Moin zusammen,
meinen halbwegs neuen Desktoprechner möchte ich künftig in einen geeigneten Stromsparmodus versetzen können, aus dem ich ihn wieder in den Arbeitsstand vor dem 'Einschlafen' wecken kann.
Ich finde dazu schrecklich viel Info, teilweise offensichtlich überholt, alles zusammen mehr verwirrend als (für mich) hilfreich: Hibernate, Sleep, Suspend - alles fliegt durcheinander
Auf der Suche nach _dem_ 'Debian-Bookworm-Weg' frage ich hier an.
Der Rechner ist (inzwischen) ein
Bookworm mit Gnome auf i7 Gen10,
64 GB RAM
1 TB NVME-SSD
2 x x 4 TB Spindel, mit mdadm als RAID1
NVIDIA GTX 1050 Ti.
Weil ich vorausblickend tüchtig RAM spendiert habe, schien es mir plausibel, die Swap-Partition klein (1 GB) zu halten. Für den Betrieb im Alltag ist das OK. Swap wird quasi nicht genutzt.
Ich stelle mir vor, dass der gesuchte 'Freeze'-Mode manuell eingeleitet werden kann (keine Zeit-Automatismen).
Wie muss ich mir das prinzipiell vorstellen? Es wird ja wohl ein Speicherabbild erstellt, aber es sollte doch möglich sein, nicht die gesamte 64 GB wegzuschreiben, wenn nur drei Terminals und ein Testeditor laufen?
M.E. muss das Speicherabbild nicht zwingend im Swapspace stattfinden, wie ich es an einigen Stelle gelesen habe. Kann das in eine Datei in / geschrieben werden oder muss ich Swap unbedingt vergrößern?
...
Moin zusammen,
meinen halbwegs neuen Desktoprechner möchte ich künftig in einen geeigneten Stromsparmodus versetzen können, aus dem ich ihn wieder in den Arbeitsstand vor dem 'Einschlafen' wecken kann.
Ich finde dazu schrecklich viel Info, teilweise offensichtlich überholt, alles zusammen mehr verwirrend als (für mich) hilfreich: Hibernate, Sleep, Suspend - alles fliegt durcheinander
Auf der Suche nach _dem_ 'Debian-Bookworm-Weg' frage ich hier an.
Der Rechner ist (inzwischen) ein
Bookworm mit Gnome auf i7 Gen10,
64 GB RAM
1 TB NVME-SSD
2 x x 4 TB Spindel, mit mdadm als RAID1
NVIDIA GTX 1050 Ti.
Weil ich vorausblickend tüchtig RAM spendiert habe, schien es mir plausibel, die Swap-Partition klein (1 GB) zu halten. Für den Betrieb im Alltag ist das OK. Swap wird quasi nicht genutzt.
Ich stelle mir vor, dass der gesuchte 'Freeze'-Mode manuell eingeleitet werden kann (keine Zeit-Automatismen).
Wie muss ich mir das prinzipiell vorstellen? Es wird ja wohl ein Speicherabbild erstellt, aber es sollte doch möglich sein, nicht die gesamte 64 GB wegzuschreiben, wenn nur drei Terminals und ein Testeditor laufen?
M.E. muss das Speicherabbild nicht zwingend im Swapspace stattfinden, wie
ich es an einigen Stelle gelesen habe. Kann das in eine Datei in / geschrieben werden oder muss ich Swap unbedingt vergrößern?
Während die Debian-Installation Gnome auf meinem Laptop mit einem entsprechenden Energiesparmodus aufgetischt hat, ist das bei dem Desktoprechner nicht der Fall. Was muss wohl nachinstalliert werden?
Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported
Dank und Grüße,
Boris
3. Am Laptop benutze ich normalerweise S3 (Suspend to RAM, Bereitschaft, Standby, ...). Aber der braucht in dem Zustand ganz wenig Strom. Bei einem Blechkasten dürfte das anders sein. Am Ende wirst du einen Zielkonflikt lösen müssen: Energie sparengegen den Komfort des sofortigen Aufwachens. Gegen S3 bei Blechkasten spricht auch, dass der bei Stromausfall alles vergisst. Der Laptop ist ja dank Akku autonom. Meinen Blechkasten fahre ich immer runter (aus).
Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported
Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate ist dann unmöglich.
Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
1. Wenn dein System komplett auf der SSD liegt (was ich annehme), dann
geht der Systemstart so schnell, dass Ruhemodus (Hibernation, ACPI
S4) sich nicht lohnt. Im Gegenteil: Für Ruhemodus muss der Rechner
jedes mal das gesamte RAM plus den Grafikspeicher auf die "Platte"
(SSD) schreiben ((die SWAP-Partition oder -Datei müsste entsprechend
groß sein)). Das erzeugt eine beträchtliche Schreiblast, die die Lebensdauer er SSD verkürzt. Deshalb wird bei Systemen auf SSD vom
Ruhemodus wärmstens abgeraten. Ich deaktiviere ihn, damit er beim Ausschaltmenü gar nicht erst auftaucht.
2. Du könntest eine ausreichend große SWAP auf dein RAID1 legen. Aber
was brächte das? Wenn das System für das Aufwachen von der
langsameren mechanischen HD geladen werden muss, dauert das
vermutlich länger als ein Neustart von SSD.
Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
therealcyclist - 30.07.23, 21:54:41 CEST:
Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.
1. Daten verschlüsseln.
2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
ist es kompromittiert. Secure Boot hin, Secure Boot her.
Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
ohnehin reichlich sinnlos. Bei Vollverschlüsselung könnte Secure Boot
noch einen geringen Gewinn bringen. Ich halte das ganze aber nach wie
vor für eine Schnapsidee von Microsoft, um Dinge komplizierter zu machen
als sie sein müssten, ohne einen die zusätzliche Komplexität tatsächlich rechtfertigenden Mehrwert zu bieten. Das können die gut bei Microsoft¹.
Secure Boot in Zusammenhang mit Hardware-Funktionen, die einen
physischen Zugriff auf das System verhindern sollen, wie möglicherweise Lenovo ThinkPad Tamper Protection, wobei ich nicht wirklich weiß, ob die auch was bringt… vielleicht… aber möchte ich so ein System dann noch nutzen? Ich glaube eher nicht.
Zumal so oder so sich ja auch noch die Frage stellt, inwiefern ich der Firmware vertrauen kann. Denn die kann im Betrieb natürlich auch auf an
sich verschlüsselte Daten zugreifen.
Also für echte Sicherheit sind IMHO andere Maßnahmen viel, viel
wichtiger als Secure Boot.
[1] Sicherheit aber eher weniger, wie so einige Vorfälle in Bezug auf Microsoft 365 ja mal wieder gezeigt haben.
--
Martin
therealcyclist - 30.07.23, 21:54:41 CEST:
Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe:
https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.
1. Daten verschlüsseln.
2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
ist es kompromittiert. Secure Boot hin, Secure Boot her.
Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
ohnehin reichlich sinnlos.
[...]
Das ist nicht das (Haupt-)Ziel von Secure Boot. Das Ziel von Secure
Boot ist es, schon vom Start weg keinen kompromittierten Code
auszuführen. Gegen kompromittierten Code schützt auch eine
vollverschlüsselte Festplatte nur bedingt, denn mindestens derjenige
Teil des Bootloaders, der zum "Aufschließen" der verschlüsselten
Festplatte dient, muss ja logischerweise unverschlüsselt vorliegen,
kann also auch ohne Kenntnis des Festplatten-Verschlüsselungs-
Schlüssels kompromittiert werden.
Wie wahrscheinlich ein solcher Angriff ist und wie gut Secure Boot in
der Realität gegen solche Angriffe schützt, sind andere Fragen.
Es darf aber auch jeder gerne anders sehen und so viel Secure Boot
machen wie auch nur geht.
therealcyclist schrieb:
Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported
Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate ist dann unmöglich.
Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
Aber suspend sollte ja trotzdem klappen?
Ins blaue geraten:
Eventuell aber doch wieder nicht wenn suspend-then-hibernate (in Gnome) aktiv ist?
$ gsettings get org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type
Ansonsten vielleicht als Einstieg mal schauen was genau passiert:
$ SYSTEMD_LOG_LEVEL=debug systemctl suspend
Die Fehlermeldung verb not supported kannte ich noch nicht.
Tschau,
Manfred
Call to Suspend failed: Sleep verb "suspend" not supported
Bus n/a: changing state RUNNING → CLOSED
On 01.08.23 08:36, Boris wrote:
Call to Suspend failed: Sleep verb "suspend" not supported
Bus n/a: changing state RUNNING → CLOSED
Spannend. Kannst Du bitte den Output der folgenden Kommandos posten?
cat /sys/power/state
cat /proc/cmdline
grep -R AllowSuspend /etc/systemd/
Am 01.08.23 um 12:49 schrieb Ulf Volmer:
On 01.08.23 12:36, Boris wrote:
/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no
Merkst Du selber, oder?
Ja, und habe auch schon damit experimentiert.
/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no
On 01.08.23 12:36, Boris wrote:
/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no
Merkst Du selber, oder?
.... obwohl es für mich letztlich irgendwie uneinheitlich bleibt, denn
oben steht ja
/etc/systemd/sleep.conf:#AllowSuspend=yes
Am 01.08.23 um 13:01 schrieb Boris:
.... obwohl es für mich letztlich irgendwie uneinheitlich bleibt, denn
oben steht ja
/etc/systemd/sleep.conf:#AllowSuspend=yes
Das "#" heißt, dass der Befehl auskommentiert ist ...
Am 01.08.23 um 12:49 schrieb Ulf Volmer:
On 01.08.23 12:36, Boris wrote:
/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no
Merkst Du selber, oder?
Ja, und habe auch schon damit experimentiert.
Setze ich hier
AllowSuspend=yes
, dann klappt auch systemctl suspend.
...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige Aspekte... Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch des Rechners nicht wieder alle Fenster öffnen und arrangieren zu müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...
Moin Boris,Hibernation habe ich null.
Am 01.08.23 um 06:36 schrieb Boris:
...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige Aspekte... Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch des Rechners nicht wieder alle Fenster öffnen und arrangieren zu müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...
Also in meinem Debian mit xfce kann ich unter "Sitzung und Startverhalten" einstellen, dass die Sitzung beim Abmelden gespeichert werden soll. Unabhängig davon kann ich "Automatisch gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht nach
Am Tue, Aug 01, 2023 at 06:59:50PM +0000 schrieb Christoph Schmees:...
Hibernation habe ich null.Also in meinem Debian mit xfce kann ich unter "Sitzung und Startverhalten" einstellen, dass die Sitzung beim Abmelden gespeichert werden soll. Unabhängig davon kann ich "Automatisch gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht nach
Und Dein vim/emacs hat danach die gleichen Dateien geöffnet, wie vor dem Neustart? Schick.
Mein i3wm kann auch sehr schön definierte Zustände beim Start herstellen, das ist aber nicht feature-gleich zu einem Suspend/Hibernate.
Am 01.08.23 um 21:20 schrieb Ulf Volmer:[…]
Am Tue, Aug 01, 2023 at 06:59:50PM +0000 schrieb Christoph Schmees:
Also in meinem Debian mit xfce kann ich unter "Sitzung undUnd Dein vim/emacs hat danach die gleichen Dateien geöffnet, wie vor
Startverhalten" einstellen, dass die Sitzung beim Abmelden
gespeichert werden soll. Unabhängig davon kann ich "Automatisch
gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht
nach Hibernation habe ich null.>
dem Neustart? Schick.
Ich benutze weder vim noch emacs. Außerdem neige ich dazu, Dateien zu schließen (wenigstens zu sichern), wenn ich den Rechner verlasse, egal
in welchem Zustand (des Rechners). :-D
Das klappt auch mit KDE Plasma mit allen KDE-Anwendungen einwandfrei. PDF-Dateien in Okular und Text-Dateien in KWrite / Kate gehen sogar an
der gleichen Position auf.
Aber schon mit Firefox hatte ich Ärger. Möglicherweise ist das eine Einstellungssache. Aber es gibt eben doch so einige Programme, die über
die Sitzungsverwaltung nicht so zurückkehren, wie ich mir das wünsche.
Am Dienstag, 1. August 2023, 23:10:27 CEST schrieb Martin Steigerwald:
Das klappt auch mit KDE Plasma mit allen KDE-Anwendungen
einwandfrei.
PDF-Dateien in Okular und Text-Dateien in KWrite / Kate gehen sogar
an der gleichen Position auf.
Das geht wirklich einwandfrei.
Aber schon mit Firefox hatte ich Ärger. Möglicherweise ist das eine Einstellungssache. Aber es gibt eben doch so einige Programme, die
über die Sitzungsverwaltung nicht so zurückkehren, wie ich mir das
wünsche.
Google Chrome wird davon auch komplett ignoriert.
Man muss Chrome selbst neu starten. Immerhin wird anboten die letzten
Tabs wiederherzustellen.
Boris schrieb:
Am 01.08.23 um 12:49 schrieb Ulf Volmer:Das Verzeichnis sleep.conf.d sowie die Datei dürfte irgendwann von Dir angelegt worden sein, könnte also auch ganz weg wenn Du suspend auch
On 01.08.23 12:36, Boris wrote:
/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no
Merkst Du selber, oder?
Ja, und habe auch schon damit experimentiert.
Setze ich hier
AllowSuspend=yes
, dann klappt auch systemctl suspend.
in Zukunft nicht hart verhindern willst ;-)
Tschau Manfred
Moin Boris,
Am 01.08.23 um 06:36 schrieb Boris:
...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige
Aspekte...
Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch
des Rechners nicht wieder alle Fenster öffnen und arrangieren zu
müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...
Also in meinem Debian mit xfce kann ich unter "Sitzung und
Startverhalten" einstellen, [Snip]
Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
Wenn ja, welche Erfahrungen habt ihr damit gemacht?
Sebastian Suchanek - 31.07.23, 08:11:12 CEST:
Das ist nicht das (Haupt-)Ziel von Secure Boot. Das Ziel von Secure
Boot ist es, schon vom Start weg keinen kompromittierten Code
auszuführen. Gegen kompromittierten Code schützt auch eine
Ja, mir ist das bewusst. Ich habe nur den Eindruck, dass es so einige
gibt, die Secure Boot als Allheilmittel für Alles ansehen.
Das Ziel erreicht es aber ohnehin nicht. Zumindest auf den typischen
PCs. Die Firmware ist aus meiner Sicht bereits komprimierter Code. Es
sei denn Du hast eine Talos POWER 9-Workstation, wo Dir der Hersteller
den GPG-signierten Code der Firmware auf CD mitliefert.
Für das Laufen lassen eines typischen PCs muss ich bereits dem
Hersteller über den Weg trauen oder darauf hoffen, dass in der Firmware nichts passiert, was gegen mein Interesse ist. Da je nach Firmware
bereits ein oder zwei TCP/IP-Stacks enthalten sind, die hoffentlich ausgeschaltet sind, wenn ich sie ausschalte, halte ich das bereits für ziemlich schwierig.
Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
Wenn ja, welche Erfahrungen habt ihr damit gemacht?
Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch eine Vollverschlüsselung der "Festplatte" und z.B. LUKS wird dadurch
überflüssig?
Secure Boot hat nicht zum Ziel, diese deine Interessen zu realisieren. Es soll vielmehr dazu dienen, DRM durchgängig sicherzustellen. Dabei sollst du den "Marktbeteiligten" und ihren Produkten vertrauen. Die wollen nur dein Bestes und wissen, was das Beste für dich ist. Friss!
Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported
Am Sun, Jul 30, 2023 at 05:18:34PM +0200 schrieb Boris:
Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported
Bist Du zu einer zufriedenstellenden Lösung gekommen?
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 299 |
Nodes: | 16 (2 / 14) |
Uptime: | 73:30:33 |
Calls: | 6,694 |
Calls today: | 4 |
Files: | 12,228 |
Messages: | 5,346,920 |
Posted today: | 1 |