Re: Debian 8.8 a debian 9 problemes amb nou nucli 4.9.0-3-amd64

[Joan]

M'esteu treient les ganes d'actualitzar...

De fet, per prudència sempre penso que és millor esperar uns dies, un
mes... perquè quan es llença la nova versió, els testadors deuen passar
a ser moltíssims i potser és més fàcil que arreglin coses d'aquestes...

Joan

El Sun, 18 Jun 2017 19:12:41 +0200
Josep Lladonosa  va escriure:

> 2017-06-18 17:32 GMT+02:00 Jaume Barceló :
> 
> > Després de l'actualització (*) el nucli 4.9.0-3-amd64 no em llista
> > els usuaris. Em queda amb un fons de pantalla i no puc fer res.
> > Reiniciant i triant el nucli antic 3.16.0-4-amd64 puc entrar. Tinc
> > arrencada dual win10/debian EFI/grub
> >
> 
> A mi m'ha passat, en Ubuntu, però, que determinades versions de nuclis
> tenen errades amb temes gràfics i aleshores no s'inicialitzen bé i,
> bé no apareix entorn gràfic (sobretot entorns amb nvidia), bé els
> gràfics es tornen lents apareixent errors de coredump al dmesg.
> Efectivament passant a una altra compilació de nucli es resol el
> tema...
> 
> Salutacions,
> Josep
> 
> 
> 
> 
> >
> > Algun suggeriment?
> >
> 
> Reportar el bug i esperar a una següent versió de nucli? :-/
> 
> 
> >
> > (*) http://nerea.cat/gnu/debian9.txt
> >
> > --
> > Salut i força!
> >
> 
> 
> 



-- 
Joan Cervan i Andreu
http://personal.calbasi.net

"El meu paper no és transformar el món ni l'home sinó, potser, el de
ser útil, des del meu lloc, als pocs valors sense els quals un món no
val la pena viure'l" A. Camus

i pels que teniu fe:
"Déu no és la Veritat, la Veritat és Déu"
Gandhi

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Lluís Gili]

jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi 
tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa 
contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan 
inicies sessió a l'entorn gràfic (amb libpam-mount)
així tens el que vols xifrat sense necessitat de posar una contrasenya extra 
ni penalitzar el rendiment


El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va 
escriure:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
> > La manera en què jo ho he vist fer és deixar connectada la memòria USB
> > durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> > encriptar.
> > D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> > la memòria USB per arrencar-ne, que és la que demana contrasenya per
> > seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> > connectada per a que sigui coherent amb les actualitzacions de nucli i
> > gestor d'arrencada.
> > 
> > De tota manera, aquesta externalització de l'arrencada és una mesura més
> > aviat orientada a evitar una vulnerabilitat molt i molt específica:
> > Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> > que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> > i així en un «següent robatori» recuperar aquesta dada.
> > Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> > memòria USB i col·locar el /boot al mateix disc dur.
> > 
> > 
> > __
> > I'm using this express-made address because personal addresses aren't
> > masked enough at this list's archives. Mailing lists service
> > administrator should fix this.
> > 
> > El 19/06/17 a les 01:37, Pedro ha escrit:
> >> Josep,
> >> 
> >> tens alguna guia que recomanis o sabries explicar breument com fer lo
> >> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> >> 
> >> podríem considerar que el punt de partida més habitual és una debian
> >> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
> >> 
> >> Gràcies!
> >> 
> >> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
> >>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>  Hola,
>  
>  Vull reinstal·lar la Debian 9 des de cero i em pregunto si és
>  recomanable
>  encriptar les particions. Tant al Portàtil com al Sobretaula.
>  
>  - Només és per si em roben el Disc Dur que no hi puguin accedir?
> >>> 
> >>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar
> >>> contrasenya (o un llapis usb amb una clau) per iniciar sistema.
> >>> 
>  - O també si un Hacker m'entra des d'Internet al trobar-ho tot
>  encriptat
>  no podrà fer res?
> >>> 
> >>> Quan inicies el sistema i entres la clau secreta per poder desencriptar
> >>> el
> >>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> >>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho
> >>> fa
> >>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
> >>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
> >>> operatiu/aplicacions tenien...
> >>> 
>  Perdoneu la meva ignorància...
>  
>  Salut
> >>> 
> >>> --
> >>> --
> >>> Salutacions...Josep
> >>> --

(deb-cat) Fwd: Debian 9 'Stretch' released

[Narcis Garcia]

He fet un esborrany de comunicat públic a partir de la versió anterior:

http://wiki.gilug.org/index.php/Alliberament_de_Debian_9

Extraient novetats destacables:
- Que millora la seguretat de la sessió gràfica.
- Que millora la verificació del programari original, i es modernitza el
programari de xifratge (GPG), especialment útil a les comunicacions.
- Que millora la compatibilitat amb ordinadors antics (UEFI-32)
- Que s'inclou la nova versió de molt programari conegut, com per
exemple LibreOffice 5 o PHP 7.



 Missatge reenviat 
Assumpte: Debian 9 "Stretch" released
Reenviat-Data: Sun, 18 Jun 2017 06:26:39 + (UTC)
Reenviat-De: debian-annou...@lists.debian.org
Data: Sat, 17 Jun 2017 20:22:36 -1000
De: Ana Guerrero Lopez 
A: debian-annou...@lists.debian.org


The Debian Project   https://www.debian.org/
Debian 9 "Stretch" released pr...@debian.org
June 17th, 2017https://www.debian.org/News/2017/20170617



After 26 months of development the Debian project is proud to present
its new stable version 9 (code name "Stretch"), which will be supported
for the next 5 years thanks to the combined work of the Debian Security
team [1] and of the Debian Long Term Support [2] team.

1: https://security-team.debian.org/
2: https://wiki.debian.org/LTS

Debian 9 is dedicated [3] to the project's founder Ian Murdock, who
passed away on 28 December 2015.

3: http://ftp.debian.org/debian/doc/dedication/dedication-9.0.txt

In "Stretch", the default MySQL variant is now MariaDB. The replacement
of packages for MySQL 5.5 or 5.6 by the MariaDB 10.1 variant will happen
automatically upon upgrade.

Firefox and Thunderbird return to Debian with the release of "Stretch",
and replace their debranded versions Iceweasel and Icedove, which were
present in the archive for more than 10 years.

Thanks to the Reproducible Builds project, over 90% of the source
packages included in Debian 9 will build bit-for-bit identical binary
packages. This is an important verification feature which protects users
from malicious attempts to tamper with compilers and build networks.
Future Debian releases will include tools and metadata so that end-users
can validate the provenance of packages within the archive.

Administrators and those in security-sensitive environments can be
comforted in the knowledge that the X display system no longer requires
"root" privileges to run.

The "Stretch" release is the first version of Debian to feature the
"modern" branch of GnuPG in the "gnupg" package. This brings with it
elliptic curve cryptography, better defaults, a more modular
architecture, and improved smartcard support. We will continue to supply
the "classic" branch of GnuPG as gnupg1 for people who need it, but it
is now deprecated.

Debug packages are easier to obtain and use in Debian 9 "Stretch". A new
"dbg-sym" repository can be added to the APT source list to provide
debug symbols automatically for many packages.

The UEFI ("Unified Extensible Firmware Interface") support first
introduced in "Wheezy" continues to be greatly improved in "Stretch",
and also supports installing on 32-bit UEFI firmware with a 64-bit
kernel. The Debian live images now include support for UEFI booting as a
new feature, too.

This release includes numerous updated software packages, such as:

  * Apache 2.4.25
  * Asterisk 13.14.1
  * Chromium 59.0.3071.86
  * Firefox 45.9 (in the firefox-esr package)
  * GIMP 2.8.18
  * an updated version of the GNOME desktop environment 3.22
  * GNU Compiler Collection 6.3
  * GnuPG 2.1
  * Golang 1.7
  * KDE Frameworks 5.28, KDE Plasma 5.8, and KDE Applications 16.08 and
16.04 for PIM components
  * LibreOffice 5.2
  * Linux 4.9
  * MariaDB 10.1
  * MATE 1.16
  * OpenJDK 8
  * Perl 5.24
  * PHP 7.0
  * PostgreSQL 9.6
  * Python 2.7.13 and 3.5.3
  * Ruby 2.3
  * Samba 4.5
  * systemd 232
  * Thunderbird 45.8
  * Tomcat 8.5
  * Xen Hypervisor
  * the Xfce 4.12 desktop environment
  * more than 51,000 other ready-to-use software packages, built from a
bit more of 25,000 source packages.

With this broad selection of packages and its traditional wide
architecture support, Debian once again stays true to its goal of being
the universal operating system. It is suitable for many different use
cases: from desktop systems to netbooks; from development servers to
cluster systems; and for database, web, or storage servers. At the same
time, additional quality assurance efforts like automatic installation
and upgrade tests for all packages in Debian's archive ensure that
"Stretch" fulfills the high expectations that users have of a stable
Debian release.

A total of ten architectures are supported: 64-bit PC / Intel EM64T /
x86-64 (amd64), 32-bit PC / Intel IA-32 (i386), 64-bit 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

Vull fer notar que, amb això de l'arrencada externa, en Sergi t'està
diferenciant entre: que la contrassenya es demani per al teclat, o que
la contrassenya estigui emmagatzemada a l'arrencada externa, ambdós
casos compatibles amb iniciar d'una memòria USB.

Tot això es perquè el (preguntador &) desbloquejador del disc dur ha de
ser programari sense encriptar encara.



__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 10:32, Sergi Blanch-Torné ha escrit:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
>> La manera en què jo ho he vist fer és deixar connectada la memòria USB
>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
>> encriptar.
>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
>> la memòria USB per arrencar-ne, que és la que demana contrasenya per
>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
>> connectada per a que sigui coherent amb les actualitzacions de nucli i
>> gestor d'arrencada.
>>
>> De tota manera, aquesta externalització de l'arrencada és una mesura més
>> aviat orientada a evitar una vulnerabilitat molt i molt específica:
>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
>> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
>> i així en un «següent robatori» recuperar aquesta dada.
>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
>> memòria USB i col·locar el /boot al mateix disc dur.
>>
>>
>> __
>> I'm using this express-made address because personal addresses aren't
>> masked enough at this list's archives. Mailing lists service
>> administrator should fix this.
>> El 19/06/17 a les 01:37, Pedro ha escrit:
>>> Josep,
>>>
>>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>>
>>> podríem considerar que el punt de partida més habitual és una debian
>>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>>
>>> Gràcies!
>>>
>>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :


 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>
> Hola,
>
> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
> encriptar les particions. Tant al Portàtil com al Sobretaula.
>
> - Només és per si em roben el Disc Dur que no hi puguin accedir?


 Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya 
 (o
 un llapis usb amb una clau) per iniciar sistema.


>
> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
> no podrà fer res?


 Quan inicies el sistema i entres la clau secreta per poder desencriptar el
 sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
 accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
 gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
 l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
 operatiu/aplicacions tenien...

>
>
> Perdoneu la meva ignorància...
>
> Salut




 --
 --
 Salutacions...Josep
 --
>>>
>>
> 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Sergi Blanch-Torné]

Hola,

Els xifrats en disc depenen de què vulguis protegir (el threat model).

Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
sense xifrar. Es necessària per poder carregar el kernel i que aquest et
demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
sense frase de pas perquè el boot està en un stick, un ha de guardar-los
separats quan l'ordinador estar apagat.

Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
parar. Únicament. Estaries protegint la modificació dels binaris. Però
compte amb l'exposició del kernel.

En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
l'ordinador engegat i per tant amb la partició xifrada montada.

De forma no excloent, però que té implicacions de performance, és
utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
tenir present que root, tot i que no pot montar el teu home, si que hi
pot accedir si l'usuari ha fet login.

Després hi ha una tercera via, útil per exemple per discs durs externs,
que serien eines com encfs, en les que hom monta una estructura de
directoris sota demanda. Té els seus pros i contres també.

/Sergi.

Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
aprendre...

On 19/06/17 09:31, Narcis Garcia wrote:
> La manera en què jo ho he vist fer és deixar connectada la memòria USB
> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> encriptar.
> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> la memòria USB per arrencar-ne, que és la que demana contrasenya per
> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> connectada per a que sigui coherent amb les actualitzacions de nucli i
> gestor d'arrencada.
> 
> De tota manera, aquesta externalització de l'arrencada és una mesura més
> aviat orientada a evitar una vulnerabilitat molt i molt específica:
> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> i així en un «següent robatori» recuperar aquesta dada.
> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> memòria USB i col·locar el /boot al mateix disc dur.
> 
> 
> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this list's archives. Mailing lists service
> administrator should fix this.
> El 19/06/17 a les 01:37, Pedro ha escrit:
>> Josep,
>>
>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>
>> podríem considerar que el punt de partida més habitual és una debian
>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>
>> Gràcies!
>>
>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>>>
>>>
>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :

 Hola,

 Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
 encriptar les particions. Tant al Portàtil com al Sobretaula.

 - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>>
>>>
>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>>> un llapis usb amb una clau) per iniciar sistema.
>>>
>>>

 - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
 no podrà fer res?
>>>
>>>
>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>>> operatiu/aplicacions tenien...
>>>


 Perdoneu la meva ignorància...

 Salut
>>>
>>>
>>>
>>>
>>> --
>>> --
>>> Salutacions...Josep
>>> --
>>
> 



signature.asc
Description: OpenPGP digital signature

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

La manera en què jo ho he vist fer és deixar connectada la memòria USB
durant la instal·lació, i allotjar-hi allà la partició de /boot sense
encriptar.
D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
la memòria USB per arrencar-ne, que és la que demana contrasenya per
seguir l'inici del sistema. Això si, convé que la memòria USB romangui
connectada per a que sigui coherent amb les actualitzacions de nucli i
gestor d'arrencada.

De tota manera, aquesta externalització de l'arrencada és una mesura més
aviat orientada a evitar una vulnerabilitat molt i molt específica:
Que algú volgués manipular l'arrencada de l'ordinador per després deixar
que tu el tornis a fer servir i que es desi la contrasenya que escrius,
i així en un «següent robatori» recuperar aquesta dada.
Si no necessites protegir-te d'aquest cas concret, pots prescindir de
memòria USB i col·locar el /boot al mateix disc dur.


__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 01:37, Pedro ha escrit:
> Josep,
> 
> tens alguna guia que recomanis o sabries explicar breument com fer lo
> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> 
> podríem considerar que el punt de partida més habitual és una debian
> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
> 
> Gràcies!
> 
> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>>
>>
>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>>>
>>> Hola,
>>>
>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
>>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>>
>>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>
>>
>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>> un llapis usb amb una clau) per iniciar sistema.
>>
>>
>>>
>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
>>> no podrà fer res?
>>
>>
>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>> operatiu/aplicacions tenien...
>>
>>>
>>>
>>> Perdoneu la meva ignorància...
>>>
>>> Salut
>>
>>
>>
>>
>> --
>> --
>> Salutacions...Josep
>> --
>