Tämän blogin päivitystahti on viime aikoina hiipunut, mutta se ei suinkaan merkitse sitä, etteikö ongelmanratkaisu minua enää kiinnostaisi. Kaikki ensiasennuksen jälkeen kohtaamani pulmat, jotka yleensäkään ovat ratkaistavissa, alkavat vain olla ratkaistut — nykyisin jotakuinkin kaikki vain yksinkertaisesti toimii niin kuin pitää tai niin kuin haluan. Päivitysten myötä järjestelmä ei tietenkään pysy täysin muuttumattomana, mutta pelkät turvallisuuspäivitykset eivät kuitenkaan yleensä juurikaan horjuta hyvin toimivaa järjestelmää.

Koska ongelmanratkaisu siis edelleenkin kiinnostaa minua, en aiokaan pysyä Hardy Heronissa loputtomiin, vaan aion päivittää järjestelmäni myöhemmin tänä vuonna julkaistavaan versioon 8.04.1 ja edelleen Intrepid Ibexiin loppuvuodesta. Kuten Hardynkin tapauksessa, otan luultavasti lievän ennakkolähdön, ihan vain jännityksen vuoksi.

Sillä välin saan jännitystä ja haasteita tarpeekseni, kiitos VirtualBoxin. En enää muista mitä kautta tutustuin Innotekin kehittelemään ja nykyisin Sun Microsystemsin omistamaan virtualisointiratkaisuun, mutta veljet kuinka tyytyväinen olenkaan, että tutustuin! Alunalkujaan asensin VirtualBoxin, koska halusin kokeilla olisiko mahdollista ajaa Microsoftin Messengeriä siinä. Ei pidä käsittää väärin; pääasiallinen pikaviestimeni on ollut Pidgin jo pitkän aikaa — se oli sitä jo silloin, kun vielä käytin Windowsia — mutta joudun silloin tällöin käyttämään Messengeriä videopuhelimena vaihtoehdottoman kontaktin takia.

No, Messengerhän toimi mitä parhaiten, ja itse asiassa se oli lopullinen niitti ei-virtualisoidun Windowsin arkkuun tietokoneessani: poistin Windows-osion ja laajensin Ubuntun osiot kattamaan koko kiintolevyni. Nyt voin aina Messengeriä tarvitessani potkia virtuaalikoneen käyntiin yhdessä ikkunassa työpöydälläni, mikä on paljon yksinkertaisempaa kuin kaksoiskäynnistäminen. Ehkä kaikkein parasta VirtualBoxissa on sen joviaali lisensointi: ohjelmasta on tarjolla avoimen lähdekoodin versio, ja lisäksi yksityis- ja arviointikäytössä ilmainen suljettu versio. Avoimen lähdekoodin versiosta puuttuu joitain vaativia ominaisuuksia, joiden joukossa on USB-tuki. Joudun siksi itse käyttämään suljettua versiota, koska webkamerani (jota tietysti tarvitsen videopuheluihin) on tyypillinen USB-liitäntäinen vekotin.

Tätä nykyä pääasiallinen VirtualBoxin käyttöni ei kuitenkaan vaadi USB-tukea, ja tämä käyttö on sitä joka tarjoaa minulle haastetta: asentelen hullun lailla kaiken maailman käyttöjärjestelmiä VirtualBoxin virtuaalitietokoneisiini. Käyttöjärjestelmistä kiinnostuneelle VirtualBox onkin unelmien täyttymys. Virtualisointi mahdollistaa niiden asentelun tuotantojärjestelmää (jos peruskäyttäjän työpöytäkonetta sellaiseksi voi kutsua) vaarantamatta. Olen kokeillut Debian GNU/Linuxia (vakaata ja epävakaata jakeluversiota), Gentoota, Fedoraa, asentanut tietysti rinnakkaisen Ubuntun (monta kertaa), Slackwarea, LFS:ää, Debian GNU/Hurdia, FreeBSD:tä, OpenBSD:tä, ReactOSia, Syllablea… ja vielä on jäljellä paljon kaikenlaista, mitä aion kokeilla!

Toverini Juha linkkasi minut kuvaan hauskasti mönkään menneestä huijausyrityksestä: Linux-käyttäjä oli saanut Skypen kautta ilmoituksen, jonka mukaan hänen Windowsinsa tietoturva oli vaarantunut, ja missä häntä kehotettiin lataamaan paikkaustiedosto ongelman korjaamiseksi. Kyse on tietysti Windows-haittaohjelman levityksestä valheellisen tietoturvailmoituksen avulla.

Huomioni kiinnittyi blogimerkinnän perässä olleeseen kommenttiin, jonka mukaan yrityksen kohteeksi joutunut käyttäjä voisi aivan hyvin ollakin vaarassa, koska hän käyttää Ubuntua, joka muistuttaa niin paljon Windowsia. Auts!

Olen kyllä miettinyt, että Ubuntun (ja tietysti muidenkin vastaavien distrojen) tapa kysellä järjestelmänhallinnan salasanaa tuon tuostakin on pikkuisen huolestuttava sikäli, että siinä turtuu hyvin pian toimenpiteen ratkaisevuudelle. Olen itsekin asentanut Gutsyyni järjestelmänhallinnan oikeuksia käyttäen pari pakettia tutkimatta niiden alkuperää näin jälkikäteen ajateltuna riittävän hyvin. Kun web-sivuilla jaeltujen ohjelmapakettien asentaminen järjestelmänhallinnassa vaadittavin oikeuksin on näin suoraviivaista, ollaan jo käytännössä samalla viivalla Vistaa varhaisempien Windowsien kanssa siinä, että tietoturvan mahdollisesti vaarantavien ohjelmien asentelusta tulee liian helposti jokapäiväistä kauraa.

Tähän järjestelmänhallinnan helppouteen tottuneena en kuitenkaan kovin mieluusti enää luopuisi siitä. Ja sikäli uskoisin Linux-käyttäjänä vielä olevani vanhojen Windowsien käyttäjiä paremmassa turvassa, että ainakaan niin kauan kuin en ole onnistunut vaarantamaan järjestelmääni, ohjelmat eivät pääse järjestelmääni käsiksi omine nokkinensa, siis minun siitä tietämättä. Vaarantuminen vaatii periaatteessa aina minulta sen virheen, että annan vaaralliselle ohjelmalle ne järjestelmänvalvojan oikeudet. Mutta miten tätä järjestelmänhallinnan oikeuksien jatkuvaan peräämiseen liittyvää tietoturvariskiä voisi vähentää?

En ole perehtynyt SELinuxiin, mutta se voisi ehkä olla avuksi. Sen lisäksi en kyllä keksi äkkiseltään muuta ratkaisua kuin sen, että perusjärjestelmän päälle ei asenneta mitään muuta kuin virtualisointi, ja käyttäjä päästetään sen jälkeen vain virtuaalihiekkalaatikkoon, jossa saa asennella mitä huvittaa. Isäntäjärjestelmä tarjoaa palomuurin ja muita tietoturvaominaisuuksia, jotka valvovat tätä hiekkalaatikkoa, ja jos isäntä havaitsee hiekkalaatikossa epäilyttävää toimintaa kuten vaikkapa viruksen aiheuttamaksi epäiltyä liikennettä, se puuttuu peliin. Käyttäjää varoitetaan, ja vasta uhan torjumisen tai tietoturvan vaarantumisen paikkaamisen yhteydessä kysytään tarvittaessa oikeita järjestelmänvalvojan oikeuksia, eli oikeuksia isäntäjärjestelmän hallintaan.

Siinä tapauksessa sitten kylläkään käyttäjää ei hiekkalaatikkonsa tyhjäksitekemisen takia välttämättä enää paljoa lohduta se, ettei isäntäjärjestelmä ole vaarantunut. Isäntäjärjestelmä voisi kuitenkin pelkän valvonnan ohella tehdä hiekkalaatikosta myös varmuuskopioita tai järjestelmäkuvatiedostoja (snapshot) säännöllisesti, jolloin kokonaan puhtaalta pöydältä aloittamisen sijasta käyttäjä voisikin valita aiempaan, vielä vaarantumattomaan hiekkalaatikkoon palaamisen eikä siten menettäisi ihan kaikkea.

Lopuksi täytyy vielä todeta, että tähän ehdotukseeni voi olla sisältyä ammottavia aukkoja, sillä en ole tietoturva-asiantuntija, en virtualisointiasiantuntija enkä pidä itseäni edes Linux-asiantuntijana, vaikka siitä kokemukseni näistä kolmesta aiheesta lieneekin kaikkein laajin.