ownCloud – god ide, men utruleg treg

7. august 201313. februar 2022 Arild BjørkKommenter innlegget

oncloud Då har eg fått testa ownCloud i nokre dagar, og konklusjonen er at løysinga ikkje er mogen enno.

Til mine testar har eg nytta ei eldre AMD X2-4400+ maskin med 4 GB RAM og køyrande Windows XP 32-bit. ownCloud-serveren vart lagt på eit Raid 0 av 3 diskar. Eg nytta følgjande programvare:

WAMPSERVER (32 BITS & PHP 5.4) 2.4 med Apache : 2.4.4 MySQL : 5.6.12 PHP : 5.4.16 PHPMyAdmin : 4.0.4 SqlBuddy : 1.3.3 XDebug : 2.2.3
ownCloud 5.0.9
ownCloud-klient 1.3.0 for Windows og Linux

Meir om klargjeringa av ownCloud-server kan du lese i mitt tidlegare innlegg.

Sykronisering av filer til ownCloud-server er utruleg treg. Du merkar det ikkje så mykje om du dreg/oppdaterer nokre få filer om gongen . Problemet vart avdekka ved at eg nytta ei mappe som inneheld ca 235 MB med filer fordelt på 15 mapper og i overant av 4.300 filer. Filene er små og omfattar html, ini, css samt nokre ørsmå gif-filer. Windows-klienten køyrde på ei berbar maskin med SSD og Intel Core i5-540M-prosessor. Trafikken gjekk via eit trådlaust nettverk (70-80 Mb).

Det tok over 7 timar å synkronisere/laste opp mappa til server. Same mappa sykronisert til Ubuntu One, over ADSL-linje med 0,5 Mb ut, tek ein brøkdel av tida.

I ettermiddag har eg testa ut min siste teori. Eg la merke til at Apache ligg på 30-40% når det pågår ei synkronisering mot WAMP-serveren. Teorien var at det kunne vere noko med krypteringa av trafikken via SSL. Eg gjorde eit forsøk utan SSL internt og samanlinka farten på loggvisninga i klienten med når det var kryptert trafikk. Det var ingen merkbar skilnad og eg gidd ikkje vente nye 7 timar på å få det stadfesta.

Det neste eg hadde tenkt å gjere var å gå over til linux, i tilfelle det var noko med Windows-løysinga og WAMP som skapte problem. Dessverre ser det ut til at det ikkje er noko betre på ein linux-server.

ownCloud – ei privat sky

4. august 201313. februar 2022 Arild BjørkKommenter innlegget

I desse tider med Snowden som hevdar at etterretningstenster kan få tilgang til det meste av informasjon, har eg for moro skuld sett litt etter alternativ. Ikkje det at eg har så mykje interessant, men eg meinar at mine filer skal eg i utgongspunkt ha full kontroll. Inntil no har eg inngått visse kompromiss. Det viktigaste har eg sikra på best mogleg måte eller ikkje lagt på skytenester.

Eg har sett på ulike synkroniseringstenester som Tonido eller ei meir lokal teneste som BiTtorrent Sync, Alt har sin pris eller sine ulemper. ownCloud virkar som eit betre alternativ Med Tonido må ein registrere konto. Kor er då krypteringsnøkkelen osv? BiTtorrent Sync fungerer greit innafor eige nettverk, men krev litt meir over internett. I tillegg vert ikkje filer lagra kryptert (på synkroniseringsserver). ownCloud virkar i så måte betre ved at ein mellom anna kryptering på serversida.

Til prøveoppsettet mitt brukar eg ein WAMP-server, komplett med Apache, MySQL og PHP er dette eit godt utgongspunkt. Eg justerte nokre rettar og passord på MySQL-serveren av personlege preferansar. Oppsettet av ownCloud gjekk rimeleg greitt. I første forsøk blinksa eg litt når det gjaldt kva for brukarnamn og passord relatert til MySQL. Eg trudde at ownCloud bad om å oppretta ein ny databasekonto, men det var root-kontoen (standard administrator) eg skulle legge inn. ownCloud-oppsettinga genrerer automatisk sin eigen brukarkonto til MySQL. I tillegg opplevde eg at eg vart låst ute av serveren når eg aktiverte kryptering av filer på server. Eg trur at det kan tilskrivast mine eksperiment. Når eg sette opp i andre forsøk, gjekk alt «meget bedre».

Med ownCloud oppe byrja arbeidet med å klargjere den for internett. Standard oppsett køyrer ownCloud over http utan kryptering. Dette er greitt nok over ditt eige private nettverk, men skal synkroniseringa skje via internett må ein implementere ein kryptert kanal, slik som nettbankane. Med ei linux-maskin fekk eg enkelt generert eit sertifikat som kunne brukast til å sikre kommunikasjonen:

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt

Ettter at sertifikatet var på plass og kommunikasjonen mellom klientena og server var sikra mot sniffing, var tida komen for å sikra Apache-sereren best mogleg. Ein må sørge for å reudsere svakheiter og slå av ulike modular samt gjere nokre justeringar i oppsettet. Mellom anna vil du ikkje ha grensesnittet til WAMP-serveren ute på internett. Tenaren din må ikkje vere ein open invitasjon til tvilsomme sjeler å hente ut mest mogleg informasjon. Eit søk etter hardening Apache server løyste det meste. Det som gjenstod var ei lita justering av internettrouteren slik at ein obskur port vart opna for å motta og vidareformidla trafikken til rett maskin.

Totalt sett trur eg at eg har greidd å sikre min eigen tenar rimeleg godt. Det som gjenstår er å sjå om synkroniseringa vil fungere tilfredsstillande…

Full oppstarspartisjon i Ubuntu 12.04

13. juni 201313. februar 2022 Arild BjørkKommenter innlegget

Eg køyrer Ubuntu 12.04 med fullstendig kryptering av disk. Det er sett opp ein liten oppstartspartisjon for å laste kjernen. Diverre hender det at partisjonen går full slik at eg ikkje få installert oppdateringar av kjernen. Dette er kjedeleg og eg har ikkje funne noko godt grafisk verktøy for å fjerne gamle kjernar og frigjere plass til den nye. Heldigvis har eg kommandolina.

For å liste kjernar som er tilgjengeleg på systemet køyrer eg denne frå terminal:

dpkg --list | grep linux-image

For å fjerne ein av dei gamle kjernane skriv eg

sudo apt-get purge linux-image-X.X.X-X-*

X = ulike siffer i nummereringa i kjernen.

Om du slettar for mykje
Du må ikkje ta vekk alle kjernane fordi då startar ikkje maskina. Det må minst ligge att ein når du køyrer den første lina for sjekke kor mange du har att. Skulle du vere uheldig å fjerne alt, må du for all del ikkje slå av eller starte om maskin. Køyr kommandoen:

sudo apt-get install linux-image-generic-lts-quantal xserver-xorg-lts-quantal

for å få på plass siste kjerne av versjon 3.5.X-X

Erfaringar med AMD E-klasse som mediasenter

1. mai 20139. juni 2015 Arild BjørkKommenter innlegget

Ifjor haust merka eg at min gamle berbare med ein Celeron M på 1,5 ghz kom til kort ved avspeling av HD-materiale. På den tiden gjekk det helst i HD-filmar i Windows Media-filer frå CDon. Celeronen spelte det rimeleg flytande, men innimellom såg eg rykk i bilete. Prosessorforbruket var i taket. Det var på tide å sjå etter ei ny maskin. Sidan den gamle travaren greidde seg så pass bra, sette eg ikkje høge krav. I dag har dei fleste prosessorane hjelp til å dekode HD-videoar i grafikkortet, som gjer arbeidet vesentleg lettare for prosesoren. Eg rekna med at det meste av dagens produkt skulle takle video.

Windows Media-filer frå CDon fungerte upåklageleg og silkemjukt med ein AMD E2-1800. Så kom Netflix som brukar Silverlight i strauminga av video. CDon har byrja å bruke Silverlight i si teneste i ny avspelar. Viaplay nyttar òg Silverlight. Det er her problem ligg, video over internett. Eit paradoks når AMD har sikta seg inn på mediasentermarknaden med desse prosessarane.

AMD har deaktivert støtte for maskinvareaksellerasjon av internettvideoar i kontrollpanelet til drivaren til grafikkortdelen av prosessoren. Sjølv om eg aktiverer maskinvareaksellerasjon, skapar det berre problem i Netflix. Bilde slår om til HD, men hakkar kraftig og lyden er ikkje i sync med bilete. Eg har sett nedlasta film frå CDon i den nye avspelaren basert på Silverlight. Det var meir rykk og napp enn det eg opplevde med gamlemaskina og Windows Media-filer. For Netflix har eg eit alternativ via min Sony BluRay-spelar. Filmane blir spelt av flytande i ordinær HD med eit bilete betre enn DVD.

Eg har forsøkt videoar i HD på Youtube som blir spelt av i Flash og det er like gale. Eg kan med rimleg tryggleik hevde at AMD sin Catalyst-drivar, noverande 13.1, i det minste støttar ikkje maskinvareaksellerasjon via Silverlight og mest sannsynleg Flash. Prosessor-delen må ta seg av alt og er for svak til det. Som avspelar av internettvideoar i HD er AMD E-prosessorar totalt ubrukelege.

No sist har eg leigd HD-film hjå iTunes. Filmane blir ikkje strauma, men lasta ned før avspeling. Eg var spent på om det gjekk like silkemjukt som med Windows Media-filer. iTunes kunne vere ein siste skanse der eg kunne leige nyare filmar. Sjølv om avspelinga er betre enn videoar strauma via Flash og Silverlight, er det hakkete og ikkje brukandes.

Mitt råd: AMD E- eller C-prosessorar er for svake til mediasenter.

iTunes og HD-filmar på Windows

29. april 201329. april 2013 Arild BjørkKommenter innlegget

HDMI-kabel Eg har det siste året leigd filmar over internett. Hittil har eg brukt ein gamaldags 15-pins VGA. Filmar i HD-kvalitet har det ikkje vore problem å fått sett frå andre enn iTunes. Første filmen eg prøvde å leige i HD-kvalitet fekk eg ei kryptisk feilmelding. Eg ønskte å sjå filmen og valde å sjå han i vanleg kvalitet.

Sidene til Apple er velfylt med informasjon: http://support.apple.com/kb/ht3209. Eg var usikker om problemet kunne vere at maskina var for lite kraftig. Men etter å ha studert litt nøyare sida så oppdaga eg løysinga:

Note: If you are trying to view HD video on an external display, the display must have a digital connection (DVI, DisplayPort, or HDMI) and also support HDCP.

Etter å ha skifta kabel og kopla til pcen med HDMI, fungerte alt som det skulle. Det hadde vore lurt om det kunne ha stått heilt på starten av sida enn på botnen.

Ubuntu 12.04.2 og blåtann med kjerne 3.5

24. mars 201313. februar 2022 Arild BjørkKommenter innlegget

I samband med skifte frå platelager til SSD installerte eg Ubuntu 12.04 på nytt. Ubuntu er komen i punktversjon 12.04.2 som går over frå kjerne versjon 3.2 til 3.5. Med min Lenovo Ideapad Z380 har kjerne 3.5 ein fordel, ved at han støttar trackpaden slik at høgreklikk fungerer utan at ein må kompilere inn støtte for det.

Dessverre introduserer kjerne versjon 3.5 eit problem med blåtann. Sporadisk mister Ubuntu kontakten med den eksterne musa. Eg ser at det i lusbasen til Ubuntu er rapportert tilsvarande problem, som eg ikkje kan sjå er fiksa. Den einaste løysinga er å nedgradere til kjerne versjon 3.2 og kompilere inn støtte for den innebygde trackpaden.

Det er andre problem med kjerne versjon 3.5 og programvare, så eg fann ei oppkrift på korleis eg kunne nedgradere til versjon 3.2. For min del måtte eg fjerne både 3.5.0-25 og 3.5.0-26 slik:

sudo apt-get purge linux-generic-lts-quantal xserver-xorg-lts-quantal linux-headers-generic-lts-quantal linux-image-generic-lts-quantal linux-image-3.5.0-25-generic linux-headers-3.5.0-25 linux-image-3.5.0-26-generic linux-headers-3.5.0-26

Sidan xserver òg blir nedgradert, må xserver som ein bruker til versjon 3.2 av kjernen på plass:

sudo apt-get install xserver-xorg

Oppdatering 25.03.2013

Etter å ha brukt Ubuntu etter nedgradering av kjerne, viste det seg at Unity berre kunne køyrast i 2D. Standard Unity med 3D-funksjonalitet var borte. Det medførte at ein mellom anna ikkje kunne justere storleiken til ikona i venstra knapperad (launcher). Eg valde å oppgradere kjernen og xserver igjen og heller skifte ut blåtann-musa for ei tid.

Ubuntu 12.04 på SSD

19. mars 201313. februar 2022 Arild BjørkKommenter innlegget

octane s2 Eg skifta ut platelageret med fastminne på min Lenovo Ideapad Z380. Etter ein kort periode med Windows, for å teste SSDen, har eg installert Ubuntu 12.04. Installasjon gjekk utan problem, men tek ikkje omsyn til SSD. Trim blir ikkje sett opp. Dette kan føre til at ein over tid får ein tregare skrivefart sidan ledige blokker på SSDen ikkje er klargjort for skriving. Heldigvis fins det oppskrifter på dette og eg har plukka litt frå bloggen for å redusere skriving til SSDen.

Flytte tmp-områder til minne

I fila /etc/fstab som administrator la eg til:

# tmp i ram for å spare ssd
tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0
tmpfs /var/tmp tmpfs defaults,noatime,mode=1777 0 0

Aktiver trim

Eg køyrer maskina med fullstendig diskryptering som fører til at eg må gjere justeringar i både /etc/fstab og /etc/crypttab. Oppskrift fann eg her. Maskina mi kallar eg noko så fantasifullt som Z380. På grunn av diskkryptering via «logical volume mapper», må eg leite fram lina som startar på /dev/mapper/maskinnamn-root og legge til det eg har utheva

/dev/mapper/Z380-root / ext4 discard,noatime,nodiratime,errors=remount-ro 0 1

discard gir beskjed om trim frå kjernen til SSD. noatime og nodiratime gjer at informasjon om tidspunkt for aksessering av filer og katalogar ikkje blir oppdatert og dermed sparer SSD for skriving. I tillegg må ein justere fila /etc/crypttab. På slutten av denne står det luks skal du endre det til at det står

luks,discard

Deretter køyrde eg:

sudo update-initramfs -c -k all

Maskina vart restarta eg maskin og eg sjekka at trim var aktivert. Alt fungerte som det skulle og som med Windows 7 er Ubuntu 12.04 på SSD lynrask.

OCZ Octane S2

9. mars 20139. mars 2013 Arild BjørkKommenter innlegget

Ifjor oppgraderte eg ein berbar med Intel SSD 330 og det var ein svært positiv oppleving.I desse dagar dumpar CDon eldre OCZ Octane S2 på 256GB til under kr 1.000.

No er ikkje OCZ Octane S2 ein blodtrimma SSD. Han støttar berre sata 2 og har heller ikkje Sandforce-kontroller, kjent for god yting. Her er det Indilinx som i motsetning til Sandforce ikkje har problemer med komprimerte data som t.d. video, mp3 og jpg.

SSDen eg mottok frå CDon hadde firmware versjon 4.11 og fungerte OK i utgongspunktet. Eg la merke til at ytinga ikkje var heilt topp, jf bilete til høgre. Siste firmware var versjon 4.14.1, men å oppgradere gav eit par utfordringar.

Ein kan ikkje oppgradere OCZ Octane S2 frå Windows når han vert brukt som operativsystemdisk. I ein berbar pc med ein einsom diskplass har du ikkje store valet.

OCZ har eit anna alternativ basert på TinyCore linux som lastar firmwareoppgraderer. På maskina mi kjente ikkje Bootable OCZ Toolbox att det trådbaserte nettverkskortet. Det trådlause kortet fann Bootable OCZ Toolbox, men tryggleiksinnstillingane på routeren min gjorde at eg ikkje nådde ut på internett. Løysinga var å finne fram ein gamal, pensjonert og nullstilt trådlaus router. Utan trådlaus sikring var det ikkje problem å oppgradere firmware til siste versjon. Ytinga gjorde eit svært positivt hopp.

Det neste som gjenstår er å sjå om OCZ Octane S2 er ei rimeleg og grei oppgradering. Uansett kan eit tradisjonelt platelager for berbare konkurrere med OCZ Octane S2. Ellers er inntrykket at OCZ sine eldre SSDar ikkje har eit like godt omdømme som Intel sine SSDar. Vi får sjå korleis det uviklar seg.

Fullstendig kryptering av Android

17. februar 201313. februar 2022 Arild BjørkKommenter innlegget

Telefonane våre har vorte meir og meir eit sentralt hjelpemiddel i det daglege liv. Vi tek bilete og video, utvekslar meldingar, er tilkopla sosiale medier, lastar ned e-post frå ulike kjelder med meir. Kort sagt mykje personlege og eventuelt data frå arbeidsgivar blir samla på einingen. Ved eit tap eller avhending utan eit visst forabeid, kan det få store konsekvensar. I Sverige har ein testa 50 telefonar som tidlegare var brukt av verksemder:

http://e24.no/it/fant-sensitiv-informasjon-paa-en-av-tre-mobiler/20330071

Telefonane var tilbakestilt til fabrikkinnstillingar, men det er ikkje nok. Det betyr berre at standard konfigurasjonsfiler er kopiert over dine og dine data er «sletta». Du kan tru at det er borte, men i realiteten har du berre rive ut innhaldslista av ei bok. Sider blir berre erstatta etter kvart som ein fyller på med nye data. Med dei rette verktøya er det ikkje noko hokus pokus å hente tilbake, bilete, videoar, e-post osv.

Kryptere telefon

Dei fleste er van med å setje ein pin-kode på telefonen for å låse den. Ein iPhone blir automatisk kryptert når du set pin-kode eller passord. I Android 3+ må du aktivt velje å kryptere telefonen, der er det ingen automatikk at data blir kryptert når telefonen får sett skjermlås.

Bilete til venstre er henta frå Samsung Galaxy S2. Telefonen er kryptert. Imotsetning til iPhone krev Samsung S2 at ein brukar passord på minimum 6 teikn der eitt av dei er eit tal for krypteringa. Det same passordet som blir brukt på skjermlåsen. Ulempa er at ein må forhalde seg til eit fullstendig tastatur på skjermen, som gjer det vanskelegare å treffe teikna. Eg let diskusjonen om det er god nok tryggleik at den same koden for skjermlås er den som òg låser opp ein kryptert telefon. Det er ikkje er ofte ein slår av og på ein telefon. Eit lite brukt passord kan lett gå i gløymeboka.

Før du krypterer, kopier ut data på telefonen i tilfelle det skulle oppstå problem under krypteringa. For å få lov til å starte krypteringa av Samsung Galaxy S2, må telefonen først ladast opp til 100%. Ladaren må stå i under krypteringa og set av tid til det. Eg tilrår at du syter for at heile dataområdet blir kryptert, for å hindre at restar av gamle filfragment kan gjenfinnast.

Ikkje gløym SD-kortet

Samsung Galaxy S2 støttar minnekort, som må krypterast separat. Før du krypterer, kopier ut data som ligg på SD-kortet i tilfelle det skulle oppstå problem under krypteringa. Du må passe på å kryptere heile kortet. Eg ser ingen grunn til å utelate multimediafiler. Du vil vel ikkje at dine bilete og/eller videoar skal vere tilgjengeleg dersom telefonen går tapt. Alt etter kor stort minnekortet ditt er, vil det ta noko tid.

Oppsummering

Når telefonen er kryptert, vil gjenoppretting til fabrikkinnstillingar føre til at krypteringsnøkkelen forsvinn. Det er ikkje mogleg å køyre gjenoppretting sidan dine krypterte data berre framstår som tilfeldige data.

Med andre ord skal det ikkje vere mogleg å finne data i tilsvarande omfang som rapportert i artikkelen over.

EncFS sikrar dine filer på nettet

2. januar 201313. februar 2022 Arild BjørkKommenter innlegget

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

I det siste innlegget viste eg til Truecrypt. Programmet er vel og bra det, men problemet er at det brukar konteiner-filer. Ei konteiner-fil må vere så stor at ho kan romme alle filene du vil ha tilgjengeleg. Dette gir store utfordringar med omsyn til synkronisering på nettet: Endrar du ei fil, stor eller lita, som ligg inne i Truecrypt si konteiner-fil, må heile konteiner-fila lastast opp. Med ei ordinær internettline er dette ein tidkrevjande operasjon både å laste opp konteiner-fila for så å lasta ho ned til andre maskiner som skal ha ho. Det er òg lett å få konfliktar ved at du gløymer å ta tida med å laste ho ned til ei anna maskin og brukar ein eldre versjon av fila på ei anna maskin. Konklusjonen må vere at Truecrypt er inga optimal løysing.

Eg starta så å sjå etter andre løysingar. I første omgang fann eg kommersiell programvare som Cloudfogger og Boxcryptor. Sikker greie nok tenester det, men utfordringa er å finne gratis alternativ og etter litt så kom eg over EncFS. Eg hadde kjennskap til det frå Linux, men no viser det seg at det fins EncFS for Windows. I motsetning til Truecrypt krypterer EncFS fil for fil. Dette betyr at det er berre den krypterte versjonen av fila du endrar som må oppdaterast via GoogleDrive eller tilsvarande tenester. Boxcryptor brukar EncFS, om ikkje fullstendig, i si kommersielle løysing. Dei har òg applikasjonar for iOS, Android osv.

Sidan EncFS kjem frå Linux, vil du kunne opne dei krypterte mappene her òg. Eg har sjølv testa det under Ubuntu 12.04 og synkronisert mellom Windows og Ubuntu utan problem.

Laste ned delene for Windows-versjonen av EncFS

Du må hente ned to filer:

encfs.zip frå EncFS for Windows
Dokan library (versjon 0.6.0 i skrivande stund) frå http://dokan-dev.net/en/download/

Installasjon

Installer Dokan library først!
Pakk ut encfs.zip
Kopier katalogen/mappa encfs4win til C:\Program Files (x86)
Opne katalogen/mappa C:\Program Files (x86)/encfs4win
Høgreklikk og dra encfsw.exe til Skrivebordet og velg Lag snarveier her
Tilpass snarvegen ved til dømes å endre namnet og velje eit eller anna ikon for han.

Når snarvegen er justert, er det berre å dobbelklikke på han. Det skjer ikkje så mykje, men nede i høgre hjørnet, i system tray, vil du få opp eit ikon av ein kvit nøkkel:

Setje opp standard innstillingar

Høgreklikk på nøkkelen nede i høgre hjørnet
Vel Preferences.

I neste rute passar du på å kryssa av begge alternativa:

Dette sikrar at EncFS startar når du loggar deg inn og gjer at du kan forhalde deg til ikonet i nede høgre hjørnet (system tray).

Opprette ei mappe sikra med EncFS

For å opprette ei mappe t.d. i GoogleDrive:

Høgreklikk på nøkkelen
Vel Open/Create
Opprett ei mappe under GoogleDrive, t.d. encFS
Vel stasjon som som skal vere «redigeringskanalen» som gir deg tilgang «on-the-fly» til den dekrypterte versjonen av filene.
Lag eit godt passord

Legg merke til «redigeringskanalen». I mitt eksempel har eg valt at mappa encFS under GoogleDrive skal laste den ukrypterte versjonen av mappa som stasjon (Drive) G.

Montere og ta ned EncFS-mapper

No er det berre å høgreklikke på nøkkelen nede i høgre hjørnet og:

montere (Mount) EncFS-mapper eller
ta ned (Unmount) desse når du er ferdig med å redigere dokumenta dine.

NB! Hugs å avslutte program som har filer opne før du tek ned (Unmount) ei mappe.

EncFS-krypterte filer

Slik ser det ut når filer og filnamn er kryptert med EncFS, med andre ord totalt uforståeleg for dei som ikkje har passordet/-setninga som låser opp filene:

Arild Bjørk

Om meg og mitt og kanskje noko for deg.

Kategori: Data