Skip to content

Systemd - when systemctl unmask command fails

When you are using a typical modern Linux, where systemd is the init system, then you should be able to enable/disable daemons with:

systemctl enable somename.service
systemctl disable somename.service
and mask/unmask them with:
systemctl mask somename.service
systemctl unmask somename.service
In real life you may end up with the simple fact that unmask command does not do anything (my last case was with SANE daemon - used for running scanners in Linux):

systemctl unmask saned
systemctl status saned
● saned.service
Loaded: masked (/dev/null; bad)
Active: inactive (dead)

Well, in this case, check how things are:

file /lib/systemd/system/saned.service
/lib/systemd/system/saned.service: symbolic link to /dev/null
or

cd /lib/systemd/system/
ls -l sane*
lrwxrwxrwx 1 root root 9 mai 21 11:04 saned.service -> /dev/null
-rw-r--r-- 1 root root 309 mai 21 11:04 saned@.service
-rw-r--r-- 1 root root 132 mai 21 11:04 saned.socket
Which means that SANE unit file saned.service is symlinked to /dev/null and won't do anything, but there is a renamed unitfile saned@.service.

So the fix is simple - delete the symlinked one, rename the right one, enable and start the daemon:

cd /lib/systemd/system/
rm saned.service
mv saned@.service saned.service
systemctl enable saned.service
systemctl start saned.service

Eesti ID-kaardi tarkvara ehk open-eid v. 17.10 kasutamine Debianis

Nädal tagasi ilmus uus ID-kaardi tarkvara versiooninumbriga 17.10. Kui oled Debian stretch'i kasutaja, siis kõik mis on kirjas artiklis Eesti ID kaardi tarkvara ehk open-eid v. 3.12 kasutamine Debianis kehtib jätkuvalt, kuid sul võib vaja olla kahte täiendust:

Kui sul tekib uuendamise käigus veateateid, mis viitavad nimetatud teekidele, siis lisa need kas eraldi "dpkg -i xxx" stiilis, või pannes vastavad repod oma arvuti sources.list faili ning open-eid saab uuendatud versioonini 17.10. Tegemist on siis selle tarkvaraversiooniga, millega saad teha ka ID-kaardi sertifikaatide uuendused.

WPA2 + KRACK ei tähenda midagi head - enamus maailma WiFi ühendustest on pealtkuulatavad ja kontrollitavad

Tänase päeva pommuudis on küberturvalisuse valdkonnast. Key Reinstallation Attack ehk KRACK võimaldab WPA2'd kasutavaid WiFi ühendusi pealt kuulata ning andmed muuta ja seeläbi väga palju kurja korda saata.

See on üks hullemaid andmeturva probleeme (võib olla ka kõige suurem), mis läbi aegade on leitud.

Viga on WPA2 protokollis endas ning kõik tugijaamad ja kliendid, kes selle vähegi korralikult on implementeerinud, on ka haavatavad. Ja see puudutab arvuteid, tahvelarveuteid, mobiiltelefone, külmkappe ja mida iganes, mis WPA2'ga WiFi't kasutavad. Lihtsamalt öeldes puudutab see kõiki WiFi'ga vidinaid siin maailmas.

Seni kuni tugijaamade tootjad ja kliendi-tarkvara valmistajad veaparandused valmis saavad, on 2 valikut:

  • ära kasuta WiFi't (kasuta arvutite puhul traadiga ühendust ja mobiilsete puhul 3G/4G tüüpi ühendusi)
  • ja kui kasutad WiFi't, siis jälgi, et kõik liiklus oleks VPN'iga kaetud ja/või kõik rakenduste poolt tehtavad ühendused krüpteeritud - kui sa ise ei tea kuidas seda kontrollida ja seadistada, siis küsi neilt kes teavad

Mida tähendab "kõik rakenduste poolt tehtavad ühendused krüpteeritud"? Näiteks seda, kus iganes liigutad privaatset teavet või ei taha et kolmas osapool saaks seda lugeda, siis:

  • vaata et sinu veebibrauseris url algaks https-iga ja et sa pole brauseris ssl'i teemalisi vigu maha keeranud
  • vaata et sinu e-posti kliendis kirjade lugemine IMAP või POP3'ga oleks krüpteeritud
  • vaata et sinu e-posti kliendis kirjade saatmine SMTP'ga oleks krüpteeritud
  • vaata, et sinu lemmik-sõnumiklient kasutaks krüptograafiat

Õnneks on tarkvara paikamine juba alanud. Näiteks wpa_supplicant (alusteek Androidis ja Linuxis) on paigad juba avaldanud, kuid alati on õhus küsimus, et millal need sinu vastavate WiFi-suutlike seadmeteni jõuavad.

Täiendatud 21:50

Läbi aegade suurimale arvutiturvaprobleemile on saanud osaks ka pretsedenditu ja koordineeritud lahenduse otsimine. Viimase paari kuu jooksul on teavitatud kõiki olulisimaid operatsioonisüsteemiarendajaid ning tänasel pärastlõunal (i.e. peale turvavea avalikustamist) on ükshaaval hakanud ka turvaparandusi ilmuma (sh Windowsile ja mitmele Linuxile). Oluline oleks et ka tugijaamade tootjad järgi tuleksid ning kasutajad oleksid suutelised ka neid uuendusi tegema.

Seega uuendage niipea, kui see teil võimalik on.

Nimetame fotod ümber EXIF-metainfo alusel

Sul on kaustatäis kaamerast võetud fotosid, mille nimed on mõttetud (img_12345.jpg stiilis), kuid sa tahad et nimi oleks hoopis teemakohane ja sisaldaks pildi tegemise aega. Eeldades et failides on EXIF-metainfo alles, siis Linuxis on see käsurealt tehes imelihtne (punkt lõpus tähistab selle kausta sisu, kus sa asud):

exiftool -d miski-nimi-%Y%m%d-%H%M%S%%-c.%%e "-filename

Kui exiftool arvutis on puudu, siis libimage-exiftool-perl paigaldamine aitab. Antud näite puhul loetakse ajatempel DateTimeOriginal väljalt, kuid kaamerast sõltuvalt võib see puududa ja siis märgi vajalikuks lähteväljaks CreateDate või isegi FileModifyDate.

Tallinna linnavalitsus ei ole märganud, et toimub Laulu- ja tantsupidu

Linna peal käies jääb mulje, et Tallinna linnavalitsus vist ei teagi, et toimub Laulu- ja tantsupidu. Vähemalt linn on vastavalt kaunistamata ning kõikjal vohavad õllesummeri reklaamid. Kogumulje on enam kui kehv. Tegelikult eeldaks et linn on piduehtes juba nädala algusest saadik, kui osalejad hakkavad kogunema.

Kui enamaks raha pole, siis võiks kogu linn vähemalt olla sinimustvalgete lippudega üle külvatud. Ah, jaa... see kõik on juba varemgi juhtunud. Õnneks hoiavad Tallink Takso autod järjekindlat stiili ja pole lippe unustanud.

Eile näitasid noored ametnike ja ilmataadi kiuste üles suurepärast iseorganiseerimisvõimet. Kas enne järgmist Laulu- ja tantsupidu tasub teha lippude ostmiseks üks Hooandja kampaania ja noored saavad ise linna kaunistamisega hakkama?

Õnneks on järgmisteks kohalikeks valimisteks valimisiga alandatud ning ehk saab just noorte häältega senine Eesti-vaenulik linnavalitsus mõneks ajaks opositsiooni saadetud?

Cheonggyecheon ja Härjapea jõgi

Kes Soulis käinud on, on ilmselt ka linnasüdames jalutanud Cheonggye jõe (청계천) kaldal. Algselt Gaecheon'ina tuntud 10-kilomeetrine vooluveekogu on Souli südalinna läbinud tuhandeid aastaid. Selle ääres on pesu pestud ja lapsi ujutatud ning tehtud mida iganes voolava vee ääres saab teha. Kuival aastaajal oli ta pea-aegu olematu ning mussooni ajal uputas üle kallaste.

Linna kasvuga oli ta aegamööda muutunud sopaojaks ning kaldad lobudike-linnakuks. 1950-ndate aastate lõpus hakati piinlikuks muutunud vaatamisväärsust betoonplaatidega kinni katma ning 1970-ndate keskpaigaks rajati sinna kohale betoonsammastel maantee.

2003. aastal leiti et kalki linnaruumi tuleb elu tagasi tuua ja algatati jõe taastamisprojekt. Korealiku tõhususega said tööd tehtud kahe aastaga ning septembris 2005 avatud uus jõe-äärne linnaruum on kõigiti edukas projekt. Betoondžunglis voolab puhas ja elav vesi, jões elavad kalad ning pervedel toimetavad linnud, kaldad on mattunud rohelusse ja jalutusteede äär on täis erisugust kunsti. Kontrast pilvelõhkujatega avatud jõe alguses on vapustav.

Cheonggye jõgi Soulis
Sellises ruuumis jalutades tekib tallinlasel kiiresti küsimus, et miks ei võiks sama teha Härjapea jõega. Tallinna linnal tegelikult puudub "suur ja põnev idee", mida linnaruumis korda saata (Tallinn-Helsingi tunnel on Eesti "suur ja põnev idee"). Sarnase ajalooga Härjapea jõe osaline või täielik avamine võiks selliseks aga olla küll. Jõe täieliku avamise puhul lisandub väikese boonusena veel see, et kaovad hoovihmade-aegsed üleujutused Ahtri tänava kandis.

Peastaabi tiikidest kuni Tiigiveski tammini oleks Härjapea jõe taastamine kergelt tehtav (Kalevi staadioni juures läheb niikuinii ehitamiseks ja saaks mitu asja teha ühe tervikuna). Kohe Tiigiveski tammi taga on killuke vana jõesängi veel näha ja sealt maalt läheb linn tihedamaks ning ehitamine keerukamaks, kuid midagi võimatut selle juures ei ole.

Linnade maksevõime on küll erinev ja Cheonggyecheon'i taastamisprojekti 280-miljoni dollariline kulu võib ju tunduda 600-miljoni eurose Tallinna eelarve jaoks liiga suur number, kuid ka projekti mastaabi vahe on siiski selline, et ka Tallinn saaks sellega soovi korral hakkama.

Väikese mälestusmärgi asemel siin 59.434682, 24.760307, võiks elavas linnas olla elav veekogu, mis linnakodanike ja külaliste meeli rõõmustab ja ümbritsevat ruumi rikastab.

Cheonggye jõgi Soulis vaatega Mojeon'i sillale

Parandame Debian stretch'i asjatu jorutamise - A start job is running for Unattended Upgrades

Mingil hetkel avaldus Debian stretch'i (ehk praguse hetke seisuga veel viimaseid aegu Debian testing) olukord, kus arvuti sulgemisel või restardil tekkis 15-minutine viivitus sellist tüüpi teatega "A start job is running for Unattended Upgrades (x / 15min)". Loomulikult on selline ootamine üldjuhul mittevajalik ning lahendus on alljärgnev.

Ava tekstitoimetiga fail

/lib/systemd/system/unattended-upgrades.service

ning muuda see rida meelepäraseks

TimeoutStartSec=900

näiteks

TimeoutStartSec=10

Eraldame pdf-failist paar lehte

Sul on kellegi poolt tehtud pdf fail sadade lehtedega ning sul on sealt vaja vaid paar lehte edasi saata. Kui kasutad Linuxit, siis on tõhusaid käsurealisi töövahendeid mitu (antud näites eraldame leheküljed 128-133):

(a) Ghostscript

gs -sDEVICE=pdfwrite -dNOPAUSE -dBATCH -dSAFER \
-dFirstPage=128 -dLastPage=133 \
-sOutputFile=PisikeFailPaaristLehest-ver1.pdf TohutuFailSadadeLehtedega.pdf

(b) PDF Toolkit

pdftk A=TohutuFailSadadeLehtedega.pdf cat A128-133 output PisikeFailPaaristLehest-ver2.pdf

Antud näidetes on tulemuseks 2 faili (-ver1 ja -ver2), vaatad kumb on parem, nimetad ümber ja saadad ära. Aga loomulikult võid kohe teha emma-kumma näite najal õige lõppfaili.

Eesti ID kaardi tarkvara ehk open-eid v. 3.12 kasutamine Debianis

Aasta tagasi kirjutasin artikli Eesti ID kaardi tarkvara v. 3.11 kasutamine Debianis. Kõik seal märgitu kehtib Debian Jessie kohta jätkuvalt edasi.

Debian testingu (ehk Stretch) kasutajad, kellel on ID-kaardi tarkvara paigaldatud selle sama juhendi alusel on ehk aptitude update või apt-get update puhul märganud selliseid teateid:

Err https://installer.id.ee/media/ubuntu trusty InRelease
The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://installer.id.ee/media/ubuntu trusty InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: Failed to fetch https://installer.id.ee/media/ubuntu/dists/trusty/InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4

Põhjus see et RIA kasutab ID-kaardi tarkvara pakkide allkirjastamiseks uut võtit. Ning kui juba võtmeuuenduseks läheb, siis on mõttekas ka repo uuema vastu ära vahetada. Seega tee juurkasutajana käsurealt alljärgnev:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key

Kommenteeri sources.list failist välja või kustuta senine trusty-repo ja lisa samasse faili

deb https://installer.id.ee/media/ubuntu/ xenial main

Tee seejärel

aptitude update && aptitude safe-upgrade

ning näed et osa pakke jääb uuendamata, mistõttu tee kas kohe algselt või seejärel

aptitude dist-upgrade

ning libxml-security-c17 eemaldatakse ja libxml-security-c17v5 tuleb asemele ning kõik komponendid uuenevad viimase versioonini.

Kui sul on pidevalt edasirullunud Debian testing, siis järgevat sinu arvutis ei juhu. Aga uue stretch'i paigalduse puhul tekib probleem libssl teegiga - nimelt stretch'is on olemas libssl1.0.2 ja libssl1.1, kuid vaja oleks libssl1.0.0 pakki.

Loomulikult võid teha vajaliku paki alla sikutada (faili nimi on artikli koostamise seisuga). See näide on amd64 jaoks, kuid vastav sarnane url ja faili nimi on olemas ka i386 ja muude arhitektuuride jaoks.

wget http://security.debian.org/debian-security/pool/updates/main/o/openssl/libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb

Kuid kuna see libssl saab turvapaikasid veel hea mitu korda, siis õigem oleks kui lisad sources.list faili

# open-eid vajab libssl1.0.0, mida stretch'is pole
deb http://security.debian.org/debian-security jessie/updates main

ning siis tee

aptitude install libssl1.0.0

Kui Debian stretch arvutis varem ID-kaardi tarkvara pole olnud, siis kogu tegevus on selline:

aptitude install apt-transport-https
wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ xenial main' >> /etc/apt/sources.list
echo '# open-eid vajab libssl1.0.0, mida stretchis pole' >> /etc/apt/sources.list
echo 'deb http://security.debian.org/debian-security jessie/updates main' >> /etc/apt/sources.list
aptitude update
aptitude install libssl1.0.0
aptitude install open-eid