Fedora_up2date_paivitettavaa.png|Fedora up2date, päivitettävää on]]

Launch-nappulalla pääsee päivittämään. Sen jälkeen kysytään pääkäyttäjän salasanaa ja päästään
askel askeleelta etenevään päivitykseen:

[[Kuva:Fedora_up2date_tervetuloa.png|Fedora up2date, tervetuloa]]

Sen jälkeen tulee kanavien varmistus:

[[Kuva:Fedora_up2date_kanavat.png|Fedora up2date, kanavat]]

Jos ei ole valittuna automaattista päivitystä, voi tässä valita paketit, jotka asennetaan.
Rasti ruutuun, mitkä asennetaan:

[[Kuva:Fedora_up2date_paketit.png|Fedora up2date, paketit]]

Sen jälkeen kysytään vielä varmistus ja sitten vai odotellaan, kun paketit valuvat
koneeseen ja asentuvat siihen.

Ja kun kaikki on kunnossa, löytyy palkista sininen merkki!

[[Kuva:Fedora_up2date_ok.png|Fedora up2date, kaikki ok]]

== Red Carpet ==

Red Carpet on Ximianin (http://www.ximian.com") toteuttama työkalu ohjelmien asentamiseen ja päivittämiseen.
Se on huomattavasti kehittyneempi työkalu kuin Red Hatin omat rpm-ohjelmat, koska se osaa
asentaa myös sellaiset paketit, joita asennettava paketti tarvitsee. Näin riippuvuusongelmat
tulevat ratkaistua kerralla.

=== Asentaminen ===

Red Hat 9.0:aan Red Carpetin asentaminen alkaa Red Hatin kahden kirjaston,
''glibc'':n ja ''glibc-common'':n päivittämisellä. Jostain syystä Red Hatin
mukana olevat versiot ovat asiaan liian vanhat.

Joka tapauksessa, nämä löytää vaikkapa osoitteesta http://rpmfind.net/
Ole tarkkana ''glibc:n'' version kanssa. Jos koneesi
kernel on i686-versio, pitää '''ehdottomasti hakea i686-versio glibc:stä!''' Common-kirjastosta
ei ole olemassa kuin i386-versio.

Kun kirjastot on haettu, ne asennetaan pääkäyttäjänä seuraavasti:

rpm -Uvh glibc-2.3.2-27.9.7.i686.rpm glibc-common-2.3.2-27.9.7.i386.rpm

Tarkasta versionumerot ennenkuin asennat! Molempien tulee olla samaa sarjaa ja
versionumerot yhtenevät!

Nyt kun käyttöjärjestelmä on päivitetty, voidaankin asentaa itse Red Carpet. Sen
löytää aiemmin sivulla olevasta Ximian-linkistä. Sieltä haetaan se versio, joka vasta omaa
käyttöjärjestelmäversiota. Esimerkiksi RH 9:ää varten tulee noutaa kaikki kolme tiedostoa,
jotka hakemistosta löytyy. Asennus menee sitten näin:

rpm -ivh red_carpet.xxx.rpm rcd.xxx.rpm rug.xxx.rpm

Esityksessä xxx:ien paikalle tulee laittaa oikea versionumero. Kannattaa muistaa
tabulaattorinäppäimen käyttö noita nimiä täydennettäessä, niin asiat menevät helpommin.

=== Kanavat, channels ===

Kun Red Carpet on asennettu, sille pitää kertoa, mitä kanavia se kuuntelee. Näiltä
kanavilta sitten voi asentaa ja päivittää ohjelmia, kun päivityksiä niille ilmaantuu. Kuvassa
on merkitty kanavat Red Hat 9 ja Ximian Evolution.

[[Kuva:Fedora_redcarpet_kanavat.gif|Red Carpet, kanavat]]

=== Ohjelmien päivittäminen ===

Kun kanavat on valittu, tarkistaa Red Carpet, onko koneeseen asennettuihin ohjelmiin tullut
päivityksiä. Samalla se kertoo päivitysten tärkeyden. Esimerkissä on ilmestynyt
uusia tärkeitä päivityksiä useampiin ohjelmiin:

[[Kuva:Fedora_redcarpet_paivitettavaa.gif|Red Carpet, päivitettävää]]

'''Update All'''-nappulalla saa päivitettyä kaikki tarjotut ohjelmat. Jos ei haluta
päivittää kuin tietyt ohjelmat, valitaan rivit ja painetaan '''Mark for Installation'''
näppäintä ja sen jälkeen '''Run Now'''. Näin vain halutut päivitykset tehdään.

Lopuksi kun kaikki on päivitetty, ohjelma ilmoitaa kaiken olevan nyt päivitetyn:

[[Kuva:Fedora_redcarpet_uptodate.gif|Red Carpet, päivitys on valmis]]

=== Ohjelmien asentaminen Red Carpetilla ===

Valinnalla '''Available Software''' voi etsiä kanavilta saatavilla olevia ohjelmia.
Valikosta '''Install from File''' voi asentaa ohjelmia myös käyttöjärjestelmärompuilta:

[[Kuva:Fedora_redcarpet_ohjelman asennus.gif|Red Carpet, ohjelman asennus tiedostosta tai rompulta]]

Luonnollisesti tätä kautta voi asentaa minkä tahansa paikalliselle levylle talletetun
rpm-paketin.

Jos ohjelman asentaminen vaatii muiden pakettien asentamista, Red Carpet ilmoittaa asiasta
näin:

[[Kuva:Fedora_redcarpet_riippuvuus.gif|Red Carpet, riippuvuusongelma]]

Continue-nappulan painallus asentaa kaikki tarvittavat paketit eikä tarvitse miettiä
sen enempää, mitä kaikkea oikein tarvitaan, jotta ohjelma toimisi.

'''HUOM!''' Jos asennat paketteja paikalliselta levyltä, ''Red Carpet'' hakee kuitenkin
riippuvat paketit verkosta. Näin ollen ilman nettiyhteyttä ohjelma ei toimi kunnolla
paikallisia ohjelmia asennettaessa!

=== Asetukset ===

'''Edit - Preferences'''-valikon kautta voidaan säätää ohjelman asetuksia:

[[Kuva:Fedora_redcarpet_asetukset.gif|Red Carpetin asetukset]]

Siellä voi esimerkiksi määrittää proxy-asetukset, jos on yhteydessä välttämätöntä käyttää
proxya.

== YUM - pakettienhallintatyökalu ==

Fedora Core -distribuution mukana tulee pakettienhallintatyökalu
nimeltään ''yum''. ''Yum'' on tekstipohjainen työkalu,
jolla on helppo asentaa uusia paketteja sekä päivittää vanhoja. Yum
hallitsee myös riippuvuudet, joten se on hallintatyökaluna huomattavasti
parempi kuin Red Hatin ja Fedoran oma ''rpm''-ohjelma, joka ei
hallitse ollenkaan riippuvuuksien käsittelyä.

Yum:n löytää osoitteesta http://linux.duke.edu/projects/yum/ ja se on
mahdollista asentaa muihinkin rpm-pohjaisiin
distribuutioihin.

=== Käyttö ===

Yum:n käyttö on varsin yksinkertaista. Kirjaudutaan sisään pääkäyttäjänä
(tai komennetaan ''su -'' päätteellä). Yum:n komentojen muoto on
yksinkertaisesti:

yum [optiot] [komennot] [paketit]

Optiot ovat yum:n toimintaa säätäviä operaatioita, esim:

'''-h''' lyhyt yum:n käyttöohje
'''-y''' vastaa Yes kaikkiin kysymyksiin. Kysymyksiä tulee mm. varmistuksena,halutaanko varmasti asentaa uusi paketti.

Komennoilla taas kerrotaan, mitä halutaan tehdä. Esimerkiksi:

'''install''' asentaa halutun paketin järjestelmään. Tarkistaa samalla riippuvuudet ja asentaa paketit, joita tarvitaan.
'''check-updates''' tarkastaa, onko jo koneeseen asennettuihin paketeihin saatavilla uudempaa versiota.
'''update''' päivittää paketit
'''list''' näyttää saatavilla olevat paketit (asennusta varten)
'''list installed''' näyttää asennetut paketit
'''remove''' poistaa asennettuja paketteja
'''groupupdate''' päivittää tietyn pakettiryhmän
'''grouplist''' listaa saatavilla olevat pakettiryhmät
'''groupremove''' poistaa tietyn pakettiryhmän

Yum asentaa paketit verkosta. Asennuspaikka löytyy tiedostosta ''/etc/yum.conf''.
Sinne voi myös lisätä paikkoja, jos oletusarvoiset paikat eivät riitä. Kun yum:ia käytetään
ensimmäisen kerran, se hakee itselleen listadataa paketeista. Sen takia ensimmäinen käyttökerta
saattaa joskus kestää varsin pitkään.

=== Esimerkkejä ===

yum check-updates

Tuottaa tämänkaltaisen listan:

<pre>
Name Arch Version Repo
--------------------------------------------------------------------------------
bash i386 2.05b-34 updates-released
binutils i386 2.14.90.0.6-4 updates-released
dia i386 1:0.92.2-1 updates-released
ethereal i386 0.10.0a-0.1 updates-released
gaim i386 1:0.74-5 updates-released
glibc i686 2.3.2-101.4 updates-released
glibc-common i386 2.3.2-101.4 updates-released
glibc-devel i386 2.3.2-101.4 updates-released
...
</pre>

Ja koska tilanne on, että on päivityksiä saatavilla, komennetaan

yum update

jolloin yum noutaa kaikki päivitettävät paketit ja näin käyttöjärjestelmä on jälleen ajantasalla.

yum install abiword

Asentaa ohjelman nimeltään ''abiword'' koneeseen. Ohjelma pitää luonnollisesti olla olemassa.
Kannattaa ''yum list''-komennolla tarkistaa tarkka muoto, jos on epäselvyyttä. Versionumeroita
ei yleensä tarvitse erikseen kirjoittaa näkyviin.

=== Proxy käytössä ===
Yum osaa toimia myös proxyn läpi. Tosin proxyasetuksia ei määritetä tiedostossa
''/etc/yum.conf''. Proxy määritellään komentotulkin muuttujan avulla seuraavasti:

<nowiki>http_proxy=http://proxy.example.com:8080/</nowiki>
export http_proxy

Tuohon proxy.example.com:n kohdalle oma proxyn osoite. 8080 on usein proxylle varattu portti,
mutta sekin kannattaa tarkistaa.

Pysyväksi tämän saa lisäämällä yo rivit esim. ''.bashrc''-tiedoston loppuun, jolloin
ne ovat automaattisesti käynnissä aina kun niitä tarvitaan.

== Tekijänoikeusmaininta ==

Tämä artikkelin on alunperin kirjoittanut [http://cs.stadia.fi/~kuivanen/ Ilpo Kuivanen], ja se on
siirretty Linux.fi -wikiin kirjoittajan luvalla.

[[Luokka:Järjestelmä]]
[[Luokka:Tietoturva]]
[[Luokka:Jakelut]]

OpenSUSEn palomuuriohje

2005-11-22T23:14:15Z

Ajt:

OpenSUSEn palomuuriohje

2005-11-22T22:44:04Z

Ajt:

OpenSUSEn palomuuriohje

2005-11-22T22:43:03Z

Ajt:

Tiedosto:Suse palomuuri vaihe4.png

2005-11-22T22:38:30Z

Ajt:

Tiedosto:Suse palomuuri vaihe3.png

2005-11-22T22:38:00Z

Ajt:

Tiedosto:Suse palomuuri vaihe2.png

2005-11-22T22:37:39Z

Ajt:

Tiedosto:Suse palomuuri vaihe1.png

2005-11-22T22:37:15Z

Ajt:

Tiedosto:Suse palomuuri 0.png

2005-11-22T22:36:48Z

Ajt:

Palomuuri

2005-11-22T22:18:08Z

Ajt:

= Mikä on palomuuri? =
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai
laitetta joka estää luvattoman tietoliikenteen ulkopuolelta
tietokoneelle. Peruskäyttöön riittää yksinkertainen asetus, joka estää
kaikki ulkoapäin tulevat yhteydenotot.

Linux-ytimessä on palomuurin tarvitsema toiminnallisuus valmiina.
Tarvitaan vain käyttöliittymä jolla palomuurin asetukset
tehdään ja palomuuri käynnistetään ja sammutetaan.

= Toimintaperiaate =
Linuxissa kaikki verkkoliikenne kulkee [http://www.netfilter.org/ netfilter]-nimisen rajapinnan kautta.
Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.

Suodattamisen säännöt asetetaan '''iptables'''-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.

Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''.

Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän, jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.

= Jakelukohtaiset ohjeet =

Seuraavassa on ohjeet yksinkertaisen palomuurin käyttöönottoon eri jakeluissa:

* [[SUSEn palomuuriohje|SUSE Linux]]

= Muita valmiita ratkaisuja =

Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia, kuten [http://www.simonzone.com/software/guarddog/ Guarddog], [http://www.fs-security.com firestarter] ja [http://www.fwbuilder.org fwbuilder]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [http://firehol.sf.net Firehol] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [http://www.shorewall.net/] shorewall palomuuria jolla iptablejen ohjailu on todella kätevää, shorewall:ssa on oletuksena mukana saapuvan ja lähtevän liikenteen "torppaaminen".

Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a.]

On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall]

Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi [http://www.astaro.de/ Astaro].

= Erilliset palomuurilaitteet =
Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin [http://www.solutions.fi/page_view?t=1&l=1&s=12&p=12 Sec] tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko.

Secwall on modulaarinen tilallinen muuri, jolla voidaan joustavasti säännöstön avulla määrittää mitä liikennettä sallitaan työasemille sekä työasemilta internetiin. Laitteesta löytyy myös VPN-keskitin, jonka avulla voidaan rakentaa turvallinen etäkäyttöympäristö.

Smoothwall distribuution tekijät myyvät omaa tuotettaan erillisenä laitteena nimeltä [http://www.itworks.com/products/smoothwall-rackmount.htm Smoothwall Rack-Mount Network Appliance].
Smoothwallia voidaan laajentaa erillisillä softalisäosilla, jolloin siihen saadaan lisää toimintoja.

Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa.

[http://www.linksys.com Linksysin] WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. [http://openwrt.org/ OpenWRT-projekti] on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin.

== VPN/IPSEC-laitteet ==

Ciscon halpamerkki, Linksys valmistaa Linux-pohjaisia ratkaisuja palomuureiksi. Kotireittittimeksi nämä laitteet ovat edullisia ja erittäin hyviä.

Linksys-tuotevalikoima sisältää myös VPN-palvelimia kohtuulliseen hintaan.
* Linksys BEFVP41 on 70 vpn tunneloinnin mahdollistava laitteisto<br>
* Linksys BEFSX41 on 2 vpn tunneloinnin mahdollistava laitteisto<br>
* Ohje [http://linksys.custhelp.com/cgi-bin/linksys.cfg/php/enduser/std_adp.php?p_faqid=247&p_created=1084207361&p_sid=PRSpydHh&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9NDImcF9wcm9kcz0wJnBfY2F0cz0mcF9wdj0mcF9jdj0mcF9zZWFyY2hfdHlwZT1hbnN3ZXJzLnNlYXJjaF9ubCZwX3NjZl9sYW5nPTEmcF9wYWdlPTEmcF9zZWFyY2hfdGV4dD12cG4gdHVubmVs&p_li=&p_topview=1 vpn-tunnelin rakentamiseen]

Näiden laitteiden etuna on ipsec/freeswan ilman lisenssikustannuksia.

Myös [http://www.snapgear.org Snapgear] tarjoaa edullista Linux-rautaa palomuurikäyttöön.

== Ulkoiset linkit ==

[http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html NAT Howto (SNAT tai MASQUERADE)]

[[Luokka:Verkko]][[Luokka:Järjestelmä]][[Luokka:Tietoturva]]

SUSEn päivittäminen

2005-11-22T21:59:06Z

Ajt:

== Huomautus ==

Tämä sivu on kirjoitettu SUSE Linuxin versioiden 8.1-9.0 pohjalta ja on siten osittain vanhentunut.
Jotakuta uudemman version käyttäjää pyydetään muokkaamaan sisältö ajan tasalle ja poistamaan tämä huomautus.

== Johdanto ==

SuSE Linuxin työkalu sovellusten asennukseen ja moneen erilaiseen
säätöön on YaST (Yet another setup tool). Tämä työkalu on
käytettävissä yhtälaisesti niin graafisena kuin tekstipohjaisena
komentoriviversionakin. Sen avulla voidaan helposti myös päivittää
järjestelmä ajantasalle, etenkin turvapaikkojen suhteen.

On hyvä ymmärtää, että kyseessä ei ole kuitenkaan järjestelmäpäivitys
versiosta toiseen, vaan ainoastaan vaan ainoastaan kyseisen version
korjauspaikkaaminen paremman tietoturvan ja toimivuuden takaamiseksi.

Päivittäminen on helppoa ja sen voi myös automatisoida.
Automatisoiminen on suositeltavaa, mikäli päivitettävään koneeseen ei
ole tehty tietoisia tai hurjia erikoisviritelmiä, kuten esimerkiksi
oma lähdekoodista käännetty ydin Win4Lin (tm) emulaattorille. Tähänkin
on elegantti ratkaisu, josta myöhemmin. SuSE Linuxin
korjauspäivittäminen on peruskoneessa on niin helppoa, että on vaikea
keksiä syytä olla sitä tekemättä.

== Automaattisesti vai ainoastaan haluttaessa tehty päivitys? ==

Tämä on makuasia. Mikäli olet tavallinen käyttäjä tai epävarma
haluatko automaattisen päivityksen vai et, valitse automaattinen. Sen
sijaan muista mainita tästä automaatista sille säätäjäkaverillesi,
joka innokkaana räplää välillä järjestelmääsi uuteen uskoon, tai
ainakin varmista, ettei expertti poistu ennenkuin on todettu koneen
toimivuus myös uudelleenkäynnistyksen jälkeen.

Päivitys voidaan tehdä myös omaan tahtiin, siis silloin kun muistaa
tai haluaa. Tällä menetelmällä voidaan myös valita ne paketit, jotka
halutaan päivittää ja joita ei.

Päivitys ei vaadi koneen uudelleen käynnistystä, paitsi
erikoistapuksissa, jossa ydin päivitetään (kernel). Myös graafiseen
käyttöliittymään liittyvät päivitykset vaativat usein uudelleen
kirjautumisen, muttei koneen uudelleen käynnistämistä.

== Pikaohje malttamattomalle käyttäjälle ==

Käynnistä '''YaST''' joko KDE:n alta ''0hjauskeskuksesta
(Control Centre)'' tai komentokehoitteesta ja valitse sitten
''Software''. Sitten valitse (molemmissa tapauksissa ) ''Online update''.
Hetken kuluttua päivitysruutu on auennut eteesi.

(Voit nyt käydä kytkemässä päälle automaattipäivityksen valitsemalla
''Configure Fully Automatic Update'' ja ruksimalla seuraavasta
ruudusta ''Enable Automatic Update'' sekä asettamalla
päivityshetken, tunnin ja minuutin - lopuksi hyväksy asetukset
''OK''-painikkeella.)

Poista ruksi kohdasta ''Manually Select Patches'' mikäli et halua
tarkastella etukäteen asennettavia päivityksiä. ''Installation Source''
kohta voidaan useinmiten jättää oletukseksi, mutta mikäli
yhteys asennuslähteeseen jostain syystä on kovin hidas tai se on
ruuhkautunut hetkellisesti, voit kokeilla muita lähteitä. Lopuksi
napsauta ''Next''.

Jos säilytit ruksin ''Manually Select Patches'' kohdassa, saat nyt
listan päivitettävistä paketeista. Poista ruksit niistä paketeista,
joita et halua päivittää ja napsauta ''Next''.

Päivityksen jälkeen kannattaa ruksia ''Remove Source Packages after Update''
ennen kuin valitsee ''Close''. Järjestelmäsi on nyt päivitetty.

== Päivityksen aloittaminen käyttäen graafista käyttöliittymää ==

'''YaST''' käynnistyy graafisen käyttöliittymän alaisuudesta KDE
valikon kautta. Valitse Ohjauskeskus (Contol centre) ja sieltä
''YaST''. Järjestelmä pyytää pääkäyttäjän (root) salasanaa, joka on
annettava ennenkuin YaSTiin pääsee käsiksi.

[[Kuva:suse_controlcentre.png|SUSE YaST Control Centre]]

Napsautta ''Online Update'' kuvaketta. Se käynnistää uuden ikkunan.

== Päivityksen aloittaminen käyttäen komentokehoitetta ==

Päivitys onnistuu myös Konsolesta tai suoraan konsolista. Anna
komennoksi ''root''-käyttäjänä '''yast''', valitse ''Software'', sen
alta ''Online update''.

== Asennuslähde ==

Valitsit sitten graafisen tai komentorivipohjaisen vaihtoehton
päivitykseen, loppu onkin sama molemmille.

Kuva on graafisesta, komentorivipohjainen on käytännössä
samanlainen.

[[Kuva:suse_onlineupdate.png|Graafinen päivitystyökalu]]

Voit valita asennuslähteen (''Installation source'') lukuisista eri
vaihtoehdoista. SuSEn oma on ruuhkainen ja samoin SuNET mutta ainakin
kirjoitushetkellä (14.2.2004) LEO (Germany: LEO Munich) toimii
moitteettomasti. Voit myös jättää asennuslähteen vaihtamatta. Jos yksi
on kovin hidas tai hetkellisesti ruuhkaantunut, joku toinen aina
toimii.

== Haluan automaattipäivityksen ==

Mikäli haluat, että järjestelmä
automaattisesti päivittää itse itsensä kerran
vuorokaudessa, ota ensin ruksi pois kohdasta ''Manually Select Patches''
ja napsauta sitten ''Configure Fully Automatic Update...''
painiketta. Se avaa uuden pikkulomakkeen edellisen päälle.

[[Kuva:suse_automatic.png|Automaattipäivitys]]

Ruksi ''Enable Automatic Update'' päälle ja aseta kellonaika
(tunnit ja minuutit) jolloin haluat päivityksen tapahtuvan. Mikäli
koneesi on sammuksissa päivityshetkellä, päivitys suoritetaan
seuraavan käynnistyksen yhteydessä. Hyväksy lopulta automaattinen
päivitys napsauttamalla ''OK''.

'''Huom!''' Automaattipäivitys vaatii esteettömän
pääsyn Internetiin päivityshetkellä eli
analoginen modeemilinja ei ilman erillistä virittämistä
sovellu tähän tarkoitukseen.

== Päivityksen lopettaminen ==

Asetit automaattipäivityksen päälle tai et,
päivityksen säätäminen jatkuu samalla tavalla.

Seuraavaksi suorita päivitys loppuun napsauttamalla
päivityslomakkeelta Next ja odota hetkinen.

Mikäli jätit ruksin kohtaan ''Manually Select Patches'',
saat listan asennettavista paikoista.

[[Kuva:suse_selection.png|Paikkolista]]

Vasemmalla olevassa listassa on ruksittuna ne kohdat, jotka
suositellaan päivitettäväksi. Poista ruksi niiltä riveiltä, joita et
jostain syystä halua päivitettävän.

Jatka päivitystä napsauttamalla Accept-painiketta. Tämän jälkeen
valitut paketit noudetaan ja asennetaan. Alla olevassa kuvassa
päivityksen jälkeinen ruutu, jossa yhtään päivitettävää pakettia ei
ollut tai ei käyttäjän pyynnöstä asennettu.

[[Kuva:suse_patchdl.png|Päivityksiä ei asennettu]]

Säästät levytilaa, kun nyt ruksit kohdan ''Remove Source Packages after Update'',
jotta noudetut päivityspaketit poistetaan tilaa viemästä.

Lopeta päivitys napsauttamalla ''Close''.

Seuraava päivitys tapahtuu automaattisesti, mikäli
asetit automaattipäivityksen päälle.

== Kun YaST ei riitä ==

Mikäli mielestäsi järjestelmää on mukava nikkaroida uuteen uskoon ja
asennella tuoreinta ja uusinta kikkakivaa, YaSTin tarjoama
päivitystoiminto voi aiheuttaa ikäviä yllätyksiä. Esimerkiksi
päivittämällä ensin käsin graafinen käyttöliittymä KDE tuoreimpaan
mahdolliseen, YaST voi tarjota turvapaikkoja vanhempaan versioon, joka
sitten helposti rikkoo oman asennuksen.

Onneksi on olemassa [http://fou4s.gaugusch.at/ fou4s] (Fast online
update for SuSE), jolla ikäviltä yllätyksiltä voidaan välttyä. Se on
komentorivityökalu, joka on erinomainen väline vaativalle käyttäjälle,
kun halutaan rajata mitä päivitetään ja mitä ei. Sen käyttäminen ei
ole komentoriviin tottumattomalle helpoin mahdollinen vaihtoehto,
mutta silloin ei myöskään fou4s:n käyttäminen liene tarpeellista.

En tässä aio käsitellä fou4s käyttöä sen enempää,
koska kaikki tarpeellinen tieto löytyy sovelluksen kotisivuilta.
Pari pikkuvinkkiä kuitekin.

* '''fou4s -i --interactive''' on hyvä komento, ja valitsemalla halutuille paketeille ''Skip forever'', ei niitä enää jatkossa päivitetä fou4s:n toimesta.
* fou4s näyttää päivityksen jälkeen listan palveluista, jotka pitää käynnistää uudelleen, jotta päivityksistä olisi jotain hyötyä.

== Tekijänoikeusmaininta ==

Tämä artikkelin on alunperin kirjoittanut Jyry Kuukkanen, ja se on
siirretty Linux.fi -wikiin kirjoittajan luvalla.

[[Luokka:Järjestelmä]]
[[Luokka:Tietoturva]]
[[Luokka:Jakelut]]

SUSEn päivittäminen

2005-11-22T21:57:59Z

Ajt:

Tiedosto:Suse patchdl.png

2005-11-22T21:50:43Z

Ajt:

Tiedosto:Suse selection.png

2005-11-22T21:49:02Z

Ajt:

Tiedosto:Suse automatic.png

2005-11-22T21:47:30Z

Ajt:

Tiedosto:Suse onlineupdate.png

2005-11-22T21:46:31Z

Ajt:

Tiedosto:Suse controlcentre.png

2005-11-22T21:44:49Z

Ajt:

Käyttäjä:Ajt

2005-11-22T17:05:33Z

Ajt:

Nimeni on Arto Teräs ja olen pitkäaikainen aktiivi Suomen Linux-käyttäjien yhdistyksessä [http://www.flug.fi FLUGissa], vuonna 2005 puheenjohtaja. Lisätietoja muista harrastuksistani sekä yhteystiedot löytyvät kotisivuiltani osoitteesta http://ajt.iki.fi.

--[[Käyttäjä:Ajt|Ajt]] 22. marraskuuta 2005 kello 19:05:33 (EET)

Tietoturva

2005-11-22T16:23:06Z

Ajt: Tietoturvaopas-linkki poistettu, koska se ei enää toimi. Oppaan sisältöä ollaan siirtämässä Wikiin.

== Rant ==
Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta [http://www.microsoft.com Windows-roskaa.]

Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

== Käyttöjärjestelmän päivittäminen ==

Kaikista käyttöjärjestelmistä löytyy ajoittain ohjelmointivirheitä,
jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat
päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla.
Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan
jakelupaketti on käytössä.

Alla on annettu ohjeet yleisimpien jakeluiden päivittämiseen.
Mikäli käytössäsi niin vanha jakelu että valmistajalta ei enää saa
siihen tietoturvapäivityksiä lainkaan, on koko järjestelmä syytä
päivittää uudempaan versioon.

* [[Debianin päivittäminen|Debian GNU/Linux]]
* [[Fedoran ja Red Hatin päivittäminen|Fedora Linux]]
* [[Gentoon päivittäminen|Gentoo Linux]]
* IT Linux, Lineox ja Spectra Linux: Kts. [http://www.raimokoski.com http://www.raimokoski.com]
* [[Mandraken päivittäminen|Mandrake Linux]]
* [[Fedoran ja Red Hatin päivittäminen|Red Hat Linux]]
* SOT Linux: Päivityksiä ei enää julkaista, käyttäjiä suositellaan vaihtamaan johonkin toiseen jakeluun.
* [[SUSEn päivittäminen|SUSE Linux]]
* [[Ubuntun päivittäminen|Ubuntu Linux]]

== Käyttöoikeushallinta ==
Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.

Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville: Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä.
Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.

Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti.

Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.

Lisäksi kiintolevyille voi tehdä osioita joille pääsevät ainoastaan tietyt käyttäjät.

== SELinux ja GRSecurity ==

[http://www.nsa.gov/selinux/ SELinux] on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin ja voimme olettaa että se täyttää siis erittäin korkean turvaluokituksen.

Säädettävyyden mukana tulee vaikeus; Kuka jaksaa säätää kaiken pilkkua viilaten. Tämä on SELinuxin suurin ongelma, sen käyttöönotto on erittäin työläs.

SELinux on 2.6 sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu siinä ohessa. 2.4 sarjalaisiin tämä on saatavissa erillaisina patch-settinä ("korjaussarjoina").

[http://www.grsecurity.net/ GRSecurity] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturva-tason säädöt.

Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla. On hyvä että on olemassa vaihtoehtoja.

== TCP-wrapper ==

TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.

Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostossa.

Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.

/etc/hosts.deny:
SSHD: ALL

/etc/hosts.allow
SSHD: .fi

== Palomuuri ==

Useimmiten verkkoon liitettävät laitteet on syytä suojata palomuurilla. Linux-palomuureista tietoutta löytyy [[Palomuurit]]-artikkelista.

== Virustorjunta ==

Linuxille on tehty todella vähän viruksia, mutta esim. Windows-järjestelmien sähköpostia liikuttavissa palvelimissa tai tiedostosäilöissä voi olla tarpeen käyttää virustorjuntaa. Aiheesta lisää sivulla [[Virustorjunta]].

[[Luokka:Tietoturva]]

Fedora Linux/Päivittäminen

2005-11-22T16:17:28Z

Ajt:

Sivu on väliaikaisesti poistettu jotta tekijänoikeusasiat saadaan varmistettua. Kts. lisätiedot [[Keskustelu_k%C3%A4ytt%C3%A4j%C3%A4st%C3%A4:Ajt|täältä]].

Keskustelu käyttäjästä:Ajt

2005-11-22T16:12:12Z

Ajt:

Onhan sinulla lupa tietoturvaoppaan kirjoittajalta tuoda nuo jutut wikiin ([[Linux.fi:Lisenssi|CC-lisenssin alle]])? --[[Käyttäjä:Maakuth|Maakuth]] 22. marraskuuta 2005 kello 17:00:45 (EET)

Debianin päivittämisen osalta ja oppaan yleistekstin osalta kyllä, koska olen itse kirjoittanut sen. Muidenkin kirjoittajien uskon suhtautuvan asiaan positiivisesti, koska he ovat tehneet ohjeet kontribuutiona FLUGille - olin itse oppaan kokoajana. Tekijänoikeudet ovat kuitenkin heillä itsellään. Ilpo Kuivaselle (joka on kirjoittanut Fedora / RedHat -ohjeet) lähetin mailia saman tien eilen illalla jossa kysyn asiaa, en ole saanut vielä vastausta. Myönnän (ja sanoin mailissakin) että meni väärin päin eli olisi pitänyt kysyä ensin ja tehdä sitten, mutta kun olin ryhtynyt puuhaan ja nähnyt vaivaa muokkauksessa niin en malttanut olla tallentamatta. Syy on siis kokonaan minun - en tiedä miksi tuli tehtyä näin koska yleensä olen tarkka tekijänoikeusasioissa, ja nyt asiaa mietittyäni poistin tilapäisesti sivun sisällön ja laitoin tilalle maininnan tekijänoikeusasioiden selvityksestä. Odotan siis Ilpon vastausta (en saanut myöskään puhelimella kiinni) ja jos se on myönteinen niin palautan sivun historiasta. Jos taas kielteinen niin ylläpito pystynee poistamaan sen kokonaan. Muiden tuottaman materiaalin osalta kysyn ensin. --[[Käyttäjä:Ajt|Ajt]] 22. marraskuuta 2005 kello 18:12:12 (EET)

Fedora Linux/Päivittäminen

2005-11-22T16:01:40Z

Ajt:

Sivu on väliaikaisesti poistettu jotta tekijänoikeusasiat saadaan varmistettua.

Keskustelu:Debianin päivittäminen

2005-11-22T15:42:42Z

Ajt:

Otin lopusta Ajt:n allekirjoituksen pois, koska se ei minusta sovi wikiin. Alkuperäinen kirjoittaja löytyy kuitenkin historia-osiosta. --[[Käyttäjä:Heikki|Heikki]] 22. marraskuuta 2005 kello 14:02:02 (EET)

OK, käy minulle jos se on käytäntönä täällä. Viimeinen muutospäivämäärä on erityisesti tietoturvaan liittyvillä sivuilla tärkeä, mutta se löytyy jo alalaidasta muutenkin. Yleiskommenttina voisin vielä lisätä, että aion käydä läpi myös sivuston muun rakenteen ja katsoa miten nämä asiat integroituvat sinne parhaiten - mm. paketinhallinnasta on tietoa myös jakeluiden yhteydessä. Toistaalta päivittäminen on tärkeää tietoturvan kannalta, joten siitä on hyvä olla selkeät ohjeet. Linux-tietoturvasta olisi tarkoitus tulla infoa myös tietoturvaopas.fi:hin. --[[Käyttäjä:Ajt|Ajt]] 22. marraskuuta 2005 kello 17:42:42 (EET)

Keskustelu käyttäjästä:Ajt

2005-11-22T15:41:39Z

Ajt:

Onhan sinulla lupa tietoturvaoppaan kirjoittajalta tuoda nuo jutut wikiin ([[Linux.fi:Lisenssi|CC-lisenssin alle]])? --[[Käyttäjä:Maakuth|Maakuth]] 22. marraskuuta 2005 kello 17:00:45 (EET)

Debianin päivittämisen osalta ja oppaan yleistekstin osalta kyllä, koska olen itse kirjoittanut sen. Muidenkin kirjoittajien uskon suhtautuvan asiaan positiivisesti, koska he ovat tehneet ohjeet kontribuutiona FLUGille. Tekijänoikeudet ovat kuitenkin heillä itsellään. Ilpo Kuivaselle (joka on kirjoittanut Fedora / RedHat -ohjeet) lähetin mailia saman tien eilen illalla jossa kysyn asiaa, en ole saanut vielä vastausta. Myönnän (ja sanoin mailissakin) että meni väärin päin eli olisi pitänyt kysyä ensin, mutta kun olin ryhtynyt puuhaan ja nähnyt vaivaa muokkauksessa niin en malttanut olla tallentamatta. Sivua ei taida Wikissä helposti pystyä piilottamaankaan? Jos Ilpo suhtautuu kielteisesti niin poistan sivun, syy on minun.
Muiden osalta kysyn ensin. --[[Käyttäjä:Ajt|Ajt]] 22. marraskuuta 2005 kello 17:41:39 (EET)

Debianin päivittäminen

2005-11-22T00:44:33Z

Ajt:

'''Debian GNU/Linux -järjestelmän''' ohjelmien pitäminen ajan tasalla
onnistuu helpoimmin komentoriviltä. Tiedostossa
'''/etc/apt/sources.list''' kerrotaan, mistä osoitteista
järjestelmään haetaan päivityksiä ja uusia ohjelmia. Rivejä on yleensä
useampia ja jotkut niistä voivat viitata myös cd-levyihin. Palvelin
'''security.debian.org''' sisältää tietoturvapäivitykset ja on siksi
kaikkein tärkein. Tiedoston katsominen onnistuu tavallisena
käyttäjänä, mutta muutosten tekeminen ja päivitysten asentaminen on
mahdollista vain pääkäyttäjänä (root).

Avaa tiedosto '''/etc/apt/sources.list''' haluamallasi
tekstieditorilla ja tarkista että se sisältää rivin

<nowiki>deb http://security.debian.org stable/updates main contrib non-free</nowiki>

Kaikkien asennettujen ohjelmien päivittäminen uusimpaan versioon
onnistuu avaamalla terminaali-ikkuna ja antamalla seuraavat komennot:

'''su -''' (vaihto pääkäyttäjäksi, anna pääkäyttäjän salasana kysyttäessä)
'''apt-get update''' (hakee tiedot saatavilla olevista uusista päivityksistä)
'''apt-get dist-upgrade''' (asentaa päivitykset)

Tällä hetkellä tietoturvapäivityksiä saa Debian GNU/Linuxin
6. kesäkuuta 2005 julkistettuun versioon 3.1, lempinimeltään sarge ja
edelliseen vakaaseen versioon 3.0, lempinimeltään woody. Päivitys versioon 3.1 on suositeltavaa.
Luonnollisesti myös jatkuvasti päivittyvään kehitysversioon (unstable), lempinimeltään sid, julkaistaan tietoturvakorjauksia.

Lisätietoja Debianiin saatavilla olevista tietoturvapäivityksistä
löytyy osoitteesta [http://www.debian.org/security/ http://www.debian.org/security/].
Kannattaa myös tilata postituslista [http://lists.debian.org/debian-security-announce/ debian-security-announce], jolle lähetetään ilmoitukset saatavilla olevista päivityksistä.

--[[Käyttäjä:Ajt|Ajt]] 22. marraskuuta 2005 kello 02:44:33 (EET)

Debianin päivittäminen

2005-11-22T00:42:29Z

Ajt:

Debian GNU/Linux -järjestelmän ohjelmien pitäminen ajan tasalla
onnistuu helpoimmin komentoriviltä. Tiedostossa
'''/etc/apt/sources.list''' kerrotaan, mistä osoitteista
järjestelmään haetaan päivityksiä ja uusia ohjelmia. Rivejä on yleensä
useampia ja jotkut niistä voivat viitata myös cd-levyihin. Palvelin
'''security.debian.org''' sisältää tietoturvapäivitykset ja on siksi
kaikkein tärkein. Tiedoston katsominen onnistuu tavallisena
käyttäjänä, mutta muutosten tekeminen ja päivitysten asentaminen on
mahdollista vain pääkäyttäjänä (root).

Avaa tiedosto '''/etc/apt/sources.list''' haluamallasi
tekstieditorilla ja tarkista että se sisältää rivin

<nowiki>deb http://security.debian.org stable/updates main contrib non-free</nowiki>

Kaikkien asennettujen ohjelmien päivittäminen uusimpaan versioon
onnistuu avaamalla terminaali-ikkuna ja antamalla seuraavat komennot:

'''su -''' (vaihto pääkäyttäjäksi, anna pääkäyttäjän salasana kysyttäessä)
'''apt-get update''' (hakee tiedot saatavilla olevista uusista päivityksistä)
'''apt-get dist-upgrade''' (asentaa päivitykset)

Tällä hetkellä tietoturvapäivityksiä saa Debian GNU/Linuxin
6. kesäkuuta 2005 julkistettuun versioon 3.1, lempinimeltään sarge ja
edelliseen vakaaseen versioon 3.0, lempinimeltään woody. Päivitys versioon 3.1 on suositeltavaa.
Luonnollisesti myös jatkuvasti päivittyvään kehitysversioon (unstable), lempinimeltään sid, julkaistaan tietoturvakorjauksia.

Lisätietoja Debianiin saatavilla olevista tietoturvapäivityksistä
löytyy osoitteesta [http://www.debian.org/security/ http://www.debian.org/security/].
Kannattaa myös tilata postituslista [http://lists.debian.org/debian-security-announce/ debian-security-announce], jolle lähetetään ilmoitukset saatavilla olevista päivityksistä.

--[[Käyttäjä:Ajt|AJT]] 22. marraskuuta 2005 kello 02:41:25 (EET)

Debianin päivittäminen

2005-11-22T00:41:25Z

Ajt:

Debian GNU/Linux -järjestelmän ohjelmien pitäminen ajan tasalla
onnistuu helpoimmin komentoriviltä. Tiedostossa
'''/etc/apt/sources.list''' kerrotaan, mistä osoitteista
järjestelmään haetaan päivityksiä ja uusia ohjelmia. Rivejä on yleensä
useampia ja jotkut niistä voivat viitata myös cd-levyihin. Palvelin
'''security.debian.org''' sisältää tietoturvapäivitykset ja on siksi
kaikkein tärkein. Tiedoston katsominen onnistuu tavallisena
käyttäjänä, mutta muutosten tekeminen ja päivitysten asentaminen on
mahdollista vain pääkäyttäjänä (root).

Avaa tiedosto '''/etc/apt/sources.list''' haluamallasi
tekstieditorilla ja tarkista että se sisältää rivin

<nowiki>deb http://security.debian.org stable/updates main contrib non-free</nowiki>

Kaikkien asennettujen ohjelmien päivittäminen uusimpaan versioon
onnistuu avaamalla terminaali-ikkuna ja antamalla seuraavat komennot:

'''su -''' (vaihto pääkäyttäjäksi, anna pääkäyttäjän salasana kysyttäessä)
'''apt-get update''' (hakee tiedot saatavilla olevista uusista päivityksistä)
'''apt-get dist-upgrade''' (asentaa päivitykset)

Tällä hetkellä tietoturvapäivityksiä saa Debian GNU/Linuxin
6. kesäkuuta 2005 julkistettuun versioon 3.1, lempinimeltään sarge ja
edelliseen vakaaseen versioon 3.0, lempinimeltä woody. Päivitys versioon 3.1 on suositeltavaa.
Luonnollisesti myös jatkuvasti päivittyvään kehitysversioon (unstable), lempinimeltään sid, julkaistaan tietoturvakorjauksia.

Lisätietoja Debianiin saatavilla olevista tietoturvapäivityksistä
löytyy osoitteesta [http://www.debian.org/security/ http://www.debian.org/security/].
Kannattaa myös tilata postituslista [http://lists.debian.org/debian-security-announce/ debian-security-announce], jolle lähetetään ilmoitukset saatavilla olevista päivityksistä.

--[[Käyttäjä:Ajt|AJT]] 22. marraskuuta 2005 kello 02:41:25 (EET)

Gentoon päivittäminen

2005-11-22T00:39:22Z

Ajt:

Tulossa pian, lähteenä FLUGin tietoturvaopas (AJT).

SUSEn päivittäminen

2005-11-22T00:36:51Z

Ajt:

Tulossa pian, lähteenä FLUGin tietoturvaopas. (AJT)

SUSEn päivittäminen

2005-11-22T00:36:39Z

Ajt:

Tulossa pian, lähteenä FLUGin tietoturvaopas

Gentoon päivittäminen

2005-11-22T00:35:31Z

Ajt:

Tulossa pian, lähde FLUGin tietoturvaopas.

Fedora Linux/Päivittäminen

2005-11-22T00:33:21Z

Ajt:

== Varoitus ==

Tämä ohje on siirretty FLUGin Linux-tietoturvaoppaasta, ja sen on kirjoittanut Ilpo Kuivanen alkuvuonna 2004.
Jotakuta Red Hatin käyttäjää pyydetään tarkistamaan teksti, päivittämään se ajan tasalle ja poistamaan sen jälkeen tämä huomautus.

== Johdanto ==

Fedora Core on Red Hat Linuxin "ilmaisversio". Viimeinen Red Hatin nimellä julkaistu
vapaa Red Hat oli versio 9. Fedora Coren tämän hetkinen uusin versio on 2. Kummatkin
distribuutiot käyttävät tavanomaista Red Hatin paketointijärjestelmää, RPM - Red Hat
Package Manager. Tämä järjestelmä pitää kirjaa tietokannassaan siitä, mitä ohjelmia ja
mitkä versiot ohjelmista on järjestelmään asenettu. Näin ollen ohjelmien lisääminen, poistaminen
ja päivittäminen sujuu helposti mukana tulevien ohjelmien avulla.

Tämä dokumentti esittelee neljä työkalua ohjelmien päivittämiseen:

* ''rpm'':n, joka on molempien distibuutioiden perustyökalu. Toinen perustyökalu on
* ''up2date'', joka on Red Hatin ja Fedoran ohjelmien päivitystyökalu.
* ''Red Carpet'' taas on Ximianin luoma graafinen työkalu ohjelmien päivittämiselle,
* ''yum'' taas on Fedoran mukana tuleva monipuolisempi ja osaavampi komentorivityökalu kuin mitä perus-rpm on.

== RPM ==

RPM on siis Red Hatin perustyökalu ohjelmien asentamiseen. Sen toiminta on varsin
yksinkertaista:

rpm -i paketti.rpm

Ja paketti asentuu koneeseen. Verkon ylitse pakettia noudettaessa pitää laittaa komentoon
koko hakuosoite. ''Rpm'' osaa käyttää sekä ftp- että http-protokollaa:

rpm -i http://updates.example.com/paketti.rpm

Edellisessä esimerkissä optio '''-i''' (install) asensi uuden paketin koneeseen. Koneessa jo
olevan ohjelman voi päivittää käyttämällä optiota '''-U'''. Huomaa kirjainkoko! Jälkimmäinen
on todella kirjoitettu isolla ja edellinen pienellä. Jos -U-optiolla asennettaessa ohjelmaa
ei ole koneessa vielä, se asennetaan. Sitä voi siis käyttää perusasennukseenkin.

Yksi kätevä ''rpm'':n vipu on '''-F''': Se asentaa paketin, jos siitä on olemassa koneella
joku versio. Tätä voi käyttää hyväkseen vaikkapa silloin, kun halutaan hakea päivityspalvelimelta
kaikki paketit. Tällöin komento päivittää vain ne paketit, jotka on jo koneessa. Näin voidaan
tehdä pikainen päivitys tyyliin

rpm -Fvh *

Optiot '''-v''' ja '''-h''' lisäävät komennon tulosteita. Ensinmainittu on "verbose", joka
käskee komennon kertomaan, mitä tapahtuu, ja jälkimmäinen taas piirtää ruutu-merkeillä "janan",
joka kuvaa paketin purkamisen edistymistä. Yhdessä näillä saa siisteimmän tuloksen.

Ohjelman asennus poistetaan komentamalla

rpm -e paketti

=== RPM:n heikkouksia ===

Pahin heikkous on riippuvuuksien hallitsemattomuus. Jos jokin ohjelmapaketti vaatii
toisen paketin olemassaoloa, ''rpm'' ei osaa asentaa näitä paketteja vaan ne pitää
asentaa erikseen. Toisinsanoen ohjelman asentaja joutuu itse selvittämään, missä ihmeen
paketissa se rpm:n vaatima tiedosto on! Tämä on kaikkea muuta kuin kätevää.

Toinen ''rpm'':n heikkous on kyvyttömyys tarkastaa itse, onko paketteihin tullut
päivityksiä. Tästä syystä on kehitelty parempia ohjelmia
asian hoitamiseksi. Näitä ohjelmia ovat ''Red Carpet'' sekä ''yum''.

== Up2date ==

[[Kuva:fedora_up2date_merkki.png|Fedora up2daten merkki]]

''Up2date'' on Red Hatin ja Fedoran tarjoama perustyökalu ohjelmien päivittämiselle.
Se vaatii rekisteröitymisen Red Hat Network:iin (rhn) ja toimii aluksi 30 päivää testivaiheessa.
Jos käyttöä jatkaa tämän jälkeen, tulee tunnus aktivoida vastaamalla pieneen kyselyyn.

Rekisteröinti onnistuu hatun alta '''System tools''' - '''Red Hat Network'''
-valinnalla.

Edellisen kappaleen alussa oleva kuvake tehtäväpalkissa kertoo päivitystarpeen. Sitä klikkaamalla
näkee, mitä päivitettävää löytyy:

[[Kuva:Fedora_up2date_paivitettavaa.png|Fedora up2date, päivitettävää on]]

Launch-nappulalla pääsee päivittämään. Sen jälkeen kysytään pääkäyttäjän salasanaa ja päästään
askel askeleelta etenevään päivitykseen:

[[Kuva:Fedora_up2date_tervetuloa.png|Fedora up2date, tervetuloa]]

Sen jälkeen tulee kanavien varmistus:

[[Kuva:Fedora_up2date_kanavat.png|Fedora up2date, kanavat]]

Jos ei ole valittuna automaattista päivitystä, voi tässä valita paketit, jotka asennetaan.
Rasti ruutuun, mitkä asennetaan:

[[Kuva:Fedora_up2date_paketit.png|Fedora up2date, paketit]]

Sen jälkeen kysytään vielä varmistus ja sitten vai odotellaan, kun paketit valuvat
koneeseen ja asentuvat siihen.

Ja kun kaikki on kunnossa, löytyy palkista sininen merkki!

[[Kuva:Fedora_up2date_ok.png|Fedora up2date, kaikki ok]]

== Red Carpet ==

Red Carpet on Ximianin (http://www.ximian.com") toteuttama työkalu ohjelmien asentamiseen ja päivittämiseen.
Se on huomattavasti kehittyneempi työkalu kuin Red Hatin omat rpm-ohjelmat, koska se osaa
asentaa myös sellaiset paketit, joita asennettava paketti tarvitsee. Näin riippuvuusongelmat
tulevat ratkaistua kerralla.

=== Asentaminen ===

Red Hat 9.0:aan Red Carpetin asentaminen alkaa Red Hatin kahden kirjaston,
''glibc'':n ja ''glibc-common'':n päivittämisellä. Jostain syystä Red Hatin
mukana olevat versiot ovat asiaan liian vanhat.

Joka tapauksessa, nämä löytää vaikkapa osoitteesta http://rpmfind.net/
Ole tarkkana ''glibc:n'' version kanssa. Jos koneesi
kernel on i686-versio, pitää '''ehdottomasti hakea i686-versio glibc:stä!''' Common-kirjastosta
ei ole olemassa kuin i386-versio.

Kun kirjastot on haettu, ne asennetaan pääkäyttäjänä seuraavasti:

rpm -Uvh glibc-2.3.2-27.9.7.i686.rpm glibc-common-2.3.2-27.9.7.i386.rpm

Tarkasta versionumerot ennenkuin asennat! Molempien tulee olla samaa sarjaa ja
versionumerot yhtenevät!

Nyt kun käyttöjärjestelmä on päivitetty, voidaankin asentaa itse Red Carpet. Sen
löytää aiemmin sivulla olevasta Ximian-linkistä. Sieltä haetaan se versio, joka vasta omaa
käyttöjärjestelmäversiota. Esimerkiksi RH 9:ää varten tulee noutaa kaikki kolme tiedostoa,
jotka hakemistosta löytyy. Asennus menee sitten näin:

rpm -ivh red_carpet.xxx.rpm rcd.xxx.rpm rug.xxx.rpm

Esityksessä xxx:ien paikalle tulee laittaa oikea versionumero. Kannattaa muistaa
tabulaattorinäppäimen käyttö noita nimiä täydennettäessä, niin asiat menevät helpommin.

=== Kanavat, channels ===

Kun Red Carpet on asennettu, sille pitää kertoa, mitä kanavia se kuuntelee. Näiltä
kanavilta sitten voi asentaa ja päivittää ohjelmia, kun päivityksiä niille ilmaantuu. Kuvassa
on merkitty kanavat Red Hat 9 ja Ximian Evolution.

[[Kuva:Fedora_redcarpet_kanavat.gif|Red Carpet, kanavat]]

=== Ohjelmien päivittäminen ===

Kun kanavat on valittu, tarkistaa Red Carpet, onko koneeseen asennettuihin ohjelmiin tullut
päivityksiä. Samalla se kertoo päivitysten tärkeyden. Esimerkissä on ilmestynyt
uusia tärkeitä päivityksiä useampiin ohjelmiin:

[[Kuva:Fedora_redcarpet_paivitettavaa.gif|Red Carpet, päivitettävää]]

'''Update All'''-nappulalla saa päivitettyä kaikki tarjotut ohjelmat. Jos ei haluta
päivittää kuin tietyt ohjelmat, valitaan rivit ja painetaan '''Mark for Installation'''
näppäintä ja sen jälkeen '''Run Now'''. Näin vain halutut päivitykset tehdään.

Lopuksi kun kaikki on päivitetty, ohjelma ilmoitaa kaiken olevan nyt päivitetyn:

[[Kuva:Fedora_redcarpet_uptodate.gif|Red Carpet, päivitys on valmis]]

=== Ohjelmien asentaminen Red Carpetilla ===

Valinnalla '''Available Software''' voi etsiä kanavilta saatavilla olevia ohjelmia.
Valikosta '''Install from File''' voi asentaa ohjelmia myös käyttöjärjestelmärompuilta:

[[Kuva:Fedora_redcarpet_ohjelman asennus.gif|Red Carpet, ohjelman asennus tiedostosta tai rompulta]]

Luonnollisesti tätä kautta voi asentaa minkä tahansa paikalliselle levylle talletetun
rpm-paketin.

Jos ohjelman asentaminen vaatii muiden pakettien asentamista, Red Carpet ilmoittaa asiasta
näin:

[[Kuva:Fedora_redcarpet_riippuvuus.gif|Red Carpet, riippuvuusongelma]]

Continue-nappulan painallus asentaa kaikki tarvittavat paketit eikä tarvitse miettiä
sen enempää, mitä kaikkea oikein tarvitaan, jotta ohjelma toimisi.

'''HUOM!''' Jos asennat paketteja paikalliselta levyltä, ''Red Carpet'' hakee kuitenkin
riippuvat paketit verkosta. Näin ollen ilman nettiyhteyttä ohjelma ei toimi kunnolla
paikallisia ohjelmia asennettaessa!

=== Asetukset ===

'''Edit - Preferences'''-valikon kautta voidaan säätää ohjelman asetuksia:

[[Kuva:Fedora_redcarpet_asetukset.gif|Red Carpetin asetukset]]

Siellä voi esimerkiksi määrittää proxy-asetukset, jos on yhteydessä välttämätöntä käyttää
proxya.

== YUM - pakettienhallintatyökalu ==

Fedora Core -distribuution mukana tulee pakettienhallintatyökalu
nimeltään ''yum''. ''Yum'' on tekstipohjainen työkalu,
jolla on helppo asentaa uusia paketteja sekä päivittää vanhoja. Yum
hallitsee myös riippuvuudet, joten se on hallintatyökaluna huomattavasti
parempi kuin Red Hatin ja Fedoran oma ''rpm''-ohjelma, joka ei
hallitse ollenkaan riippuvuuksien käsittelyä.

Yum:n löytää osoitteesta http://linux.duke.edu/projects/yum/ ja se on
mahdollista asentaa muihinkin rpm-pohjaisiin
distribuutioihin.

=== Käyttö ===

Yum:n käyttö on varsin yksinkertaista. Kirjaudutaan sisään pääkäyttäjänä
(tai komennetaan ''su -'' päätteellä). Yum:n komentojen muoto on
yksinkertaisesti:

yum [optiot] [komennot] [paketit]

Optiot ovat yum:n toimintaa säätäviä operaatioita, esim:

'''-h''' lyhyt yum:n käyttöohje
'''-y''' vastaa Yes kaikkiin kysymyksiin. Kysymyksiä tulee mm. varmistuksena,halutaanko varmasti asentaa uusi paketti.

Komennoilla taas kerrotaan, mitä halutaan tehdä. Esimerkiksi:

'''install''' asentaa halutun paketin järjestelmään. Tarkistaa samalla riippuvuudet ja asentaa paketit, joita tarvitaan.
'''check-updates''' tarkastaa, onko jo koneeseen asennettuihin paketeihin saatavilla uudempaa versiota.
'''update''' päivittää paketit
'''list''' näyttää saatavilla olevat paketit (asennusta varten)
'''list installed''' näyttää asennetut paketit
'''remove''' poistaa asennettuja paketteja

Yum asentaa paketit verkosta. Asennuspaikka löytyy tiedostosta ''/etc/yum.conf''.
Sinne voi myös lisätä paikkoja, jos oletusarvoiset paikat eivät riitä. Kun yum:ia käytetään
ensimmäisen kerran, se hakee itselleen listadataa paketeista. Sen takia ensimmäinen käyttökerta
saattaa joskus kestää varsin pitkään.

=== Esimerkkejä ===

yum check-updates

Tuottaa tämänkaltaisen listan:

<pre>
Name Arch Version Repo
--------------------------------------------------------------------------------
bash i386 2.05b-34 updates-released
binutils i386 2.14.90.0.6-4 updates-released
dia i386 1:0.92.2-1 updates-released
ethereal i386 0.10.0a-0.1 updates-released
gaim i386 1:0.74-5 updates-released
glibc i686 2.3.2-101.4 updates-released
glibc-common i386 2.3.2-101.4 updates-released
glibc-devel i386 2.3.2-101.4 updates-released
...
</pre>

Ja koska tilanne on, että on päivityksiä saatavilla, komennetaan

yum update

jolloin yum noutaa kaikki päivitettävät paketit ja näin käyttöjärjestelmä on jälleen ajantasalla.

yum install abiword

Asentaa ohjelman nimeltään ''abiword'' koneeseen. Ohjelma pitää luonnollisesti olla olemassa.
Kannattaa ''yum list''-komennolla tarkistaa tarkka muoto, jos on epäselvyyttä. Versionumeroita
ei yleensä tarvitse erikseen kirjoittaa näkyviin.

=== Proxy käytössä ===
Yum osaa toimia myös proxyn läpi. Tosin proxyasetuksia ei määritetä tiedostossa
''/etc/yum.conf''. Proxy määritellään komentotulkin muuttujan avulla seuraavasti:

<nowiki>http_proxy=http://proxy.example.com:8080/</nowiki>
export http_proxy

Tuohon proxy.example.com:n kohdalle oma proxyn osoite. 8080 on usein proxylle varattu portti,
mutta sekin kannattaa tarkistaa.

Pysyväksi tämän saa lisäämällä yo rivit esim. ''.bashrc''-tiedoston loppuun, jolloin
ne ovat automaattisesti käynnissä aina kun niitä tarvitaan.

Tiedosto:Fedora redcarpet asetukset.gif

2005-11-22T00:23:31Z

Ajt:

Tiedosto:Fedora redcarpet riippuvuus.gif

2005-11-22T00:20:36Z

Ajt:

Tiedosto:Fedora redcarpet ohjelman asennus.gif

2005-11-22T00:19:22Z

Ajt:

Tiedosto:Fedora redcarpet uptodate.gif

2005-11-22T00:18:00Z

Ajt:

Tiedosto:Fedora redcarpet paivitettavaa.gif

2005-11-22T00:14:39Z

Ajt:

Tiedosto:Fedora redcarpet kanavat.gif

2005-11-22T00:13:35Z

Ajt:

Tiedosto:Fedora up2date ok.png

2005-11-22T00:09:37Z

Ajt:

Tiedosto:Fedora up2date kanavat.png

2005-11-22T00:09:07Z

Ajt:

Tiedosto:Fedora up2date paketit.png

2005-11-22T00:08:10Z

Ajt:

Tiedosto:Fedora up2date tervetuloa.png

2005-11-22T00:07:30Z

Ajt:

Tiedosto:Fedora up2date paivitettavaa.png

2005-11-22T00:04:08Z

Ajt: Fedoran up2date -kuvakaappaus, päivitettävää on

Fedoran up2date -kuvakaappaus, päivitettävää on

Tiedosto:Fedora up2date merkki.png

2005-11-22T00:00:23Z

Ajt: Fedoran up2date -kuvake

Fedoran up2date -kuvake

Tietoturva

2005-11-21T23:41:25Z

Ajt:

== Rant ==
[http://www.linux.fi/tietoturva/ Linux-tietoturvaopas]. Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta [http://www.microsoft.com Windows-roskaa.]

Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

== Käyttöjärjestelmän päivittäminen ==

Kaikista käyttöjärjestelmistä löytyy ajoittain ohjelmointivirheitä,
jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat
päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla.
Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan
jakelupaketti on käytössä.

Alla on annettu ohjeet yleisimpien jakeluiden päivittämiseen.
Mikäli käytössäsi niin vanha jakelu että valmistajalta ei enää saa
siihen tietoturvapäivityksiä lainkaan, on koko järjestelmä syytä
päivittää uudempaan versioon.

* [[Debianin päivittäminen|Debian GNU/Linux]]
* [[Fedoran ja Red Hatin päivittäminen|Fedora Linux]]
* [[Gentoon päivittäminen|Gentoo Linux]]
* IT Linux, Lineox ja Spectra Linux: Kts. [http://www.raimokoski.com http://www.raimokoski.com]
* [[Mandraken päivittäminen|Mandrake Linux]]
* [[Fedoran ja Red Hatin päivittäminen|Red Hat Linux]]
* SOT Linux: Päivityksiä ei enää julkaista, käyttäjiä suositellaan vaihtamaan johonkin toiseen jakeluun.
* [[SUSEn päivittäminen|SUSE Linux]]
* [[Ubuntun päivittäminen|Ubuntu Linux]]

== Käyttöoikeushallinta ==
Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.

Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville: Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä.
Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.

Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti.

Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.

Lisäksi kiintolevyille voi tehdä osioita joille pääsevät ainoastaan tietyt käyttäjät.

== SELinux ja GRSecurity ==

[http://www.nsa.gov/selinux/ SELinux] on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin ja voimme olettaa että se täyttää siis erittäin korkean turvaluokituksen.

Säädettävyyden mukana tulee vaikeus; Kuka jaksaa säätää kaiken pilkkua viilaten. Tämä on SELinuxin suurin ongelma, sen käyttöönotto on erittäin työläs.

SELinux on 2.6 sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu siinä ohessa. 2.4 sarjalaisiin tämä on saatavissa erillaisina patch-settinä ("korjaussarjoina").

[http://www.grsecurity.net/ GRSecurity] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturva-tason säädöt.

Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla. On hyvä että on olemassa vaihtoehtoja.

== TCP-wrapper ==

TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.

Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostossa.

Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.

/etc/hosts.deny:
SSHD: ALL

/etc/hosts.allow
SSHD: .fi

== Palomuuri ==

Useimmiten verkkoon liitettävät laitteet on syytä suojata palomuurilla. Linux-palomuureista tietoutta löytyy [[Palomuurit]]-artikkelista.

== Virustorjunta ==

Linuxille on tehty todella vähän viruksia, mutta esim. Windows-järjestelmien sähköpostia liikuttavissa palvelimissa tai tiedostosäilöissä voi olla tarpeen käyttää virustorjuntaa. Aiheesta lisää sivulla [[Virustorjunta]].

[[Luokka:Tietoturva]]

Debianin päivittäminen

2005-11-21T23:38:37Z

Ajt:

Debian GNU/Linux -järjestelmän ohjelmien pitäminen ajan tasalla
onnistuu helpoimmin komentoriviltä. Tiedostossa
'''/etc/apt/sources.list''' kerrotaan, mistä osoitteista
järjestelmään haetaan päivityksiä ja uusia ohjelmia. Rivejä on yleensä
useampia ja jotkut niistä voivat viitata myös cd-levyihin. Palvelin
'''security.debian.org''' sisältää tietoturvapäivitykset ja on siksi
kaikkein tärkein. Tiedoston katsominen onnistuu tavallisena
käyttäjänä, mutta muutosten tekeminen ja päivitysten asentaminen on
mahdollista vain pääkäyttäjänä (root).

Avaa tiedosto '''/etc/apt/sources.list''' haluamallasi
tekstieditorilla ja tarkista että se sisältää rivin

<nowiki>deb http://security.debian.org stable/updates main contrib non-free</nowiki>

Kaikkien asennettujen ohjelmien päivittäminen uusimpaan versioon
onnistuu avaamalla terminaali-ikkuna ja antamalla seuraavat komennot:

'''su -''' (vaihto pääkäyttäjäksi, anna pääkäyttäjän salasana kysyttäessä)
'''apt-get update''' (hakee tiedot saatavilla olevista uusista päivityksistä)
'''apt-get dist-upgrade''' (asentaa päivitykset)

Tällä hetkellä tietoturvapäivityksiä saa Debian GNU/Linuxin
6. kesäkuuta 2005 julkistettuun versioon 3.1, lempinimeltään sarge ja
edelliseen vakaaseen versioon 3.0, lempinimeltä woody. Päivitys versioon 3.1 on suositeltavaa.
Luonnollisesti myös jatkuvasti päivittyvään kehitysversioon (unstable), lempinimeltään sid, julkaistaan tietoturvakorjauksia.

Lisätietoja Debianiin saatavilla olevista tietoturvapäivityksistä
löytyy osoitteesta [http://www.debian.org/security/ http://www.debian.org/security/].
Kannattaa myös tilata postituslista [http://lists.debian.org/debian-security-announce/ debian-security-announce], jolle lähetetään ilmoitukset saatavilla olevista päivityksistä.

Tietoturva

2005-11-21T23:12:04Z

Ajt:

== Rant ==
[http://www.linux.fi/tietoturva/ Linux-tietoturvaopas]. Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta [http://www.microsoft.com Windows-roskaa.]

Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

== Käyttöjärjestelmän päivittäminen ==

Kaikista käyttöjärjestelmistä löytyy ajoittain ohjelmointivirheitä,
jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat
päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla.
Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan
jakelupaketti on käytössä.

Alla on annettu ohjeet yleisimpien jakeluiden päivittämiseen.
Mikäli käytössäsi niin vanha jakelu että valmistajalta ei enää saa
siihen tietoturvapäivityksiä lainkaan, on koko järjestelmä syytä
päivittää uudempaan versioon.

* [[Debianin päivittäminen|Debian GNU/Linux]]
* [[Fedoran päivittäminen|Fedora Linux]]
* [[Gentoon päivittäminen|Gentoo Linux]]
* IT Linux, Lineox ja Spectra Linux: Kts. [http://www.raimokoski.com http://www.raimokoski.com]
* [[Mandraken päivittäminen|Mandrake Linux]]
* [[Red Hatin päivittäminen|Red Hat Linux]]
* SOT Linux: Päivityksiä ei enää julkaista, käyttäjiä suositellaan vaihtamaan johonkin toiseen jakeluun.
* [[SUSEn päivittäminen|SUSE Linux]]
* [[Ubuntun päivittäminen|Ubuntu Linux]]

== Käyttöoikeushallinta ==
Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.

Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville: Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä.
Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.

Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti.

Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.

Lisäksi kiintolevyille voi tehdä osioita joille pääsevät ainoastaan tietyt käyttäjät.

== SELinux ja GRSecurity ==

[http://www.nsa.gov/selinux/ SELinux] on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin ja voimme olettaa että se täyttää siis erittäin korkean turvaluokituksen.

Säädettävyyden mukana tulee vaikeus; Kuka jaksaa säätää kaiken pilkkua viilaten. Tämä on SELinuxin suurin ongelma, sen käyttöönotto on erittäin työläs.

SELinux on 2.6 sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu siinä ohessa. 2.4 sarjalaisiin tämä on saatavissa erillaisina patch-settinä ("korjaussarjoina").

[http://www.grsecurity.net/ GRSecurity] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturva-tason säädöt.

Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla. On hyvä että on olemassa vaihtoehtoja.

== TCP-wrapper ==

TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.

Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostossa.

Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.

/etc/hosts.deny:
SSHD: ALL

/etc/hosts.allow
SSHD: .fi

== Palomuuri ==

Useimmiten verkkoon liitettävät laitteet on syytä suojata palomuurilla. Linux-palomuureista tietoutta löytyy [[Palomuurit]]-artikkelista.

== Virustorjunta ==

Linuxille on tehty todella vähän viruksia, mutta esim. Windows-järjestelmien sähköpostia liikuttavissa palvelimissa tai tiedostosäilöissä voi olla tarpeen käyttää virustorjuntaa. Aiheesta lisää sivulla [[Virustorjunta]].

[[Luokka:Tietoturva]]

Tietoturva

2005-11-21T23:03:30Z

Ajt: Lisätty ohjeita eri jakelujen päivittämiseen

== Rant ==
[http://www.linux.fi/tietoturva/ Linux-tietoturvaopas]. Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta [http://www.microsoft.com Windows-roskaa.]

Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

== Käyttöjärjestelmän päivittäminen ==

Kaikista käyttöjärjestelmistä löytyy ajoittain ohjelmointivirheitä,
jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat
päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla.
Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan
jakelupaketti on käytössä.

Alla on annettu ohjeet yleisimpien jakeluiden päivittämiseen.
Mikäli käytössäsi niin vanha jakelu että valmistajalta ei enää saa
siihen tietoturvapäivityksiä lainkaan, on koko järjestelmä syytä
päivittää uudempaan versioon.

* [[Paivittaminen_Debian|Debian GNU/Linux]]
* [[Paivittaminen_Fedora|Fedora Linux]]
* [[Paivittaminen_Gentoo|Gentoo Linux]]
* [[Paivittaminen_ITLinux|IT Linux]]
* [[Paivittaminen_Lineox|Lineox Enterprise Linux]]
* [[Paivittaminen_Mandrake|Mandrake Linux]]
* [[Paivittaminen_RedHat|Red Hat Linux]]
* [[Paivittaminen_SOT|SOT Linux]]
* [[Paivittaminen_Spectra|Spectra Linux]]
* [[Paivittaminen_SuSE|SuSE Linux]]

== Käyttöoikeushallinta ==
Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.

Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville: Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä.
Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.

Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti.

Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.

Lisäksi kiintolevyille voi tehdä osioita joille pääsevät ainoastaan tietyt käyttäjät.

== SELinux ja GRSecurity ==

[http://www.nsa.gov/selinux/ SELinux] on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin ja voimme olettaa että se täyttää siis erittäin korkean turvaluokituksen.

Säädettävyyden mukana tulee vaikeus; Kuka jaksaa säätää kaiken pilkkua viilaten. Tämä on SELinuxin suurin ongelma, sen käyttöönotto on erittäin työläs.

SELinux on 2.6 sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu siinä ohessa. 2.4 sarjalaisiin tämä on saatavissa erillaisina patch-settinä ("korjaussarjoina").

[http://www.grsecurity.net/ GRSecurity] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturva-tason säädöt.

Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla. On hyvä että on olemassa vaihtoehtoja.

== TCP-wrapper ==

TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.

Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostossa.

Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.

/etc/hosts.deny:
SSHD: ALL

/etc/hosts.allow
SSHD: .fi

== Palomuuri ==

Useimmiten verkkoon liitettävät laitteet on syytä suojata palomuurilla. Linux-palomuureista tietoutta löytyy [[Palomuurit]]-artikkelista.

== Virustorjunta ==

Linuxille on tehty todella vähän viruksia, mutta esim. Windows-järjestelmien sähköpostia liikuttavissa palvelimissa tai tiedostosäilöissä voi olla tarpeen käyttää virustorjuntaa. Aiheesta lisää sivulla [[Virustorjunta]].

[[Luokka:Tietoturva]]

Komentorivivinkkejä

2005-04-18T20:31:25Z

Ajt:

== Komentorivivinkkejä Linuxiin ==

Nämä vinkit on testattu melko tavanomaisessa Red Hat 8.0 -asennuksessa. Pääosa näistä toiminee muissakin jakeluissa, osa soveltaen myös muissa Unix-tyyppisissä järjestelmissä.

1. Komennolla df -h saat siistin esityksen levyosioiden täyttöasteesta.

2. Sano roottina du -s /home/* | sort -n | tail ja löydät levyrohmut.

3. Komennolla find . -type f -name "*koira*" -print0 | xargs -0 grep -l "kissa" löydät kaikki ne tiedostot työhakemiston alla, joiden nimessä on sana "koira" ja joissa esiintyy sana "kissa".

4. mail-komento toimii myös komentorivillä. Voit vaikka suorittaa komennon ja ohjata tulostuksen meiliin: pwd | mail -s "Komennon pwd tulos" oma.osoite@domain.example

5. Haluatko kuluvan päivän esim. varmuuskopion nimeen? Kokeile tätä: tar cf /root/varmistus-home`date +%Y-%m-%d` Tuo aakkostuukin oikein.

6. zcat-komennolla voit tulostaa gzip-ohjelmalla tehdyn tekstitiedoston suoraan konsolille ilman purkamista välissä. zless toimii samalla tavoin gzip- ja less-komentojen yhdistäjänä.

7. Kokeile tätä: echo "echo \"Vie kukkia\" | mail -s Hääpäivä oma.osoite@jossain.com" | at 09:00 06.04.02

8. Jos kokeilet edellistä, muista oikea päivämäärä. Sillä tavalla ei tule perheriitaa, ja aikaa säästyy esim. Linuxin säätämiseen.

9. Aliakset ovat käteviä. Komennon alias l="ls -lda" jälkeen pelkkä l riittää komennoksi.

10. Paina Ctrl-R komentokehotteessa ja kirjoita vaikka "ls", niin löydät viimeisimmän kirjoittamasi komennon jossa esiintyy kirjaimet "ls". Paina Ctrl-R uudelleen hakeaksesi kauempaa komentohistoriasta.

11. Ctrl-A vie rivin alkuun komentokehotteessa, Ctrl-E rivin loppuun.

12. Komennolla bc -l saat pienen laskimen. Käytettävissä on normaalit laskutoimitukset ja lisäksi voit sijoittaa arvoja muuttujiin basic-kielen tapaan.

13. bc käyttää samaa readline-kirjastoa kuin komentotulkki, joten samat Ctrl-R, Ctrl-A ja Ctrl-E toimivat siinäkin. Samalla tavoin toimii myös mm. matriisilaskennan ohjelma Octave.

14. MS-DOS -levykkeiden käsittely onnistuu mtools -paketilla. Kokeile mitä tekevät "mdir a:" ja "mcopy tiedsto a:".

15. tr -komennolla voit muuttaa merkkejä, kokeile vaikka: echo kanalassa | tr a b.

16. Haluatko kaikki työhakemiston tiedostonimet pienille kirjaimille? Sano for i in *; do mv $i `echo $i | tr A-Z a-z`; done

17. Komennolla ps afx näet siistin puuesityksen ajossa olevista prosesseista.

18. tr-komennolla voi poistaa merkkejä. Sano vaikka cat tiedosto | tr -d " "

19. Hakemiston saa pakattua näin tar cvzf paketti.tar.gz /joku/hakemisto . Purku onnistuu komennolla tar xvzf paketti.tar.gz

20. Kuviakin voi käsitellä komentoriviltä. Kokeile vaikka identify jokukuva.gif

21. ls -S listaa tiedostot kokojärjestyksessä, ls -t muokkausajan mukaan järjestettynä. "-r" kääntää järjestyksen.

22. file tiedostonnimi yrittää arvailla mitä tyyppiä tiedosto on. Roottina voit jopa sanoa file -s /dev/hda1 ja näet sisältääkö laitetiedosto jotain joka näyttää tiedostojärjestelmältä.

23. Hakemiston /etc/skel sisällöstä tehdään kopio kotihakemistoon, kun luodaan uusi käyttäjä.

24. Hakemiston /proc sisältä löytyy tietoa koneesta. Katso vaikka mitä cat /proc/cpuinfo tulostaa.

25. Jos kaverisi pyytää auttamaan Linuxin käytössä, kerro hänelle man-sivuista. man tar ja man mkisofs ovat esimerkkeinä parhaita.

26. locate on nopeampi kuin find. Kokeile esim. locate condom löytääksesi tiedostot joiden nimissä on merkkijono "condom". Locate käyttää tiedostojen nimistä kerättyä tietokantaa, joka päivittyy joka yö.

27. locate-komennon tietokanta muodostuu updatedb -ohjelmalla, jonka ajo kestää aika kauan. Miten kauan, sen saa selville komennolla time updatedb

28. Rikoit rivinvaihdot kun siirsit tekstiä Dos- tai Mac-koneelta Linuxiin? dos2unix ja mac2unix -komennot auttavat.

29. Komento ypchfn, jolla vaihdetaan erillisellä käyttäjätunnuspalvelimella olevia käyttäjätietoja, tulee sanoista "Yellow Pages CHange FiNger". Yellow Pages oli nykyisen NIS-palvelimen ensimmäinen nimi, mutta se vaihdettiin kun British Telecom omisti siihen tavaramerkin. Tiedolla ei varsinaisesti tee mitään, mutta käyttämällä sitä sopivassa tilanteessa osoitat olevasi nörtti.

30. man -k printer kertoo kaikki ne komennot, joiden yksirivinen kuvaus sisältää merkkijonon "printer".

31. Symboliset linkit ovat joskus käteviä. Jos /var/www on liian täynnä ja /home melkein tyhjä, sano "mv /var/www /home" ja ln -s /home/www /var/www

32. Komentoja voi yhdistellä && ja || -operaattoreilla. tar cf paketti.tar /joku/hakemisto && rm -rf /joku/hakemisto suorittaa ensin tar-komennon, ja jos se onnistuu ongelmitta, suoritetaan rm-komento. || toimii toisinpäin, toinen komento suoritetaan vain jos ensimmäinen epäonnistui.

33. PostScript-tiedostoja voi käsitellä komentorivillä. Esim. psnup -2 dokumentti.ps tiivis.ps tekee tulostusta varten version jossa kaksi sivua on laitettu yhdelle sivulle.

34. Komentokehotetta voi muuttaa. Esim. export PS1='[\u@\h \w]\$ ' laittaa komentokehotteeseen käyttäjätunnuksen, koneen ja työhakemiston.

35. mkdir-komennolla voit luoda hakemistorakenteenkin kerralla. Kokeile esim. mkdir -p eka/toka/kolmas

36. Jos hakemistoon /etc/cron.weekly luo tiedoston, jossa on vain komento cp --recursive /home/ville /root, saa joka viikko varmuuskopion Villen kotihakemistosta rootin kotihakemistoon.

37. Koneelle kirjauduttaessa ajetaan kotihakemistosta tiedosto jonka nimi on ".bash_profile". Sen loppuun voit kirjoittaa vaikka echo "Muista katsoa www.khdrive.fi/linkku/"

38. Kokeile tätä: lynx --dump http://www.khdrive.fi/linkku/ | grep --after-context=5 "Seuraavat kokoontumiset"

39. Tiedoston nimeltä "-foobar" saa poistettua komennolla rm -- -foobar

40. Kaikki ne tiedoston rivit, joissa ei esiinny sana merkkijonoa "kissa" löydät komennolla grep -v kissa tiedostonnimi . Jos taas haluat poistaa vain sanan "kissa" etkä esim. sanaa "takissani" sisältävät rivit, sano grep -v -w kissa tiedostonnimi .

41. tail -f /var/log/messages näyttää ensin tiedoston lopun ja sitten jatkuvasti tiedostoon tulevat uudet rivit.

42. ls -F näyttää tiedostolistauksen niin, että nimen perässä on merkki joka kuvaa tiedoston tyyppiä.

43. Tiedosto /etc/motd tulostetataan ruudulle joka kerta kun käyttäjä kirjautuu sisään. Siihen voi kirjoittaa vaikka joulutervehdyksen kaikille käyttäjille.

44. Tiedosto /etc/issue tulostetaan ruudulle ennen "login:"-kehotetta.

45. Komento find . -type f -mmin -30 -print hakee työhakemistosta alaspäin kaikki tiedostot, joita on muokattu viimeisen puolen tunnin sisään.

46. Levypinnan saa pyyhittyä tyhjäksi komennolla dd if=/dev/zero of=/dev/fd0. Esimerkki tyhjentää levykkeen, samalla tavalla voi pyyhkiä kiintolevyjä, esim. /dev/hda on IDE0-väylän master-levy. Usein suositellaan /dev/zero -laitteen sijasta /dev/random -laitetta, mutta silloin pyyhintä hidastuu mateluksi.

47. head -5 tiedostonnimi tulostaa tiedoston viisi ensimmäistä riviä. head -c 5 tiedostonnimi tulostaa viisi ensimmäistä merkkiä. tail -5 tiedostonnimi ja tail -c 5 tiedostonnimi toimivat vastaavasti.

48. wc *.txt antaa listan hakemiston sisältämistä .txt -päätteisistä tiedostoista ja jokaisesta rivien, sanojen ja merkkien lukumäärän.

49. cat --number tiedostonnimi tulostaa tiedoston rivit numeroituna.

50. strings -komennolla voit hakea merkkijonoja binäärimössöstä. Esim. strings jokudoku.doc näyttää yleensä Word-documentin sisältämän tekstin jotenkin luettavassa muodossa.

51. Kaikki Microsoft Office -dokumentit löydät komennolla find . -type f -exec sh -c "file \"{}\" | grep -q \"Microsoft Office Document\" && echo \"{}\"" \;

52. Normaalissa konsolissa voi Shift+Page Up -näppäilyllä siirtyä pari ruudullista taaksepäin.

53. Komennolla ls -l | colrm 10 30 saat tiedostolistauksesta pois tiedoston omistajan ja ryhmän.

54. Komennolla cut -d ' ' -f 2 tiedostonnimi voit tulostaa tiedoston jokaisen rivin toisen sanan.

55. Kaikkiin html-tiedostoihin saat LANG-attribuutin seuraavasti: find . -name "*.html" -print | xargs perl -e 's/<HTML>/<HTML LANG="fi">/gi' -p -i.bak

56. Virheilmoituksetkin saa ohjattua tiedostoon. Kokeile esim. find hakemistojotaeiole >& find-tuloste.txt

57. which-komennolla näkee mistä polussa oleva ohjelmatiedosto löytyy. Kokeile esim. which ldd

58. Haluatko varmasti hyvän salasanan? Sano head -c 6 /dev/random | mimencode

59. Ellet tiedä mitä /etc:n alla olevaa tiedostoa säätää, voit hakea jonkin sanan sisältäviä tiedostoja: grep --recursive "localdomain" /etc

60. Komennoilla who ja w saat tietoa järjestelmää parhaillaan käyttävistä. Esimerkiksi w -s näyttää kätevässä muodossa kuka tekee mitäkin.

61. Komennolla wall 'Linux on cool!' voit lähettää viestisi kaikkien koneen käyttäjien ruudulle.

62. echo 'Linux on cool!' | write maija taas kertoo saman viestin ainoastaan Maijalle.

63. Komennolla nohup jokukomento >& lokitiedosto & saat komennon jäämään tausta-ajoon niin, että voit itse lopettaa
yhteyden ja komento jää suoritettavaksi.

64. Komennolla ed tiedostonnimi saat avattua tehokkaan ja monipuolisen, mutta resursseja säästeliäästi käyttävän editorin. Lisätietoa edistä

65. eject poistaa CD-levyn asemasta. eject -t vetää levyn sisään.

66. Komento history tulostaa komentohistorian.

67. Musa soi komentoriviltäkin. playmidi soittaa midejä, play soittaa monenlaisia ääniformaatteja. mpg123 soittaa MP3-tiedostoja.

68. killall vi lopettaa kaikki ajossa olevat vi-ohjelmat.

69. sort tiedosto | uniq aakkostaa tiedoston rivit ja poistaa moneen kertaan esiintyvät rivit. sort tiedosto | uniq -d
näyttää vain kahteen tai useampaan kertaan esiintyvät rivit.

70. dirname /joku/polku/tiedosto palauttaa arvon "/joku/polku". basename /joku/polku/tiedosto palauttaa arvon "tiedosto".

71. tac tiedostonnimi tulostaa tiedoston rivi kerrallaan alusta loppuun. rev tiedostonnimi tulostaa jokaisen rivin väärinpäin, ja rev tiedostonnimi | tac tulostaa koko tiedoston väärinpäin.

72. top näyttää jatkuvasti päivittyvän listan ajossa olevista ohjelmista. Painamalla h-kirjainta saat ohjeen käytössä olevista komennoista. q-kirjaimella pääset pois ohjelmasta.

73. volname kertoo CD-asemassa olevan levyn nimen.

74. cat tiedostonnimi | while read; do echo $REPLY; sleep 5; done tulostaa tiedoston rivi kerrallaan viiden sekunnin välein.

75. Tervehdyksen pienellä viiveellä saa näin
" temp=$IFS; IFS=$''; echo "Hei kaikki" | while read -n 1; do echo -n $REPLY; usleep 100000; done; IFS=$temp "

76. Komennolla yes voit tulostaa y-kirjaimia esim. putkessa ohjelmalle, joka kyselee liikaa "Oletko aivan varma?". yes n tulostaa n-kirjaimia ja yes moro tervehtii käyttäjää ad infinitum.

77. Tulostuskin onnistuu komentoriviltä, kokeile vaikka lpr jokudoku.txt tai cal | lpr

78. Kun tehdään, niin tehdään kunnolla. Kun tehdään kalenteri kunnolla, niin huomioidaan juliaanisen kalenterin vaihtuminen gregoriaaniseen. Kokeile: cal 9 1752

79.<nowiki>Lisää muotoilematon teksti tähän WWW-sivuston kaikkien .html -sivujen META KEYWORDS -tageista saa helposti sivulistan tällä komennolla
find . -type f -name "*.html" | while read a; do grep --ignore-case "<META NAME=\"keywords\" CONTENT=\".*\">" $a | cut -f 4 -d "\"" | dd conv=lcase | tr "," "\n" | while read; do echo $a >> $REPLY.hakusana; done; done && ls *.hakusana | while read a; do h=`echo $a | cut -f 1 -d "."`; echo "<H2>$h</H2>"; cat $a | cut -b 3- | while read; do echo "<A HREF=\"$REPLY\">`grep --ignore-case "<title>.*</title>" $REPLY | cut -f 2 -d ">" | cut -f 1 -d "<"`</A>"; done; done && rm *.hakusana
</nowiki>

80. Eräs tapa kokeilla koneen ja komentotulkin nopeutta on laskea Fibonaccin lukuja: tee tiedosto fib.sh, jossa on vain
rivi
if (($1 < 2)); then echo 1; else a=`./fib.sh $1-1`; b=`./fib.sh $1-2`; echo $((a+b)); fi

81. Komennolla pwd -P saat selville missä hakemistossa "oikeasti" olet, eli symbolisten linkkien kautta kuljettu polku jätetään huomiotta.

82. Yksinkertainen valikko on helppo tehdä:
valinta=3; echo "1=pwd 2=ls 3=lynx"; read -t 5 valinta; case $valinta in 1) pwd;; 2) ls;; 3) lynx;; esac
Jos käyttäjä ei viidessä sekunnissa valitse mitään, käynnistetään lynx.

83. Tällaisenkin valikon voi tehdä:
sivut=("evl.fi" "vapaa-ajattelijat.fi" "dilbert.com"); echo "0=evl, 1=vaparit, 2=dilbert"; read valinta; lynx http://www.${sivut[$valinta]}

84. Näissä vinkeissä on kerrottu miten case ja if toimivat, miten komentoja putkitetaan ym. Sanomalla man bash saat pitkän ohjesivun näistä ja monesta muustakin asiasta.

85. Jos locale-asetus on kunnossa (eli olet mm. sanonut export LANG=fi_FI , voit katsoa koska tiedostoa teksti.txt on viimeksi muutettu sanomalla date --reference=teksti.txt "+%Ana %Bn %e. päivä"

86. Jos tiedosto nimikunta sisältää rivit Jori TAB Tampere, Laura TAB Tampere ja Åke TAB Tukholma, ja tiedosto kuntamaa rivit Tampere TAB Suomi ja Tukholma TAB Ruotsi, voit katsoa missä maassa ihmiset asuvat komennolla join -o 1.1,2.2 -1 2 nimikunta kuntamaa

87. Komento touch tiedostonnimi on helpoin tapa luoda tyhjä tiedosto. Samalla touch-komennolla voi myös muuttaa tiedostojen muokkauspäivämääriä, kokeile esim. touch --date 2002-04-01 aprillia

88. uname on joskus kätevä, erityisesti komento uname -a kertoo ytimen version ym. mahdollisesti kiinnostavaa.

89. Tiedoston voi jakaa osiin split-komennolla. Kokeile esim. split -b 10k jokutiedosto

90. Komennolla seq 10 -3 1 voit tulostaa luvut 10, 7, 4 ja 1.

91. clear tyhjentää kuvaruudun. Kätevä joissakin skripteissä.

92. pdftotext tiedosto.pdf tekee tiedoston tiedosto.txt, joka hyvällä onnella sisältää PDF:n sisältämän tekstin.

93. su -komennolla voit vaihtaa lennosta toiseksi käyttäjäksi. su - vaihtaa rootiksi ja root voi sanoa su - ville päästääkseen kokeilemaan Villen tunnusta ilman salasanaa.

94. wget --recursive http://www.mpoli.fi/flug/ imuroi koko Flug ry:n WWW-sivuston omalle koneelle.

95. watch -n 60 --differences ls /tmp tulostaa minuutin välein listauksen /tmp -hakemistosta ja näyttää korostettuna muuttuneet tiedot.

96. Jos teet kotihakemistosi alle hakemiston nimeltä bin , voit siirtää sinne tekemäsi skriptit ym. ja käyttää niitä antamatta koko polkua, ts. aivan kuten koneessasi valmiina olevia ohjelmiakin.

97. Jos laitat skriptit hakemistoon /usr/local/bin , niitä voivat käyttää kaikki koneen käyttäjät.

98. cmp tulostaa tiedostojen eroavan kohdan. Käyttökelpoinen myös skripteissä, esim. cmp -s tiedosto1 tiedosto2 || echo "Tiedostot eroavat"

99. who mom loves tulostaa käyttäjätunnuksesi, käyttämäsi konsolin ja sisäänkirjautumisajan.

100. who | cut -d ' ' -f 1 | sort | uniq | tr -d ' ' | finger -s -m | cut -c 11-27 | sort | uniq kertoo keitä koneelle on kirjautunut. Sama paikallista /etc/passwd -tiedostoa käyttäen on monimutkaisempi: who | cut -d ' ' -f 1 | sort | uniq | tr -d ' ' | xargs -n 1 echo "^" | colrm 2 2 | grep -f - /etc/passwd | cut -d ':' -f 5

101. Jos olet tehnyt aliaksen, jolla on sama nimi kuin komennolla (alias ls='ls --color=tty', esimerkiksi), mutta haluat
suorittaa poikkeuksellisesti sen alkuperäisen, kirjoita komento muodossa \ls.