Moin zusammen,


meinen halbwegs neuen Desktoprechner möchte ich künftig in einen
geeigneten Stromsparmodus versetzen können, aus dem ich ihn wieder in
den Arbeitsstand vor dem 'Einschlafen' wecken kann.

Ich finde dazu schrecklich viel Info, teilweise offensichtlich überholt,
alles zusammen mehr verwirrend als (für mich) hilfreich: Hibernate,
Sleep, Suspend - alles fliegt durcheinander

Auf der Suche nach _dem_ 'Debian-Bookworm-Weg' frage ich hier an.

Der Rechner ist (inzwischen) ein
Bookworm mit Gnome auf i7 Gen10,
64 GB RAM
1 TB NVME-SSD
2 x x 4 TB Spindel, mit mdadm als RAID1
NVIDIA GTX 1050 Ti.

Weil ich vorausblickend tüchtig RAM spendiert habe, schien es mir
plausibel, die Swap-Partition klein (1 GB) zu halten. Für den Betrieb im Alltag ist das OK. Swap wird quasi nicht genutzt.

Ich stelle mir vor, dass der gesuchte 'Freeze'-Mode manuell eingeleitet
werden kann (keine Zeit-Automatismen).
Wie muss ich mir das prinzipiell vorstellen? Es wird ja wohl ein
Speicherabbild erstellt, aber es sollte doch möglich sein, nicht die
gesamte 64 GB wegzuschreiben, wenn nur drei Terminals und ein Testeditor laufen?
M.E. muss das Speicherabbild nicht zwingend im Swapspace stattfinden,
wie ich es an einigen Stelle gelesen habe. Kann das in eine Datei in / geschrieben werden oder muss ich Swap unbedingt vergrößern?

Während die Debian-Installation Gnome auf meinem Laptop mit einem entsprechenden Energiesparmodus aufgetischt hat, ist das bei dem
Desktoprechner nicht der Fall. Was muss wohl nachinstalliert werden?

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Dank und Grüße,


Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Moin Boris,

Am 30.07.23 um 15:18 schrieb Boris:

Moin zusammen,

meinen halbwegs neuen Desktoprechner möchte ich künftig in einen geeigneten Stromsparmodus versetzen können, aus dem ich ihn wieder in den Arbeitsstand vor dem 'Einschlafen' wecken kann.

Ich finde dazu schrecklich viel Info, teilweise offensichtlich überholt, alles zusammen mehr verwirrend als (für mich) hilfreich: Hibernate, Sleep, Suspend - alles fliegt durcheinander

Auf der Suche nach _dem_ 'Debian-Bookworm-Weg' frage ich hier an.

Der Rechner ist (inzwischen) ein
Bookworm mit Gnome auf i7 Gen10,
64 GB RAM
1 TB NVME-SSD
2 x x 4 TB Spindel, mit mdadm als RAID1
NVIDIA GTX 1050 Ti.

Weil ich vorausblickend tüchtig RAM spendiert habe, schien es mir plausibel, die Swap-Partition klein (1 GB) zu halten. Für den Betrieb im Alltag ist das OK. Swap wird quasi nicht genutzt.

Ich stelle mir vor, dass der gesuchte 'Freeze'-Mode manuell eingeleitet werden kann (keine Zeit-Automatismen).
Wie muss ich mir das prinzipiell vorstellen? Es wird ja wohl ein Speicherabbild erstellt, aber es sollte doch möglich sein, nicht die gesamte 64 GB wegzuschreiben, wenn nur drei Terminals und ein Testeditor laufen?
M.E. muss das Speicherabbild nicht zwingend im Swapspace stattfinden, wie ich es an einigen Stelle gelesen habe. Kann das in eine Datei in / geschrieben werden oder muss ich Swap unbedingt vergrößern?
...

Ein paar grundsätzliche Überlegungen:

1. Wenn dein System komplett auf der SSD liegt (was ich annehme), dann geht der Systemstart so schnell, dass Ruhemodus (Hibernation, ACPI S4) sich nicht lohnt. Im Gegenteil: Für Ruhemodus muss der Rechner jedes mal das gesamte RAM plus den
Grafikspeicher auf die "Platte" (SSD) schreiben ((die SWAP-Partition oder -Datei müsste entsprechend groß sein)). Das erzeugt eine beträchtliche Schreiblast, die die Lebensdauer er SSD verkürzt. Deshalb wird bei Systemen auf SSD vom Ruhemodus wä
rmstens abgeraten. Ich deaktiviere ihn, damit er beim Ausschaltmenü gar nicht erst auftaucht.

2. Du könntest eine ausreichend große SWAP auf dein RAID1 legen. Aber was brächte das? Wenn das System für das Aufwachen von der langsameren mechanischen HD geladen werden muss, dauert das vermutlich länger als ein Neustart von SSD.

3. Am Laptop benutze ich normalerweise S3 (Suspend to RAM, Bereitschaft, Standby, ...). Aber der braucht in dem Zustand ganz wenig Strom. Bei einem Blechkasten dürfte das anders sein. Am Ende wirst du einen Zielkonflikt lösen müssen: Energie sparen
gegen den Komfort des sofortigen Aufwachens. Gegen S3 bei Blechkasten spricht auch, dass der bei Stromausfall alles vergisst. Der Laptop ist ja dank Akku autonom. Meinen Blechkasten fahre ich immer runter (aus).

hth.

LG Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com(icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Sun, Jul 30, 2023 at 05:18:34PM +0200, Boris wrote:

Moin zusammen,

meinen halbwegs neuen Desktoprechner möchte ich künftig in einen geeigneten Stromsparmodus versetzen können, aus dem ich ihn wieder in den Arbeitsstand vor dem 'Einschlafen' wecken kann.

Ich finde dazu schrecklich viel Info, teilweise offensichtlich überholt, alles zusammen mehr verwirrend als (für mich) hilfreich: Hibernate, Sleep, Suspend - alles fliegt durcheinander

Auf der Suche nach _dem_ 'Debian-Bookworm-Weg' frage ich hier an.

Der Rechner ist (inzwischen) ein
Bookworm mit Gnome auf i7 Gen10,
64 GB RAM
1 TB NVME-SSD
2 x x 4 TB Spindel, mit mdadm als RAID1
NVIDIA GTX 1050 Ti.

Weil ich vorausblickend tüchtig RAM spendiert habe, schien es mir plausibel, die Swap-Partition klein (1 GB) zu halten. Für den Betrieb im Alltag ist das OK. Swap wird quasi nicht genutzt.

Ich stelle mir vor, dass der gesuchte 'Freeze'-Mode manuell eingeleitet werden kann (keine Zeit-Automatismen).
Wie muss ich mir das prinzipiell vorstellen? Es wird ja wohl ein Speicherabbild erstellt, aber es sollte doch möglich sein, nicht die gesamte 64 GB wegzuschreiben, wenn nur drei Terminals und ein Testeditor laufen?
M.E. muss das Speicherabbild nicht zwingend im Swapspace stattfinden, wie
ich es an einigen Stelle gelesen habe. Kann das in eine Datei in / geschrieben werden oder muss ich Swap unbedingt vergrößern?

Während die Debian-Installation Gnome auf meinem Laptop mit einem entsprechenden Energiesparmodus aufgetischt hat, ist das bei dem Desktoprechner nicht der Fall. Was muss wohl nachinstalliert werden?

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Dank und Grüße,

Boris

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate ist dann unmöglich.
Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Christoph Schmees schrieb:

3. Am Laptop benutze ich normalerweise S3 (Suspend to RAM, Bereitschaft, Standby, ...). Aber der braucht in dem Zustand ganz wenig Strom. Bei einem Blechkasten dürfte das anders sein. Am Ende wirst du einen Zielkonflikt lösen müssen: Energie sparen

gegen den Komfort des sofortigen Aufwachens. Gegen S3 bei Blechkasten spricht auch, dass der bei Stromausfall alles vergisst. Der Laptop ist ja dank Akku autonom. Meinen Blechkasten fahre ich immer runter (aus).

Best of both worlds mit hybrid-sleep, also sicher vor Stromausfall und
Rechner trotzdem normalerweise in zwei Sekunden wieder im altem Zustand?
Ich fahr meine Rechner seit zig Jahren nicht mehr runter, keine Lsut die
ganzen Programme wieder neu zu starten.
Auch Desktop-Rechner sollten im Suspend2Ram heutzutage ja quasi keinen
Strom mehr ziehen? (vielleicht unnötige "Aufwach-Devices" im EFI/BIOS abschalten).

Tschau,
Manfred

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

therealcyclist schrieb:

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate ist dann unmöglich.
Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

Aber suspend sollte ja trotzdem klappen?
Ins blaue geraten:
Eventuell aber doch wieder nicht wenn suspend-then-hibernate (in Gnome) aktiv ist?
$ gsettings get org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type

Ansonsten vielleicht als Einstieg mal schauen was genau passiert:
$ SYSTEMD_LOG_LEVEL=debug systemctl suspend

Die Fehlermeldung verb not supported kannte ich noch nicht.

Tschau,
Manfred

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Christoph Schmees - 30.07.23, 21:01:08 CEST:

1. Wenn dein System komplett auf der SSD liegt (was ich annehme), dann
geht der Systemstart so schnell, dass Ruhemodus (Hibernation, ACPI
S4) sich nicht lohnt. Im Gegenteil: Für Ruhemodus muss der Rechner
jedes mal das gesamte RAM plus den Grafikspeicher auf die "Platte"
(SSD) schreiben ((die SWAP-Partition oder -Datei müsste entsprechend
groß sein)). Das erzeugt eine beträchtliche Schreiblast, die die Lebensdauer er SSD verkürzt. Deshalb wird bei Systemen auf SSD vom
Ruhemodus wärmstens abgeraten. Ich deaktiviere ihn, damit er beim Ausschaltmenü gar nicht erst auftaucht.

Ich verwende Ruhezustand mit vielen Laptops, die SSDs haben, mit der Lebensdauer der SSDs habe ich da noch nie auch nur ansatzweise
irgendwelche Probleme gehabt. Wer die Lebensdauer bei guter Performance verlängern möchte, ist IMHO besser beraten, einfach einen Teil der Kapazität nicht zu nutzen.

Beim Ruhezustand geht es mir nicht alleine um die Ladezeit, die von
NVME-SSD selbst bei 32 GiB relativ kurz ist, sondern darum, dass alles
wieder exakt so da ist, wie ich es verlassen habe.

Allerdings dauert der Wechsel von Betrieb in den Ruhezustand bereits mit
32 GiB RAM durchaus eine Weile. Teilweise bis zu 10 Sekunden und mehr,
bis Linux überhaupt anfängt, das Abbild vom Hauptspeicher zu schreiben.
Und das auf einem ThinkPad T14 AMD Gen 1. Und das durchaus auch, wenn
von den 32 GiB nur 10 GiB genutzt sind. Ich glaube Linux speichert zum
Teil Caches auch noch mit weg. Und bis es sich darüber klar ist, was es speichert und was nicht… das kann dauern. Da gab es mit Software Suspend
2 / Tux On Ice mal eine um Längen effizientere Implementierung, die es
aber leider nie in den Kernel geschafft hat.

Mit 64 GiB dürfte der Wechsel vom Betrieb in den Ruhezustand noch länger dauern. Auf einem ThinkPad X260 mit nur 8 GiB RAM ist der Wechsel viel schneller. Das ist innerhalb weniger Sekunden im Ruhezustand.

2. Du könntest eine ausreichend große SWAP auf dein RAID1 legen. Aber
was brächte das? Wenn das System für das Aufwachen von der
langsameren mechanischen HD geladen werden muss, dauert das
vermutlich länger als ein Neustart von SSD.

Deswegen würde ich im Falle des Falle das Hauptspeicher-Abbild auch auf
SSD schreiben lassen. Das interessiert moderne SSDs nicht die Bohne.

Bislang hat ohnehin noch keine einzige SSD, die ich betreibe, den Geist aufgegeben. Die Samsung 980 Pro 2 TB in dem ThinkPad T14 AMD Gen 1 hat
nach mehr als einem Jahr gerade mal 1% der sinnvoll nutzbaren
Lebensdauer verbraucht. Demnach dürfte die noch 100 Jahre halten oder
so.

Ich vermute mal, dass das Freilassen von bislang ca. 142 GiB, die in der Volume Group noch unbelegt sind, so an sich auch nicht wirklich
erforderlich ist, und ich davon auch noch 100 GiB verwenden könnte, ohne
dass da viel passiert. Zumal in einigen Dateisystemen ja auch noch so
Einiges an Platz frei ist, was hier BTRFS mittlerweile aufgrund der Mount-Option "discard=async" direkt an die SSD kommuniziert.

Ich gehe nicht davon aus, dass das Schreiben des Speicherabbilds in der
Regel einmal pro Tag, tagsüber klappe ich das Laptop einfach zu, damit
es in den Standby-Modus geht, hier eine nennenswerte Rolle spielt. Zumal
der Kernel ohnehin nicht die gesamten 32 GiB, sondern deutlich weniger,
zudem noch komprimiert speichert.

Ich lasse das Speicherabbild immer ins Swap schreiben. Allerdings läuft
das Laptop hier auch mit "vm.swappiness=0", was ich vielleicht besser
auf "vm.swappiness=1" setzen sollte, da ich mit 0 als Wert schon
Probleme gesehen habe. Allerdings nicht auf diesem Laptop. Einfach weil
ich beim Speicherverbrauch ohnehin nicht über die Hälfte des verbauten Hauptspeichers komme und Linux den Rest nach Bedarf zum Puffern
verwendet. So auch jetzt ca. 16 GiB. Der Auslagerungsspeicher ist außer
für das Speicherabbild nur dazu da, bei Bedarf aus irgendeinem Grund mal etwas extrem Speicherintensives machen zu können. Ich glaub ich hab den
noch nie wirklich dafür gebraucht.

--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

therealcyclist - 30.07.23, 21:54:41 CEST:

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.

1. Daten verschlüsseln.

2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
ist es kompromittiert. Secure Boot hin, Secure Boot her.

Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
ohnehin reichlich sinnlos. Bei Vollverschlüsselung könnte Secure Boot
noch einen geringen Gewinn bringen. Ich halte das ganze aber nach wie
vor für eine Schnapsidee von Microsoft, um Dinge komplizierter zu machen
als sie sein müssten, ohne einen die zusätzliche Komplexität tatsächlich rechtfertigenden Mehrwert zu bieten. Das können die gut bei Microsoft¹.

Secure Boot in Zusammenhang mit Hardware-Funktionen, die einen
physischen Zugriff auf das System verhindern sollen, wie möglicherweise Lenovo ThinkPad Tamper Protection, wobei ich nicht wirklich weiß, ob die
auch was bringt… vielleicht… aber möchte ich so ein System dann noch nutzen? Ich glaube eher nicht.

Zumal so oder so sich ja auch noch die Frage stellt, inwiefern ich der Firmware vertrauen kann. Denn die kann im Betrieb natürlich auch auf an
sich verschlüsselte Daten zugreifen.

Also für echte Sicherheit sind IMHO andere Maßnahmen viel, viel
wichtiger als Secure Boot.

[1] Sicherheit aber eher weniger, wie so einige Vorfälle in Bezug auf Microsoft 365 ja mal wieder gezeigt haben.

--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Sun, Jul 30, 2023 at 11:12:16PM +0200, Martin Steigerwald wrote:

therealcyclist - 30.07.23, 21:54:41 CEST:

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.

1. Daten verschlüsseln.

2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
ist es kompromittiert. Secure Boot hin, Secure Boot her.

Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
ohnehin reichlich sinnlos. Bei Vollverschlüsselung könnte Secure Boot
noch einen geringen Gewinn bringen. Ich halte das ganze aber nach wie
vor für eine Schnapsidee von Microsoft, um Dinge komplizierter zu machen
als sie sein müssten, ohne einen die zusätzliche Komplexität tatsächlich rechtfertigenden Mehrwert zu bieten. Das können die gut bei Microsoft¹.

Secure Boot in Zusammenhang mit Hardware-Funktionen, die einen
physischen Zugriff auf das System verhindern sollen, wie möglicherweise Lenovo ThinkPad Tamper Protection, wobei ich nicht wirklich weiß, ob die auch was bringt… vielleicht… aber möchte ich so ein System dann noch nutzen? Ich glaube eher nicht.

Zumal so oder so sich ja auch noch die Frage stellt, inwiefern ich der Firmware vertrauen kann. Denn die kann im Betrieb natürlich auch auf an
sich verschlüsselte Daten zugreifen.

Also für echte Sicherheit sind IMHO andere Maßnahmen viel, viel
wichtiger als Secure Boot.

[1] Sicherheit aber eher weniger, wie so einige Vorfälle in Bezug auf Microsoft 365 ja mal wieder gezeigt haben.

--
Martin

Secure Boot deaktiviert unter debian nicht direkt hibernate. Das macht lockdown=confidentiality.
Debian hat aber per default: wenn secure boot dann auch lockdown=confidentiality.

lockdown=confidentiality hat aber weitere Vorteile wie z.B. das keine unsignierten kernel module geladen werden.
Und unverschlüsselt hibernate zu verhindern ist eben auch ein security feature von lockdown.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 30.07.2023 um 23:12 schrieb Martin Steigerwald:

therealcyclist - 30.07.23, 21:54:41 CEST:

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
ist dann unmöglich. Siehe:
https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.

1. Daten verschlüsseln.

2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
ist es kompromittiert. Secure Boot hin, Secure Boot her.

Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
ohnehin reichlich sinnlos.
[...]

Das ist nicht das (Haupt-)Ziel von Secure Boot. Das Ziel von Secure Boot
ist es, schon vom Start weg keinen kompromittierten Code auszuführen.
Gegen kompromittierten Code schützt auch eine vollverschlüsselte
Festplatte nur bedingt, denn mindestens derjenige Teil des Bootloaders,
der zum "Aufschließen" der verschlüsselten Festplatte dient, muss ja logischerweise unverschlüsselt vorliegen, kann also auch ohne Kenntnis
des Festplatten-Verschlüsselungs-Schlüssels kompromittiert werden.

Wie wahrscheinlich ein solcher Angriff ist und wie gut Secure Boot in
der Realität gegen solche Angriffe schützt, sind andere Fragen.


HTH,

Sebastian

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Sebastian Suchanek - 31.07.23, 08:11:12 CEST:

Das ist nicht das (Haupt-)Ziel von Secure Boot. Das Ziel von Secure
Boot ist es, schon vom Start weg keinen kompromittierten Code
auszuführen. Gegen kompromittierten Code schützt auch eine

Ja, mir ist das bewusst. Ich habe nur den Eindruck, dass es so einige
gibt, die Secure Boot als Allheilmittel für Alles ansehen.

Das Ziel erreicht es aber ohnehin nicht. Zumindest auf den typischen
PCs. Die Firmware ist aus meiner Sicht bereits komprimierter Code. Es
sei denn Du hast eine Talos POWER 9-Workstation, wo Dir der Hersteller
den GPG-signierten Code der Firmware auf CD mitliefert.

Für das Laufen lassen eines typischen PCs muss ich bereits dem
Hersteller über den Weg trauen oder darauf hoffen, dass in der Firmware
nichts passiert, was gegen mein Interesse ist. Da je nach Firmware
bereits ein oder zwei TCP/IP-Stacks enthalten sind, die hoffentlich ausgeschaltet sind, wenn ich sie ausschalte, halte ich das bereits für ziemlich schwierig.

vollverschlüsselte Festplatte nur bedingt, denn mindestens derjenige
Teil des Bootloaders, der zum "Aufschließen" der verschlüsselten
Festplatte dient, muss ja logischerweise unverschlüsselt vorliegen,
kann also auch ohne Kenntnis des Festplatten-Verschlüsselungs-
Schlüssels kompromittiert werden.

Ein Gerät, auf das jemand Anderes Zugriff hat, kann auf so viele andere
mehr oder weniger kreative Weisen kompromittiert werden, vor denen
Secure Boot *nicht* schützt, dass ich erneut in Frage stelle, inwiefern
die zusätzliche Komplexität den kleinen Gewinn rechtfertigt, den Secure
Boot bietet. Aber das habe ich alles auch erwähnt und damit eben auch
klar gestellt, dass ich durchaus weiß, vor was uns die Erfinder von
Secure Boot bewahren wollen.

Genau das leistet es aber nicht. Zumindest nicht mit Laptops die nicht entsprechend versiegelt und *physikalisch* vor Zugriff geschützt sind.

Wie ich schrieb: Ein Gerät auf das jemand anderes physikalisch Zugriff
hat, ist kompromittiert. Aus. Ende. Basta. Ich weiß nicht, was daran so
schwer zu verstehen ist. Es sei denn Du verwendest Ausnahme-Hardware.
Nur das macht eben auch wieder kaum jemand.

Secure Boot kann einen Vorteil bringen, aber eben nur dann, wenn Du all
die anderen zusätzlichen Dinge noch machst, die dafür Voraussetzung
sind: TPM, Vollverschlüsselung, physikalische Schutzmaßnahmen und im
Idealfall eine Firmware, die Du selbst aus dem signierten Quelltext
kompiliert hast.

Und dann sind noch etwaige Sicherheitslücken, die Secure Boot aufgrund
der Komplexität gerade zu einlädt, noch außen vor.

Für mich bleibt Secure Boot eine Marketing-Nebelkerze, die von dem
ablenkt, was für mich (!) wirklich wichtig ist.

Es darf aber auch jeder gerne anders sehen und so viel Secure Boot
machen wie auch nur geht.

Wie wahrscheinlich ein solcher Angriff ist und wie gut Secure Boot in
der Realität gegen solche Angriffe schützt, sind andere Fragen.

Eben! Wichtige Fragen, wenn Du mich fragst.

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Mon, Jul 31, 2023 at 09:23:32AM +0200 schrieb Martin Steigerwald:

Es darf aber auch jeder gerne anders sehen und so viel Secure Boot
machen wie auch nur geht.

Das ist außerordentlich zuvorkommend von Dir.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 30.07.23 um 22:48 schrieb Manfred Schmitt:

therealcyclist schrieb:

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate ist dann unmöglich.
Siehe: https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html

Aber suspend sollte ja trotzdem klappen?
Ins blaue geraten:
Eventuell aber doch wieder nicht wenn suspend-then-hibernate (in Gnome) aktiv ist?
$ gsettings get org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type

Ansonsten vielleicht als Einstieg mal schauen was genau passiert:
$ SYSTEMD_LOG_LEVEL=debug systemctl suspend

Die Fehlermeldung verb not supported kannte ich noch nicht.

Tschau,
Manfred

Moin zusammen,

vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige Aspekte... Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch des Rechners nicht wieder alle Fenster öffnen und arrangieren zu müssen,
alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
Wenn der Rechner ein paar Minuten zum Einfrieren braucht, OK. da bin ich
dann ja ggfs. schon nicht mehr dabei. Aufwachen darf schneller gehen.... ;-)

Ja, der Rechner bootet über efi. Hier die Ausgaben der beiden
vorgeschlagenen Abfragen:

Dank und Grüße,

Boris

# gsettings get org.gnome.settings-daemon.plugins.power
sleep-inactive-ac-type
'suspend'


# SYSTEMD_LOG_LEVEL=debug systemctl suspend
Bus n/a: changing state UNSET → OPENING
sd-bus: starting bus by connecting to /run/dbus/system_bus_socket...
Bus n/a: changing state OPENING → AUTHENTICATING
Setting wall message "".
Bus n/a: changing state AUTHENTICATING → HELLO
Sent message type=method_call sender=n/a
destination=org.freedesktop.DBus path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=Hello cookie=1 reply_cookie=0 signature=n/a error-name=n/a error-message=n/a
Got message type=method_return sender=org.freedesktop.DBus
destination=:1.192 path=n/a interface=n/a member=n/a cookie=1
reply_cookie=1 signature=s error-name=n/a error-message=n/a
Bus n/a: changing state HELLO → RUNNING
Sent message type=method_call sender=n/a
destination=org.freedesktop.login1 path=/org/freedesktop/login1 interface=org.freedesktop.login1.Manager member=SetWallMessage cookie=2 reply_cookie=0 signature=sb error-name=n/a error-message=n/a
Got message type=method_return sender=:1.0 destination=:1.192 path=n/a interface=n/a member=n/a cookie=316 reply_cookie=2 signature=n/a
error-name=n/a error-message=n/a
Executing org.freedesktop.login1.Manager SuspendWithFlags dbus call.
Sent message type=method_call sender=n/a
destination=org.freedesktop.login1 path=/org/freedesktop/login1 interface=org.freedesktop.login1.Manager member=SuspendWithFlags
cookie=3 reply_cookie=0 signature=t error-name=n/a error-message=n/a
Got message type=error sender=:1.0 destination=:1.192 path=n/a
interface=n/a member=n/a cookie=317 reply_cookie=3 signature=s error-name=org.freedesktop.login1.SleepVerbNotSupported
error-message=Sleep verb "suspend" not supported
Call to Suspend failed: Sleep verb "suspend" not supported
Bus n/a: changing state RUNNING → CLOSED

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 01.08.23 08:36, Boris wrote:

Call to Suspend failed: Sleep verb "suspend" not supported
Bus n/a: changing state RUNNING → CLOSED

Spannend. Kannst Du bitte den Output der folgenden Kommandos posten?

cat /sys/power/state
cat /proc/cmdline
grep -R AllowSuspend /etc/systemd/

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 11:54 schrieb Ulf Volmer:

On 01.08.23 08:36, Boris wrote:

Call to Suspend failed: Sleep verb "suspend" not supported
Bus n/a: changing state RUNNING → CLOSED

Spannend. Kannst Du bitte den Output der folgenden Kommandos posten?

cat /sys/power/state
cat /proc/cmdline
grep -R AllowSuspend /etc/systemd/

Moin Ulf,

vielen Dank für Deine Aufmerksamkeit bzgl. meiner Sache!

Spannung erzeuge ich gerne:

# cat /sys/power/state
freeze mem disk

# cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-6.1.0-10-amd64 root=UUID=75bb791b-9513-42a8-8a7b-b9ef59beee23 ro quiet

# grep -R AllowSuspend /etc/systemd/

# grep -R AllowSuspend /etc/systemd/
/etc/systemd/sleep.conf:#AllowSuspend=yes /etc/systemd/sleep.conf:#AllowSuspendThenHibernate=yes
grep: /etc/systemd/system/multi-user.target.wants/ntp.service: Datei
oder Verzeichnis nicht gefunden
grep: /etc/systemd/system/dbus-org.freedesktop.timesync1.service: Datei
oder Verzeichnis nicht gefunden /etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no /etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspendThenHibernate=no

Mmhhh, zwei SymLinks zeigen ins Nichts. Anmerkung:
Der Rechner wurde einst mit Buster zum Leben erweckt und hat jeweils mit Erscheinen der neuen Stable-Version ein dist-upgrade erhalten.

Dank und Grüße,

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 12:58 schrieb Boris:

Am 01.08.23 um 12:49 schrieb Ulf Volmer:

On 01.08.23 12:36, Boris wrote:

/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no

Merkst Du selber, oder?

Ja, und habe auch schon damit experimentiert.

.... obwohl es für mich letztlich irgendwie uneinheitlich bleibt, denn
oben steht ja

/etc/systemd/sleep.conf:#AllowSuspend=yes

Egal. Funktioniert.

Nochmal Danke.

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 01.08.23 12:36, Boris wrote:

/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no

Merkst Du selber, oder?

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 12:49 schrieb Ulf Volmer:

On 01.08.23 12:36, Boris wrote:

/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no

Merkst Du selber, oder?

Ja, und habe auch schon damit experimentiert.
Setze ich hier

AllowSuspend=yes

, dann klappt auch systemctl suspend.

Keine Ahnung was dann genau passiert, aber der Rechner geht innerhalb
von Sekunden ziemlich aus und lässt sich ebenso schnell wieder wecken.
Auch in Gnome gibt es jetzt den 'Bereitschaft'-Knopf. Perfekt.

Vielen Dank!!

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 13:01 schrieb Boris:

.... obwohl es für mich letztlich irgendwie uneinheitlich bleibt, denn
oben steht ja

/etc/systemd/sleep.conf:#AllowSuspend=yes

Das "#" heißt, dass der Befehl auskommentiert ist ...
Du könntest dort auch #WeltuntergangJetzt=yes schreiben und es würde
nichts passieren.

Gruß
Stefan

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 13:03 schrieb Stefan Baur:

Am 01.08.23 um 13:01 schrieb Boris:

.... obwohl es für mich letztlich irgendwie uneinheitlich bleibt, denn
oben steht ja

/etc/systemd/sleep.conf:#AllowSuspend=yes

Das "#" heißt, dass der Befehl auskommentiert ist ...

Gutes Argument!
Sorry, komme gerade vom Augenarzt....

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Boris schrieb:

Am 01.08.23 um 12:49 schrieb Ulf Volmer:

On 01.08.23 12:36, Boris wrote:

/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no

Merkst Du selber, oder?

Ja, und habe auch schon damit experimentiert.
Setze ich hier

AllowSuspend=yes

, dann klappt auch systemctl suspend.

Das Verzeichnis sleep.conf.d sowie die Datei dürfte irgendwann von Dir angelegt worden sein, könnte also auch ganz weg wenn Du suspend auch
in Zukunft nicht hart verhindern willst ;-)

Tschau Manfred

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Moin Boris,

Am 01.08.23 um 06:36 schrieb Boris:

...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige Aspekte... Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch des Rechners nicht wieder alle Fenster öffnen und arrangieren zu müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...

Also in meinem Debian mit xfce kann ich unter "Sitzung und Startverhalten" einstellen, dass die Sitzung beim Abmelden gespeichert werden soll. Unabhängig davon kann ich "Automatisch gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht nach
Hibernation habe ich null.

hth
LG Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com(icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Tue, Aug 01, 2023 at 06:59:50PM +0000 schrieb Christoph Schmees:

Moin Boris,

Am 01.08.23 um 06:36 schrieb Boris:

...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige Aspekte... Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch des Rechners nicht wieder alle Fenster öffnen und arrangieren zu müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...

Also in meinem Debian mit xfce kann ich unter "Sitzung und Startverhalten" einstellen, dass die Sitzung beim Abmelden gespeichert werden soll. Unabhängig davon kann ich "Automatisch gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht nach

Hibernation habe ich null.

Und Dein vim/emacs hat danach die gleichen Dateien geöffnet, wie vor dem Neustart? Schick.

Mein i3wm kann auch sehr schön definierte Zustände beim Start herstellen,
das ist aber nicht feature-gleich zu einem Suspend/Hibernate.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Moin Ulf,

Am 01.08.23 um 21:20 schrieb Ulf Volmer:

Am Tue, Aug 01, 2023 at 06:59:50PM +0000 schrieb Christoph Schmees:

...

Also in meinem Debian mit xfce kann ich unter "Sitzung und Startverhalten" einstellen, dass die Sitzung beim Abmelden gespeichert werden soll. Unabhängig davon kann ich "Automatisch gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht nach

Hibernation habe ich null.

Und Dein vim/emacs hat danach die gleichen Dateien geöffnet, wie vor dem Neustart? Schick.

Ich benutze weder vim noch emacs. Außerdem neige ich dazu, Dateien zu schließen (wenigstens zu sichern), wenn ich den Rechner verlasse, egal
in welchem Zustand (des Rechners). :-D

Mein i3wm kann auch sehr schön definierte Zustände beim Start herstellen, das ist aber nicht feature-gleich zu einem Suspend/Hibernate.

Das stimmt. Den größten Teil von Hibernate übernimmt das Speichern der Sitzung. Übrigens, Suspend benutze ich natürlich reichlich, das ist
sozusagen mein Normalfall. Hier ging es ja um Hibernate.

LG Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com/icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Christoph - 01.08.23, 21:40:37 CEST:

Am 01.08.23 um 21:20 schrieb Ulf Volmer:

Am Tue, Aug 01, 2023 at 06:59:50PM +0000 schrieb Christoph Schmees:

[…]

Also in meinem Debian mit xfce kann ich unter "Sitzung und
Startverhalten" einstellen, dass die Sitzung beim Abmelden
gespeichert werden soll. Unabhängig davon kann ich "Automatisch
gestartete Anwendungen" einstellen. Beides nutze ich. Sehnsucht
nach Hibernation habe ich null.>

Und Dein vim/emacs hat danach die gleichen Dateien geöffnet, wie vor
dem Neustart? Schick.

Ich benutze weder vim noch emacs. Außerdem neige ich dazu, Dateien zu schließen (wenigstens zu sichern), wenn ich den Rechner verlasse, egal
in welchem Zustand (des Rechners). :-D

Das klappt auch mit KDE Plasma mit allen KDE-Anwendungen einwandfrei. PDF-Dateien in Okular und Text-Dateien in KWrite / Kate gehen sogar an
der gleichen Position auf.

Aber schon mit Firefox hatte ich Ärger. Möglicherweise ist das eine Einstellungssache. Aber es gibt eben doch so einige Programme, die über
die Sitzungsverwaltung nicht so zurückkehren, wie ich mir das wünsche.

Aber insofern Dir dieser Mechanismus reicht… wunderbar.

Bei Linux ist ja das Schöne, dass es nicht jeder gleich konfigurieren und nutzen muss.

Ich lasse meine Laptops in den Ruhezustand wechseln und da kommt *alles* wieder so zurück, wie ich es verlassen habe. So auch ein Filmabspieler
mit exakt derselben Stelle des Films. Und das auch nach Wochen noch, wie
bei meinem Musik-Laptop, das ich oftmals für Tage nicht einschalte.
Wobei da in der Regel nur eine Anwendung läuft, die den Ruhezustand
nicht wirklich braucht. Aber da das ThinkPad X260 mit den 8 GiB RAM mit
SSD superschnell da rein wechselt und wieder raus wechselt, warum sollte
ich es da anders handhaben als bei meinem Haupt-Laptop? (Allerdings habe
ich auf dem X260 mit bestimmten Linux-Kernel-Versionen auch schon
gehabt, dass sich das Laptop nicht ausschaltet beim Wechsel in den Ruhezustand. Ich habe aber wieder einen Kernel, der funktioniert und
noch Aktualisierungen bekommt.)

Mittlerweile mache ich das ganze auch nicht mehr, um eine maximale
Uptime zu erreichen. :) Das Haupt-Laptop hat hier gerade mal knapp 4
Tage Uptime. Das Musik-Laptop kommt aber durchaus mal auf einige Wochen
oder gar mehr als einen Monat.

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Dienstag, 1. August 2023, 23:10:27 CEST schrieb Martin Steigerwald:

Das klappt auch mit KDE Plasma mit allen KDE-Anwendungen einwandfrei. PDF-Dateien in Okular und Text-Dateien in KWrite / Kate gehen sogar an
der gleichen Position auf.

Das geht wirklich einwandfrei.

Aber schon mit Firefox hatte ich Ärger. Möglicherweise ist das eine Einstellungssache. Aber es gibt eben doch so einige Programme, die über
die Sitzungsverwaltung nicht so zurückkehren, wie ich mir das wünsche.

Google Chrome wird davon auch komplett ignoriert.
Man muss Chrome selbst neu starten. Immerhin wird anboten die letzten Tabs wiederherzustellen.

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Helge Reimer - 01.08.23, 23:29:20 CEST:

Am Dienstag, 1. August 2023, 23:10:27 CEST schrieb Martin Steigerwald:

Das klappt auch mit KDE Plasma mit allen KDE-Anwendungen
einwandfrei.
PDF-Dateien in Okular und Text-Dateien in KWrite / Kate gehen sogar
an der gleichen Position auf.

Das geht wirklich einwandfrei.

Ich nutze das mittlerweile gerne auch mit Aktivitäten. Da habe ich eine
für an einem Buch mitschreiben. Die mache ich nur bei Bedarf auf, und da
geht alles wieder so auf, wie ich es verlassen habe. Fensterposition,
exakt auf dem richtigen Bildschirm, Position im gerenderten PDF und im
Text, usw. Die Aktivitäten-Verwaltung in Plasma funktioniert
mittlerweile auch endlich ziemlich zuverlässig. Ich nutze das oft.

Aber auch da klappt es mit Firefox nicht. Was ich schade finde, da ich manchmal gerne ein paar Tabs dort offenlassen möchte, die ihr mir beim nächsten Mal wieder aufmacht. Die macht er dann aber schon beim nächsten
Start von Firefox außerhalb der Aktivität wieder auf.

Das ist halt der Vorteil, Anwendungen zu verwenden, die gut zur
verwendeten Desktop-Umgebung passen. Zumindest zwischen den großen Desktop-Umgebung finde ich darf das zwar auch funktionieren. Probiert
habe ich das jedoch bislang noch nicht. Vielleicht würde es ja auch mit
GEdit unter KDE Plasma funktionieren. Gerade einen anderen Text-Editor
als Kate für die GUI brauche ich jedoch nicht.

Aber schon mit Firefox hatte ich Ärger. Möglicherweise ist das eine Einstellungssache. Aber es gibt eben doch so einige Programme, die
über die Sitzungsverwaltung nicht so zurückkehren, wie ich mir das
wünsche.

Google Chrome wird davon auch komplett ignoriert.

Oder andersherum? Chrome klingt sich, wie Firefox, nicht in die
vorhandene Sitzungsverwaltung ein? Wäre interessant, inwiefern es da
einen XDG-Standard gibt. Ich habe davon noch nichts gesehen.

Man muss Chrome selbst neu starten. Immerhin wird anboten die letzten
Tabs wiederherzustellen.

Ja, das macht Firefox auch, jedoch dann auch dann wenn ich ihn in einer anderen Aktivität starte. Der unterscheidet das nicht nach Sitzung oder Aktivität, sondern bietet einfach an, was unabhängig davon zuletzt offen
war.

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 19:44 schrieb Manfred Schmitt:

Boris schrieb:

Am 01.08.23 um 12:49 schrieb Ulf Volmer:

On 01.08.23 12:36, Boris wrote:

/etc/systemd/sleep.conf.d/nosuspend.conf:AllowSuspend=no

Merkst Du selber, oder?

Ja, und habe auch schon damit experimentiert.
Setze ich hier

AllowSuspend=yes

, dann klappt auch systemctl suspend.

Das Verzeichnis sleep.conf.d sowie die Datei dürfte irgendwann von Dir angelegt worden sein, könnte also auch ganz weg wenn Du suspend auch
in Zukunft nicht hart verhindern willst ;-)

Tschau Manfred

Moin Manfred,

naja, es wird irgendein Installationsrudiment sein. Ich wüsste nicht,
woher sonst.
Ich bin sehr froh, dass das Suspend nun funktioniert und hau' das
Verzeichnis weg.

Danke.

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 01.08.23 um 20:59 schrieb Christoph Schmees:

Moin Boris,

Am 01.08.23 um 06:36 schrieb Boris:

...
vielen Dank für Eure Antworten. Da gibt es ja tatsächlich einige
Aspekte...
Es geht mir tatsächlich (auch) um den Komfort, beim nächsten Besuch
des Rechners nicht wieder alle Fenster öffnen und arrangieren zu
müssen, alle zu bearbeitenden Dateien wieder herbeizuklickern, usw.
...

Also in meinem Debian mit xfce kann ich unter "Sitzung und
Startverhalten" einstellen, [Snip]

Moin Christoph,


danke für Deinen Hinweis. ich bin halt mit Gnome unterwegs und bin - wie
viele andere Menschen auch - ein Gewohnheitstier.
Grüße,

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
Wenn ja, welche Erfahrungen habt ihr damit gemacht?

Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch eine Vollverschlüsselung der "Festplatte" und z.B. LUKS wird dadurch
überflüssig?

Und können nicht auch die ATA Security Options, welche mit hdparm
gesetzt werden, jeglichen ungewollten (Offline-)Zugriff auf die SSD
verhindern?
Bereits 2014 gab es diesen Artikel dazu: https://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Gruß
Matthias

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Matthias Böttcher - 10.08.23, 19:56:25 CEST:

Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
Wenn ja, welche Erfahrungen habt ihr damit gemacht?

Ich habe das nie ausprobiert.

Damals in Bezug auf die Intel SSD 320 gab es noch die Empfehlung, das
lieber nicht zu machen.

So oder so: Ich vertraue damit für die Verschlüsselung einem
proprietären, geschlossenen Firmware-Blob.

Inwiefern das jetzt die Sache viel schlimmer macht als das Vertrauen in
die ganzen anderen proprietären, geschlossenen Firmware-Blobs ist eine
gute Frage.

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 31.07.23 09:23, Martin Steigerwald wrote:

Sebastian Suchanek - 31.07.23, 08:11:12 CEST:

Das ist nicht das (Haupt-)Ziel von Secure Boot. Das Ziel von Secure
Boot ist es, schon vom Start weg keinen kompromittierten Code
auszuführen. Gegen kompromittierten Code schützt auch eine

Ja, mir ist das bewusst. Ich habe nur den Eindruck, dass es so einige
gibt, die Secure Boot als Allheilmittel für Alles ansehen.

Das Ziel erreicht es aber ohnehin nicht. Zumindest auf den typischen
PCs. Die Firmware ist aus meiner Sicht bereits komprimierter Code. Es
sei denn Du hast eine Talos POWER 9-Workstation, wo Dir der Hersteller
den GPG-signierten Code der Firmware auf CD mitliefert.

Für das Laufen lassen eines typischen PCs muss ich bereits dem
Hersteller über den Weg trauen oder darauf hoffen, dass in der Firmware nichts passiert, was gegen mein Interesse ist. Da je nach Firmware
bereits ein oder zwei TCP/IP-Stacks enthalten sind, die hoffentlich ausgeschaltet sind, wenn ich sie ausschalte, halte ich das bereits für ziemlich schwierig.

Secure Boot hat nicht zum Ziel, diese deine Interessen zu realisieren.
Es soll vielmehr dazu dienen, DRM durchgängig sicherzustellen. Dabei
sollst du den "Marktbeteiligten" und ihren Produkten vertrauen. Die
wollen nur dein Bestes und wissen, was das Beste für dich ist. Friss!


mfG Paul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Thu, Aug 10, 2023 at 07:56:25PM +0200 schrieb Matthias Böttcher:

Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
Wenn ja, welche Erfahrungen habt ihr damit gemacht?

Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch eine Vollverschlüsselung der "Festplatte" und z.B. LUKS wird dadurch
überflüssig?

In der Therorie wäre das ein Ersatz für LUKS.
Ist aber halt ein Blob, in den man nicht hineinsehen kann.

Das aktuelle CPUs üblicherweise AES in Hardware machen, fällt mir auch
ehrlich kein Argumant gegen LUKS mehr ein.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Thu, Aug 10, 2023 at 09:57:02PM +0200 schrieb Paul Muster:

Secure Boot hat nicht zum Ziel, diese deine Interessen zu realisieren. Es soll vielmehr dazu dienen, DRM durchgängig sicherzustellen. Dabei sollst du den "Marktbeteiligten" und ihren Produkten vertrauen. Die wollen nur dein Bestes und wissen, was das Beste für dich ist. Friss!

Bei den mir vorliegenden UEFIs kann ich eigene Keys für SecureBoot
hinterlegen.
Falls ich DRM also mit einem signierten Kernel Modul aushebeln wollte,
wüsste ich nicht, was mich hindern sollte.

Oder habe ich Dein Szenario falsch verstanden?

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Sun, Jul 30, 2023 at 05:18:34PM +0200 schrieb Boris:

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Bist Du zu einer zufriedenstellenden Lösung gekommen?

ciao, Dirk

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Moin Dirk,

Am 21.08.23 um 23:19 schrieb Dirk S.:

Am Sun, Jul 30, 2023 at 05:18:34PM +0200 schrieb Boris:

Ist-Stand:
# systemctl hibernate
Call to Hibernate failed: Sleep verb "hibernate" not supported
# systemctl suspend
Call to Suspend failed: Sleep verb "suspend" not supported

Bist Du zu einer zufriedenstellenden Lösung gekommen?

Ja, absolut:

In
/etc/systemd/sleep.conf.d/nosuspend.conf
stand
AllowSuspend=no
.

In Gnome taucht nach Änderung der Bereitschafts-Knopf auf, und der
Rechner geht weitgehend aus. Gemessen habe ich den Stromverbrauch noch
nicht, gehe aber von erheblicher Ersparnis aus. Und der Wechsel der Betriebsarten geschieht jeweils in Sekunden.

Gruß,

Boris

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)