Linux.fi - Käyttäjän muokkaukset [fi]

HST

2017-11-15T14:49:41Z

Jem: Kumottu muokkaus 47904, jonka teki Jem (keskustelu) Väärä hälytys, sori siitä.

Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.

HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.

== Peruskäyttäjän tehtävälista ==

Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:

# Hanki henkilökortti. Sitä voi anoa
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].

'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.

'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.

== Laitteet ==

Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.

<div style="margin-left: auto; margin-right: auto;">
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]
</div>

Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.

==== Nykyaikaiset lukijat ====

Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille.

Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:

* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat

==== Vanhemmat lukijat ====

Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.

Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.

* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.

Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.

=== Towitoko ChipDrive ===

[[Tiedosto:Towitoko.chipdrive.JPG]]

Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.

'''openct''':

Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:
#reader towitoko {
# driver = towitoko;
# device = serial:/dev/ttyS0;
#};

Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.

'''pcscd''':

?

== Ohjelmistot ==

=== Arkkitehtuuri ===

Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.

PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''.

'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.

'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.

Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:

[[Tiedosto:openct.png]]      [[Tiedosto:pcsc-lite.png]]

===Ajurit ja middleware===

Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot
* Kaupallinen ''mPollux Digisign Client''

====OpenSC====

Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.

Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.

==== mPollux Digisign Client ====

Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.

Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.

===Sovellusohjelmien tuki===

Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.

==== Firefox ====

Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.

Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.

==== Opera ====

Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.

==== PAM ====

PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.

==== Ssh ====

OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.

Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.

==== OpenOffice.org ====

Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.

==== qDigiDoc ====

Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.

==== Lähiverkon pääsynvalvonta - 802.1x ====

IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin.
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.

==== Gnupg ohjelmat ====

Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:

* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.

Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.

==== KDE ja PKCS#11 ====

KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.

Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.

Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.

OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.

=== Apuohjelmat ===

Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.

==== Korttipaikkojen listaus ====
$ pkcs11-tool --module opensc-pkcs11.so -L
Slot 8 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (perustunnusluku)
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296
Slot 9 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (allekirjoitustunn
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296

==== Varmenteiden listaus ====
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
Flags : 0
Authority: no
Path : 3f004331
ID : 45

X.509 Certificate [allekirjoitusvarmenne]
Flags : 0
Authority: no
Path : 3f0050164332
ID : 46

X.509 Certificate [VRK Gov. Root CA]
Flags : 0
Authority: yes
Path : 3f004334
ID : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
Flags : 0
Authority: yes
Path : 3f004333
ID : 47

==== PIN koodin vaihto ====

==== PUK koodin käyttö ====

PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1
Using reader with a card: OmniKey CardMan 1021 01 00
Enter new PIN [PIN1]: ****
Enter new PIN again [PIN1]: ****

==== CA-varmenteiden lukeminen kortilta ====

Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.

Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:

$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem

Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.

==== Yhteiskäyttö ja Opensc <= 0.11 ====

Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.

# By default, the OpenSC PKCS#11 module will lock your card
# once you authenticate to the card via C_Login.
# This is to prevent other users or other applications
# from connecting to the card and perform crypto operations
# (which may be possible because you have already authenticated
# with the card).

# Thus it is impossible to use several smart card aware
# applications at the same time, e.g. you cannot run both
# Firefox and Thunderbird at the same time, if both are
# configured to use your smart card.
#
# Default: true
lock_login = false;

Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.

==== Sovellusten jumiutumiset ====

Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.

Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:

$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 01 00
X.509 Certificate...

Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.

Joskus koko korttiin ei saada yhteyttä:

$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
Failed to connect to card: Unknown error

Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:

# service pcscd restart
Redirecting to /bin/systemctl restart pcscd.service

Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.

== Sovelluskohtaisia ohjeita ==

Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.

Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').

=== Firefox ===

Firefoxin varmennekortti-tuen tehtävälista:

# Juurivarmenteen asentaminen (pakollinen)
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)
# Allekirjoitus-pluginin asentaminen

==== Juurivarmenteen asentaminen ====

Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.

Valise kaikki:
* ''Trust this CA to identify web sites''
* ''Trust this CA to identify email users''
* ''Trust this CA to identify software developers''

Paina ''Ok''

==== Korttituen lisääminen ====

Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.

Suomenkielisessä selaimessa:

*valitse ''Muokkaa'' →'' Asetukset'' →'' Lisäasetukset'' → ''Salaus'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

Englanninkielisessä selaimessa:

*valitse ''Edit'' → ''Preferences'' → ''Advanced'' → ''Encryption'' → ''Security Devices''
*paina ''Load''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

==== pin2-koodin turha kysely ja onepin tausta ====

Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].

==== Error code: ssl_error_renegotiation_not_allowed ====

Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.

Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille – VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.

===Thunderbird===

*valitse ''Muokkaa'' → ''Asetukset'' → ''Lisäasetukset'' → ''Varmenteet'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt>
*edelleen lisäasetuksista valitse ''Näytä varmenteet''
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"
*valitse ''Muokkaa'' → ''Tilien asetukset''
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne

Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.

=== qDigiDoc ===

Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.

=== Ssh ===
Jotta linuxiin voi ottaa SSH-yhteyden älykortilla, täytyy älykortilla oleva julkinen avain tallentaa /home/<user>/.ssh hakemiston authorized_keys tiedostoon [https://linux.fi/wiki/OpenSSH OpenSSH]-formaatissa.
Ohjeet siihen miten julkinen avain muutetaan OpenSSH-formaattiin löytyy [https://joscor.com/blog/convert-windows-public-certificate-cer-to-openssh-public-key/ täältä].

==== Linux ====
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.

'''Käyttö''':
* Aseta kortti lukijaan ja lisää plugin:
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:
$ ssh-add -L
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.

'''Vianmääritys''':
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.

==== Windows ====

===== PuTTY =====

PuTTY ei oletuksena tue älykortilla olevan yksityisen avaimen noutoa. Jotta Windows käyttöjärjestelmällä voi kirjautua linuxiin henkilökortilla, täytyy käyttää PuTTY SC-ohjelmaa [http://www.joebar.ch/puttysc/].
Ohjelman asetuksissa valitaan Connection -> SSH -> Pkcs11 välilehdeltä PKCS#11 kirjastoksi mpollux-ohjelman mukana tuleva cryptoki.dll tiedosto, joka on oletuksena polussa C:\Program Files (x86)\Fujitsu\mPollux DigiSign Client\cryptoki.dll. Token Label kohtaan valitaan "Henkilökortti" ja "Certificate Label" kohdasta valitaan joko henkilökohtainen salausvarmenne tai allekirjoitusvarmenne sen mukaan kumpi on asennettu palvelimelle.

===== FileZilla =====

FileZilla ei tue PKSC11 todentamista, mutta se tukee yksityisen avaimen hakemista PageAnt-ohjelman kautta. PageAnt-ohjelmasta täytyy asentaa modifioitu [http://www.joebar.ch/puttysc/ PageAntSC]-versio joka osaa hakea kortinlukulaitteesta salausavaimen.

Käynnistä PageAntSC ohjelma ennen FileZillalla yhdistämistä, varmista että tehtäväpalkissa näkyy ohjelman kuvake (tietokone jolla on hattu), ja kuvakkeesta aukeavassa ohjelmassa on listattu henkilökorttivarmenne.
Yhdistä nyt FileZillalla linuxiin jättäen salasana-kenttä tyhjäksi, tällöin PageAntSC-ohjelma kysyy PIN-koodia ja FileZilla kirjautuu Linuxiin henkilökortin varmenteella.

=== Lähiverkon pääsynvalvonta - 802.1x ===

Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.

pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so

# Example of EAP-TLS with smartcard (openssl engine)
network={
ssid="example.com"
key_mgmt=WPA-EAP
eap=TLS
proto=RSN
pairwise=CCMP TKIP
group=CCMP TKIP
identity="user@example.com"
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"
client_cert="/etc/pki/tls/certs/user.pem"

engine=1

# use the opensc engine
#engine_id="opensc"
#key_id="45"

# use the pkcs11 engine
engine_id="pkcs11"
key_id="id_45"

# Optional PIN configuration; this can be left out and PIN will be
# asked through the control interface
# pin="1234"
}

Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].

=== Gnupg ohjelmistot ===

Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:

scdaemon-program /usr/bin/gnupg-pkcs11-scd
pinentry-program /usr/bin/pinentry-qt

ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:

$ gpg2 -K

listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.

=== Kleopatra ===

Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.

== Jakelukohtaisia ohjeita ==

{| class="wikitable" style="text-align:center"
|+ominaisuusvertailu
|-
! ominaisuus / jakelu
! Arch Linux
! Fedora
! Gentoo
! OpenSuse
! RHEL
! Ubuntu
|-
| Kyseinen jakeluversio || || 14 || || || 5 ||
|-
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||
|-
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||
|-
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||
|-
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||
|-
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||
|-
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||
|-
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||
|-
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||
|-
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||
|-
|}

Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.

===Arch Linux===

* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''
* Muuta palvelu pcscd automaattisesti käynnistyväksi:
sudo systemctl enable pcsc
* Käynnistä palvelu pcscd:
systemctl start pcscd
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code>

=== CentOS ===

Fedoran ohjeet pitäisi käydä sellaisenaan.

=== Fedora ===

* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.
* CA-avaimien paketti: '''ca-certificates'''
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]
* ssh-agent käynnistyy automaattisesti jos on asennettu.
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code>

=== Gentoo ===
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh

=== OpenSuse ===

* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]

=== RHEL (Red Hat Enterprise Linux) ===

Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.

Nyt voit jatkaa Fedoran ohjeilla.

===Ubuntu===

* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt>
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]

== Katso myös ==

* [[Mobiilivarmenne]]
* [[Apache_httpd]]
* [[Firefox]]
* [[Gnupg]] - GNU Privacy Guard
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto
* [[qDigiDoc]]
* [[PAM]] - Pluggable Authentication Modules
* [[SSH]] - Secure SHell
* [[Thunderbird]]
* [[VPN]] - Virtual Private Network
* [[Wpa_supplicant]]

== Aiheesta muualla ==

* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.

[[Luokka:Laitteisto]]
[[Luokka:Ohjeet]]
[[Luokka:Tietoturva]]
[[Luokka:Suomi]]

HST

2017-11-14T16:34:23Z

Jem: /* Lisätty varoitus Firefoxin versiosta 57. */

Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.

HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.

== Peruskäyttäjän tehtävälista ==

Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:

# Hanki henkilökortti. Sitä voi anoa
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].

'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.

'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.

== Laitteet ==

Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.

<div style="margin-left: auto; margin-right: auto;">
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]
</div>

Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.

==== Nykyaikaiset lukijat ====

Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille.

Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:

* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat

==== Vanhemmat lukijat ====

Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.

Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.

* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.

Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.

=== Towitoko ChipDrive ===

[[Tiedosto:Towitoko.chipdrive.JPG]]

Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.

'''openct''':

Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:
#reader towitoko {
# driver = towitoko;
# device = serial:/dev/ttyS0;
#};

Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.

'''pcscd''':

?

== Ohjelmistot ==

=== Arkkitehtuuri ===

Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.

PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''.

'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.

'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.

Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:

[[Tiedosto:openct.png]]      [[Tiedosto:pcsc-lite.png]]

===Ajurit ja middleware===

Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot
* Kaupallinen ''mPollux Digisign Client''

====OpenSC====

Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.

Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.

==== mPollux Digisign Client ====

Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.

Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.

===Sovellusohjelmien tuki===

Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.

==== Firefox ====

Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.

Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.

==== Opera ====

Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.

==== PAM ====

PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.

==== Ssh ====

OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.

Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.

==== OpenOffice.org ====

Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.

==== qDigiDoc ====

Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.

==== Lähiverkon pääsynvalvonta - 802.1x ====

IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin.
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.

==== Gnupg ohjelmat ====

Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:

* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.

Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.

==== KDE ja PKCS#11 ====

KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.

Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.

Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.

OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.

=== Apuohjelmat ===

Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.

==== Korttipaikkojen listaus ====
$ pkcs11-tool --module opensc-pkcs11.so -L
Slot 8 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (perustunnusluku)
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296
Slot 9 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (allekirjoitustunn
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296

==== Varmenteiden listaus ====
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
Flags : 0
Authority: no
Path : 3f004331
ID : 45

X.509 Certificate [allekirjoitusvarmenne]
Flags : 0
Authority: no
Path : 3f0050164332
ID : 46

X.509 Certificate [VRK Gov. Root CA]
Flags : 0
Authority: yes
Path : 3f004334
ID : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
Flags : 0
Authority: yes
Path : 3f004333
ID : 47

==== PIN koodin vaihto ====

==== PUK koodin käyttö ====

PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1
Using reader with a card: OmniKey CardMan 1021 01 00
Enter new PIN [PIN1]: ****
Enter new PIN again [PIN1]: ****

==== CA-varmenteiden lukeminen kortilta ====

Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.

Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:

$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem

Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.

==== Yhteiskäyttö ja Opensc <= 0.11 ====

Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.

# By default, the OpenSC PKCS#11 module will lock your card
# once you authenticate to the card via C_Login.
# This is to prevent other users or other applications
# from connecting to the card and perform crypto operations
# (which may be possible because you have already authenticated
# with the card).

# Thus it is impossible to use several smart card aware
# applications at the same time, e.g. you cannot run both
# Firefox and Thunderbird at the same time, if both are
# configured to use your smart card.
#
# Default: true
lock_login = false;

Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.

==== Sovellusten jumiutumiset ====

Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.

Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:

$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 01 00
X.509 Certificate...

Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.

Joskus koko korttiin ei saada yhteyttä:

$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
Failed to connect to card: Unknown error

Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:

# service pcscd restart
Redirecting to /bin/systemctl restart pcscd.service

Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.

== Sovelluskohtaisia ohjeita ==

Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.

Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').

=== Firefox ===

'''Huom! Firefox versio 57 (julkaistu 14.11.2017) ei tue HST-korttia millään käyttöjärjestelmällä.''' Toistaiseksi ei tueta mitään pluginia, ei OpenSC:tä eikä mPollux-ohjelmistoa. Jos haluat käyttää korttia Firefoxilla, kannattaa käyttää Firefoxin versiota 56 tai aikaisempaa.

Firefoxin varmennekortti-tuen tehtävälista:

# Juurivarmenteen asentaminen (pakollinen)
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)
# Allekirjoitus-pluginin asentaminen

==== Juurivarmenteen asentaminen ====

Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.

Valise kaikki:
* ''Trust this CA to identify web sites''
* ''Trust this CA to identify email users''
* ''Trust this CA to identify software developers''

Paina ''Ok''

==== Korttituen lisääminen ====

Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.

Suomenkielisessä selaimessa:

*valitse ''Muokkaa'' →'' Asetukset'' →'' Lisäasetukset'' → ''Salaus'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

Englanninkielisessä selaimessa:

*valitse ''Edit'' → ''Preferences'' → ''Advanced'' → ''Encryption'' → ''Security Devices''
*paina ''Load''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

==== pin2-koodin turha kysely ja onepin tausta ====

Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].

==== Error code: ssl_error_renegotiation_not_allowed ====

Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.

Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille – VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.

===Thunderbird===

*valitse ''Muokkaa'' → ''Asetukset'' → ''Lisäasetukset'' → ''Varmenteet'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt>
*edelleen lisäasetuksista valitse ''Näytä varmenteet''
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"
*valitse ''Muokkaa'' → ''Tilien asetukset''
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne

Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.

=== qDigiDoc ===

Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.

=== Ssh ===
Jotta linuxiin voi ottaa SSH-yhteyden älykortilla, täytyy älykortilla oleva julkinen avain tallentaa /home/<user>/.ssh hakemiston authorized_keys tiedostoon [https://linux.fi/wiki/OpenSSH OpenSSH]-formaatissa.
Ohjeet siihen miten julkinen avain muutetaan OpenSSH-formaattiin löytyy [https://joscor.com/blog/convert-windows-public-certificate-cer-to-openssh-public-key/ täältä].

==== Linux ====
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.

'''Käyttö''':
* Aseta kortti lukijaan ja lisää plugin:
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:
$ ssh-add -L
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.

'''Vianmääritys''':
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.

==== Windows ====

===== PuTTY =====

PuTTY ei oletuksena tue älykortilla olevan yksityisen avaimen noutoa. Jotta Windows käyttöjärjestelmällä voi kirjautua linuxiin henkilökortilla, täytyy käyttää PuTTY SC-ohjelmaa [http://www.joebar.ch/puttysc/].
Ohjelman asetuksissa valitaan Connection -> SSH -> Pkcs11 välilehdeltä PKCS#11 kirjastoksi mpollux-ohjelman mukana tuleva cryptoki.dll tiedosto, joka on oletuksena polussa C:\Program Files (x86)\Fujitsu\mPollux DigiSign Client\cryptoki.dll. Token Label kohtaan valitaan "Henkilökortti" ja "Certificate Label" kohdasta valitaan joko henkilökohtainen salausvarmenne tai allekirjoitusvarmenne sen mukaan kumpi on asennettu palvelimelle.

===== FileZilla =====

FileZilla ei tue PKSC11 todentamista, mutta se tukee yksityisen avaimen hakemista PageAnt-ohjelman kautta. PageAnt-ohjelmasta täytyy asentaa modifioitu [http://www.joebar.ch/puttysc/ PageAntSC]-versio joka osaa hakea kortinlukulaitteesta salausavaimen.

Käynnistä PageAntSC ohjelma ennen FileZillalla yhdistämistä, varmista että tehtäväpalkissa näkyy ohjelman kuvake (tietokone jolla on hattu), ja kuvakkeesta aukeavassa ohjelmassa on listattu henkilökorttivarmenne.
Yhdistä nyt FileZillalla linuxiin jättäen salasana-kenttä tyhjäksi, tällöin PageAntSC-ohjelma kysyy PIN-koodia ja FileZilla kirjautuu Linuxiin henkilökortin varmenteella.

=== Lähiverkon pääsynvalvonta - 802.1x ===

Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.

pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so

# Example of EAP-TLS with smartcard (openssl engine)
network={
ssid="example.com"
key_mgmt=WPA-EAP
eap=TLS
proto=RSN
pairwise=CCMP TKIP
group=CCMP TKIP
identity="user@example.com"
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"
client_cert="/etc/pki/tls/certs/user.pem"

engine=1

# use the opensc engine
#engine_id="opensc"
#key_id="45"

# use the pkcs11 engine
engine_id="pkcs11"
key_id="id_45"

# Optional PIN configuration; this can be left out and PIN will be
# asked through the control interface
# pin="1234"
}

Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].

=== Gnupg ohjelmistot ===

Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:

scdaemon-program /usr/bin/gnupg-pkcs11-scd
pinentry-program /usr/bin/pinentry-qt

ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:

$ gpg2 -K

listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.

=== Kleopatra ===

Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.

== Jakelukohtaisia ohjeita ==

{| class="wikitable" style="text-align:center"
|+ominaisuusvertailu
|-
! ominaisuus / jakelu
! Arch Linux
! Fedora
! Gentoo
! OpenSuse
! RHEL
! Ubuntu
|-
| Kyseinen jakeluversio || || 14 || || || 5 ||
|-
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||
|-
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||
|-
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||
|-
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||
|-
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||
|-
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||
|-
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||
|-
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||
|-
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||
|-
|}

Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.

===Arch Linux===

* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''
* Muuta palvelu pcscd automaattisesti käynnistyväksi:
sudo systemctl enable pcsc
* Käynnistä palvelu pcscd:
systemctl start pcscd
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code>

=== CentOS ===

Fedoran ohjeet pitäisi käydä sellaisenaan.

=== Fedora ===

* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.
* CA-avaimien paketti: '''ca-certificates'''
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]
* ssh-agent käynnistyy automaattisesti jos on asennettu.
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code>

=== Gentoo ===
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh

=== OpenSuse ===

* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]

=== RHEL (Red Hat Enterprise Linux) ===

Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.

Nyt voit jatkaa Fedoran ohjeilla.

===Ubuntu===

* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt>
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]

== Katso myös ==

* [[Mobiilivarmenne]]
* [[Apache_httpd]]
* [[Firefox]]
* [[Gnupg]] - GNU Privacy Guard
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto
* [[qDigiDoc]]
* [[PAM]] - Pluggable Authentication Modules
* [[SSH]] - Secure SHell
* [[Thunderbird]]
* [[VPN]] - Virtual Private Network
* [[Wpa_supplicant]]

== Aiheesta muualla ==

* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.

[[Luokka:Laitteisto]]
[[Luokka:Ohjeet]]
[[Luokka:Tietoturva]]
[[Luokka:Suomi]]

HST

2017-09-02T19:14:08Z

Jem: /* Jakelukohtaisia ohjeita */

HST

2017-09-02T19:11:21Z

Jem: /* Jakelukohtaisia ohjeita */

Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.

HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.

== Peruskäyttäjän tehtävälista ==

Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:

# Hanki henkilökortti. Sitä voi anoa
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].

'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.

'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.

== Laitteet ==

Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.

<div style="margin-left: auto; margin-right: auto;">
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]
</div>

Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.

==== Nykyaikaiset lukijat ====

Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille.

Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:

* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat

==== Vanhemmat lukijat ====

Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.

Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.

* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.

Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.

=== Towitoko ChipDrive ===

[[Tiedosto:Towitoko.chipdrive.JPG]]

Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.

'''openct''':

Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:
#reader towitoko {
# driver = towitoko;
# device = serial:/dev/ttyS0;
#};

Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.

'''pcscd''':

?

== Ohjelmistot ==

=== Arkkitehtuuri ===

Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.

PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''.

'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.

'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.

Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:

[[Tiedosto:openct.png]]      [[Tiedosto:pcsc-lite.png]]

===Ajurit ja middleware===

Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot
* Kaupallinen ''mPollux Digisign Client''

====OpenSC====

Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.

Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.

==== mPollux Digisign Client ====

Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.

Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.

===Sovellusohjelmien tuki===

Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.

==== Firefox ====

Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.

Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.

==== Opera ====

Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.

==== PAM ====

PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.

==== Ssh ====

OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.

Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.

==== OpenOffice.org ====

Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.

==== qDigiDoc ====

Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.

==== Lähiverkon pääsynvalvonta - 802.1x ====

IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin.
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.

==== Gnupg ohjelmat ====

Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:

* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.

Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.

==== KDE ja PKCS#11 ====

KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.

Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.

Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.

OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.

=== Apuohjelmat ===

Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.

==== Korttipaikkojen listaus ====
$ pkcs11-tool --module opensc-pkcs11.so -L
Slot 8 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (perustunnusluku)
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296
Slot 9 OmniKey CardMan 3121 00 00
token label: HENKILOKORTTI (allekirjoitustunn
token manuf: VRK-FINEID
token model: PKCS#15
token flags: login required, PIN initialized, token initialized
serial num : 4600015034197296

==== Varmenteiden listaus ====
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
Flags : 0
Authority: no
Path : 3f004331
ID : 45

X.509 Certificate [allekirjoitusvarmenne]
Flags : 0
Authority: no
Path : 3f0050164332
ID : 46

X.509 Certificate [VRK Gov. Root CA]
Flags : 0
Authority: yes
Path : 3f004334
ID : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
Flags : 0
Authority: yes
Path : 3f004333
ID : 47

==== PIN koodin vaihto ====

==== PUK koodin käyttö ====

PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1
Using reader with a card: OmniKey CardMan 1021 01 00
Enter new PIN [PIN1]: ****
Enter new PIN again [PIN1]: ****

==== CA-varmenteiden lukeminen kortilta ====

Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.

Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:

$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem

Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.

==== Yhteiskäyttö ja Opensc <= 0.11 ====

Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.

# By default, the OpenSC PKCS#11 module will lock your card
# once you authenticate to the card via C_Login.
# This is to prevent other users or other applications
# from connecting to the card and perform crypto operations
# (which may be possible because you have already authenticated
# with the card).

# Thus it is impossible to use several smart card aware
# applications at the same time, e.g. you cannot run both
# Firefox and Thunderbird at the same time, if both are
# configured to use your smart card.
#
# Default: true
lock_login = false;

Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.

==== Sovellusten jumiutumiset ====

Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.

Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:

$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
PKCS#15 binding failed: Wrong length
$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 3121 01 00
X.509 Certificate...

Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.

Joskus koko korttiin ei saada yhteyttä:

$ pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
Failed to connect to card: Unknown error

Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:

# service pcscd restart
Redirecting to /bin/systemctl restart pcscd.service

Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.

== Sovelluskohtaisia ohjeita ==

Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.

Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').

=== Firefox ===

Firefoxin varmennekortti-tuen tehtävälista:

# Juurivarmenteen asentaminen (pakollinen)
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)
# Allekirjoitus-pluginin asentaminen

==== Juurivarmenteen asentaminen ====

Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.

Valise kaikki:
* ''Trust this CA to identify web sites''
* ''Trust this CA to identify email users''
* ''Trust this CA to identify software developers''

Paina ''Ok''

==== Korttituen lisääminen ====

Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.

Suomenkielisessä selaimessa:

*valitse ''Muokkaa'' →'' Asetukset'' →'' Lisäasetukset'' → ''Salaus'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

Englanninkielisessä selaimessa:

*valitse ''Edit'' → ''Preferences'' → ''Advanced'' → ''Encryption'' → ''Security Devices''
*paina ''Load''
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt>

==== pin2-koodin turha kysely ja onepin tausta ====

Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].

==== Error code: ssl_error_renegotiation_not_allowed ====

Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.

Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille – VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.

===Thunderbird===

*valitse ''Muokkaa'' → ''Asetukset'' → ''Lisäasetukset'' → ''Varmenteet'' → ''Turvallisuuslaitteet''
*paina ''Lataa''
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt>
*edelleen lisäasetuksista valitse ''Näytä varmenteet''
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"
*valitse ''Muokkaa'' → ''Tilien asetukset''
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne

Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.

=== qDigiDoc ===

Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.

=== Ssh ===
Jotta linuxiin voi ottaa SSH-yhteyden älykortilla, täytyy älykortilla oleva julkinen avain tallentaa /home/<user>/.ssh hakemiston authorized_keys tiedostoon [https://linux.fi/wiki/OpenSSH OpenSSH]-formaatissa.
Ohjeet siihen miten julkinen avain muutetaan OpenSSH-formaattiin löytyy [https://joscor.com/blog/convert-windows-public-certificate-cer-to-openssh-public-key/ täältä].

==== Linux ====
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.

'''Käyttö''':
* Aseta kortti lukijaan ja lisää plugin:
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:
$ ssh-add -L
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.

'''Vianmääritys''':
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.

==== Windows ====

===== PuTTY =====

PuTTY ei oletuksena tue älykortilla olevan yksityisen avaimen noutoa. Jotta Windows käyttöjärjestelmällä voi kirjautua linuxiin henkilökortilla, täytyy käyttää PuTTY SC-ohjelmaa [http://www.joebar.ch/puttysc/].
Ohjelman asetuksissa valitaan Connection -> SSH -> Pkcs11 välilehdeltä PKCS#11 kirjastoksi mpollux-ohjelman mukana tuleva cryptoki.dll tiedosto, joka on oletuksena polussa C:\Program Files (x86)\Fujitsu\mPollux DigiSign Client\cryptoki.dll. Token Label kohtaan valitaan "Henkilökortti" ja "Certificate Label" kohdasta valitaan joko henkilökohtainen salausvarmenne tai allekirjoitusvarmenne sen mukaan kumpi on asennettu palvelimelle.

===== FileZilla =====

FileZilla ei tue PKSC11 todentamista, mutta se tukee yksityisen avaimen hakemista PageAnt-ohjelman kautta. PageAnt-ohjelmasta täytyy asentaa modifioitu [http://www.joebar.ch/puttysc/ PageAntSC]-versio joka osaa hakea kortinlukulaitteesta salausavaimen.

Käynnistä PageAntSC ohjelma ennen FileZillalla yhdistämistä, varmista että tehtäväpalkissa näkyy ohjelman kuvake (tietokone jolla on hattu), ja kuvakkeesta aukeavassa ohjelmassa on listattu henkilökorttivarmenne.
Yhdistä nyt FileZillalla linuxiin jättäen salasana-kenttä tyhjäksi, tällöin PageAntSC-ohjelma kysyy PIN-koodia ja FileZilla kirjautuu Linuxiin henkilökortin varmenteella.

=== Lähiverkon pääsynvalvonta - 802.1x ===

Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.

pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so

# Example of EAP-TLS with smartcard (openssl engine)
network={
ssid="example.com"
key_mgmt=WPA-EAP
eap=TLS
proto=RSN
pairwise=CCMP TKIP
group=CCMP TKIP
identity="user@example.com"
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"
client_cert="/etc/pki/tls/certs/user.pem"

engine=1

# use the opensc engine
#engine_id="opensc"
#key_id="45"

# use the pkcs11 engine
engine_id="pkcs11"
key_id="id_45"

# Optional PIN configuration; this can be left out and PIN will be
# asked through the control interface
# pin="1234"
}

Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].

=== Gnupg ohjelmistot ===

Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:

scdaemon-program /usr/bin/gnupg-pkcs11-scd
pinentry-program /usr/bin/pinentry-qt

ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:

$ gpg2 -K

listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.

=== Kleopatra ===

Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.

== Jakelukohtaisia ohjeita ==

{| class="wikitable" style="text-align:center"
|+ominaisuusvertailu
|-
! ominaisuus / jakelu
| Arch Linux
! Fedora
! Gentoo
! OpenSuse
! RHEL
! Ubuntu
|-
| Kyseinen jakeluversio || || 14 || || || 5 ||
|-
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||
|-
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||
|-
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||
|-
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||
|-
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||
|-
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||
|-
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||
|-
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||
|-
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||
|-
|}

Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.

=== Arch Linux ===

* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''
* Muuta palvelu pcscd automaattisesti käynnistyväksi:
sudo systemctl enable pcsc
* Käynnistä palvelu pcscd:
systemctl start pcscd
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code>

=== CentOS ===

Fedoran ohjeet pitäisi käydä sellaisenaan.

=== Fedora ===

* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.
* CA-avaimien paketti: '''ca-certificates'''
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]
* ssh-agent käynnistyy automaattisesti jos on asennettu.
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code>

=== Gentoo ===
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh

=== OpenSuse ===

* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]

=== RHEL (Red Hat Enterprise Linux) ===

Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.

Nyt voit jatkaa Fedoran ohjeilla.

===Ubuntu===

* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt>
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]

== Katso myös ==

* [[Mobiilivarmenne]]
* [[Apache_httpd]]
* [[Firefox]]
* [[Gnupg]] - GNU Privacy Guard
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto
* [[qDigiDoc]]
* [[PAM]] - Pluggable Authentication Modules
* [[SSH]] - Secure SHell
* [[Thunderbird]]
* [[VPN]] - Virtual Private Network
* [[Wpa_supplicant]]

== Aiheesta muualla ==

* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.

[[Luokka:Laitteisto]]
[[Luokka:Ohjeet]]
[[Luokka:Tietoturva]]
[[Luokka:Suomi]]

Systemd-boot

2017-01-23T09:47:39Z

Jem:

'''Systemd-boot''' on [[käynnistysvalitsin]], eli ohjelma joka tarjoaa valikon
josta käyttäjä voi valita käynnistettävän käyttöjärjestelmän.
Systemd-boot toimii vain [[EFI|UEFI -laiteohjelmistolla]]
varustetuissa koneissa.

Systemd-boot:n käyttö Linuxin kanssa edellyttää, että Linux-ydin on
konfiguroitu sisältämään EFI Boot Stub -käynnistyslataimen, jonka
avulla ydin pystyy, yhdessä UEFI-laiteohjelmiston kanssa, lataamaan ja
käynnistämään itsensä.

Systemd-boot tarjoaa yksinkertaisen valikon, josta käyttäjä voi valita
käynnistettävän käyttöjärjestelmän. Valikon pystyy myös piilottamaan
asettamalla konfiguraatiotietoston timeout-parametrin arvoksi 0. Tässä
tapauksessa oletuskäyttöjärjestelmä käynnistetään automaattisesti,
mutta käynnistyksen voi keskeyttää painamalla näppäimistön
välilyöntinäppäintä.

==Asennus==

Tavallisimmissa Linux-jakeluissa käyttäjän ei tarvitse huolehtia
käynnistysvalitsimen tai käynnistyslataimen asennuksesta tai
konfiguroinnista, sillä jakelun tekijä huolehtii tästä. Sen sijaan
enemmän tee-se-itse -filosofiaa noudattavissa jakeluissa, kuten Arch
Linux tai Gentoo Linux, käyttäjän pitää itse asentaa
käynnistysvalitsin ja/tai käynnistyslataaja.

Systemd-boot on osa systemd-järjestelmää, joten se on tyypillisesti mukana
jakelun systemd-asennuspaketissa. Systemd-boot konfiguroidaan
kätevimmin bootctl-ohjelman avulla, joka myös kuuluu
systemd-pakettiin.

Bootctl-ohjelma asentaa systemd-boot:n ESP:lle, lisää ohjelman EFI:n
käynnistysmuuttujiin sekä valitsee systemd-boot:n
oletuskäynnistysohjelmaksi. Lisäksi bootctl pystyy havaitsemaan
olemassa olevan Windows-asennuksen ja lisää sen systemd-boot:n
käynnistysvalikkoon.

==Konfigurointi==

Systemd-boot konfiguroidaan muokkaamalla ESP-osiolla (EFI System
Partition) olevia tekstitiedostoja. Tiedostoja on vain kahdenlaisia:
loader.conf sekä käyttöjärjestelmäkohtaiset *.conf-tiedostot.
loader.conf sisältää yleiset parametrit, joita on vain kolme:

* default - oletusvalinta
* timeout - kuinka monta sekuntia valikko näytetään
* editor - onko ytimen komentorivin muokkain sallittu vai ei (arvot 1 ja 0)

Esimerkki esp/loader/loader.conf -tiedostosta:

<pre>
default arch
timeout 4
editor 0
</pre>

Jokaista käynnistettävää käyttöjärjestelmää varten on
esp/loader/entries-hakemistossa oma .conf-tiedosto, joka sisältää
käyttöjärjestelmäkohtaisia parametreja. Käytössä on seitsemän eri
parametria, joista osa on valinnaisia:

* title - käynnistysvalinnan nimi
* version - ytimen versio; näytetään vain jos on useampia samannimisiä valintoja
* machine-id - koneen yksilöivä id /etc/machine-id -tiedostosta
* efi tai linux - käynnistettävä EFI-ohjelma (esim. Linux-ydin tai Windowsin käynnistyslataaja)
* options - komentoriviparametreja käynnistettävälle EFI-ohjelmalle
* initrd - tiedostopolku initramfs-tiedostoon

Esimerkkitiedosto esp/loader/entries/arch.conf:

<pre>
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root=PARTUUID=7619c378-374c-5f83-9123-544696493b2f rw
</pre>

==Aiheesta muualla==

*[https://www.freedesktop.org/wiki/Software/systemd/systemd-boot/ systemd-boot:n virallinen kotisivu]

[[Luokka:Käynnistyslataimet]]

Keskustelu:Käynnistysvalitsin

2017-01-22T16:36:18Z

Jem: Ak: Uusi sivu: Käynnistysvalitsin (eng. boot manager) ja käynnistyslatain (eng. boot loader) ovat siis eri asioita, vaikka molempien toiminnallisuus usein (mutta ei aina) onkin yhdistetty samaa...

Käynnistysvalitsin (eng. boot manager) ja käynnistyslatain (eng. boot loader) ovat siis eri asioita,
vaikka molempien toiminnallisuus usein (mutta ei aina) onkin yhdistetty samaan ohjelmaan, esimerkiksi
GRUB 2:een.

Käynnistysvalitsin

2017-01-22T16:21:40Z

Jem:

'''Käynnistysvalitsin''' (eng. "Boot Manager") on ohjelma, joka suoritaan tietokoneen
käynnistyksen jälkeen, mutta ennen kuin käyttöjärjestelmä on
käynnistynyt. Käynnistysvalitsimen tehtävä on tarjota käyttäjälle
valikko, josta hän voi valita käynnistettävä käyttöjärjestelmä. Valinnan jälkeen
käynnistysvalitsin käynnistää valitun käyttöjärjestelmän käynnistyslataimen.

Käynnistysvalitsin on usein integroitu käynnystyslataimeen; esimerkiksi [[GNU GRUB 2]] toimii sekä
käynnistysvalitsimena että käynnistyslataimena.

Puhdasta käynnistysvalitsinta, siis ohjelmaa joka ei sisällä käynnistyslatainta, käytetään yleensä vain [[EFI|(U)EFI-laiteohjelmistolla]] varustetuissa koneissa. Käynnistysvalitsin käynnistää käyttäjän valitaan
liittyvän EFI-ohjelman, jonka tyypillisesti on valitun käyttöjärjestelmän käynnistyslatain. Linuxin tapauksessa
käynnistysvalitsimen käynnistämä ohjelma voi olla myös suoraan Linux-ydin, jos ydin on konfiguroitu
CONFIG_EFI_STUB-optiolla. Tässä tapauksessa ydin toimii itse omana käynnistyslataimenaan.

==Esimerkkejä käynnistysvalitsimista==

* [[systemd-boot]]
* [[rEFInd]]
* [[rEFIt]]

Systemd-boot

2017-01-21T19:15:12Z

Jem: Ak: Uusi sivu: Systemd-boot on käynnistysvalitsin, eli ohjelma joka tarjoaa valikon josta käyttäjä voi valita käynnistettävän käyttöjärjestelmän. Systemd-boot toimii vain EFI|UEF...

Systemd-boot on [[käynnistysvalitsin]], eli ohjelma joka tarjoaa valikon
josta käyttäjä voi valita käynnistettävän käyttöjärjestelmän.
Systemd-boot toimii vain [[EFI|UEFI -laiteohjelmistolla]]
varustetuissa koneissa.

Systemd-boot:n käyttö Linuxin kanssa edellyttää, että Linux-ydin on
konfiguroitu sisältämään EFI Boot Stub -käynnistyslataimen, jonka
avulla ydin pystyy, yhdessä UEFI-laiteohjelmiston kanssa, lataamaan ja
käynnistämään itsensä.

Systemd-boot tarjoaa yksinkertaisen valikon, josta käyttäjä voi valita
käynnistettävän käyttöjärjestelmän. Valikon pystyy myös piilottamaan
asettamalla konfiguraatiotietoston timeout-parametrin arvoksi 0. Tässä
tapauksessa oletuskäyttöjärjestelmä käynnistetään automaattisesti,
mutta käynnistyksen voi keskeyttää painamalla näppäimistön
välilyöntinäppäintä.

==Asennus==

Tavallisimmissa Linux-jakeluissa käyttäjän ei tarvitse huolehtia
käynnistysvalitsimen tai käynnistyslataimen asennuksesta tai
konfiguroinnista, sillä jakelun tekijä huolehtii tästä. Sen sijaan
enemmän tee-se-itse -filosofiaa noudattavissa jakeluissa, kuten Arch
Linux tai Gentoo Linux, käyttäjän pitää itse asentaa
käynnistysvalitsin ja/tai käynnistyslataaja.

Systemd-boot on osa systemd-järjestelmää, joten se on tyypillisesti mukana
jakelun systemd-asennuspaketissa. Systemd-boot konfiguroidaan
kätevimmin bootctl-ohjelman avulla, joka myös kuuluu
systemd-pakettiin.

Bootctl-ohjelma asentaa systemd-boot:n ESP:lle, lisää ohjelman EFI:n
käynnistysmuuttujiin sekä valitsee systemd-boot:n
oletuskäynnistysohjelmaksi. Lisäksi bootctl pystyy havaitsemaan
olemassa olevan Windows-asennuksen ja lisää sen systemd-boot:n
käynnistysvalikkoon.

==Konfigurointi==

Systemd-boot konfiguroidaan muokkaamalla ESP-osiolla (EFI System
Partition) olevia tekstitiedostoja. Tiedostoja on vain kahdenlaisia:
loader.conf sekä käyttöjärjestelmäkohtaiset *.conf-tiedostot.
loader.conf sisältää yleiset parametrit, joita on vain kolme:

* default - oletusvalinta
* timeout - kuinka monta sekuntia valikko näytetään
* editor - onko ytimen komentorivin muokkain sallittu vai ei (arvot 1 ja 0)

Esimerkki esp/loader/loader.conf -tiedostosta:

<pre>
default arch
timeout 4
editor 0
</pre>

Jokaista käynnistettävää käyttöjärjestelmää varten on
esp/loader/entries-hakemistossa oma .conf-tiedosto, joka sisältää
käyttöjärjestelmäkohtaisia parametreja. Käytössä on seitsemän eri
parametria, joista osa on valinnaisia:

* title - käynnistysvalinnan nimi
* version - ytimen versio; näytetään vain jos on useampia samannimisiä valintoja
* machine-id - koneen yksilöivä id /etc/machine-id -tiedostosta
* efi tai linux - käynnistettävä EFI-ohjelma (esim. Linux-ydin tai Windowsin käynnistyslataaja)
* options - komentoriviparametreja käynnistettävälle EFI-ohjelmalle
* initrd - tiedostopolku initramfs-tiedostoon

Esimerkkitiedosto esp/loader/entries/arch.conf:

<pre>
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root=PARTUUID=7619c378-374c-5f83-9123-544696493b2f rw
</pre>

Käynnistysvalitsin

2017-01-21T19:09:57Z

Jem: Ak: Uusi sivu: Käynnistysvalitsin on ohjelma, joka suoritetaan tietokoneen käynnistyksen jälkeen, mutta ennen kuin käyttöjärjestelmä on käynnistynyt. Käynnistysvalitsimen tehtävä on ta...

Käynnistysvalitsin on ohjelma, joka suoritetaan tietokoneen
käynnistyksen jälkeen, mutta ennen kuin käyttöjärjestelmä on
käynnistynyt. Käynnistysvalitsimen tehtävä on tarjota käyttäjälle
mahdollisuus valita käynnistettävä käyttöjärjestelmä.

Käynnistysvalitsin on yksinkertaisempi ohjelma kuin
[[käynnistyslataaja]]; käynnistysvalitsimen tehtävä on ainoastaan
tarjota käynnistysvalikko, kun taas käynnistyslataajan tehtäviin
kuuluu ladata käyttöjärjestelmä keskusmuistiin ja käynnistää se. Usein
käynnistyslataaja sisältää myös käynnistysvalitsimen; esimerkiksi
[[GNU GRUB 2]] toimii sekä käynnistysvalitsimena että
käynnistyslataajana.

==Esimerkkejä käynnistysvalitsimista==

* [[systemd-boot]]
* [[rEFInd]]
* [[rEFIt]]

EFI

2017-01-21T19:08:34Z

Jem:

(Unified) Extensible Firmware Interface [[BIOS | BIOSin]] korvaajaksi tarkoitettu standardi koneen käynnistävälle [[laiteohjelmisto |laiteohjelmistolle]]. EFI eroaa BIOSista erityisesti siten, että se etsii käyttöjärjestelmän käynnistyslataajaa [[GPT]]-tauluun merkityltä [[FAT]]-osiolta levyn alussa olevan [[MBR]]-sektorin sijaan. Applen koneet tukevat myös [[HFS+]]-tiedostojärjestelmää. Windowsin (U)EFI-tuen myötä myös [[NTFS]]-osioita alkaa näkyä.

(U)EFI:n ominaisuuksiin kuuluu, että se pystyy lukemaan FAT32-tiedostojärjestelmää, minkä ansiosta [[käynnistyslatain|käynnistyslataimen]] tekeminen helpottuu. UEFI-laiteohjelmiston sisältävä kone hyödyntää tätä lukemalla niin sanottua EFI-järjestelmäosiota (EFI System Partition, ESP). EFI määrittelee myös EFI-sovellukset, jotka ovat ohjelmia jotka sijaitsevat ESP:llä. Ohjelmat pystyvät hyödyntämään laiteohjelmiston tarjoamia palveluita, kuten laitteiston enumerointi, syötteen lukua sekä tekstin tai grafiikan näyttäminen. EFI-ohjelmia suoritetaan usein ketjussa siten, että esimerkiksi ensin käynnistetään [[käynnistysvalitsin]], joka käynnistää valitun käyttöjärjestelmän [[käynnistyslatain|käynnistyslataimen]], joka lopulta lataa ja käynnistää käyttöjärjestelmän. EFI-ohjelmille on tarjolla tallennustilaa haihtumattomasta muistista, EFI-muuttujien muodossa. Muuttujat määrittelevät mm. käynnistysohjelmat sekä missä järjestyksessä käynnistysohjelmia yritetään suorittaa.

==Linux-tuki==
EFI on tuettu alun perin [[IA64]]-arkkitehtuurilla. 2010-luvulla myös [[x86]]- ja [[ARM]]-arkkitehtuuria käyttäviä (U)EFI-koneita on tullut markkinoille Windows-tuen myötä. Kaikki arkkitehtuurit tukevat [[GPT]]-osiointia, vaikka laiteohjelmisto ei tukisikaan.

EFI:n hallintaan voidaan käyttää seuraavia ohjelmia.
*[[efibootmgr]], säätelee osioiden käynnistettävyyttä IA64-arkkitehtuurilla.
*[[elilo]], käynnistyslatain
*[[refit]], käynnistyslatain applen koneille, ei suoranaisesti tue linuxia mitenkään, mutta tarjoaa käyttöliittymän [[GRUB| GRUBin]] tai [[lilo| lilon]] lataaamiseen BIOS-emulaatiolla tai elilon käynnistämiseen.
*[[GNU GRUB 2]]:ssa on myös (U)EFI-tuki

==Aiheesta muualla==
*Wikipedian artikkeli [[:wikipedia:fi:Extensible Firmware Interface|Extensible Firmware Interface]]

[[Luokka:Järjestelmä]]
[[Luokka:Käsitteet]]

Osiointityökalut

2017-01-14T17:29:21Z

Jem:

Tällä sivulla on esiteltynä yleisimpiä Linuxissa käytettyjä [[wikipedia:Disk_partitioning|osiointityökaluja]]. Monilla [[jakelu]]illa on lisäksi omissa asennus- ja asetusohjelmissaan erilaisia osioiden käsittelyyn tarkoitettuja ohjelmistoja.

==[[Cfdisk]]==
Cfdisk on yksinkertainen [[ncurses|valikkopohjainen]] osiointityökalu tekstitilassa käytettäväksi. Cfdisk tukee osioiden luomista, poistamista sekä niiden koon maksimointia. Ohjelma on suomennettu.

==[[Fdisk]]==
Fdisk on tekstipohjaisilla komennoilla toimiva osiointityökalu. Fdiskin avulla on mahdollista luoda ja poistaa osioita sekä asettaa niille erilaisia asetuslippuja. Koodipohja on sama kuin Cfdiskissä. Fdisk-ohjelma pystyy muokkaamaan sekä [[GUID Partition Table|GPT]]- että [[Master Boot Record|MBR]]-pohjaisia osiotauluja. Fdisk on suomennettu.

==[[Gdisk]]==
Gdisk on erityisesti [[GUID Partition Table|GPT]]-osiotaulun muokkaukseen tarkoitettu osiointityökalu. Gdisk-ohjelmalla voi myös muuttaa MBR-osiotaulun vastaavaksi GPT-tauluksi. Gdisk:n käyttöliittymään on otettu mallia vanhemman fdisk-ohjelman käyttöliittymästä.

==[[Cgdisk]]==
Cgdisk on [[ncurses|valikkopohjainen]] versio gdisk-ohjelmasta, joten se soveltuu erityisesti [[GUID Partition Table|GPT]]-osiotaulujen muokkaukseen. Cgdisk:n käyttöliittymään on otettu mallia vanhemman cfdisk-ohjelman käyttöliittymästä.

==[[Sgdisk]]==
Sgdisk on komentorivipohjainen versio gdisk-ohjelmasta. Sgdisk-ohjelmalla ei ole interaktiivista käyttöliittymää; sen sijaan sen toimintaa ohjataan yksinomaan komentorivillä annettujen optioiden avulla. Tästä syystä sgdisk soveltuu erityisesti käytettäväksi skripteistä.

==[[GParted]]==
GParted eli [[GNOME]] Partition Editor on [[GTK]]-pohjainen [[X Window System|graafinen]] osiointityökalu.
GPartedin perustoiminnallisuus perustuu Partediin, mutta se tukee myös suurta joukkoa valinnaisia ulkoisia apuohjelmia. Jos järjestelmään on vaikkapa asennettu [[ntfsprogs]]-paketti, voi GPartedilla esimerkiksi muuttaa [[NTFS]]-osioiden kokoa, mikä ei pelkältä Partedilta onnistu. Käyttöliittymältään GParted muistuttaa paljon Windows-maailman Partition Magicia, vaikka onkin ominaisuuksiltaaan tätä selvästi kehittyneempi. GPartedista on saatavilla myös [[Live-CD]]-versio.

==[[Parted]]==
Parted on joko komentorivioptioilla tai interaktiivisesti käytettävä tekstipohjainen osiointityökalu. Parted tukee osioiden luomista, poistamista, siirtämistä, tarkistamista ja koon muuttamista sekä yleisimpien tiedostojärjestelmien luontia ja kopiointia. Tuki erilaisille osiotaulukko- ja asetustyypeille on laaja. Toisin kuin Fdiskissä ja Cfdiskissä, Partedissa muutokset toteutetaan välittömästi eikä vasta erillisellä varmistuksella ohjelman sulkemisen yhteydessä. Toisaalta Partedissa on myös erillinen pelastuskomento vahingossa poistetuille osioille.

==QTParted==
QTParted on [[Qt]]-kirjastoa käyttäen laadittu Parted-pohjainen graafinen osiointityökalu. Käyttölittymä ja toiminnot ovat pitkälti samat kuin GPartedissa. QTPartedin kehitys on ollut keskeytyksissä vuodesta 2005 lähtien, vaikka pieniä merkkejä sen uudelleenaloittamisesta esiintyykin. Ohjelmassa esiintyy myös ajoittain pieniä toiminnallisuusongelmia, tietyt toiminnot saattavat olla ajoittain aiheettomasti pois saatavilta.

==[[Sfdisk]]==
Sfdisk on komentorivioptioihin perustuva osiointityökalu. Se tukee osioiden luomista, tarkistusta ja poistamista. Sfdiskin sijaan varsinaiseen osiointiin kannattaa yleensä käyttää muita osiointityökaluja kuten [[parted]]ia tai [[fdisk]]iä, mutta asennusskripteissä, joissakin ongelmatilanteissa yms. sfdisk sopii osiointiinkin.

==Katso myös==
*[[Miten osioisin kiintolevyn]]

[[Luokka:Osiot]]
[[Luokka:Ylläpitotyökalut]]

GUID Partition Table

2017-01-14T15:28:09Z

Jem:

'''GUID Partition Table''' ('''GPT''') on [[MBR]]:n korvaava tai rinnakkainen osiotaulu. Erityisesti tämä kuuluu [[EFI]]-standardiin. GPT-osiointia suositellaan käytettävksi koneissa, joissa on käytössä EFI-[[Laiteohjelmisto|laiteohjelmisto]].

GPT:n edut verrattuna vanhempaan MBR:ään:
* voidaan käyttää yli 2 teratavun levyillä
* tukee 128 osiota ilman jakoa ensiöosoihin (primary partition) ja loogisiin osioihin
* osioiden tyyppit ilmaistaan UUID-tunnisteilla, mikä pienentää päällekkäisten tyyppitunnusten riskiä
* osiotaulusta on varmuuskopio levyn lopussa, mikä lisää vikasietoisuutta
* GPT-osioon liitetään sitä luodessa yksikäsitteinen UUID, jota voi käyttää [[fstab]]-tiedostossa viitteenä osioon
* GPT-osion voi nimetä; nimi voi olla 36 Unicode-merkkiä pitkä

==Linux-tuki==
[[Kernel |Linux-ydin]] tukee GPT-osiointia, mikäli sille on käännetty tuki. GPT:n luomiseen ja muokkaamiseen voit käyttää seuraavia työkaluja.
*[[gdisk]], erityisesti GPT-osoioiden muokkaamiseen tarkoitettu osiointityökalu
*[[cgdisk]], valikkopohjainen versio gdisk-ohjelmasta
*[[sgdisk]], komentorivioptioihin perustuva versio gdisk-ohjelmasta
*[[parted]], osiointityökalu.
*[[gptsync]], refitin mukana tuleva työkalu, jolla luodaan GPT-osioidulle levylle MBR-osiotaulu, jota applen koneiden [[BIOS]]-emulaatio tarvitsee mm. [[lilo| lilon]] tai [[GRUB| GRUBin]] käynnistämiseen.

==Katso myös==
*[[Osiointityökalut]]

==Aiheesta muualla==
*Wikipedian artikkeli [[:wikipedia:GUID Partition Table|GUID Partition Table]] (englanniksi)

[[Luokka:Käsitteet]]
[[Luokka:Osiot]]

Käyttäjä:Jem

2017-01-12T17:36:20Z

Jem:

''Johan Myréen''

jem @ iki.fi

Olen käyttänyt Linuxia kernelin versiosta 0.11.

[[Toiminnot:Muokkaukset/Jem|Muokkaukseni Linux.fi:ssä]]

Käynnistyslatain

2016-10-09T10:37:46Z

Jem: /* Normaaliin käyttöön */

'''Käynnistyslatain''' on ohjelma, joka aloittaa käyttöjärjestelmän latauksen tietokoneen käynnistyksen jälkeen. Tämän takia sitä sanotaan myös vyöryttäjäksi.

== Normaaliin käyttöön ==
Yleisin x86- ja x86-64-tietokoneiden käynnistyslatain on [[GNU GRUB]], jota nykyään lähes kaikki jakelut käyttävät oletusarvoisesti. Ennen yleisin oli [[Lilo]].

* [[GNU GRUB]] - "GRand Unified Bootloader"
* [[Lilo]] - "Linux Loader"
* [[Syslinux]] - kevyt, lähinnä levykekäyttöön suunniteltu käynnistyslatain.
* [http://www.sparc-boot.org Silo] - "Sparc Improved boot LOader". Käynnistyslatain Sun Sparc- ja UltraSparc-järjestelmille.
* [http://www.pateam.org/parisc-linux-boot/PA-RISC-Linux-Boot-HOWTO/whatispalo.html Palo] - "PA-RISC Loader"
* [[elilo]] - [[EFI]]-käynnistyslatain Intelin IA-64-arkkitehtuurille, yhteensopiva myös x86:n kanssa.
* [http://fabrice.bellard.free.fr/tcc/tccboot.html TCCBOOT] - TinyCC-kielellä toteutettu käynnistyslatain i386-järjestelmille.
* [http://xosl.sourceforge.net XOSL] - graafinen käynnistyslatain i386-järjestelmille, tukee useita käyttöjärjestelmiä.
* [http://emile.sourceforge.net EMILE] - "Early Macintosh Image LoadEr". Käynnistyslatain m68k-pohjaisille Linux-järjestelmille, kuten MacII ja Quadra 610
* [https://www.kernel.org/doc/Documentation/efi-stub.txt EFIStub] - EFI Boot Stub. Linuxin ytimeen sisäänrakennettu [[EFI]]-käynnistyslatain. Mahdollistaa käynnistyksen suoraan ilman ulkoista käynnistyslatainta.

== Sulautetut järjestelmät ==
* [http://u-boot.sourceforge.net U-Boot] - "Universal Boot loader". [[PowerPC]]- tai ARM-pohjaisiin sulautettuihin järjestelmiin.
* [http://www.ridgerun.com/bsp/rrload.html rrload] - ARM-pohjaisiin sulautettuihin järjestelmiin.
* [http://www.handhelds.org/feeds/bootldr/ CRL/OHH] - ARM-pohjaisiin sulautettuihin järjestelmiin, jotka käyttävät flash-muistia järjestelmälle.
* [http://www.carmel.com/pmon/index.html PMON] - sulautettuihin järjestelmiin, käytössä esimerkiksi Linksys WRT54G:ssä.
* [http://www.linuxdevices.com/articles/AT3462338419.html RedBoot] - [http://sources.redhat.com/ecos/ Red Hat eCos] -käynnistyslataimen pohjalta sulautettuihin käännetty versio. Käännettävissä useammille alustoille.
* [http://ppcboot.sourceforge.net PPCBOOT] - käynnistyslatain [[PowerPC]]-pohjaisille järjestelmille.
* [http://www.telos.de/linux/alios/default_e.htm Alios] - assemblerilla toteutettu käynnistyslatain, jolla voidaan tehdä laitteiston alustusta ROM- tai RAM-muistista. Tarkoituksena on poistaa BIOSin tarve sulautetuissa järjestelmissä.
* [http://te.to/~ts1/filo/ FILO] - i386-yhteensopiva käynnistyslatain. Lataa tarvittavat käynnistystiedostot paikalliselta levyltä ilman BIOS-kutsuja. Käytettäväksi LinuxBIOS:in kanssa.

== Verkkokäynnistykseen ==
* [http://syslinux.zytor.com/pxe.php PXE Linux]
* [http://etherboot.sourceforge.net Etherboot]
* [[LTSP]]

[[Luokka:Järjestelmä]]

Järjestelmäkutsu

2011-10-24T11:05:57Z

Jem:

Järjestelmäkutsut muodostavat rajapinnan prosessissa suoritettavan [[User Mode]]
-ohjelman ja ytimen välillä. Rajapinnan avulla ohjelma voi käyttää
ytimen tarjoamia palveluita, kuten esimerkiksi lukea tiedostosta tai
käynnistää uuden ohjelman.

==Yleistä==

Linuxissa on yli kolmesataa erilaista järjestelmäkutsua, toiset keskeisempiä,
toiset vähän harvemmin käytettyjä. On tärkeää huomata, että [[POSIX]]-standardi, jota
Linux noudattaa, ei erottele järjestelmäkutsuja tavallisista funktiokutsuista.
POSIX määrittelee vain [[API|rajapinnan]], ei sitä, mikä rajapinnan funktio on
tavallinen kirjastofunktio ja mikä oikeasti järjestelmäkutsu.
Järjestelmäkutsut ovat olemassa vain siksi, että ydin pystyisi takaamaan
lupaamansa säännöt, kuten muistialueiden ja tiedostojen suojaukset.

Joskus onkin käynyt niin, että järjestelmäkutsu on "alennettu" kirjastofunktioksi.
Esimerkiksi <tt>fork</tt>-funktio oli alunperin Linuxin järjestelmäkutsu, mutta se korvattiin
yleiskäyttöisemmällä <tt>clone</tt>-kutsulla, ja <tt>fork</tt>:sta tehtiin tavallinen funktio,
joka kutsuu <tt>clone</tt>:a.

==Esimerkkejä järjestelmäkutsuista==

Seuraavassa luettelo muutamasta usein käytetyistä kutsuista.

* tiedostojen käsittely: <tt>creat, open, read, write, lseek, close, chmod, link, unlink</tt>

* prosessien käsittely: <tt>clone, exec, wait, execve, nice, exit</tt>

* verkkorajapintaan liittyvät kutsut: <tt>socketcall</tt> (sisältäen <tt>socket, connect, bind, listen, accept</tt>)

* käyttäjien hallinta: <tt>getuid, setuid, chown, chgrp</tt>

Järjestelmäkutsut on dokumentoitu Linuxin manuaalin kappaleessa 2. Lisätietoja:
man 2 intro

==Järjestelmäkutsumekanismi==

Sovellusohjelman ei voida sallia kutsua ytimen koodia ihan vapaasti,
vaan sen on tapahduttava määritellyn kutsurajapinnan kautta. Rajoittamalla
kutsut tapahtuviksi tiettyjen osoitteiden kautta varmistutaan
siitä, että ytimen koodia kutsutaan oikein. Järjestelmäkutsun käsittelijärutiinissa
tehdään tyypillisesti tarkistuksia, kuten syötettyjen
parametrien järkevyyden testausta. Useimmissa tapauksissa tarkistetaan myös
onko kutsujalla oikeus suorittaa kutsu; esimerkiksi onko käyttäjällä
oikeutta lukea tiedostoa tai tappaa prosessia.

Järjestelmäkutsussa tapahtuu siirtymä suorittimen (CPU) tilassa User Modesta
[[Kernel Mode]] -tilaan. Miten tämä tapahtuu riippuu käytetyn suorittimen
arkkitehtuurista, mutta tyypillinen tapa on niin sanottu "ohjelmallinen
keskeytys" (software interrupt). Tämä mekanismi toimii siten, että suoritin
suorittaa 'int'- tai 'trap'-käskyn, jonka seurauksena suoritin vaihtaa
tilansa Supervisor Mode -tilaan ja jatkaa suoritusta määritellystä
keskeytyksen käsittelijärutiinista.

Intel x86-perheen suorittimilla Linuxissa on järjestelmäkutsut perinteisesti toteutettu
<tt>int $0x80</tt> -käskyllä. Järjestelmäkutsun
numero välitetään <tt>eax</tt>-rekisterissä, muut parametrit rekistereissä
<tt>ebx</tt>, <tt>ecx</tt>, jne., riippuen kutsun parametrien lukumäärästä.

Sovellusohjelmat eivät kutsu järjestelmäkutsuja suoraan, vaan
samannimisia funktioita standardikirjasto [[Libc]]:ssä, jotka muodostavat
ohuen "kuoren" järjestelmäkutsun ympärille. Nämä funktiot
suorittavat sitten kukin vastaavan
järjestelmäkutsun. Syynä tähän järjestelyyn on se, että
järjestelmäkutsuilla on oma kutsutapansa; parametrit siirretään
rekistereissä ja itse kutsua ei suoriteta <tt>call</tt>-käskyllä, vaan
muulla mekanismlla, esim. yllä mainitulla <tt>int $0x80</tt> -käskyllä.

Tällä tavalla saadaan eristettyä varsinaisen järjestelmäkutsun monimutkaisuus
Libc-kirjaston hoidettavaksi Sovellusohjelmat voivat kutsua Libc:n vastaavaa
funktiota normaalilla korkean tason kielen ([[C]]) kutsulla, assembly-koodin sijasta.
Lisäksi ytimen kutsutapa on riippumaton kääntäjän käyttämästä C-kielen kutsutavasta.
Sovellusohjelmissa voidaan jopa vaihtaa kutsutapaa (esimerkiksi käyttämään parametrinvälitystä
rekistereissä pinon sijasta) muuttamatta ytimen järjestelmäkutsurajapintaa.
(Tämä tosin vaatii sekä sovellusten että kirjastojen, mukaan lukien libc, uudelleen
kääntämistä uudella kääntäjällä tai kääntäjän optioita muuttaen.)

Suorittimen rekistereitä käytetään parametrien välittämiseen siksi,
että suorittimen tilan vaihtuessa User Mode:sta Supervisor Mode -tilaan,
vaihtuu myös käytettävä pino.

==Sysenter ja Sysreturn==

Intelin x86-suorittimissa on Pentium II:sta alkaen ollut vaihtoehtoinen
käsky, jolla siirtymän User Modesta Kernel Mode -tilaan voi toteuttaa: <tt>sysenter</tt>.
Tämä käsky keksittiin tuomaan ratkaisu int-käskyyn liittyvään ongelmaan.

<tt>int $0x80</tt> -mekanismi on hidas, eli suoritus vaatii monta
kellojaksoa, ja se on muuttunut nykyaikaisissa suorittimissa
suhteellisesti mitattuna yhä hitaammaksi. Uusi <tt>sysenter</tt>-käsky on
nopea, mutta vanhemmat suorittimet eivät tue sitä, jolloin on
käytettävä perinteistä <tt>int $0x80</tt>-käskyä. (<tt>sysenter</tt>-käskyn kanssa
samanaikaisesti esitellyllä <tt>sysreturn</tt>-käskyllä palataan järjestelmäkutsusta.)

Tavoitteena on toisaalta
pitää Libc riippumattomana suorittimen versiosta ja myös puhtaana
koodista, joka ajon aikana tutkii mitä käskyjä suoritin tukee ja
mitä se ei tue.

Ratkaisuna tähän ongelmaan ''ydin'' tarjoaa koodin, jolla
järjestelmäkutsu suoritetaan suoritinkohtaisesti optimaalisella
tavalla: joko <tt>sysenter</tt>-käskyä käyttäen, <tt>int $0x80</tt>-käskyllä,
tai tulevaisuudessa mahdollisesti jollain muulla mekanismilla. Tämä
koodi sijaitsee prosessin osoiteavaruudessa pienellä, ennalta
määritetyllä muistialueella. Libc suorittaa järjestelmäkutsun
kutsumalla funktiota tällä alueella, ja funktio tekee
varsinaisen järjestelmäkutsun. Libc joutuu toki edelleen tutkimaan,
onko tämä muistialue olemassa jotta kirjasto toimisi myös ytimellä,
joka ei tue tätä uutta mekanismia.

==User Mode -järjestelmäkutsut==

Nopeammallakin <tt>sysenter</tt>-käskyllä suoritettuna järjestelmäkutsu on suhteellisen
paljon aikaa vievä operaatio. Kaikkia kutsuja varten ei kuitenkaan tarvitse tehdä siirtymää
Kernel Mode -tilaan. Esimerkiksi <tt>gettimeofday</tt>-kutsu, joka palauttaa ytimen käsityksen
kellonajasta, voidaan toteuttaa siten, että ydin sijoittaa toistuvasti tuoreen arvon
tunnettuun muistipaikkaan prosessin muistiavaruudessa. <tt>gettimeofday</tt>-funktio voi
käydä lukemassa arvon tästä muistipaikasta, tarvitsematta suorittaa <tt>sysenter</tt>-käskyä.

==Aiheesta muualla==

* [http://www.win.tue.nl/~aeb/linux/lk/lk-4.html The Linux Kernel: System Calls]
* [http://articles.manugarg.com/systemcallinlinux2_6.html Sysenter Based System Call Mechanism in Linux 2.6]

[[Luokka:Käsitteet]]
[[Luokka:Järjestelmä]]

Järjestelmäkutsu

2011-10-24T08:31:57Z

Jem:

Umask

2011-10-24T06:06:13Z

Jem:

umask on [[komentotulkki|komentotulkin]] sisäinen komento sekä [[järjestelmäkutsu]], jolla muutetaan luotavien [[tiedosto]]jen [[tiedostojen oikeudet|oletusoikeuksia]]. Umask-arvo kertoo mitä oikeuksia luotaviin tiedostoihin järjestelmän ''ei'' pidä antaa.

[[Bash]]in sisäiselle umask-komennolle vähennettävät oikeudet voi kertoa joko numeerisesti tai kirjaimin, saman tapaan kuin komennolle [[chmod]]. Jos arvoa ei määritä, umask kertoo nykyisen arvon. [[valitsin|Valitsimilla]] <tt>-p</tt> ja <tt>-S</tt> voi vaikuttaa tulostettavaan muotoon.

==Tyypillinen käyttö==
umask-arvo asetetaan tyypillisesti komentotulkin käynnistysskripteissä, kuten <tt>/etc/profile</tt> tai <tt>~/.profile</tt> (Bashissa usein <tt>bash_profile</tt> ja [[Zsh]]:ssa <tt>zprofile</tt>). Jotta arvo asettuisi myös muille kuin komentotulkin kautta käynnistyville ohjelmille, pitää se asettaa sopivassa muussa käynnistysskriptissä. Arvo periytyy lapsiprosesseille.

Tavallisia umask-arvoja ovat 022, 027 ja 077. Yksittäiset numerot kertovat, mitä oikeuksia ''ei'' pidä antaa käyttäjälle itselleen, [[ryhmä]]lle sekä muille. Numero itsessään muodostuu numeroiden 1, 2 ja 4 summasta, jossa 1 vaikuttaa suoritusoikeuteen (hakemistojen osalta oikeuteen käyttää hakemistoa polun osana), 2 kirjoitusoikeuteen ja 4 lukuoikeuteen. Katso lähemmin [[chmod]], jolla muutetaan oikeuksia jälkikäteen, [[tiedoston oikeudet]] sekä [[kansion yhteiskäyttö ryhmässä]].

Komento <tt>umask 027</tt> jättää käyttäjälle kaikki oikeudet sekä poistaa ryhmältä kirjoitusoikeuden ja muilta käyttäjiltä kaikki oikeudet. Tämä on tavanomainen arvo silloin, kun joitakin tiedostoja haluaa jakaa ryhmän kanssa, mutta koneelle saattaa (muulla ryhmätunnuksella) olla sellaisia, joille ei tahdo näyttää kaikkia tiedostojaan.

<tt>umask 077</tt> epää muilta käyttäjiltä kaikki oikeudet. Asetus on sopiva silloin, kun ei tee yhteistyötä koneen muiden käyttäjien kanssa.

<tt>umask 022</tt> jättää kaikille käyttäjille muut kuin kirjoitusoikeudet. Arvo sopii jos usein jakaa tiedostoja sellaisten kanssa, joilla ei ole yhteistä ryhmää, eikä tiedostojen salassapitoon ole suurempaa syytä. Tämä on usein oletusasetus.

Yksittäisten hakemistojen ja tiedostojen oikeuksia voi asettaa umask-arvosta riippumatta. Yleensä kannattaa antaa kotihakemistolle "suoritusoikeuden" kaikille, jotta muut pääsevät käsiksi julkisiksi tarkoitettuihin tiedostoihin (~/public_html yms.), mutta lukuoikeuden voi evätä, ettei vahingossa luettavaksi jäänyt arkaluonteinen tiedosto paljastu turhaan:
chmod go=x ~

Vastaavasti kotihakemistossa voi olla salaisiksi ja julkisiksi tarkoitettuja hakemistoja:
chmod go=rx ~/public_html
chmod g=rx,o= ~/ryhmälle_jaetut
chmod go= ~/salaiset

==Tekninen kuvaus==
Järjestelmä pitää [[prosessi]]kohtaisesti lukua umask-tiedosta. Kun jokin ohjelma luo tiedoston (esimerkiksi järjestelmäkutsulla <tt>open</tt> tai <tt>mkdir</tt>) järjestelmä vähentää oikeuksia umaskin mukaan ohjelman tarjoamista (yleensä väljistä) oikeuksista. Näin ohjelmien ei tarvitse itse välittää käyttäjän haluista jakaa tiedostoja. Ohjelma voi umaskista riippumatta asettaa tiukemmat rajoitukset esimerkiksi tilapäistiedostoille: umask-arvo ''vähennetään'' tarjotuista oikeuksista.

[[Luokka:Komentorivin perustyökalut]]
[[Luokka:Käyttäjät ja ryhmät]]

Fork

2011-10-24T06:05:39Z

Jem:

Tämä artikkeli on täsmennyssivu, jossa esitellään käsitteen Fork eri merkityksiä.

Fork voi tarkoittaa kahta asiaa:
*[[Fork()]] on [[järjestelmäkutsu]], joka luo lapsiprosessin
*Ohjelmistoprojektin [[haara]]uttamistakin kutsutaan joskus "''forkkaamiseksi''"

[[Luokka:Käsitteet]]

Järjestelmäkutsu

2011-10-23T18:23:42Z

Jem: Ak: Uusi sivu: Järjestelmäkutsut muodostavat rajapinnan prosessissa suoritettavan User Mode -ohjelman ja ytimen välillä. Rajapinnan avulla ohjelma voi käyttää ytimen tarjoamia palveluita,...

Järjestelmäkutsut muodostavat rajapinnan prosessissa suoritettavan [[User Mode]]
-ohjelman ja ytimen välillä. Rajapinnan avulla ohjelma voi käyttää
ytimen tarjoamia palveluita, kuten esimerkiksi lukea tiedostosta tai
käynnistää uuden ohjelman.

==Yleistä==

Linuxissa on yli kolmesataa erilaista järjestelmäkutsua, toiset keskeisempiä,
toiset vähän harvemmin käytettyjä. On tärkeää huomata, että [[POSIX]]-standardi, jota
Linux noudattaa, ei erottele järjestelmäkutsuja tavallisista funktiokutsuista.
POSIX määrittelee vain rajapinnan, ei sitä, mikä rajapinnan funktio on
tavallinen kirjastofunktio ja mikä oikeasti järjestelmäkutsu.
Järjestelmäkutsut ovat olemassa vain siksi, että ydin pystyisi takaamaan
lupaamansa säännöt, kuten muistialueiden ja tiedostojen suojaukset.

Joskus onkin käynyt niin, että järjestelmäkutsu on "alennettu" kirjastofunktioksi.
Esimerkiksi <tt>fork</tt>-funktio oli alunperin Linuxin järjestelmäkutsu, mutta se korvattiin
yleiskäyttöisemmällä <tt>clone</tt>-kutsulla, ja <tt>fork</tt>:sta tehtiin tavallinen funktio,
joka kutsuu <tt>clone</tt>:a.

==Esimerkkejä järjestelmäkutsuista==

Seuraavassa luettelo muutamasta usein käytetyistä kutsuista.

* tiedostojen käsittely: <tt>creat, open, read, write, lseek, close, chmod, link, unlink</tt>

* prosessien käsittely: <tt>clone, exec, wait, execve, nice, exit</tt>

* verkkorajapintaan liittyvät kutsut: <tt>socketcall</tt> (sisältäen <tt>socket, connect, bind, listen, accept</tt>)

* käyttäjien hallinta: <tt>getuid, setuid, chown, chgrp</tt>

Järjestelmäkutsut on dokumentoitu Linuxin manuaalin kappaleessa 2. <tt>man 2 intro</tt> -käsky antaa
lisätietoja.

==Järjestelmäkutsumekanismi==

Sovellusohjelman ei voida sallia kutsua ytimen koodia ihan vapaasti,
vaan sen on tapahduttava määritellyn kutsurajapinnan kautta. Rajoittamalla
kutsut tapahtuviksi tiettyjen osoitteiden kautta varmistutaan
siitä, että ytimen koodia kutsutaan oikein. Järjestelmäkutsun käsittelijärutiinissa
tehdään tyypillisesti tarkistuksia, kuten syötettyjen
parametrien järkevyyden testausta. Useimmissa tapauksissa tarkistetaan myös
onko kutsujalla oikeus suorittaa kutsu; esimerkiksi onko käyttäjällä
oikeutta lukea tiedostoa tai tappaa prosessia.

Järjestelmäkutsussa tapahtuu siirtymä prosessorin tilassa User Modesta
[[Kernel Mode]] -tilaan. Miten tämä tapahtuu riippuu käytetyn prosessorin
arkkitehtuurista, mutta tyypillinen tapa on niin sanottu "ohjelmallinen
keskeytys" (software interrupt). Tämä mekanismi toimii siten, että prosessori
suorittaa 'int'- tai 'trap'-käskyn, jonka seurauksena prosessori vaihtaa
tilansa Supervisor Mode -tilaan ja jatkaa suoritusta määritellystä
keskeytyksen käsittelijärutiinista.

Intel x86-perheen prosessoreilla Linuxissa on perinteisesti käytetty
<tt>int $0x80</tt> -käskyä järjestelmäkutsun suorittamiseen. Järjestelmäkutsun
numero välitetään <tt>eax</tt>-rekisterissä, muut parametrit rekistereissä
<tt>ebx</tt>, <tt>ecx</tt>, jne., riippuen kutsun parametrien lukumäärästä.

Sovellusohjelmat eivät kutsu järjestelmäkutsuja suoraan, vaan
samannimisia funktioita standardikirjasto [[Libc]]:ssä, jotka muodostavat
ohuen "kuoren" järjestelmäkutsun ympärille. Nämä funktiot
suorittavat sitten kukin vastaavan
järjestelmäkutsun. Syynä tähän järjestelyyn on se, että
järjestelmäkutsuilla on oma kutsutapansa; parametrit siirretään
rekistereissä ja itse kutsua ei suoriteta <tt>call</tt>-käskyllä, vaan
muulla mekanismlla, esim. yllä mainitulla <tt>int $0x80</tt> -käskyllä.

Tällä tavalla saadaan eristettyä varsinaisen järjestelmäkutsun monimutkaisuus
Libc-kirjaston hoidettavaksi Sovellusohjelmat voivat kutsua Libc:n vastaavaa
funktiota normaalilla korkean tason kielen (C) kutsulla, assembly-koodin sijasta.
Lisäksi ytimen kutsutapa on riippumaton kääntäjän käyttämästä C-kielen kutsutavasta.
Sovellusohjelmissa voidaan jopa vaihtaa kutsutapaa (esimerkiksi käyttämään parametrinvälitystä
rekistereissä pinon sijasta) muuttamatta ytimen järjestelmäkutsurajapintaa.
(Tämä tosin vaatii sekä sovellusten että kirjastojen, mukaan lukien libc, uudelleen
kääntämistä uudella kääntäjällä tai kääntäjän optioita muuttaen.)

Prosessorin rekistereitä käytetään parametrien välittämiseen siksi,
että prosessorin tilan vaihtuessa User Mode:sta Supervisor Mode -tilaan,
vaihtuu myös käytettävä pino.

==Sysenter ja Sysreturn==

Intelin x86-prosessoreissa on Pentium II -prosessorista alkaen ollut vaihtoehtoinen
käsky, jolla siirtymän User Modesta Kernel Mode -tilaan voi toteuttaa: <tt>sysenter</tt>.
Tämä käsky keksittiin tuomaan ratkaisu int-käskyyn liittyvään ongelmaan.

<tt>int $0x80</tt> -mekanismi on hidas, eli suoritus vaatii monta
kellojaksoa, ja se on muuttunut nykyaikaisissa prosessoreissa
suhteellisesti mitattuna yhä hitaammaksi. Uusi <tt>sysenter</tt>-käsky on
nopea, mutta vanhemmat prosessorit eivät tue sitä, jolloin on
käytettävä vanhempaa <tt>int $0x80</tt>-käskyä. (<tt>sysenter</tt>-käskyn kanssa
samanaikaisesti esitellyllä <tt>sysreturn</tt>-käskyllä palataan järjestelmäkutsusta.)

Tavoitteena on toisaalta
pitää Libc riippumattomana prosessoriversiosta ja myös puhtaana
koodista, joka ajon aikana tutkii mitä käskyjä prosessori tukee ja
mitä se ei tue.

Ratkaisuna tähän ongelmaan ''ydin'' tarjoaa koodin, jolla
prosessorikohtaisesti järjestelmäkutsu suoritetaan optimaalisella
tavalla: joko <tt>sysenter</tt>-käskyä käyttäen, <tt>int $0x80</tt>-käskyllä,
tai tulevaisuudessa mahdollisesti jollain muulla mekanismilla. Tämä
koodi sijaitsee prosessin osoiteavaruudessa pienellä, ennalta
määritetyllä muistialueella. Libc suorittaa järjestelmäkutsun
kutsumalla funktiota tällä alueella, ja funktio tekee
varsinaisen järjestelmäkutsun. Libc joutuu toki edelleen tutkimaan,
onko tämä muistialue olemassa jotta kirjasto toimisi myös ytimellä,
joka ei tue tätä uutta mekanismia.

==User Mode -järjestelmäkutsut==

Nopeammallakin <tt>sysenter</tt>-käskyllä suoritettuna järjestelmäkutsu on suhteellisen
paljon aikaa vievä operaatio. Kaikkia kutsuja varten ei kuitenkaan tarvitse tehdä siirtymää
Kernel Mode -tilaan. Esimerkiksi <tt>gettimeofday</tt>-kutsu, joka palauttaa ytimen käsityksen
kellonajasta, voidaan toteuttaa siten, että ydin sijoittaa toistuvasti tuoreen arvon
tunnettuun muistipaikkaan prosessin muistiavaruudessa. <tt>gettimeofday</tt>-funktio voi
käydä lukemassa arvon tästä muistipaikasta, tarvitsematta suorittaa <tt>sysenter</tt>-käskyä.

==Aiheesta muualla==

* [http://www.win.tue.nl/~aeb/linux/lk/lk-4.html The Linux Kernel: System Calls]
* [http://articles.manugarg.com/systemcallinlinux2_6.html Sysenter Based System Call Mechanism in Linux 2.6]

Käyttäjä:Jem

2011-10-14T12:52:56Z

Jem: Ak: Uusi sivu: ''Johan Myréen'' jem @ seravo.fi Olen käyttänyt Linuxia kernelin versiosta 0.11. Muokkaukseni Linux.fi:ssä

''Johan Myréen''

jem @ seravo.fi

Olen käyttänyt Linuxia kernelin versiosta 0.11.

[[Toiminnot:Muokkaukset/Jem|Muokkaukseni Linux.fi:ssä]]

Usein kysyttyjä kysymyksiä ytimestä

2011-10-13T18:20:56Z

Jem: Epätarkkuuksia korjattu.

== Miksi gigatavun muistista jää osa käyttämättä? ==
[[Prosessi]]n muistiavaruus on jaettu kahteen osaan, joista yksi osa on varattu vain [[ydin|ytimen]] käyttöön. 32-bittisiä osoitteita käyttävässä koneessa osoiteavaruuden koko on 4 gigatavua (4 GiB), joista perinteisesti ylin 1 GiB on ollut varattuna ytimelle ja loput 3 GiB prosessissa suoritettavan sovelluksen käytössä. Ytimelle varatussa osassa on kuvattuna koko fyysinen RAM-muisti — tämän lisäksi ydin tarvitsee 128 MiB:n osoiteavaruuden mm. ytimen sisäisen vmalloc-funktion käyttöön. Tämä ei ollut ongelma niin kauan kuin tietokoneiden muistin koko oli alle tuon 1 gigatavun, mutta muistin määrän kasvaessa on tullut tarve kasvattaa ytimelle varatun osuuden kokoa (tai keksiä jokin toinen ratkaisu ongelmalle).

Tarkempi kuvaus ongelman syistä ja ratkaisuista löytyy mm. artikkelista [http://groups-beta.google.com/group/cn.bbs.comp.unix.development.kernel/browse_thread/thread/ae812c4736d7aa10/0d1cc7cecaf6671d?q=linux+kernel+ram+896+arcangeli&rnum=1&hl=en&fwc=1 High Memory in the Linux Kernel]. Ytimen versiosta 2.6.16 alkaen on mahdollista käyttää ratkaisua, jossa muutetaan kernelin muistinjakoa, jolloin ei tarvitse vielä turvautua highmem-tukeen, joka tuo oman overheadinsä. Vanhemmille ytimille tarvittava patch löytyy mm. [http://members.optusnet.com.au/ckolivas/kernel/ Con Kolivasin seteistä].
Muisti voidaan jakaa viidellä eri tavalla:

{|cellpadding="5" cellspacing="0" border="1"
!Ytimen konfigurointioptio
!Muistia käytössä
|-
|3G/1G user/kernel split||vanha tapa, jossa muistista hyödynnetään korkeintaan 1 GiB - 128 MiB
|-
|3G/1G user/kernel split (for full 1G low memory)||1 GiB täysin käytössä
|-
|2G/2G user/kernel split||muistista hyödynnetään korkeintaan 2 GiB - 128 MiB
|-
|2G/2G user/kernel split (for full 2G low memory)||2 GiB täysin käytössä
|-
|1G/3G user/kernel split||muistista hyödynnetään korkeintaan 3 GiB - 128 MiB
|}

Haittapuoli esimerkiksi 2G/2G jaosta on se, että user space virtuaalimuistiavaruus (prosessin maksimikoko) on enää 2 GiB entisen 3 GiB:n sijasta. Tämä estää esimerkiksi [[wine|winen]] toiminnan ja saattaa haitata prosesseja, jotka käyttävät matalan tason muistinhallintaa. Useimpia ohjelmia tämä ei kuitenkaan haittaa.

Jos koneessa on enemmän kuin 2 GiB muistia ja 64-bittinen prosessori, on suositeltavaa käyttää 64-bittistä versiota Linuxista, jossa yllä kuvattuja ongelmia ei ole.

== Miksi muistia on niin vähän vapaana? ==
"<tt>[[top]]</tt> näyttää, että muistia ei ole vapaana kuin muutamia megatavuja - mistä on kyse?" Muistista on eniten hyötyä, kun sitä käytetään. Ydin käyttää prosesseilta varaamatta jääneen vapaan muistin välimuistiksi, eli pitää siellä tiedostoja joita se on hiljattain [[tiedostojärjestelmä]]medialta lukenut. Välimuistiksi käytetty muisti on nopeasti vapautettavissa prosesseille, jos niiden muistintarve kasvaa. Niin kauan kun muistia ei tarvita, se kannattaa käyttää välimuistiksi jolloin se nopeuttaa järjestelmän toimintaa, aina kun samoja tiedostoja tarvitaan uudestaan. Kannattaakin siis tarkkailla ennemmin <tt>top</tt>-listauksen ''cached''- kuin ''free''-kenttää kun miettii paljonko muistia on vapaana.

==Muutospaketit (engl. ''patchset'')==

Yleisimpiä muutospaketteja ovat mm.

* mm (Andrew Mortonin kokeellinen patchset, tässä testataan paljon asioita)
* ac (Alan Coxin patchset, RedHat tuntuu käyttävän näitä osina paketointiaan)
* xx-git (tarkoittaa että paketti on git paketoinnista)
* xx-pre (prerelease-versio)
* xx-rc (release candicate versio)

Nämä yleisimmät muutospaketit löydät suoraan [http://www.kernel.org kernel.org]:ista. Vanilla on peruskerneli, eli tarkoittaa kernel.orgin virallista versiota. Korjauspaketeilla pyritään korjaamaan tai säätämään jotain kernelin ominaisuutta, esimerkiksi laitetukea tai vasteaikaa. Isommat patchsetit yleensä lisäävät paljon ominaisuuksia.

Korjauspaketti asennetaan komennolla
[[patch]] -pN < polku patch-tiedostoon
N on poistettavien polkujen lukumäärä, yleensä vaihtelee 0-1 välillä. Tämän jälkeen ydin pitää vielä kääntää uusiksi.

== Miten vältät yleisimmät ongelmat käynnistyksen yhteydessä ==

Parametri acpi=off voi auttaa bugisen ACPI-toteutuksen kiertämiseen.

Parametria init=/bin/sh voi käyttää salasanan vaihtoon.

Parametrillä vga=xxx voidaan määritellä framebuffer tilan resoluutio.

== Kuinka ydin käännetään? ==
[[Ytimen kääntäminen]] on ohjeistettuna tässä wikissä.

[[Luokka:Järjestelmä]]

R

2011-10-13T07:52:21Z

Jem: /* Asennus */

{{Ohjelma
| nimi=Pinta
| kuva=
| kuvateksti=
| lisenssi=[[GNU]] [[GPL]]
| käyttöliittymä=
| kotisivu=[http://www.r-project.org/ www.r-project.org]}}

'''R on tilastolliseen laskentaan tarkoitettu ohjelmointiympäristö.'''

Se on GNU-projekti, joka pohjautuu S-kieleen. Tätä nykyä R on erittäin laajasti käytetty ja sen käyttöä opetetaan esimerkiksi yliopistojen tilastotieteen oppiaineissa. R:ään liittyen järjestetään nykyään myös kansainvälisiä kongresseja ja julkaistaan korkeatasoista nettilehteä. Ohjelman kotisivuilta löytyy R:ään laajan perustyökaluvalikoiman lisäksi tuhansia käyttäjien valmistamia lisäpaketteja (packages). Ohjelman kotisivuilta löytyy myös eri tasoisia oppaita R:n käyttöön. Sopiva opas R:n opetteluun ja myös edistyneille tilastotieteilijöille on esimerkiksi Tommi Viitasen kirjoittama "Tilastotiedettä soveltajille". Katso myös Itä-Suomen yliopiston tuottama R-opas.

Vaikka R onkin tehty tilastolliseen laskentaan, sen helposta opittavuudesta ja käytettävyydestä johtuen allekirjoittanut on mm. analysoinut R:llä musiikkia, piirrättänyt sillä Fraktaaleja, käyttänyt sitä matriisilaskentaan, matemaattiseen optimointiin jne. Tämä onnistuu funktionaalisella ohjelmoinnilla, mutta R on myös objektiorientoitunut kieli.

Toimii seuraavilla alustoilla: Linux, Mac OS X, Windows, FreeBSD, muut Unixit.

==Asennus==
Asennuspaketit löytyvät ohjelman kotisivuilta. Useimpiin Linux- ja Unix-jakeluihin
ohjelma löytyy myös suoraan jakelun omasta paketinhallinnasta. Debian GNU/Linuxissa ja
Ubuntussa komennolla
apt-cache search ^r-.*
löytyy pitkä luettelo R-projektin paketteja. Katso myös
[http://cran.r-project.org/bin/linux/debian/ Debian Packages of R Software].

==Aiheesta muualla==
Käyttöohjeita
*[http://users.utu.fi/totavi/ Tilastotiedettä soveltajille] (Tommi Viitanen)
*[http://www.uef.fi/c/document_library/get_file?p_l_id=138103&folderId=138117&name=DLFE-3780.pdf R-opas] (Itä-Suomen yliopisto)
*[http://www.r-ohjelmointi.org/ R-ohjelmointi]

[[Luokka: Tiedeohjelmat]]

Usein kysyttyjä kysymyksiä ytimestä

2011-10-13T07:07:42Z

Jem: Lisätty tarinaa ongelman taustasta.

== Miksi gigatavun muistista jää osa käyttämättä? ==
[[Prosessi]]n muistiavaruus on jaettu kahteen osaan, joista yksi osa on varattu vain [[ydin|ytimen]] käyttöön. 32-bittisiä osoitteita käyttävässä koneessa osoiteavaruuden koko on 4 gigatavua (4 GiB), joista perinteisesti ylin 1 GiB on ollut varattuna ytimelle ja loput 3 GiB prosessissa suoritettavan sovelluksen käytössä. Ytimelle varatussa osassa on kuvattuna koko fyysinen RAM-muisti. Tämä ei ollut ongelma niin kauan kuin tietokoneiden muistin koko oli korkeintaan tuo 1 GiB, mutta muistin määrän kasvaessa on tullut tarve kasvattaa ytimelle varatun osuuden kokoa (tai keksiä jokin toinen ratkaisu ongelmalle).

Tarkempi kuvaus ongelman syistä ja ratkaisuista löytyy mm. artikkelista [http://groups-beta.google.com/group/cn.bbs.comp.unix.development.kernel/browse_thread/thread/ae812c4736d7aa10/0d1cc7cecaf6671d?q=linux+kernel+ram+896+arcangeli&rnum=1&hl=en&fwc=1 High Memory in the Linux Kernel]. Ytimen versiosta 2.6.16 alkaen on mahdollista käyttää ratkaisua, jossa muutetaan kernelin muistinjakoa, jolloin ei tarvitse vielä turvautua highmem-tukeen, joka tuo oman overheadinsä. Vanhemmille ytimille tarvittava patch löytyy mm. [http://members.optusnet.com.au/ckolivas/kernel/ Con Kolivasin seteistä].
Muisti voidaan jakaa neljällä eri tavalla:

* 3G/1G - vanha tapa, jossa muistia käytetään n. 896 MiB.
* 3G/1G - Jako koneille, joissa on tasan 1 GiB muistia.
* 2G/2G - Jako koneille, joissa on tasan 2 GiB muistia.
* 1G/3G - Jako koneille, joissa on tasan 3 GiB muistia.

Haittapuoli esimerkiksi 2G/2G jaosta on se, että user space virtuaalimuistiavaruus (prosessin maksimikoko) on enää 2 GiB entisen reilun 3GiB:n sijasta. Tämä estää esimerkiksi [[wine|winen]] toiminnan ja saattaa haitata prosesseja, jotka käyttävät matalan tason muistinhallintaa. Useimpia tämä ei kuitenkaan haittaa.

Jos koneessa on enemmän kuin 2 GiB muistia ja 64-bittinen prosessori, on suositeltavaa käyttää 64-bittistä versiota Linuxista, jossa yllä kuvattuja ongelmia ei ole.

== Miksi muistia on niin vähän vapaana? ==
"<tt>[[top]]</tt> näyttää, että muistia ei ole vapaana kuin muutamia megatavuja - mistä on kyse?" Muistista on eniten hyötyä, kun sitä käytetään. Ydin käyttää prosesseilta varaamatta jääneen vapaan muistin välimuistiksi, eli pitää siellä tiedostoja joita se on hiljattain [[tiedostojärjestelmä]]medialta lukenut. Välimuistiksi käytetty muisti on nopeasti vapautettavissa prosesseille, jos niiden muistintarve kasvaa. Niin kauan kun muistia ei tarvita, se kannattaa käyttää välimuistiksi jolloin se nopeuttaa järjestelmän toimintaa, aina kun samoja tiedostoja tarvitaan uudestaan. Kannattaakin siis tarkkailla ennemmin <tt>top</tt>-listauksen ''cached''- kuin ''free''-kenttää kun miettii paljonko muistia on vapaana.

==Muutospaketit (engl. ''patchset'')==

Yleisimpiä muutospaketteja ovat mm.

* mm (Andrew Mortonin kokeellinen patchset, tässä testataan paljon asioita)
* ac (Alan Coxin patchset, RedHat tuntuu käyttävän näitä osina paketointiaan)
* xx-git (tarkoittaa että paketti on git paketoinnista)
* xx-pre (prerelease-versio)
* xx-rc (release candicate versio)

Nämä yleisimmät muutospaketit löydät suoraan [http://www.kernel.org kernel.org]:ista. Vanilla on peruskerneli, eli tarkoittaa kernel.orgin virallista versiota. Korjauspaketeilla pyritään korjaamaan tai säätämään jotain kernelin ominaisuutta, esimerkiksi laitetukea tai vasteaikaa. Isommat patchsetit yleensä lisäävät paljon ominaisuuksia.

Korjauspaketti asennetaan komennolla
[[patch]] -pN < polku patch-tiedostoon
N on poistettavien polkujen lukumäärä, yleensä vaihtelee 0-1 välillä. Tämän jälkeen ydin pitää vielä kääntää uusiksi.

== Miten vältät yleisimmät ongelmat käynnistyksen yhteydessä ==

Parametri acpi=off voi auttaa bugisen ACPI-toteutuksen kiertämiseen.

Parametria init=/bin/sh voi käyttää salasanan vaihtoon.

Parametrillä vga=xxx voidaan määritellä framebuffer tilan resoluutio.

== Kuinka ydin käännetään? ==
[[Ytimen kääntäminen]] on ohjeistettuna tässä wikissä.

[[Luokka:Järjestelmä]]

Tiedosto:Chrunchbang.png

2011-10-13T05:35:10Z

Jem: tallensi uuden version Tiedosto:Chrunchbang.png: Chunch = #, Bang = !.

PAM

2011-10-12T17:13:10Z

Jem: Lisätty taustaa.

PAM (''Pluggable Authentication Modules'') on Linuxissa käytettävä [[käyttäjä]]n tunnistusjärjestelmä. Sen avulla sovellus (esimerkiksi sisäänkirjautumisohjelma) voi tunnistaa käyttäjän monella eri tavalla ilman, että sovellusta tarvitsee muuttaa. Sovellus vain esittää käyttäjän tunnistuspyynnön PAM:ille, joka tunnistaa käyttäjän esimerkiksi salasanan tai sormenjäljen perusteella sen mukaan, mitä sen asetuksiin on määritetty.

== Historiaa ==
PAM on alunperin Sun Microsystemsin 1995 kehittämä järjestelmä [[Solaris]]-käyttöjärjestelmää varten. Vuonna 1997 aloitettiin Linux-PAM-projekti, ja nykyään käytännössä kaikki Linux-jakelut käyttävät PAMia käyttäjän tunnistamiseen.

PAM syntyi tarpeesta irrottaa sovellusten autentikointimekanismit erillisiksi moduuleiksi. Ennen PAM:ia jokaisessa sovelluksessa, jonka tarvitsi tunnistaa käyttäjä, oli oma toteutuksensa. Tyypillisesti nämä toteutukset samaa [[Passwd-tiedosto|/etc/passwd]]-tiedostoa kuin [[login]]-ohjelma, mikä johti siihen, että jokainen sovellus keksi pyörän uudestaan. Lisäksi tämä järjestely oli hyvin jäykkä, tehden vaikeaksi uusien salasanojen salausatapojen käyttöönoton tai siirtymisen [[Shadow-tiedosto|/etc/shadow]]-tiedoston käyttöön.

PAM ratkaisee nämä ongelmat toimimalla eräänlaisena ristikytkentätauluna autentikointipalveluja tarvitsevien palvelujen ja erilaisten autentikointimekanismien välillä. Järjestely on joustava – sovelluksen käyttämä tunnistusmekanismi on vaihdettavissa konfiguraatiotiedostoa muokkaamalla, joten ohjelmakoodia ei tarvitse muuttaa. PAM mahdollistaa myös uusien tunnistusmekanismien käyttöönoton luomalla uusia PAM-moduuleja, joita jo olemassa olevat sovellukset pystyvät suoraan käyttämään.

Linux-PAMin lisäksi on olemassa mm. FreeBSD:n käyttämä OpenPAM. Nämä kaikki ovat [http://www.opengroup.org/pubs/catalog/p702.htm avoimen PAM-standardin] mukaisia.

== Toiminta ==
Ennen tietokoneen käyttöä on Linuxissa käyttäjän kirjauduttava sisään, eli sovellusten (esim. sisäänkirjautumisohjelman) on pystyttävä tunnistamaan käyttäjä. Ilman PAMia sovelluksiin on toteutettava tuki kaikille mahdollisille tunnistusmenetelmille, joita halutaan käyttää. Tällöin moniin sovelluksiin olisi hankalaa toteuttaa tuki esimerkiksi sormenjälkitunnistimille.

Toisaalta kun sovellus käyttää PAMia, se voi pyytää PAMia tunnistamaan käyttäjän. PAM lukee asetustiedostosta, millä tavalla käyttäjän tunnistus halutaan tehdä, tekee tunnistuksen tällä tavalla ja palauttaa sovellukselle tiedon tunnistautumisen onnistumisesta. Tällöin sovellus ei itsessään ota kantaa tapaan, jolla käyttäjä tunnistetaan: sovelluksen kannalta on aivan sama, antaako käyttäjä salasanansa vai käyttääkö esimerkiksi silmän iirikseen perustuvaa tunnistusta.

PAMin rakenne on modulaarinen, joten sen kanssa voidaan käyttää uusia tunnistautumistapoja tuovia moduuleita. Esimerkki tällaisesta moduulista on [[Thinkfinger]], joka lisää PAMiin tuen tietyille sormenjälkitunnistimille.

== Asetukset ==
PAMin [[Asetustiedostojen perusteet|asetukset]] löytyvät tiedostosta <tt>/etc/pam.conf</tt> tai hakemistossa <tt>/etc/pam.d</tt> olevista tiedostoista. Jos <tt>/etc/pam.d</tt>-hakemisto on olemassa, tiedostoa <tt>/etc/pam.conf</tt> ei huomioida. Asetustiedostossa määritellään, mitä moduuleita käytetään käyttäjän tunnistamiseksi. Asetukset voidaan määritellä sovelluskohtaisesti. Tiedostossa <tt>pam.conf</tt> rivit ovat muotoa
palvelu tyyppi vaatimustaso moduuli asetukset
Sen sijaan hakemistossa <tt>/etc/pam.d</tt> oleville asetuksille tiedoston nimi kertoo, minkä palvelun asetukset tehdään. Esimerkiksi seuraavat asetukset ovat samat:
#/etc/pam.conf
login auth required pam_unix.so nullok_secure
ja
#/etc/pam.d/login
auth required pam_unix.so nullok_secure

== Katso myös ==
*[[Thinkfinger]] - Eräs PAMin moduuli
*[[PolicyKit]]
*[[HST]] - Sähköinen henkilökortti.

== Aiheesta muualla ==
*[http://www.it.lut.fi/kurssit/01-02/010628000/semmat/pam.pdf PAM] - perustietoa PAMista suomeksi

[[Luokka:Järjestelmä]]
[[Luokka:Käyttäjät ja ryhmät]]

Banner

2011-10-11T12:44:40Z

Jem:

<tt>banner</tt> on [[Komentorivikomennot|komentorivikomento]], joka luo annetusta tekstistä [[wikipedia:fi:ASCII|ASCII]]-grafiikalla toteutetun bannerin. Banner-ohjelmaa käytettiin ennen vanhaan mm. tuottamaan tulosteiden välilehtiä, joista kävi ilmi tulostetun [[tiedosto]]n nimi tai tulostajan [[käyttäjätunnus]].

Luodaan esimerkiksi Linux.fi-banneri:
<pre>
$ banner Linux.fi
# # # # # # # # ###### #
# # ## # # # # # # #
# # # # # # # ## ##### #
# # # # # # # ## ### # #
# # # ## # # # # ### # #
###### # # # #### # # ### # #
</pre>

Ohjelma ei löydy kaikista [[jakelu]]ista oletuksena. Sen voi asentaa paketista <tt>banner</tt> tai <tt>sysvbanner</tt>. Lisätietoja ohjelmien asentamisesta löytyy artikkelista [[Ohjelmien asentaminen]].

== Katso myös ==
*[[Cowsay]]

[[Luokka:Komentorivin erikoisohjelmat]]

Oracle Linux

2011-10-11T12:33:29Z

Jem:

Unbreakable Linux on [[Oracle]]n jakelema [[RHEL]]iin pohjautuva [[jakelu]] joka on lähinnä tarkoitettu alustaksi Oraclen omille [[tietokanta]]-, ym. [[palvelin]]ohjelmille. Unbreakable Linuxin on tarkoitus olla täysin binääriyhteensopiva vastaavan RHEL-version kanssa. Oraclen ajatuksena onkin siten kilpailla [[Red Hat]]in kanssa lähinnä tukipalveluiden osalta.

==Aiheesta muualla==
*[[wikipedia:Oracle Enterprise Linux|Oracle Enterprise Linux englanninkielisessä Wikipediassa]]
*[http://www.oracle.com/technologies/linux/index.html Unbreakable Linuxin kotisivu]

{{redhat}}

[[Luokka:Jakelut]]

Keskustelu:IPv6

2011-10-11T08:24:38Z

Jem: Ak: Uusi sivu: Liittyen poistettuun tekstiin: "Samalla protokollaan on otettu mukaan huomattavasti uutta toiminnallisuutta. Eräs suuria käyttöönoton esteitä onkin ollut sen monimutkaisuus." I...

Liittyen poistettuun tekstiin:

"Samalla protokollaan on otettu mukaan huomattavasti uutta toiminnallisuutta. Eräs suuria käyttöönoton esteitä onkin ollut sen monimutkaisuus."

IPv6:n yleistymisen hitauteen ei varmasti ole syynä lisäominaisuuksien tuoma monimutkaisuus. Näillä ehkä viitattiin IPSec:iin, mobiiliin IPv6:een, ym? Nämä ei ole käytössä normaalissa IPv6 käytössä. IPv6 ei periaatteessa eroa IPv4:sta juuri mitenkään paitsi teknisiltä yksityiskohdiltaan, kuten osoitteen pituus, paketin rakenne, osoitteiden konfigurointi, jne.

Todellinen syy IPv6 hitaaseen yleistymiseen on massiivinen muna-kana -ongelma. Kukaan ei halua nähdä vaivaa ottaa käyttöön uutta protokollaa, jolle ei ole juuri mitään käyttöä, koska kovin moni ei sitä ole ottanut käyttöön.

IPv6

2011-10-11T08:12:35Z

Jem: Poistettu perustelematon mielipide IPv6:n yleistymisen hitaudesta. Vaihdettu esimerkkiosoitteeseen RFC3849:n mukainen dokumentaatiota varten varattu prefiksi.

{{perustietoa}}

IPv6 luotiin paikkaamaan [[IPv4]]:n heikkouksia, eritoten pientä osoiteavaruutta. Kun [[IPv4]]-osoitteita on (teoriassa) mahdollista olla vain noin neljä miljardia (2<sup>32</sup>) kappaletta, päästään IPv6:ssa moninkertaisesti suurempiin lukuihin. Vaikka [[IPv4]]:n osoiteavarus näyttää suurelta, kannattaa muistaa että koko osoiteavaruutta ei voi käyttää: osa on määritelty paikallisiksi osoitteiksi (mm. 192.168.*), osa kokeiluihin ja muihin erikoistarkoituksiin. Ennen kaikkea aliverkkojen kaikkia osoitteita ei voi hyödyntää, koska ne on jaettava lohkoittain (runkoverkon reitittimen taulukkojen pitää olla järkevän kokoisia). Jos maailman jokaiselle taloudelle pitäisi riittää muutama osoite, osoiteavaruus on joka tapauksessa riittämätön.

IPv6-osoite kirjoitetaan yleensä kahdeksana neljän heksaluvun (0-F, 16-kantainen lukujärjestelmä) kenttänä, jotka erotetaan toisistaan kaksoispisteellä. Esimerkki IPv6-osoitteesta:<br>
<tt>2001:0db8:1bb7:0300:0a04:00a0:0030:011a</tt>

Erilaisia IPv6-osoitteita on todella paljon — 2<sup>128</sup> tarkalleen. Näin osoitteita riittää esimerkiksi kotien kaikenlaisille laitteille.

== Katso myös ==
*[[IPv6-tunneli|IPv6-tunnelin käyttöönotto]]

==Aiheesta muualla==
*[http://fi.wikipedia.org/wiki/IPv6 Wikipedian IPv6-artikkeli]

[[Luokka:Verkko]]

Cpio

2011-10-10T12:30:20Z

Jem: Optio → valitsin.

Komentoriviohjelma <tt>cpio</tt> on [[tiedosto|tiedostojen]] arkistointityökalu. Ohjelman nimi tulee sanoista '''C'''o'''p'''y '''I'''n '''O'''ut. <tt>Cpio</tt> käyttää omaa arkistoformaattia; arkistojen tiedostopääte on tyypillisesti <tt>.cpio</tt>. <tt>Cpio</tt>-ohjelma pystyy kuitenkin lukemaan ja kirjoittamaan muitakin kuin omaa tiedostoformaattia, esimerkiksi <tt>tar</tt>-arkistoja.

<tt>Cpio</tt> ei ole saavuttanut yhtä suurta suosiota kuin [[tar]]-ohjelma, mikä saattaa johtua cpio-ohjelman käyttötavasta, joka poikkeaa hieman muiden arkistointiohjelmien käyttötavasta. <tt>Cpio</tt>:lla on kuitenkin joitakin vahvuuksia verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan.

==Käyttö==

<tt>Cpio</tt>-ohjelman käytön yhteydessä käytetään termejä ''In'' ja ''Out'' ehkä tutumpien ''Create'' ja ''Extract'' sijasta. Suunta on [[tiedostojärjestelmä|tiedostojärjestelmästä]] päin tarkasteltuna: ''In'' tarkoittaa siis [[tiedosto|tiedostojen]] lukua arkistosta tiedostojärjestelmään, ''Out'' vastaavasti tiedostojen kopioimista tiedostojärjestelmästä arkistoon (esimerkiksi nauha-aseman nauhalle).

Toinen merkittävä ero verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan on se, että <tt>cpio</tt>-ohjelma lukee luodessaan arkistoa talletettavien tiedostojen nimet ohjelman syötteenä [[Syötevirta|standard inputista]]. Useimmille muille arkistointiohjelmille arkistoitavien tiedostojen ja [[hakemisto|hakemistojen]] nimet annetaan [[komentorivi|komentorivin]] parametrina.

Tiedostojen nimien lukeminen ohjelman syötteenä tekee <tt>cpio</tt>-ohjelmasta "sovitetun parin" [[find]]-ohjelman kanssa. <tt>Cpio</tt>-ohjelmaa käytetäänkin useimmiten find-ohjelman kanssa, kuten alla olevista esimerkeistä nähdään.

===Arkiston luonti===

Arkisto luodaan [[valitsin|valitsimella]] <tt>-o</tt> (Copy-out). Komento

find proj1 | cpio -o > proj1.cpio

luo arkistotiedoston, johon on talletettu koko <tt>proj1</tt>-alihakemiston sisältö. <tt>Cpio</tt>-ohjelma tulostaa arkiston sisällön [[Syötevirta|standard outputiin]]. Jos arkiston haluaa tallentaa tiedostoon, pitää käyttää [[Komentotulkki|komentotulkin]] tiedostoonohjausmerkkiä >, tai vaihtoehtoisesti käyttää <tt>cpio</tt>-ohjelman <tt>-F</tt>-valitsinta. '''Huom!''' Luotavan arkistotiedoston ei ole hyvä sijaita arkistoitavan alihakemiston sisällä, sillä muuten lopputulos on ennalta arvaamaton, koska <tt>find</tt>-ohjelma löytää myös arkistotiedoston ja antaa sen syötteeksi <tt>cpio</tt>-ohjelmalle. Jos nykyisen hakemiston "<tt>.</tt>" sisällöstä halutaan luoda <tt>cpio</tt>-arkisto, sen voi tehdä esimerkiksi näin:

find . | cpio -o > ../proj1.cpio

<tt>Find</tt>-ohjelman avulla voidaan hyvin joustavasti valita mitkä tiedostot halutaan mukaan arkistoon, ja mitkä jätetään sen ulkopuolelle. Esimerkiksi seuraavalla komennolla arkistoidaan hakemiston <tt>proj1</tt> sisältämät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot. Komento tallentaa myös alihakemistoista löytyvät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot, ja säilyttää hakemistorakenteen täsmäävien tiedostojen osalta.

find proj1 -name "*.c" -o -name "*.h" | cpio -o > proj1src.cpio

<tt>[[Find]]</tt>-ohjelma mahdollistaa tiedostojen valitsemisen hyvin monipuolisesti, vaikkapa nimien, tiedoston omistajan tai aikaleiman mukaan. Tämä on <tt>find</tt>-ohjelman ominaisuus; lisätietoja <tt>find</tt>-ohjelman dokumentaatiosta.

Jos on epävarma siitä, mitkä kaikki tiedostot tallentuvat arkistoon, voi komentoa kuivaharjoitella jättämällä <tt>cpio</tt>-osan pois, jolloin find-komento tulostaa täsmäävien tiedostojen nimet.

===Arkiston purku===

<tt>Cpio</tt>-arkisto puretaan <tt>-i</tt>-valitsimella (Copy-in). Lisäksi kannattaa käyttää <tt>-d</tt>-valitsinta, joka tarvittaessa luo alihakemistot, joihin tiedostot tallennetaan.

cpio -id < proj1.cpio

Ohjelma lukee arkiston oletusarvoisesti standard inputista, mutta arkistotiedosto voidaan myös ilmoittaa <tt>-F</tt>-valitsimella.

Standard inputin ja standard outputin käyttö syöttö- ja tulostuskanavana mahdollistaa arkistojen joustavan käsittelyn. Arkisto voidaan esimerkiksi lähettää datavirtana ssh-yhteyden yli toiseen koneeseen, jossa se puretaan:

cat proj1.cpio | ssh hemmo@kone 'cpio -id'

===Copy-pass===

<tt>cpio</tt>-ohjelma voidaan myös suorittaa ns. Copy-pass -tilassa, joka yhdistää arkiston luonnin ja purun yhdeksi komennoksi. Tässä tilassa alihakemisto voidaan kopioida kokonaisuudessaan toiseen paikkaan tiedostojärjestelmässä. Copy-pass -tilassa kohdehakemisto annetaan komentoriviparametrina; hakemiston on oltava olemassa etukäteen. Kopioitavien tiedostojen nimet luetaan syötteenä aivan kuten Copy-out -tilassa.

find proj1 -name "*.c" -o -name "*.h" | cpio -pd proj1src-backup

===Arkiston selaus===

<tt>cpio</tt>-arkiston sisällä olevien tiedostojen ja hakemistojen nimet saa tulostettua <tt>-t</tt>-valitsimella:

cpio -t < proj1.cpio

==Lisätietoja==

*man cpio
*info cpio

==Katso myös==
[[Tar]]

[[Luokka:Pakkausohjelmat]]
[[Luokka:Komentorivin perustyökalut]]

Ajonaikainen linkittäjä

2011-10-10T12:26:02Z

Jem: Viittaus Jaetut Kirjastot

Ajonaikainen linkittäjä (dynamic linker, <tt>ld.so</tt>) lataa ohjelman tarvitsemat jaetut [[kirjasto]]t, valmistelee ohjelman ajettavaksi, ja sitten ajaa sen. Mikäli Linux-ohjelmaa ei ole käännettäessä erikseen määritelty staattiseksi (kääntäjän vipu <tt>-static</tt>), se tarvitsee ajonaikaista linkitystä toimiakseen.

==Katso myös==
*[[Jaetut kirjastot]]
*[[Ldd]] näyttää ajettavan tiedoston kirjastoriippuvuudet
*[[Ldconfig]] päivittää linkittäjän välimuistin ja linkit

[[Luokka:Järjestelmä]]

Tar

2011-10-10T12:25:00Z

Jem: /* Katso myös */

Komentoriviohjelma tar (tape archiver) on työkalu tar-pakettien käsittelyyn. Tar-paketit sisältävät tiedoston tai lukuisan määrän tiedostoja ja hakemistoja koottuna yhden tiedoston sisälle. Tar-pakettimuoto ei itsessään sisällä mitään pakkausta, joten usein se yhdistetään joko [[gzip]]- tai kehittyneempään [[bzip2]]-pakkaustekniikkaan, jolloin tiedostopäätteeksi muodostuu .tar.gz tai .tar.bz2.

Tämä ns. [[tarball]]-muoto on Unix- ja Linux-maailman ylivoimaisesti käytetyin tiedonpakkaustapa. Esimerkiksi ohjelmien lähdekoodit jaellaan käytännössä poikkeuksetta tässä muodossa. Tar-ohjelma osaa käsitellä myös .tar.gz- ja .tar.bz2-paketteja (eli pakattuja tar-arkistoja).

== Käyttö ==
Tulostetaan tiedostolistaus arkistosta ja [[Komentorivin perusteet#Putkitus|näytetään]] tämä ohjelmalla [[less]]:
tar tvf tiedosto.tgz | less
Puretaan tar.gz-paketti. Valitsin <tt>x</tt> tarkoittaa purkamista, <tt>v</tt> listaa purettavat tiedostot (ei pakollinen), <tt>k</tt> estää taria ylikirjoittamasta olemassaolevia tiedostoja ja <tt>f</tt> määrittää tiedoston, joka puretaan.
tar xvkf tiedosto.tar.gz
Pakataan ([[valitsin]] <tt>-c</tt>) hakemisto <tt>/home/jani-petteri/omat.laulut/</tt> bzip2-pakattuun tar-pakettiin <tt>musiikki.tar.bz2</tt>. Tar-paketin nimen on tultava heti valitsimen <tt>f</tt> jälkeen. Valitsin <tt>j</tt> korvataan <tt>z</tt>:llä, mikäli pakattavan paketin halutaan olevan gzip-muodossa (tiedostopääte .tar.gz).
tar cjf musiikki.tar.bz2 /home/jani-petteri/omat.laulut/

==Vinkkejä==
* Siirrä kohdetta, älä arkistoa.
tar -C pura/tänne/ -xvf arkisto.tar

== Katso myös ==
* [[Tarball]]
* [[Cpio]]

[[Luokka:Pakkausohjelmat]]
[[Luokka:Komentorivin perustyökalut]]

Cpio

2011-10-10T12:23:11Z

Jem: Lisätty linkkejä ja muuta pientä.

Komentoriviohjelma <tt>cpio</tt> on [[tiedosto|tiedostojen]] arkistointityökalu. Ohjelman nimi tulee sanoista '''C'''o'''p'''y '''I'''n '''O'''ut. <tt>Cpio</tt> käyttää omaa arkistoformaattia; arkistojen tiedostopääte on tyypillisesti <tt>.cpio</tt>. <tt>Cpio</tt>-ohjelma pystyy kuitenkin lukemaan ja kirjoittamaan muitakin kuin omaa tiedostoformaattia, esimerkiksi <tt>tar</tt>-arkistoja.

<tt>Cpio</tt> ei ole saavuttanut yhtä suurta suosiota kuin [[tar]]-ohjelma, mikä saattaa johtua cpio-ohjelman käyttötavasta, joka poikkeaa hieman muiden arkistointiohjelmien käyttötavasta. <tt>Cpio</tt>:lla on kuitenkin joitakin vahvuuksia verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan.

==Käyttö==

<tt>Cpio</tt>-ohjelman käytön yhteydessä käytetään termejä ''In'' ja ''Out'' ehkä tutumpien ''Create'' ja ''Extract'' sijasta. Suunta on [[tiedostojärjestelmä|tiedostojärjestelmästä]] päin tarkasteltuna: ''In'' tarkoittaa siis [[tiedosto|tiedostojen]] lukua arkistosta tiedostojärjestelmään, ''Out'' vastaavasti tiedostojen kopioimista tiedostojärjestelmästä arkistoon (esimerkiksi nauha-aseman nauhalle).

Toinen merkittävä ero verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan on se, että <tt>cpio</tt>-ohjelma lukee luodessaan arkistoa talletettavien tiedostojen nimet ohjelman syötteenä [[Syötevirta|standard inputista]]. Useimmille muille arkistointiohjelmille arkistoitavien tiedostojen ja [[hakemisto|hakemistojen]] nimet annetaan [[komentorivi|komentorivin]] parametrina.

Tiedostojen nimien lukeminen ohjelman syötteenä tekee <tt>cpio</tt>-ohjelmasta "sovitetun parin" [[find]]-ohjelman kanssa. <tt>Cpio</tt>-ohjelmaa käytetäänkin useimmiten find-ohjelman kanssa, kuten alla olevista esimerkeistä nähdään.

===Arkiston luonti===

Arkisto luodaan <tt>-o</tt>-optiolla (Copy-out). Komento

find proj1 | cpio -o > proj1.cpio

luo arkistotiedoston, johon on talletettu koko <tt>proj1</tt>-alihakemiston sisältö. <tt>Cpio</tt>-ohjelma tulostaa arkiston sisällön [[Syötevirta|standard outputiin]]. Jos arkiston haluaa tallentaa tiedostoon, pitää käyttää [[Komentotulkki|komentotulkin]] tiedostoonohjausmerkkiä >, tai vaihtoehtoisesti käyttää <tt>cpio</tt>-ohjelman <tt>-F</tt>-optiota. '''Huom!''' Luotavan arkistotiedoston ei ole hyvä sijaita arkistoitavan alihakemiston sisällä, sillä muuten lopputulos on ennalta arvaamaton, koska <tt>find</tt>-ohjelma löytää myös arkistotiedoston ja antaa sen syötteeksi <tt>cpio</tt>-ohjelmalle. Jos nykyisen hakemiston "<tt>.</tt>" sisällöstä halutaan luoda <tt>cpio</tt>-arkisto, sen voi tehdä esimerkiksi näin:

find . | cpio -o > ../proj1.cpio

<tt>Find</tt>-ohjelman avulla voidaan hyvin joustavasti valita mitkä tiedostot halutaan mukaan arkistoon, ja mitkä jätetään sen ulkopuolelle. Esimerkiksi seuraavalla komennolla arkistoidaan hakemiston <tt>proj1</tt> sisältämät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot. Komento tallentaa myös alihakemistoista löytyvät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot, ja säilyttää hakemistorakenteen täsmäävien tiedostojen osalta.

find proj1 -name "*.c" -o -name "*.h" | cpio -o > proj1src.cpio

<tt>[[Find]]</tt>-ohjelma mahdollistaa tiedostojen valitsemisen hyvin monipuolisesti, vaikkapa nimien, tiedoston omistajan tai aikaleiman mukaan. Tämä on <tt>find</tt>-ohjelman ominaisuus; lisätietoja <tt>find</tt>-ohjelman dokumentaatiosta.

Jos on epävarma siitä, mitkä kaikki tiedostot tallentuvat arkistoon, voi komentoa kuivaharjoitella jättämällä <tt>cpio</tt>-osan pois, jolloin find-komento tulostaa täsmäävien tiedostojen nimet.

===Arkiston purku===

<tt>Cpio</tt>-arkisto puretaan <tt>-i</tt>-optiolla (Copy-in). Lisäksi kannattaa käyttää <tt>-d</tt>-optiota, joka tarvittaessa luo alihakemistot, joihin tiedostot tallennetaan.

cpio -id < proj1.cpio

Ohjelma lukee arkiston oletusarvoisesti standard inputista, mutta arkistotiedosto voidaan myös ilmoittaa <tt>-F</tt>-optiolla.

Standard inputin ja standard outputin käyttö syöttö- ja tulostuskanavana mahdollistaa arkistojen joustavan käsittelyn. Arkisto voidaan esimerkiksi lähettää datavirtana ssh-yhteyden yli toiseen koneeseen, jossa se puretaan:

cat proj1.cpio | ssh hemmo@kone 'cpio -id'

===Copy-pass===

<tt>cpio</tt>-ohjelma voidaan myös suorittaa ns. Copy-pass -tilassa, joka yhdistää arkiston luonnin ja purun yhdeksi komennoksi. Tässä tilassa alihakemisto voidaan kopioida kokonaisuudessaan toiseen paikkaan tiedostojärjestelmässä. Copy-pass -tilassa kohdehakemisto annetaan komentoriviparametrina; hakemiston on oltava olemassa etukäteen. Kopioitavien tiedostojen nimet luetaan syötteenä aivan kuten Copy-out -tilassa.

find proj1 -name "*.c" -o -name "*.h" | cpio -pd proj1src-backup

===Arkiston selaus===

<tt>cpio</tt>-arkiston sisällä olevien tiedostojen ja hakemistojen nimet saa tulostettua <tt>-t</tt>-optiolla:

cpio -t < proj1.cpio

==Lisätietoja==

*man cpio
*info cpio

==Katso myös==
[[Tar]]

[[Luokka:Pakkausohjelmat]]
[[Luokka:Komentorivin perustyökalut]]

Cpio

2011-10-10T12:07:27Z

Jem: Tar-ohjelman aliarvostettu isoveli.

Komentoriviohjelma <tt>cpio</tt> on tiedostojen arkistointityökalu. Ohjelman nimi tulee sanoista '''C'''o'''p'''y '''I'''n '''O'''ut. <tt>Cpio</tt> käyttää omaa arkistoformaattia; arkistojen tiedostopääte on tyypillisesti <tt>.cpio</tt>. <tt>Cpio</tt>-ohjelma pystyy kuitenkin lukemaan ja kirjoittamaan muitakin kuin omaa tiedostoformaattia, esimerkiksi <tt>tar</tt>-arkistoja.

<tt>Cpio</tt> ei ole saavuttanut yhtä suurta suosiota kuin [[tar]]-ohjelma, mikä saattaa johtua cpio-ohjelman käyttötavasta, joka poikkeaa hieman muiden arkistointiohjelmien käyttötavasta. <tt>Cpio</tt>:lla on kuitenkin joitakin vahvuuksia verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan.

==Käyttö==

<tt>Cpio</tt>-ohjelman käytön yhteydessä käytetään termejä ''In'' ja ''Out'' ehkä tutumpien ''Create'' ja ''Extract'' sijasta. Suunta on tiedostojärjestelmästä päin tarkasteltuna: ''In'' tarkoittaa siis tiedostojen lukua arkistosta tiedostojärjestelmään, ''Out'' vastaavasti tiedostojen kopioimista tiedostojärjestelmästä arkistoon (esimerkiksi nauha-aseman nauhalle).

Toinen merkittävä ero verrattuna esimerkiksi <tt>tar</tt>-ohjelmaan on se, että <tt>cpio</tt>-ohjelma lukee luodessaan arkistoa talletettavien tiedostojen nimet ohjelman syötteenä [[Standard Input|standard inputista]]. Useimmille muille arkistointiohjelmille arkistoitavien tiedostojen ja hakemistojen nimet annetaan komentorivin parametrina.

Tiedostojen nimien lukeminen ohjelman syötteenä tekee <tt>cpio</tt>-ohjelmasta "sovitetun parin" [[find]]-ohjelman kanssa. <tt>Cpio</tt>-ohjelmaa käytetäänkin useimmiten find-ohjelman kanssa, kuten alla olevista esimerkeistä nähdään.

===Arkiston luonti===

Arkisto luodaan <tt>-o</tt>-optiolla (Copy-out). Komento

find proj1 | cpio -o > proj1.cpio

luo arkistotiedoston, johon on talletettu koko <tt>proj1</tt>-alihakemiston sisältö. <tt>Cpio</tt>-ohjelma tulostaa arkiston sisällön [[Standard Output|standard outputiin]]. Jos arkiston haluaa tallentaa tiedostoon, pitää käyttää [[Komentotulkki|komentotulkin]] tiedostoonohjausmerkkiä >, tai vaihtoehtoisesti käyttää <tt>cpio</tt>-ohjelman <tt>-F</tt>-optiota. '''Huom!''' Luotavan arkistotiedoston ei ole hyvä sijaita arkistoitavan alihakemiston sisällä, sillä muuten lopputulos on ennalta arvaamaton, koska <tt>find</tt>-ohjelma löytää myös arkistotiedoston ja antaa sen syötteeksi <tt>cpio</tt>-ohjelmalle. Jos nykyisestä hakemistosta <tt>.</tt> halutaan luoda <tt>cpio</tt>-arkisto, sen voi tehdä esimerkiksi näin:

find . | cpio -o > ../proj1.cpio

<tt>Find</tt>-ohjelman avulla voidaan hyvin joustavasti valita mitkä tiedostot halutaan mukaan arkistoon, ja mitkä jätetään sen ulkopuolelle. Esimerkiksi seuraavalla komennolla arkistoidaan hakemiston proj1 sisältämät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot. Komento tallentaa myös alihakemistoista löytyvät <tt>.c</tt>- ja <tt>.h</tt>-tiedostot, ja säilyttää hakemistorakenteen täsmäävien tiedostojen osalta.

find proj1 -name "*.c" -o -name "*.h" | cpio -o > proj1src.cpio

<tt>[[Find]]</tt>-ohjelma mahdollistaa tiedostojen valitsemisen hyvin monipuolisesti, vaikkapa nimien, tiedoston omistajan tai aikaleiman mukaan. Tämä on <tt>find</tt>-ohjelman ominaisuus; lisätietoja <tt>find</tt>-ohjelman dokumentaatiosta.

Jos on epävarma siitä, mitkä kaikki tiedostot tallentuvat arkistoon, voi komentoa kuivaharjoitella jättämällä <tt>cpio</tt>-osan pois, jolloin find-komento tulostaa täsmäävien tiedostojen nimet.

===Arkiston purku===

<tt>Cpio</tt>-arkisto puretaan <tt>-i</tt>-optiolla (Copy-in). Lisäksi kannattaa käyttää <tt>-d</tt>-optiota, joka tarvittaessa luo alihakemistot, joihin tiedostot tallennetaan.

cpio -id < proj1.cpio

Ohjelma lukee arkiston oletusarvoisesti standard inputista, mutta arkistotiedosto voidaan myös ilmoittaa <tt>-F</tt>-optiolla.

Standard inputin ja standard outputin käyttö syöttö- ja tulostuskanavana mahdollistaa arkistojen joustavan käsittelyn. Esimerkiksi voidaan arkisto lähettää datavirtana ssh-yhteyden yli toiseen koneeseen, jossa se puretaan:

cat proj1.cpio | ssh hemmo@kone 'cpio -id'

===Copy-pass===

<tt>cpio</tt>-ohjelma voidaan myös suorittaa ns. Copy-pass -tilassa, joka yhdistää arkiston luonnin ja purun yhdeksi komennoksi. Tässä tilassa alihakemisto voidaan kopioida kokonaisuudessaan toiseen paikkaan tiedostojärjestelmässä. Copy-pass -tilassa kohdehakemisto annetaan komentoriviparametrina; hakemiston on oltava olemassa etukäteen. Kopioitavien tiedostojen nimet luetaan syötteenä aivan kuten Copy-out -tilassa.

find proj1 -name "*.c" -o -name "*.h" | cpio -pd proj1src-backup

===Arkiston selaus===

<tt>cpio</tt>-arkiston sisällä olevien tiedostojen ja hakemistojen nimet saa tulostettua <tt>-t</tt>-optiolla:

cpio -t < proj1.cpio

==Lisätietoja==

*man cpio
*info cpio

==Katso myös==
[[Tar]]

[[Luokka:Pakkausohjelmat]]
[[Luokka:Komentorivin perustyökalut]]

Portaali:Ohjelmistokehitys

2011-09-24T17:56:45Z

Jem: Lisätty Qt Creator.

Linux on erinomainen alusta ohjelmoijalle. Tarjolla on laadukkaita kääntäjiä lukuisille eri ohjelmointikielille, paljon vapaita lisäkirjastoja ja vapaita virheenhallintatyökaluja.

Tässä wikissä ohjelmistokehitystä käsitellään mm. seuraavilla sivuilla:

== Artikkeleita ==
*Kääntäjiä ja tulkkeja: [[GCC]] (mm. [[C]] ja [[C plus plus|C++]]), [[GCJ]] ([[Java]]), [[Mono]] (.NET), [[Python]], [[FreePascal]]
*Kehitysympäristöjä: [[Eclipse]], [[KDevelop]], [[Lazarus]], [[NetBeans]], [[Quanta plus]], [[Qt Creator]]
*Projektinhallinta: [[Make]], [[Cmake]], [[Patch]], [[Diff]]
*Virheenetsintä: [[Cppcheck]], [[Gdb]], [[Valgrind]]
*Kääntäminen suomeksi, monikieliset ohjelmat: [[Gettext]], [[Poedit]], [[Kotoistus]]
*[[Versionhallintajärjestelmä|Versionhallintajärjestelmiä]]: [[CVS]], [[Subversion]], [[Darcs]], [[Git]], [[Mercurial]]
*Kirjastoja: [[OpenGL]], [[SDL]], [[Ncurses]], [[GTK]], [[Qt]], [[Readline]]

== Luokkia ==
*[[:Luokka:Kehitystyökalut|Kehitystyökalut]]
*[[:Luokka:Kirjastot|Kirjastot]]

==Aiheesta muualla==
* [http://gambas.sourceforge.net/en/main.html Gambas] - on avoimen lähdekoodin kehitysympäristö, joka perustuu [[Basic]] tulkkiin. Vähän niin kuin Visual Basic™, mutta ei klooni.

[[Luokka:Kehitystyökalut]]
[[Luokka:Portaalit]]

Portaali:Ohjelmistokehitys

2011-09-23T12:16:27Z

Jem: /* Artikkeleita */

Linux on erinomainen alusta ohjelmoijalle. Tarjolla on laadukkaita kääntäjiä lukuisille eri ohjelmointikielille, paljon vapaita lisäkirjastoja ja vapaita virheenhallintatyökaluja.

Tässä wikissä ohjelmistokehitystä käsitellään mm. seuraavilla sivuilla:

== Artikkeleita ==
*Kääntäjiä ja tulkkeja: [[GCC]] (mm. [[C]] ja [[C plus plus|C++]]), [[GCJ]] ([[Java]]), [[Mono]] (.NET), [[Python]], [[FreePascal]]
*Kehitysympäristöjä: [[Eclipse]], [[KDevelop]], [[Lazarus]], [[NetBeans]], [[Quanta plus]]
*Projektinhallinta: [[Make]], [[Cmake]], [[Patch]], [[Diff]]
*Virheenetsintä: [[Cppcheck]], [[Gdb]], [[Valgrind]]
*Kääntäminen suomeksi, monikieliset ohjelmat: [[Gettext]], [[Poedit]], [[Kotoistus]]
*[[Versionhallintajärjestelmä|Versionhallintajärjestelmiä]]: [[CVS]], [[Subversion]], [[Darcs]], [[Git]], [[Mercurial]]
*Kirjastoja: [[OpenGL]], [[SDL]], [[Ncurses]], [[GTK]], [[Qt]], [[Readline]]

== Luokkia ==
*[[:Luokka:Kehitystyökalut|Kehitystyökalut]]
*[[:Luokka:Kirjastot|Kirjastot]]

==Aiheesta muualla==
* [http://gambas.sourceforge.net/en/main.html Gambas] - on avoimen lähdekoodin kehitysympäristö, joka perustuu [[Basic]] tulkkiin. Vähän niin kuin Visual Basic™, mutta ei klooni.

[[Luokka:Kehitystyökalut]]
[[Luokka:Portaalit]]

Jaetut kirjastot

2011-09-23T12:05:36Z

Jem: Pientä viilausta.

Aliohjelmakirjastolla, tai lyhyemmin kirjastolla, tarkoitetaan
kokoelmaa yleishyödyllisiä aliohjelmia tai funktioita, jotka on koottu
yhteen. Perusajatuksena on, ettei jokaista kehitettävää uutta ohjelmaa
varten tarvitsisi keksiä pyörää uudestaan, vaan ohjelman tekijä voi
hyödyntää jo olemassa olevia aliohjelmia. Tällöin ohjelman tekijä voi
nojautua olemassa olevaan alemman tason toiminnallisuuteen, kuten
syöttö- ja tulostusrutiineihin, ja keskittyä kirjoittamaan omalle
ohjelmalle olennaista koodia.

Jaettu kirjasto on aliohjelmakirjaston muunnelma, jossa kirjasto on talletettu erilliseen tiedostoon, jolloin sama kirjasto on jaettavissa monen ohjelman kesken.

==Ei-jaetut kirjastot==

Aliohjelmakirjasto voi olla kahdessa eri muodossa, riippuen
käyttötavasta: joko staattisena ei-jaettuna kirjastona tai jaettuna
kirjastona. Ei-jaettu kirjasto koostuu joukosta,
tyypillisesti [[C]]-kielisestä lähdekoodista käännetyistä
objektikooditiedostoista, jotka on koottu yhteen
arkistotiedostoon. Tällaisen tiedoston pääte on <tt>.a</tt>.

Kun ohjelma rakennetaan käyttäen ei-jaettua kirjastoa, ohjelman
linkkausvaiheessa kerrotaan mistä arkistotiedostosta sen pitä etsiä
kirjastossa olevia aliohjelmia. Linkkeri kopioi arkistotiedostosta
tarvittavat osat, ja liittää ne ohjelman lopulliseen
suoritustiedostoon.

Ei-jaetuissa kirjastoissa on haittapuolensa, jotka korostuvat sitä
mukaa kuin kirjastojen koot ja lukumäärä kasvavat. Koska linkkeri
liittää ohjelman rakennusvaiheessa ei-jaetusta kirjastosta tarvittavat
aliohjelmat, on jokaisessa kirjastoa käyttävässä ohjelmassa
aliohjelmista omat kopionsa. Tämä johtaa siihen, että ohjelmatiedostojen
koot kasvavat, mutta ennen kaikkea se vaikuttaa haitallisesti tietokoneen
keskusmuistin kulutukseen moniajojärjestelmässä, jossa on useampia
ohjelmia ajossa samanaikaisesti. Tilannetta helpottaa hieman se, että
älykäs linkkeri kopioi ainoastaan tarvittavat aliohjelmat, ei koko
kirjastoa, mutta käytännössä säästö ei ole kovin suuri.

==Jaetut kirjastot==

Edellä mainittua kirjastojen kopioitumisongelmaa ratkaisemaan on
kehitetty niin sanotut jaetut kirjastot. Jaettuja kirjastoja
käytettäessä ei kirjaston aliohjelmia liitetä osaksi suoritettavaa
ohjelmatiedostoa, vaan ohjelmaan liitetään vain viittaus jaetun
kirjaston sisältävään tiedostoon. Kun ohjelma suoritetaan, kirjasto
ladataan muistiin.

Linuxin muistinhallinassa on ominaisuus, joka mahdollistaa
keskusmuistisivujen jakamisen [[Prosessi|prosessien]] kesken. Prosesseilla on
erilliset muistiavaruudet, jotka on suojattu toisiltaan,
mutta on mahdollista järjestää asiat niin, että yksi fyysinen
muistisivu näkyy useamman prosessin muistiavaruudessa. Tällä
mekanismilla saadaan ratkaistuksi toinenkin ei-jaettujen kirjastojen
ongelma, eli koodin kopioituminen keskusmuistissa.

Myös kirjastojen määrittelemä data on jaettu prosessien
kesken. Kirjaston määrittelemät muuttujat eivät kuitenkaan ole
prosesseille yhteisiä, eli kun yhdessä prosessissa muutetaan muuttujan
arvoa, muutos ei saa näkyä toisessa prosessissa. Tämä on ratkaistu niin
sanotulla Copy-on-write -mekanismilla, jossa prosessille joka muuttaa
muuttujan arvoa, luodaan oma kopionsa musitisivusta, jossa muuttuja
sijaitsee.

Huomaa, että mekanismi ei suoranaisesti liity Linuxin jaettuihin
kirjastoihin, vaan on Linuxin ytimen ominaisuus jota hyödynnetään
jaettujen kirjastojen käsittelyssä.

==Jaettujen kirjastojen kehitys Linuxissa==

Alunperin Linuxissa ei ollut tukea jaetuille kirjastoille. Linuxin
alkuvuosina käytettiin Unixin perintönä niin sanottua
"a.out"-tiedostomuotoa suoritettaville ohjelmille.
a.out-tiedostomuodolle suunniteltiin Linuxia varten mekanismi jaettujen kirjastojen
käyttämiseksi, joka olikin käytössä jonkin aikaa. Tämän mekanismin
suurin puute oli se, että kirjastot oli rakennettu ladattaviksi
kiinteisiin osoitteisiin, joita ei pystytty enää muuttamaan
latausvaiheessa. Tämän tyyppisiä jaettuja kirjastoja sanotaan
''staattisiksi jaetuiksi kirjastoiksi''.

Latausosoitteiden joustamattomuuden takia samaan prosessiin ei voitu
ladata päällekkäisiä muistiosoitteita käyttäviä kirjastoja.
Päällekkäisyyksien välttämiseksi Linuxin jaetuista kirjastoista
pidettiin keskitettyä rekisteriä, jossa niille allokoitiin jokaiselle
omat käytettävissä olevat muistiavaruudet.

==Nykyaikaiset jaetut kirjastot==

Linux siirtyi versiosta 1.2 käyttämään uudempaa ELF (Executable and
Linkable Format) -tiedostomuotoa suoritettaville ohjelmille ja
kirjastoille. Tässä formaatissa on otettu paremmin huomioon jaettujen
kirjastojen asettamat vaatimukset. ELF-formaattissa on tuki
ns. relokoinnille, jonka ansiosta kirjaston voi ladata alkaen mistä
tahansa vapaana olevasta muistiosoitteesta. Tämä vaatii tosin jonkin verran
ylimääräistä työtä sekä kirjaston latausvaiheessa että ohjelman ajon
aikana.

===Jaettujen kirjastojen versionumerot===

Käytäntönä on, että jaetun kirjaston versionumero koostuu kahdesta
osasta, ns. major- ja minor-versionumerot. Major-numeroa muutetaan,
kun kirjasto on olennaisesti erilainen kuin edellinen
versio. Olennaisella muutoksella tarkoitetaan, että esimerkiksi
funktion kutsutapa muuttuu, tai että kirjaston aliohjelmat toimivat
eri tavalla kuin ennen. Minor-numero muuttuu tyypillisesti kun
kirjastossa on korjattu virhe. (Toki kirjasto toimii silloinkin eri
tavalla kuin sen edellinen versio, mutta tässä tapauksessa se on
korjattu toimivaksi siten kuin se on dokumentoitu toimivan.)

Kun jaettu kirjasto asennetaan järjestelmään, kirjaston sisältävän
tiedoston nimeksi annetaan nimi joka on muotoa
<tt>libfoo.so.''M''.''N''</tt>. M on tässä edellä mainittu major-versionumero
ja N vastaavasti minor-versionumero. Tiedoston pääte .so tulee
sanoista shared object, eli jaettu objektitiedosto. Samaan hakemistoon
luodaan symbolinen linkki, jonka nimi on libfoo.so.''M'', joka osoittaa
kirjaston sisältämään tiedostoon. Esimerkki:

-rwxr-xr-x 1 root root 14616 Jul 24 19:34 libdl-2.13.so
lrwxrwxrwx 1 root root 13 Jul 24 19:36 libdl.so.2 -> libdl-2.13.so

===Versioidut symbolit===

Edellä mainittu ei kuitenkaan ole koko totuus jaettujen kirjastojen
versioinnista. Linuxin jaetut kirjastot voivat sisältää myös
''versioituja symboleja'', joiden avulla sama kirjasto voi sisältää
monta eri versiota samannimisestä aliohjelmasta. Vanhempi ohjelma,
joka on rakennettu kirjaston vanhempaa versiota varten, löytää
kirjastosta vanhemman version aliohjelmasta, kun taas uudempi ohjelma
voi automaattisesti hyödyntää uutta versiota aliohjelmasta.

Jaetut kirjastot voivat olla käyttämättä versioituja symboleja,
kirjaston tekijän valinnan mukaan. Yksi esimerkki kirjastosta joka
käyttää niitä on standardikirjasto <tt>[[libc]]</tt>. Periaate on se, että
kaikki kirjaston aliohjelmat, jotka säilyvät muuttumattomina versiosta
toiseen, säilyttävät vanhan versionumeronsa. Kun kirjaston aliohjelmaa
muutetaan siten, ettei se ole enää yhteensopiva vanhan version kanssa,
kirjastoon lisätään uudella versionumerolla varustettu aliohjelma
vanhan rinnalle.

Kun ohjelma linkataan <tt>libc</tt>:llä, kirjastosta otetaan lähes poikkeuksetta
käyttöön uusin versio aliohjelmista. Kun suoritetaan vanhaa ohjelmaa,
joka on rakennusvaiheessa linkattu vanhempaa <tt>libc</tt>:tä
käyttäen, se on myös yhteensopiva uuden jaetun kirjaston kanssa, sillä
uudesta kirjastosta löytyy myös vanhemmat versiot
aliohjelmista. Uudella <tt>libc</tt>:llä linkattu ohjelmatiedosto
'''saattaa''' myös toimia siirrettynä ympäristöön, jossa on vanhempi
versio jaetusta kirjastosta. Tämä edellyttää kuitenkin, että ohjelma
ei käytä aliohjelmaa, josta on uudempi versio kirjastossa jota vasten
se on rakennettu. Nyrkkisääntönä on siis, että vanhempi ohjelma on
yhteensopiva uudemman kirjaston kanssa, mutta uudempi ohjelma ei
välttämättä toimi vanhemman kirjaston kanssa.

Tarkastellaan edellistä esimerkin valossa. <tt>libc</tt>-kirjasto
määrittelee <tt>realpath</tt>-funktion:

char *realpath(const char *path, char *resolved_path);

[[GNU]] Libc -kirjaston versiossa 2.3 muutettiin funktion toimintaa siten,
että resolved_path-parametrin arvoksi hyväksytään myös NULL, jolloin
funktio itse varaa tarvittavan muistin ja palauttaa sen funktion
paluuarvona.

<tt>readelf</tt>-ohjelmalla voi luetella kirjaston aliohjelmien nimet:

readelf -s /lib/libc.so.6

Tulosteesta löytyy kaksi <tt>realpath</tt>-funktiota:

1167: 000000000010e3c0 33 FUNC GLOBAL DEFAULT 11 realpath@GLIBC_2.2.5
1168: 000000000003d210 1213 FUNC GLOBAL DEFAULT 11 realpath@@GLIBC_2.3

Ohjelma, joka on tehty vanhemmalla <tt>libc</tt>:n versiolla kuin 2.3,
sisältää viittauksen 2.2.5-versioon funktiosta, uudemmat ohjelmat
käyttävät versiota 2.3.

===Jaettua kirjastoa käyttävän ohjelman lataus===

Kun uusi ohjelma käynnistetään, käyttöjärjestelmän ydin lataa ohjelman
keskusmuistiin. Tarkemmin sanottuna, latausta ei tehdä vielä tässä
vaiheessa, vaan tehdään kuvaus ([[mmap]]) ohjelmatiedostosta prosessin
muistiavaruuteen. Lataus massamuistilta keskumuistiin tapahtuu sitä
mukaa kuin ohjelman suoritus etenee; jos ohjelman kontrolli siirtyy
muistisivulle, joka on "tyhjä", eli jonka sisältöä ei ole ladattu
massamuistilta, tapahtuu ns. ''page fault''. Tällöin ytimen
poikkeuskäsittelijä lataa sivun sisällön ohjelmatiedostosta ennen kuin
suoritus voi jatkua.

Jos ohjelma käyttää ainakin yhtä jaettua kirjastoa, ohjelmaa ei vielä
käynnistetä tässä vaiheessa. Sen sijaan käyttöjärjestelmän ydin lukee
ELF-ohjelmatiedostosta dynaamisen linkkerin nimen. Dynaaminen linkkeri
on jaetun kirjaston muodossa oleva ohjelma, jonka tehtävänä on ladata
jaetut kirjastot muistiin. Dynaamisen linkkerin nimi on kerrottu
ELF-tiedoston .interp-sektiossa (sanasta "interpreter", eli tulkki),
ja se on sinne kirjoitettu ohjelman rakennusvaiheessa. Ydin lataa myös
dynaamisen linkkerin prosessin muistiavaruuteen ja siirtää ohjelman
suorituksen siihen. Dynaamisen linkkerin nimi riippuu käytettävästä
prosessoriarkkitehtuurista, 64-bittisessä x86_64-koneessa se sijaitsee
tiedostossa <tt>/lib64/ld-linux-x86-64.so.2</tt>.

Syy miksi näin tehdään on se, että ohjelma ei ole vielä ajokelpoinen
ilman tarvitsemiaan jaettuja kirjastoja. Yksinkertaisimmankin
C-kielellä kirjoitetun ohjelman suoritys tyssäisi heti ensimmäiseen
<tt>printf</tt>-funktion kutsuun. Tämän ongelman olisi tietysti voinut
ratkaista siten, että dynaamisen linkkerin toiminnallisuus olisi
sisällytetty ytimeen ja ydin olisi ladannut sekä ohjelman että
ohjelman tarvitsemat kirjastot muistiin ennen suorituksen alkua. Tätä
ei kuitenkaan haluta tehdä, sillä ydin halutaan pitää mahdollisimman
pienenä ja toiminnallisuus, jota ytimessä ei tarvita, siirretään pois
sieltä.

===Miten dynaaminen linkkeri löytää jaetut kirjastot?===

Dynaaminen linkkeri etsii dynaamisia jaettuja kirjastoja seuraavassa
järjestyksessä:

# Jos ohjelman ELF-tiedosto sisältää ''DT_RPATH''-sektion, se sisältää listan hakemistoja, joista dynaaminen linkkeri etsii jaettuja kirjastoja (tätä mekanismia ei enää suositella käytettäväksi).
# Jos [[ympäristömuuttuja]] LD_LIBRARY_PATH on määritelty, ja se sisältää kasoispisteillä erotettuja hakemistojen nimiä, kirjastoja etsitään näistä hakemistoista.
# Jos ohjelman ELF-tiedosto sisältää ''DT_RUNPATH''-sektion, se sisältää listan hakemistoja, joista dynaaminen linkkeri etsii jaettuja kirjastoja.
# Kirjastoa etsitään <tt>/etc/ld.so.cache</tt>-tiedostosta. Tämä on normaali tapa, jolla dynaaminen linkkeri paikallistaa jaetut kirjastot.
# Viimeisenä oljenkortena dynaaminen linkkeri etsii kirjastoja hakemistoista /lib ja /usr/lib (ellei ohjelmaa ole linkattu <tt>-z nodeflib</tt>-optiolla).

LD_LIBRARY_PATH-muuttujaa ei turvallisuussyistä huomioida, jos suoritettava ohjelma on [[suid]]-binääri. Huomaa, että kirjastoa oletusarvoisesti ''ei'' etsitä
* hakemistosta, jossa ohjelma on käynnistetty
* hakemistosta, jossa ohjelmatiedosto sijaitsee

<tt>/etc/ld.so.cache</tt>-tiedosto on binääritiedosto, joka sisältää
kuvauksia kirjaston nimestä kirjaston sisältävän tiedoston
absoluuttiseen tiedostopolkuun. Kirjaston virallinen nimi on kerrottu
''soname''-kentässä kirjaston sisällä olevassa
<tt>.dynamic</tt>-sektiossa. Tämän nimen ei tarvitse olla sama kuin
kirjaston sisältämän tiedoston nimi. Muissa tapauksissa kuin kohdassa
4 yllä olevassa hakujärjestyksessä käytetään kuitenkin tiedoston nimeä
samannimisen kirjaston paikallistamiseen.

Aina kun järjestelmään on asennettu uusi jaettu kirjasto (joko
kokonaan uusi, tai uusi versio olemassaolevasta kirjastosta), pitää
suorittaa <tt>[[ldconfig]]</tt>-ohjelma. Tämä ohjelma päivittää yllä
mainitun <tt>/etc/ld.so.cache</tt>-tiedoston ajan tasalle, ja
huolehtii lisäksi siitä, että aiemmin mainitut symboliset linkit
osoittavat viimeisimpään versioon kirjastosta.
<tt>ldconfig</tt>-ohjelma lukee luettelon hakemistoista, joista
kirjastoja etsitään, tiedostosta <tt>/etc/ld.so.conf</tt>.

Huom! Jos kirjastoja asennetaan jakelun ohjelmapaketeista, kaikesta tästä on tietenkin huolehdittu ja tapahtuu automaattisesti, eikä <tt>ldconfig</tt>-ohjelmaa ole tarvetta suorittaa "käsin".

==Jaettujen kirjastojen lataaminen ohjelmakoodista==

Dynaamisen jaetun kirjaston pystyy myös lataamaan ohjelmasta käsin,
ajon aikana. Tämä tapahtuu <tt>dlopen</tt>-funktiolla, joka palauttaa
onnistuneen kutsun tuloksena kahvan jaettuun kirjastoon. Kahvaa
annetaan <tt>dlsym</tt>-funktiolle, joka palauttaa osoitteen, johon
haluttu symboli on ladattu muistiin. Lisätietoja <tt>dlopen</tt>:n
manuaalisivulla.

==Lisätietoja==

Ohjelman käyttämistä dynaamisista jaetuista kirjastoista saa tietoa
komennolla <tt>[[ldd]]</tt>.

Esimerkki:

ldd /bin/ls

linux-vdso.so.1 => (0x00007fff5ddff000)
librt.so.1 => /lib64/librt.so.1 (0x00007f1e64e7c000)
libacl.so.1 => /lib64/libacl.so.1 (0x00007f1e64c73000)
libc.so.6 => /lib64/libc.so.6 (0x00007f1e648ed000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f1e646d0000)
/lib64/ld-linux-x86-64.so.2 (0x00007f1e65085000)
libattr.so.1 => /lib64/libattr.so.1 (0x00007f1e644cb000)

<tt>ldd</tt>-komento myös ilmoittaa, jos jokin ohjelman tarvitsemista
kirjastoista ei löydy.

Muita kiinnostavia ohjelmia, joilla voi tutkia kirjastoja,
objektitiedostoja ja ohjelmia ovat <tt>[[readelf]]</tt> ja
<tt>[[objdump]]</tt>.

[[Luokka:Käsitteet]]
[[Luokka:Järjestelmä]]

Työpöytäasennuksen virittäminen

2011-09-23T11:20:59Z

Jem: Eläimellisyyttä vähennetty.

Tällä sivulla on esitelty parhaat käytännöt mitä tyypillisen aloittelevan Linux-käyttäjän kannattaa tehdä Linuxin perusasennuksen jälkeen. Ohjeet on tehty ajatellen Ubuntu 10.04 LTS -käyttäjiä, mikä on tällä hetkellä suositelluin jakelu ja versio aloittelijoille (toki muitakin jakeluita ja versioita kannattaa kokeilla jos on aikaa).

== Suomalaiset verkkopalvelut ==

[[Yle Areena]] ja [[Ruutu.fi]] vaativat toimiakseen [[Adobe Flash]]in. Sen asennus tapahtuu ohjatusti kun käy sivulla http://get.adobe.com/flashplayer/ ja valitsee asennusvaihtoehdon [apt:adobe-flashplugin?channel=$distro-partner APT for Ubuntu 10.04] (joka nykyisin on toteutettu pakettihallintaa oikeaoppisesti hyödyntäen Ubuntu partner -ohjelmalähteen kautta).

[[MTV3 Katsomo.fi]] ja [[Sub.fi]] käyttävät Silverlightia, jonka Linux-versio on nimeltään [[Moonlight]]. Sen asennus tapahtuu [http://www.go-mono.com/moonlight/download.aspx Moonlight-sivuston] kautta ja on toteutettu Firefox-laajennuksena joka toimii kaikilla Linuxeilla jakelusta riippumatta.

== Automaattiset tietoturvapäivitykset ==

Avaa valikosta ''Järjestelmä > Hallinta > Ohjelmalähteet'' ja edelleen välilehdestä ''Päivitykset'' valitse ''Asenna turvallisuuspäivitykset kysymättä''.

== Näytön lukitus pois päältä ==

Vakioasetuksilla Ubuntu aktivoi näytönsäästäjän ja lukitsee näytön viiden minuutin käyttämättömyyden jälkeen. Tämä voi olla kotikäytössä ärsyttävää, joten ne kannattaa kytkeä pois valitsemalla ''Järjestelmä > Asetukset > Näytönsäästäjä''.

== Ulkoasun vaihtaminen miellyttävämmäksi ==

Ubuntun vakioulkoasu on melko synkkä eikä välttämättä kaikille mieluisa. Ulkoasun teemaa, taustakuvaa ja jopa ikkunoiden sulkupainikkeen sijaintia vasemmasta yläkulmasta oikeaan yläkulmaan voi vaihtaa valitsemalla ''Järjestelmä > Asetukset > Ulkoasu''.

=== Ikkunapainikkeet tutusti oikealle ===

Ikkunapainikkeet saa siirrettyä tutustu oikealle ajamalla päätteessä (löytyy ''Sovellukset > Apuohjelmat > Pääte'')
gconftool-2 -s /apps/metacity/general/button_layout -t string menu:minimize,maximize,close

== Käyttöjärjestelmän kielivaihtoehtojen säätö ==

Jos asennusvaiheessa unohdit valita suomen käyttöliittymäsi kieleksi, tai haluat asennuksen jälkeen lisää kielivaihtoehtoja esimerksi muita käyttäjiä varten, voi tehdä sen helposti valitsemalla valikosta ''Järjestelmä > Ylläpito > Kieliasetukset''.

=== Suomenkielinen oikoluku Mozilla-ohjelmiin ===

Ubuntun kielipaketti ei vielä sisällä oikolukua Mozilla Firefoxiin, joten siihen täytyy erikseen hakea [https://addons.mozilla.org/fi/firefox/addon/finnish-spellchecker/ oikolukulaajennus Mozillan sivustolta]. Asennuksen jälkeen käynnistä Firefox uudestaan kahdesti, jotta oikoluku olisi käytettävissä. Oikolukulaajennus ei toimi Firefoxin versioissa 5 ja 6 (tilanne 2011-09-23).

Jos näyttää siltä, että oikolukuohjelma alleviivaa kaikki sanat, saattaa kyse olla siitä, että väärä kielivalinta on käytössä. Suomenkielen saa käyttöön painamalla hiiren oikeaa nappia allevivatun sanan päällä ja edelleen ponnahdusvalikosta valitsemalla ''Kielet > Suomi (Voikko)''.

Jos kirjoitettavan tekstin kieltä vastaavaa oikolukijaa ei ole saatavilla, ja alleviivaukset häiritsevät, oikoluvun saa oletusarvoisesti pois päältä muokkaamalla Firefoxin asetuksia seraavasti:

* kirjoita Firefoxin osoitekenttään <tt>about: config</tt>
* etsi listasta kohta <tt>layout.spellcheckDefault</tt>
* muuta asetus arvoon 0 kaksoisklikkaamalla sitä

== Salasanan vaihtaminen ==

Käyttäjien salasanat ovat tärkein osa tietoturvaa ja jokaisen käyttäjän tulisi vaihtaa salasansa säännöllisesti. Sen voi tehdä valitsemalla ''Järjestelmä > Asetukset > Omat tiedot'' ja avautuvan ikkunan oikeasta ylälaidasta Vaihda salasana.

== Käyttäjätunnusten lisääminen ==

Jokaisella tietokonetta käyttävällä henkilöllä kannattaa olla oma käyttäjätunnus. Käyttäjätunnuksia voi luoda ylläpito-oikeuksin varustettu käyttäjä valikosta ''Järjestelmä > Ylläpito > Käyttäjät ja ryhmät'' ja painamalla ''Lisää''.

== Multimediatuki ja lisenssirajoitteiset ohjelmistot ==

Koska Ubuntu sisältää ainoastaan täysin vapaita ohjelmistoja, haluat todennäköisesti asentaa siihen muutaman ei-vapaan ohjelmapaketin pystyäksesi avaamaan tiedostomuotoja: DV, AVI, MPEG, ASF, MP3, AAC, MPEG4/DivX, Windows Media (WMV), Real Media (RM) ja QuickTime (MOV). Useimpien kaupallisten DVD-levyjen katselukaan ei onnistu ilman "content scrambling system"-ohitusta. Osa nettisivuista vaatii näkyäkseen selaimelta Flash-laajennuksen.

Lisenssirajoitteiset lisäosat saat, kun asennat paketin [apt:ubuntu-restricted-extras?section=universe?section=multiverse ubuntu-restricted-extras]

Kyseisiin ei-vapaisiin tiedostomuotohin tarvittavia ohjelmia ei ohjelmistopatenttiepäselvyyksien takia uskalleta jakaa virallisen Ubuntu-CD:n mukana, mutta ne voi itse asentaa jälkikäteen huoletta. Tämä on mahdollista, sillä ohjelmistopatentit eivät ole voimassa Suomessa ja useimmissa Euroopan maissa, vaikka ne ovatkin käytössä esim USA:ssa.

Yksittäisistä valmistajista riippuvuuden välttämiseksi kannattaa jatkossa tietysti suosia avoimia tietostomuotoja, kuten esimerkiksi Ogg Vorbis -musiikkimuotoa mp3-formaatin sijasta.

[[Luokka: Ohjeet]]

Työpöytäasennuksen virittäminen

2011-09-23T10:44:00Z

Jem: Firefoxin oikolukulaajennuksen linkki korjattu. Todettu, että laajennus ei enää toimi uusissa Firefoxin versioissa. Lisätty ohje, miten oikoluvusta pääsee eroon lopullisesti.

Tällä sivulla on esitelty parhaat käytännöt mitä tyypillisen aloittelevan Linux-käyttäjän kannattaa tehdä Linuxin perusasennuksen jälkeen. Ohjeet on tehty ajatellen Ubuntu 10.04 LTS -käyttäjiä, mikä on tällä hetkellä suositelluin jakelu ja versio aloittelijoille (toki muitakin jakeluita ja versioita kannattaa kokeilla jos on aikaa).

== Suomalaiset verkkopalvelut ==

Yle Areena ja Ruutu.fi vaativat toimiakseen Adobe Flashin. Sen asennus tapahtuu ohjatusti kun käy sivulla http://get.adobe.com/flashplayer/ ja valitsee asennusvaihtoehdon [apt:adobe-flashplugin?channel=$distro-partner APT for Ubuntu 10.04] (joka nykyisin on toteutettu pakettihallintaa oikeaoppisesti hyödyntäen Ubuntu partner -ohjelmalähteen kautta).

MTV3 Katsomo.fi käyttää Silverlightiä, jonka Linux-versio on nimeltään Moonlight. Sen asennus tapahtuu [http://www.go-mono.com/moonlight/download.aspx Moonlight-sivuston] kautta ja on toteutettu Firefox-laajennuksena joka toimii kaikilla Linuxeilla jakelusta riippumatta.

== Automaattiset tietoturvapäivitykset ==

Avaa valikosta ''Järjestelmä > Hallinta > Ohjelmalähteet'' ja edelleen välilehdestä ''Päivitykset'' valitse ''Asenna turvallisuuspäivitykset kysymättä''.

== Näytön lukitus pois päältä ==

Vakioasetuksilla Ubuntu aktivoi näytönsäästäjän ja lukitsee näytön viiden minuutin käyttämättömyyden jälkeen. Tämä voi olla kotikäytössä ärsyttävää, joten ne kannattaa kytkeä pois valitsemalla ''Järjestelmä > Asetukset > Näytönsäästäjä''.

== Ulkoasun vaihtaminen miellyttävämmäksi ==

Ubuntun vakioulkoasu on melko synkkä eikä välttämättä kaikille mieluisa. Ulkoasun teemaa, taustakuvaa ja jopa ikkunoiden sulkupainikkeen sijaintia vasemmasta yläkulmasta oikeaan yläkulmaan voi vaihtaa valitsemalla ''Järjestelmä > Asetukset > Ulkoasu''.

=== Ikkunapainikkeet tutusti oikealle ===

Ikkunapainikkeet saa siirrettyä tutustu oikealle ajamalla päätteessä (löytyy ''Sovellukset > Apuohjelmat > Pääte'')
gconftool-2 -s /apps/metacity/general/button_layout -t string menu:minimize,maximize,close

== Käyttöjärjestelmän kielivaihtoehtojen säätö ==

Jos asennusvaiheessa unohdit valita suomen käyttöliittymäsi kieleksi, tai haluat asennuksen jälkeen lisää kielivaihtoehtoja esimerksi muita käyttäjiä varten, voi tehdä sen helposti valitsemalla valikosta ''Järjestelmä > Ylläpito > Kieliasetukset''.

=== Suomenkielinen oikoluku Mozilla-ohjelmiin ===

Ubuntun kielipaketti ei vielä sisällä oikolukua Mozilla Firefoxiin, joten siihen täytyy erikseen hakea [https://addons.mozilla.org/fi/firefox/addon/finnish-spellchecker/ oikolukulaajennus Mozillan sivustolta]. Asennuksen jälkeen käynnistä Firefox uudestaan kahdesti, jotta oikoluku olisi käytettävissä. Oikolukulaajennus ei toimi Firefoxin versioissa 5 ja 6 (tilanne 2011-09-23).

Jos näyttää siltä, että oikolukuohjelma alleviivaa kaikki sanat, saattaa kyse olla siitä, että väärä kielivalinta on käytössä. Suomenkielen saa käyttöön painamalla hiiren oikeaa nappia allevivatun sanan päällä ja edelleen ponnahdusvalikosta valitsemalla ''Kielet > Suomi (Voikko)''.

Jos kirjoitettavan tekstin kieltä vastaavaa oikolukijaa ei ole saatavilla, ja alleviivaukset häiritsevät, oikoluvun saa oletusarvoisesti pois päältä muokkaamalla Firefoxin asetuksia seraavasti:

* kirjoita Firefoxin osoitekenttään <tt>about: config</tt>
* etsi listasta kohta <tt>layout.spellcheckDefault</tt>
* muuta asetus arvoon 0 kaksoisklikkaamalla sitä

== Salasanan vaihtaminen ==

Käyttäjien salasanat ovat tärkein osa tietoturvaa ja jokaisen käyttäjän tulisi vaihtaa salasansa säännöllisesti. Sen voi tehdä valitsemalla ''Järjestelmä > Asetukset > Omat tiedot'' ja avautuvan ikkunan oikeasta ylälaidasta Vaihda salasana.

== Käyttäjätunnusten lisääminen ==

Jokaisella tietokonetta käyttävällä henkilöllä kannattaa olla oma käyttäjätunnus. Käyttäjätunnuksia voi luoda ylläpito-oikeuksin varustettu käyttäjä valikosta ''Järjestelmä > Ylläpito > Käyttäjät ja ryhmät'' ja painamalla ''Lisää''.

== Multimediatuki ja lisenssirajoitteiset ohjelmistot ==

Koska Ubuntu sisältää ainoastaan täysin vapaita ohjelmistoja, haluat todennäköisesti asentaa siihen muutaman ei-vapaan ohjelmapaketin pystyäksesi avaamaan tiedostomuotoja: DV, AVI, MPEG, ASF, MP3, AAC, MPEG4/DivX, Windows Media (WMV), Real Media (RM) ja QuickTime (MOV). Useimpien kaupallisten DVD-levyjen katselukaan ei onnistu ilman "content scrambling system"-ohitusta. Osa nettisivuista vaatii näkyäkseen selaimelta Flash-laajennuksen.

Lisenssirajoitteiset lisäosat saat, kun asennat paketin [apt:ubuntu-restricted-extras?section=universe?section=multiverse ubuntu-restricted-extras]

Kyseisiin ei-vapaisiin tiedostomuotohin tarvittavia ohjelmia ei ohjelmistopatenttiepäselvyyksien takia uskalleta jakaa virallisen Ubuntu-CD:n mukana, mutta ne voi itse asentaa jälkikäteen huoletta. Tämä on mahdollista, sillä ohjelmistopatentit eivät ole voimassa Suomessa ja useimmissa Euroopan maissa, vaikka ne ovatkin käytössä esim USA:ssa.

Yksittäisistä valmistajista riippuvuuden välttämiseksi kannattaa jatkossa tietysti suosia avoimia tietostomuotoja, kuten esimerkiksi Ogg Vorbis -musiikkimuotoa mp3-formaatin siasta.

Jaetut kirjastot

2011-09-23T08:02:18Z

Jem: Linuxin jaettujen kirjastojen historia, nykytila ja käyttö.

Aliohjelmakirjastolla, tai lyhyemmin kirjastolla, tarkoitetaan
kokoelmaa yleishyödyllisiä aliohjelmia tai funktioita, jotka on koottu
yhteen. Perusajatuksena on, ettei jokaista kehitettävää uutta ohjelmaa
varten tarvitsisi keksiä pyörää uudestaan, vaan ohjelman tekijä voi
hyödyntää jo olemassa olevia aliohjelmia. Tällöin ohjelman tekijä voi
nojautua olemassa olevaan alemman tason toiminnallisuuteen, kuten
syöttö- ja tulostusrutiineihin, ja keskittyä kirjoittamaan omalle
ohjelmalle olennaista koodia.

Jaettu kirjasto on aliohjelmakirjaston muunnelma, jossa kirjasto on talletettu erilliseen tiedostoon, jolloin sama kirjasto on jaettavissa monen ohjelman kesken.

==Ei-jaetut kirjastot==

Aliohjelmakirjasto voi olla kahdessa eri muodossa, riippuen
käyttötavasta: joko staattisena ei-jaettuna kirjastona tai jaettuna
kirjastona. Ei-jaettu kirjasto koostuu joukosta,
tyypillisesti C-kielisestä lähdekoodista käännetyistä
objektikooditiedostoista, jotka on koottu yhteen
arkistotiedostoon. Tällaisen tiedoston pääte on <tt>.a</tt>.

Kun ohjelma rakennetaan käyttäen ei-jaettua kirjastoa, ohjelman
linkkausvaiheessa kerrotaan mistä arkistotiedostosta sen pitä etsiä
kirjastossa olevia aliohjelmia. Linkkeri kopioi arkistotiedostosta
tarvittavat osat, ja liittää ne ohjelman lopulliseen
suoritustiedostoon.

Ei-jaetuissa kirjastoissa on haittapuolensa, jotka korostuvat sitä
mukaa kuin kirjastojen koot ja lukumäärä kasvavat. Koska linkkeri
liittää ohjelman rakennusvaiheessa ei-jaetusta kirjastosta tarvittavat
aliohjelmat, on jokaisessa kirjastoa käyttävässä ohjelmassa
aliohjelmista omat kopionsa. Tämä johtaa siihen, että ohjelmatiedostojen
koot kasvavat, mutta ennen kaikkea se vaikuttaa haitallisesti tietokoneen
keskusmuistin kulutukseen moniajojärjestelmässä, jossa on useampia
ohjelmia ajossa samanaikaisesti. Tilannetta helpottaa hieman se, että
älykäs linkkeri kopioi ainoastaan tarvittavat aliohjelmat, ei koko
kirjastoa, mutta käytännössä säästö ei ole kovin suuri.

==Jaetut kirjastot==

Edellä mainittua kirjastojen kopioitumisongelmaa ratkaisemaan on
kehitetty niin sanotut jaetut kirjastot. Jaettuja kirjastoja
käytettäessä ei kirjaston aliohjelmia liitetä osaksi suoritettavaa
ohjelmatiedostoa, vaan ohjelmaan liitetään vain viittaus jaetun
kirjaston sisältävään tiedostoon. Kun ohjelma suoritetaan, kirjasto
ladataan muistiin.

Linuxin muistinhallinassa on ominaisuus, joka mahdollistaa
keskusmuistisivujen jakamisen prosessien kesken. Prosesseilla on
periaatteessa erilliset muistiavaruudet, jotka on suojattu toisiltaan,
mutta on mahdollista järjestää asiat niin, että yksi fyysinen
muistisivu näkyy useamman prosessin muistiavaruudessa. Tällä
mekanismilla saadaan ratkaistuksi toinenkin ei-jaettujen kirjastojen
ongelma, eli koodin kopioituminen keskusmuistissa.

Myös kirjastojen määrittelemä data on jaettu prosessien
kesken. Kirjaston määrittelemät muuttujat eivät kuitenkaan ole
prosesseille yhteisiä, eli kun yhdessä prosessissa muutetaan muuttujan
arvoa, muutos ei saa näkyä toisessa prosessissa. Tämä on ratkaistu niin
sanotulla Copy-on-write -mekanismilla, jossa prosessille joka muuttaa
muuttujan arvoa, luodaan oma kopionsa musitisivusta, jossa muuttuja
sijaitsee.

Huomaa, että mekanismi ei suoranaisesti liity Linuxin jaettuihin
kirjastoihin, vaan on Linuxin ytimen ominaisuus jota hyödynnetään
jaettujen kirjastojen käsittelyssä.

==Jaettujen kirjastojen kehitys Linuxissa==

Alunperin Linuxissa ei ollut tukea jaetuille kirjastoille. Linuxin
alkuvuosina käytettiin Unixin perintönä niin sanottua
"a.out"-tiedostomuotoa suoritettaville ohjelmille.
a.out-tiedostomuodolle suunniteltiin Linuxia varten mekanismi jaettujen kirjastojen
käyttämiseksi, joka olikin käytössä jonkin aikaa. Tämän mekanismin
suurin puute oli se, että kirjastot oli rakennettu ladattaviksi
kiinteisiin osoitteisiin, joita ei pystytty enää muuttamaan
latausvaiheessa. Tämän tyyppisiä jaettuja kirjastoja sanotaan
''staattisiksi jaetuiksi kirjastoiksi''.

Latausosoitteiden joustamattomuuden takia samaan prosessiin ei voitu
ladata päällekkäisiä muistiosoitteita käyttäviä kirjastoja.
Päällekkäisyyksien välttämiseksi Linuxin jaetuista kirjastoista
pidettiin keskitettyä rekisteriä, jossa niille allokoitiin jokaiselle
omat käytettävissä olevat muistiavaruudet.

==Nykyaikaiset jaetut kirjastot==

Linux siirtyi versiosta 1.2 käyttämään uudempaa ELF (Executable and
Linkable Format) -tiedostomuotoa suoritettaville ohjelmille ja
kirjastoille. Tässä formaatissa on otettu paremmin huomioon jaettujen
kirjastojen asettamat vaatimukset. ELF-formaattissa on tuki
ns. relokoinnille, jonka ansiosta kirjaston voi ladata alkaen mistä
tahansa vapaana olevasta muistiosoitteesta. Tämä vaatii tosin jonkin verran
ylimääräistä työtä sekä kirjaston latausvaiheessa että ohjelman ajon
aikana.

===Jaettujen kirjastojen versionumerot===

Käytäntönä on, että jaetun kirjaston versionumero koostuu kahdesta
osasta, ns. major- ja minor-versionumerot. Major-numeroa muutetaan,
kun kirjasto on olennaisesti erilainen kuin edellinen
versio. Olennaisella muutoksella tarkoitetaan, että esimerkiksi
funktion kutsutapa muuttuu, tai että kirjaston aliohjelmat toimivat
eri tavalla kuin ennen. Minor-numero muuttuu tyypillisesti kun
kirjastossa on korjattu virhe. (Toki kirjasto toimii silloinkin eri
tavalla kuin sen edellinen versio, mutta tässä tapauksessa se on
korjattu toimivaksi siten kuin se on dokumentoitu toimivan.)

Kun jaettu kirjasto asennetaan järjestelmään, kirjaston sisältävän
tiedoston nimeksi annetaan nimi joka on muotoa
<tt>libfoo.so.M.N</tt>. M on tässä edellä mainittu major-versionumero
ja N vastaavasti minor-versionumero. Tiedoston pääte .so tulee
sanoista shared object, eli jaettu objektitiedosto. Samaan hakemistoon
luodaan symbolinen linkki, jonka nimi on libfoo.so.M, joka osoittaa
kirjaston sisältämään tiedostoon. Esimerkki:

-rwxr-xr-x 1 root root 14616 Jul 24 19:34 libdl-2.13.so
lrwxrwxrwx 1 root root 13 Jul 24 19:36 libdl.so.2 -> libdl-2.13.so

===Versioidut symbolit===

Edellä mainittu ei kuitenkaan ole koko totuus jaettujen kirjastojen
versioinnista. Linuxin jaetut kirjastot voivat sisältää myös
''versioituja symboleja'', joiden avulla sama kirjasto voi sisältää
monta eri versiota samannimisestä aliohjelmasta. Vanhempi ohjelma,
joka on rakennettu kirjaston vanhempaa versiota varten, löytää
kirjastosta vanhemman version aliohjelmasta, kun taas uudempi ohjelma
voi automaattisesti hyödyntää uutta versiota aliohjelmasta.

Jaetut kirjastot voivat olla käyttämättä versioituja symboleja,
kirjaston tekijän valinnan mukaan. Yksi esimerkki kirjastosta joka
käyttää niitä on standardikirjasto <tt>libc</tt>. Periaate on se, että
kaikki kirjaston aliohjelmat, jotka säilyvät muuttumattomina versiosta
toiseen, säilyttävät vanhan versionumeronsa. Kun kirjaston aliohjelmaa
muutetaan siten, ettei se ole enää yhteensopiva vanhan version kanssa,
kirjastoon lisätään uudella versionumerolla varustettu aliohjelma
vanhan rinnalle.

Kun ohjelma linkataan <tt>libc</tt>:llä, kirjastosta otetaan lähes poikkeuksetta
käyttöön uusin versio aliohjelmista. Kun suoritetaan vanhaa ohjelmaa,
joka on rakennusvaiheessa linkattu vanhempaa <tt>libc</tt>:tä
käyttäen, se on myös yhteensopiva uuden jaetun kirjaston kanssa, sillä
uudesta kirjastosta löytyy myös vanhemmat versiot
aliohjelmista. Uudella <tt>libc</tt>:llä linkattu ohjelmatiedosto
'''saattaa''' myös toimia siirrettynä ympäristöön, jossa on vanhempi
versio jaetusta kirjastosta. Tämä edellyttää kuitenkin, että ohjelma
ei käytä aliohjelmaa, josta on uudempi versio kirjastossa jota vasten
se on rakennettu. Nyrkkisääntönä on siis, että vanhempi ohjelma on
yhteensopiva uudemman kirjaston kanssa, mutta uudempi ohjelma ei
välttämättä toimi vanhemman kirjaston kanssa.

Tarkastellaan edellistä esimerkin valossa. <tt>libc</tt>-kirjasto
määrittelee <tt>realpath</tt>-funktion:

char *realpath(const char *path, char *resolved_path);

GNU Libc -kirjaston versiossa 2.3 muutettiin funktion toimintaa siten,
että resolved_path-parametrin arvoksi hyväksytään myös NULL, jolloin
funktio itse varaa tarvittavan muistin ja palauttaa sen funktion
paluuarvona.

<tt>readelf</tt>-ohjelmalla voi luetella kirjaston aliohjelmien nimet:

readelf -s /lib/libc.so.6

Tulosteesta löytyy kaksi <tt>realpath</tt>-funktiota:

1167: 000000000010e3c0 33 FUNC GLOBAL DEFAULT 11 realpath@GLIBC_2.2.5
1168: 000000000003d210 1213 FUNC GLOBAL DEFAULT 11 realpath@@GLIBC_2.3

Ohjelma, joka on tehty vanhemmalla <tt>libc</tt>:n versiolla kuin 2.3,
sisältää viittauksen 2.2.5-versioon funktiosta, uudemmat ohjelmat
käyttävät versiota 2.3.

===Jaettua kirjastoa käyttävän ohjelman lataus===

Kun uusi ohjelma käynnistetään, käyttöjärjestelmän ydin lataa ohjelman
keskusmuistiin. Tarkemmin sanottuna, latausta ei tehdä vielä tässä
vaiheessa, vaan tehdään kuvaus (mmap) ohjelmatiedostosta prosessin
muistiavaruuteen. Lataus massamuistilta keskumuistiin tapahtuu sitä
mukaa kuin ohjelman suoritus etenee; jos ohjelman kontrolli siirtyy
muistisivulle, joka on "tyhjä", eli jonka sisältöä ei ole ladattu
massamuistilta, tapahtuu ns. ''page fault''. Tällöin ytimen
poikkeuskäsittelijä lataa sivun sisällön ohjelmatiedostosta ennen kuin
suoritus voi jatkua.

Jos ohjelma käyttää ainakin yhtä jaettua kirjastoa, ohjelmaa ei vielä
käynnistetä tässä vaiheessa. Sen sijaan käyttöjärjestelmän ydin lukee
ELF-ohjelmatiedostosta dynaamisen linkkerin nimen. Dynaaminen linkkeri
on jaetun kirjaston muodossa oleva ohjelma, jonka tehtävänä on ladata
jaetut kirjastot muistiin. Dynaamisen linkkerin nimi on kerrottu
ELF-tiedoston .interp-sektiossa (sanasta "interpreter", eli tulkki),
ja se on sinne kirjoitettu ohjelman rakennusvaiheessa. Ydin lataa myös
dynaamisen linkkerin prosessin muistiavaruuteen ja siirtää ohjelman
suorituksen siihen. Dynaamisen linkkerin nimi riippuu käytettävästä
prosessoriarkkitehtuurista, 64-bittisessä x86_64-koneessa se sijaitsee
tiedostossa <tt>/lib64/ld-linux-x86-64.so.2</tt>.

Syy miksi näin tehdään on se, että ohjelma ei ole vielä ajokelpoinen
ilman tarvitsemiaan jaettuja kirjastoja. Yksinkertaisimmankin
C-kielellä kirjoitetun ohjelman suoritys tyssäisi heti ensimmäiseen
<tt>printf</tt>-funktion kutsuun. Tämän ongelman olisi tietysti voinut
ratkaista siten, että dynaamisen linkkerin toiminnallisuus olisi
sisällytetty ytimeen ja ydin olisi ladannut sekä ohjelman että
ohjelman tarvitsemat kirjastot muistiin ennen suorituksen alkua. Tätä
ei kuitenkaan haluta tehdä, sillä ydin halutaan pitää mahdollisimman
pienenä ja toiminnallisuus, jota ytimessä ei tarvita, siirretään pois
sieltä.

===Miten dynaaminen linkkeri löytää jaetut kirjastot?===

Dynaaminen linkkeri etsii dynaamisia jaettuja kirjastoja seuraavassa
järjestyksessä:

# Jos ohjelman ELF-tiedosto sisältää ''DT_RPATH''-sektion, se sisältää listan hakemistoja, joista dynaaminen linkkeri etsii jaettuja kirjastoja (tätä mekanismia ei enää suositella käytettäväksi).
# Jos [[ympäristömuuttuja]] LD_LIBRARY_PATH on määritelty, ja se sisältää kasoispisteillä erotettuja hakemistojen nimiä, kirjastoja etsitään näistä hakemistoista.
# Jos ohjelman ELF-tiedosto sisältää ''DT_RUNPATH''-sektion, se sisältää listan hakemistoja, joista dynaaminen linkkeri etsii jaettuja kirjastoja.
# Kirjastoa etsitään <tt>/etc/ld.so.cache</tt>-tiedostosta. Tämä on normaali tapa, jolla dynaaminen linkkeri paikallistaa jaetut kirjastot.
# Viimeisenä oljenkortena dynaaminen linkkeri etsii kirjastoja hakemistoista /lib ja /usr/lib (ellei ohjelmaa ole linkattu <tt>-z nodeflib</tt>-optiolla).

LD_LIBRARY_PATH-muuttujaa ei turvallisuussyistä huomioida, jos suoritettava ohjelma on [[suid]]-binääri.

<tt>/etc/ld.so.cache</tt>-tiedosto on binääritiedosto, joka sisältää
kuvauksia kirjaston nimestä kirjaston sisältävän tiedoston
absoluuttiseen tiedostopolkuun. Kirjaston virallinen nimi on kerrottu
''soname''-kentässä kirjaston sisällä olevassa
<tt>.dynamic</tt>-sektiossa. Tämän nimen ei tarvitse olla sama kuin
kirjaston sisältämän tiedoston nimi. Muissa tapauksissa kuin kohdassa
3 yllä olevassa hakujärjestyksessä käytetään kuitenkin tiedoston nimeä
samannimisen kirjaston paikallistamiseen.

Aina kun järjestelmään on asennettu uusi jaettu kirjasto (joko
kokonaan uusi, tai uusi versio olemassaolevasta kirjastosta), pitää
suorittaa <tt>[[ldconfig]]</tt>-ohjelma. Tämä ohjelma päivittää yllä
mainitun <tt>/etc/ld.so.cache</tt>-tiedoston ajan tasalle, ja
huolehtii lisäksi siitä, että aiemmin mainitut symboliset linkit
osoittavat viimeisimpään versioon kirjastosta.
<tt>ldconfig</tt>-ohjelma lukee luettelon hakemistoista, joista
kirjastoja etsitään, tiedostosta <tt>/etc/ld.so.conf</tt>.

Huom! Jos kirjastoja asennetaan jakelun ohjelmapaketeista, kaikesta tästä on tietenkin huolehdittu ja tapahtuu automaattisesti, eikä <tt>ldconfig</tt>-ohjelmaa ole tarvetta suorittaa "käsin".

==Jaettujen kirjastojen lataaminen ohjelmakoodista==

Dynaamisen jaetun kirjaston pystyy myös lataamaan ohjelmasta käsin,
ajon aikana. Tämä tapahtuu <tt>dlopen</tt>-funktiolla, joka palauttaa
onnistuneen kutsun tuloksena kahvan jaettuun kirjastoon. Kahvaa
annetaan <tt>dlsym</tt>-funktiolle, joka palauttaa osoitteen, johon
haluttu symboli on ladattu muistiin. Lisätietoja <tt>dlopen</tt>:n
manuaalisivulla.

==Lisätietoja==

Ohjelman käyttämistä dynaamisista jaetuista kirjastoista saa tietoa
komennolla <tt>[[ldd]]</tt>.

Esimerkki:

ldd /bin/ls

linux-vdso.so.1 => (0x00007fff5ddff000)
librt.so.1 => /lib64/librt.so.1 (0x00007f1e64e7c000)
libacl.so.1 => /lib64/libacl.so.1 (0x00007f1e64c73000)
libc.so.6 => /lib64/libc.so.6 (0x00007f1e648ed000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f1e646d0000)
/lib64/ld-linux-x86-64.so.2 (0x00007f1e65085000)
libattr.so.1 => /lib64/libattr.so.1 (0x00007f1e644cb000)

<tt>ldd</tt>-komento myös ilmoittaa, jos jokin ohjelman tarvitsemista
kirjastoista ei löydy.

Muita kiinnostavia ohjelmia, joilla voi tutkia kirjastoja,
objektitiedostoja ja ohjelmia ovat <tt>[[readelf]]</tt> ja
<tt>[[objdump]]</tt>.

[[Luokka:Käsitteet]]

Zero

2011-09-21T10:51:45Z

Jem: tarkennus: mmap-kutsun parametriksi ei anneta "/dev/zero" suoraan, vaan open-kutsun palauttama tiedostokahva.

<tt>/dev/zero</tt> on Unix-järjestelmissä (myös Linux) [[Linuxin hakemistorakenne|<tt>/dev</tt>-hakemistossa]] sijaitseva [[laitetiedosto]], johon kaikilla käyttäjillä on [[tiedoston oikeudet|kirjoitusoikeus]], mutta johon kirjoitettu data yksinkertaisesti häviää. Se muistuttaa läheisesti [[null|<tt>/dev/null</tt>-laitetiedostoa]], mutta erotuksena <tt>/dev/zero</tt>sta lukeminen palauttaa nollatavuja '\0', eli [[wikipedia:fi:tavu|tavuja]], jossa kaikki [[wikipedia:fi:bitti|bitit]] ovat 0-arvoisia. Lukeminen <tt>/dev/zero</tt>-tiedostosta ei koskaan katkea tiedoston loppuun, vaan nollatavuja palautetaan aina pyydetty määrä.

<tt>/dev/zero</tt> on hyödyllinen myös [[mmap]]-systeemikutsun kanssa. Kun mmap:lla tehdään <tt>/dev/zero</tt>-tiedoston kuvaus prosessin muistiavaruuteen, saadaan anonyymi kuvaus tiedoston ja muistialueen välille. Anonyymillä muistialueella tarkoitetaan tässä sitä, että alue ei liity mihinkään tiedostojärjestelmän tiedostoon. Tällaista muistialuetta voidaan mm. käyttää prosessien väliseen kommunikointiin isä- ja [[Prosessi|lapsiprosessin]] välillä.

== Katso myös ==
*[[Null|/dev/null]]
*[[Full|/dev/full]]
[[Luokka:Järjestelmä]]
[[Luokka:Perustietoa]]

XFree86

2011-09-21T06:28:20Z

Jem:

XFree86-projekti on pitkään kehittänyt avointa [[X Window System|X-ikkunointipalvelinta]]. XFree86 -palvelin kehitettiin alunperin Intelin x86-käskykannan kanssa yhteensopivalle laitteistolle, siitä nimen osa 86. Nimi XFree86 on sanaleikki ja tulee nimestä X386, joka oli ensimmäinen X Window System -toteutus IBM PC -luokan tietokoneille. Nykyään hyvin harva [[Jakelut|Linux-jakelu]] käyttää XFree86:tta, sillä sen lisenssi vaihdettiin [[GNU GPL]] -yhteensopimattomaksi. Sen sijasta käytetään XFree86:sta [[haara]]utettua [[X.org]]ia.

==Katso myös==
* [[X.org]]

==Aiheesta muualla==
*[http://xfree86.org/ XFree86:n sivut.]

[[Luokka:X]]

Zero

2011-09-20T19:33:11Z

Jem: korjattu: /dev/zero ei palauta yhtä nollatavua, vaan niin monta kuin halutaan. Lisätty maininta mmap:sta.

<tt>/dev/zero</tt> on Unix-järjestelmissä (myös Linux) [[Linuxin hakemistorakenne|<tt>/dev</tt>-hakemistossa]] sijaitseva [[laitetiedosto]], johon kaikilla käyttäjillä on [[tiedoston oikeudet|kirjoitusoikeus]], mutta johon kirjoitettu data yksinkertaisesti häviää. Se muistuttaa läheisesti [[null|<tt>/dev/null</tt>-laitetiedostoa]], mutta erotuksena <tt>/dev/zero</tt>sta lukeminen palauttaa nollatavuja '\0', eli [[wikipedia:fi:tavu|tavuja]], jossa kaikki [[wikipedia:fi:bitti|bitit]] ovat 0-arvoisia. Lukeminen <tt>/dev/zero</tt>-tiedostosta ei koskaan katkea tiedoston loppuun, vaan nollatavuja palautetaan aina pyydetty määrä.

<tt>/dev/zero</tt> on hyödyllinen myös [[mmap]]-systeemikutsun parametrina. Kun mmap:lla tehdään <tt>/dev/zero</tt>-tiedoston kuvaus prosessin muistiavaruuteen, saadaan anonyymi kuvaus tiedoston ja muistialueen välille. Anonyymillä muistialueella tarkoitetaan tässä sitä, että alue ei liity mihinkään tiedostojärjestelmän tiedostoon. Tällaista muistialuetta voidaan mm. käyttää prosessien väliseen kommunikointiin isä- ja [[Prosessi|lapsiprosessin]] välillä.

== Katso myös ==
*[[Null|/dev/null]]
*[[Full|/dev/full]]
[[Luokka:Järjestelmä]]
[[Luokka:Perustietoa]]

ISO

2011-09-20T19:03:53Z

Jem: /* Linux ja ISO */

{{perustietoa}}
''Tässä artikkelissa käsitellään ISO-standardoimisorganisaatiota. Myös [[levykuva|levykuvien]] tiedostopääte voi olla <tt>.iso</tt>.''

[[wikipedia:fi:ISO|Wikipedian ISO-artikkeli]].<br>

ISO lyhenne tulee sanoista International Organization for Standardization.

== Linux ja ISO ==

Kansainvälinen standardointijärjestö ISO on hyväksynyt Linuxin avoimien standardien työryhmän työstämän Linux Standard Base ([[LSB]]) 2.0.1 -version julkisesti saatavilla olevaksi spesifikaatioksi (ISO/PAS 23360). PAS-dokumentti ei ole tosin vielä täysi standardi, mutta sen virallinen esiaste.

== ISO-standardeja ==

* ISO/IEC 8859-1 8-bit single-byte coded graphic character sets -- Part 1: Latin alphabet No. 1
* ISO/IEC 8859-15 8-bit single-byte coded graphic character sets -- Part 15: Latin alphabet No. 9
* ISO/IEC 15948 [[PNG|Portable Network Graphics (PNG)]]
* ISO 15740 [[PTP|Picture Transfer Protocol]]
* ISO/IEC DIS 23360 Linux Standard Base Core Specification 2.0.1

== Aiheesta muualla ==
* [http://www.iso.org/ ISO]
* [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=41481&COMMID=&scopelist=PROGRAMME ISO/IEC DIS 23360]
* [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29581&ICS1=35&ICS2=140&ICS3= ISO/IEC 15948:2004]
* [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37445&ICS1=37&ICS2=40&ICS3=99 ISO 15740:2005]
* [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29505&ICS1=35&ICS2=40&ICS3= ISO/IEC 8859-15]
* [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=28245&ICS1=35&ICS2=40&ICS3= ISO/IEC 8859-1]

[[Luokka:Käsitteet]]

Mount

2011-09-20T18:42:34Z

Jem: shellin työhakemisto estää unmountin.

[[Komentorivi]]komennolla mount ''liitetään'' [[Linuxin hakemistorakenne|hakemistopuuhun]] eri tiedostojärjestelmiä, esimerkiksi levyosioita, [[verkkolevy]]jä ja [[levykuva|levykuvia]]. Linuxissa mihin tahansa hakemistoon voidaan liittää erillinen [[tiedostojärjestelmä]]: esimerkiksi [[juurihakemisto]] <tt>/</tt> voi olla yhdellä levyosiolla, alihakemisto <tt>[[kotihakemisto|/home]]</tt> toisella ja cd-asema vaikkapa hakemistossa <tt>/home/pentti/tavaraa/linux</tt>.

Liittäminen ("mounttaaminen") on edellytys tiedostojärjestelmän sisällön näyttämiselle käyttöjärjestelmässä. Jos esimerkiksi jotakin kiintolevyosiota tai cd-levyä ei ole liitetty, näkyy se Linuxissa ainoastaan [[laitetiedosto]]na /dev-hakemiston alla. Esimerkiksi [[DVD-elokuvat|DVD-elokuva]]n toistaminen tai cd-levyn [[levyn polttaminen|polttaminen]] ei edellytä levyn liittämistä (levyn sisältöä ei tällöin käsitellä tiedosto tiedostolta). Liittäminen sen sijaan vaaditaan, mikäli levyn/tiedostojärjestelmän sisältöä halutaan käsitellä tiedostomuodossa esimerkiksi [[:Luokka:Tiedostonhallinta|tiedostonhallintaohjelmassa]].

Liitoksen purkamista kutsutaan ''irrottamiseksi'' (engl. unmounting). Liitoksen voi irrottaa joko käsin tai antaa käyttöjärjestelmän hoitaa se automaattisesti esimerkiksi järjestelmän (hallitun) sulkemisen yhteydessä.

Mikäli liitetyn tiedostojärjestelmän sisältävä media (esimerkiksi [[USB-muisti]]tikku tai verkkolevylle johtava kaapeli) otetaan fyysisesti irti koneesta irrottamatta ensin sillä sijaitsevaa tiedostojärjestelmää, jäävät monet väliaikaistiedostot kirjoittamatta tiedostojärjestelmään (mikä vahingoittaa tiedostojärjestelmää) ja lisäksi sen sisältö jää "kummittelemaan" hakemistopuuhun.

Uusissa työpöytäkäyttöön suunnitelluissa Linux-järjestelmissä cd- ja dvd-levyt yleensä sekä liitetään että irrotetaan automaattisesti, joten käsin irrottaminen on niiden osalta yleensä tarpeen vain silloin, kun levy on myös liitetty käsin (mount-komennolla). Verkkoyhteyden takana sijaitsevat tiedostojärjestelmät (verkkolevyt) täytyy irrottaa käsin, mikäli verkkoyhteys on katkeamassa kesken järjestelmän päälläolon. USB-muistitikut ja ulkoiset kiintolevyt on irrotettava käsin, mikäli ne aiotaan ottaa irti koneesta ennen sen sulkemista. [[GUI|Graafisessa]] ympäristössä tiedostojärjestelmän irrottaminen tapahtuu yleensä klikkaamalla sen kuvaketta hiiren toisella näppäimellä sekä valitsemalla "Irrota", "Remove safely", "Unmount" ym. Komentorivillä tähän voidaan käyttää komentoa <tt>umount</tt> (ks alla).

Tiedostojärjestelmän liittämiseen ja irrottamiseen tarvitaan [[pääkäyttäjä]]n oikeudet, ellei tiettyä liittämistä (esimerkiksi USB-muistitikun liittämistä polkuun <tt>/media/usb-muisti</tt>) ole erikseen sallittu <tt>[[fstab|/etc/fstab]]</tt>-tiedostossa.

== Käyttö ==
Yleinen muoto mount-komennolle on seuraava:
mount [valitsimet] [-o liitosasetukset] mistä minne
Liitosasetukset ovat samat kuin [[fstab|/etc/fstab]]-tiedostossa käytettävät asetukset.

Esimerkiksi ensimmäisen kiintolevyn ensimmäinen osio (vastaa Microsoft Windows -järjestelmässä C-asemaa) liitettäisiin hakemistoon <tt>/home</tt> komennolla:
mount /dev/hda1 /home

Tässä <tt>/dev/hda1</tt> on liitettävän osion [[laitetiedosto]]. Riippuen käytettävästä ajurista (esimerkiksi [[libata]]) sekä kiintolevyn liitäntätavasta saattaa yllämainittuna laitetiedostona olla myös <tt>/dev/sda1</tt>.

Useissa järjestelmissä liitettävän osion määrittelemiseen voi käyttää myös sen nimeä (label), [[wikipedia:UUID|UUID]]-tunnusta, väyläosoitetta tai valmistajan laiteelle antamaa nimeä. Näitä vastaavat [[udev]]in ylläpitämät laitetiedostot löytyvät tällöin <tt>/dev/disk</tt>-hakemiston alta.

Jos mount ei tunnista automaattisesti levyosion tiedostojärjestelmää, voidaan se kertoa valitsimella <tt>-t</tt>:
mount -t [[ext3]] /dev/hda1 /home

Mount-komennolla voi liittää myös levykuvia (.iso). Tiedoston <tt>levy.iso</tt> sisältö liitettäisiin hakemistoon <tt>/home/kayttaja/levy</tt> seuraavasti:
mount -o [[loop]] levy.iso /home/kayttaja/levy

Levykuvien liittäminen vaatii [[ydin|ytimeen]] "''Loopback device support''" -tuen joko sisäänkäännettynä tai [[moduuli]]na (mikäli käytetään moduulia, on moduulin oltava ladattuna komennolla <tt>[[modprobe]] loop</tt>). Lisätietoja artikkelissa [[ISO 9660]].

Yhdellä laitteella voi olla useampia liitoskohtia. Seuraava liittäisi laitteen <tt>/dev/sdf4</tt> alkuperäiset liitoskohdan <tt>/mnt/sdf4</tt> ohella myös liitoskohtaan <tt>/mnt/kuvat</tt>:
mount --bind /mnt/sdf4 /mnt/kuvat

Liitoskohta on mahdollista siirtää ilman sen irrottamista. Tämä tapahtuu käyttäen valitsinta <tt>--move</tt>:
mount --move /vanha/sijainti /uusi/sijainti

''remount''-optiolla voidaan vaihtaa jo liitetyn tiedostojärjestelmän asetuksia: esimerkiksi komento
mount -o remount,ro /home
asettaisi /home-osion vain luku -tilaan, jolloin se voidaan esimerkiksi tarkistaa [[fsck]]-ohjelmalla.

Jos tiedostojärjestelmän liitos on mainittu [[fstab|/etc/fstab]]-tiedostossa, voidaan mount-komennolle antaa argumentiksi pelkän liitoskohdan tai liitettävän laitteen. Mount-komento lukee tällöin tarvittavan muun tiedon [[fstab|/etc/fstab]]-tiedostosta. Esimerkki:

mount /mnt/cdrom

Pelkkä komento
mount
listaa kaikki liitetyt tiedostojärjestelmät.

=== Valitsimia ===
Mount-komennolle voidaan antaa seuraavia [[valitsin|valitsimia]] (luettelo ei ole täydellinen):
*-a: Liittää kaikki tiedostojärjestelmät jotka on määritelty tiedostossa [[fstab|/etc/fstab]] ilman määritettä ''noauto''.
*-n: /etc/mtab-tiedostoa ei päivitetä. Käytettävä kun <tt>/etc</tt> on kirjoitussuojattu, muutoin tarpeeton.
*-o <tt>asetukset</tt>: Liittää tietyin liitosasetuksin, kts. [[fstab]].
*-r: Liitos vain luku -tilassa. Sama kuin -o ro.
*-w: Liitos luku/kirjoitus-tilassa. Oletusasetus, sama kuin -o rw.
*-t <tt>tiedostojärjestelmä</tt>: Kertoo tiedostojärjestelmän tyypin. Esim. [[ext2]], [[reiserfs]], [[ISO 9660]] tai auto. Tiedostojärjestelmän tyypin eteen voidaan myös lisätä sana no, jolloin se kääntää valinnan päinvastaiseksi. Esimerkiksi komento <tt>mount -a -t nomsdos,ext</tt> liittäisi kaikki [[fstab|fstabissa]] määritetyt tiedostojärjestelmät paitsi ne, joiden tyyppi on ext tai msdos.
*-L Osion liittäminen sen nimen (label) perusteella. Tarpeellinen, mikäli labeleille ei ole omia laitetiedostoja esimerkiksi hakemiston <tt>/dev/disk/by-label</tt> alla.
*-U Osion liittäminen sen UUID-tunnuksen perusteella. Tarpeellinen, jos niille ei ole omia laitetiedostoja esimerkiksi hakemistossa <tt>/dev/disk/by-uuid</tt>.

== Irrotus umount-komennolla ==
Liitetty tiedostojärjestelmä irrotetaan komennolla <tt>umount</tt>:
umount laitetiedosto
tai
umount liitoshakemisto
Esimerkiksi
umount /dev/hda1
tai
umount /mnt/varasto

Jos irrottaminen ei onnistu vaan ohjelma antaa virheilmoituksen <tt>umount: /hakemisto: device is busy</tt>, käyttää jokin prosessi jotain irrotettavassa tiedostojärjestelmässä olevaa tiedostoa tai hakemistoa. Jotta irrottaminen onnistuisi, on nämä sovellukset lopetettava tai saatava ne vapauttamaan hakemisto. Yleinen syy miksi laite on varattu on se, että komentotulkki on käynnissä ja sen [[työhakemisto]] on irrotettavan tiedostojärjestelmän sisällä. Ongelma ratkeaa vaihtamalla komentotulkin työhakemisto ([[cd]]-komennolla) hakemistoksi, joka on irrotettavan tiedostojärjestelmän ulkopuolella.

Komennolla [[fuser]] voi selvittää, mikä prosessi käyttää tiettyä tiedostojärjestelmää.

== Katso myös ==
*[[Fstab]]
*[[Ntfs-3g]]
*[[UnionFS]]

[[Luokka:Tiedostojärjestelmät]]
[[Luokka:Osiot]]
[[Luokka:Komentorivin perustyökalut]]

Mount

2011-09-20T18:26:26Z

Jem: mount-ohjelman käyttö pelkällä liitoskohdalla.

[[Komentorivi]]komennolla mount ''liitetään'' [[Linuxin hakemistorakenne|hakemistopuuhun]] eri tiedostojärjestelmiä, esimerkiksi levyosioita, [[verkkolevy]]jä ja [[levykuva|levykuvia]]. Linuxissa mihin tahansa hakemistoon voidaan liittää erillinen [[tiedostojärjestelmä]]: esimerkiksi [[juurihakemisto]] <tt>/</tt> voi olla yhdellä levyosiolla, alihakemisto <tt>[[kotihakemisto|/home]]</tt> toisella ja cd-asema vaikkapa hakemistossa <tt>/home/pentti/tavaraa/linux</tt>.

Liittäminen ("mounttaaminen") on edellytys tiedostojärjestelmän sisällön näyttämiselle käyttöjärjestelmässä. Jos esimerkiksi jotakin kiintolevyosiota tai cd-levyä ei ole liitetty, näkyy se Linuxissa ainoastaan [[laitetiedosto]]na /dev-hakemiston alla. Esimerkiksi [[DVD-elokuvat|DVD-elokuva]]n toistaminen tai cd-levyn [[levyn polttaminen|polttaminen]] ei edellytä levyn liittämistä (levyn sisältöä ei tällöin käsitellä tiedosto tiedostolta). Liittäminen sen sijaan vaaditaan, mikäli levyn/tiedostojärjestelmän sisältöä halutaan käsitellä tiedostomuodossa esimerkiksi [[:Luokka:Tiedostonhallinta|tiedostonhallintaohjelmassa]].

Liitoksen purkamista kutsutaan ''irrottamiseksi'' (engl. unmounting). Liitoksen voi irrottaa joko käsin tai antaa käyttöjärjestelmän hoitaa se automaattisesti esimerkiksi järjestelmän (hallitun) sulkemisen yhteydessä.

Mikäli liitetyn tiedostojärjestelmän sisältävä media (esimerkiksi [[USB-muisti]]tikku tai verkkolevylle johtava kaapeli) otetaan fyysisesti irti koneesta irrottamatta ensin sillä sijaitsevaa tiedostojärjestelmää, jäävät monet väliaikaistiedostot kirjoittamatta tiedostojärjestelmään (mikä vahingoittaa tiedostojärjestelmää) ja lisäksi sen sisältö jää "kummittelemaan" hakemistopuuhun.

Uusissa työpöytäkäyttöön suunnitelluissa Linux-järjestelmissä cd- ja dvd-levyt yleensä sekä liitetään että irrotetaan automaattisesti, joten käsin irrottaminen on niiden osalta yleensä tarpeen vain silloin, kun levy on myös liitetty käsin (mount-komennolla). Verkkoyhteyden takana sijaitsevat tiedostojärjestelmät (verkkolevyt) täytyy irrottaa käsin, mikäli verkkoyhteys on katkeamassa kesken järjestelmän päälläolon. USB-muistitikut ja ulkoiset kiintolevyt on irrotettava käsin, mikäli ne aiotaan ottaa irti koneesta ennen sen sulkemista. [[GUI|Graafisessa]] ympäristössä tiedostojärjestelmän irrottaminen tapahtuu yleensä klikkaamalla sen kuvaketta hiiren toisella näppäimellä sekä valitsemalla "Irrota", "Remove safely", "Unmount" ym. Komentorivillä tähän voidaan käyttää komentoa <tt>umount</tt> (ks alla).

Tiedostojärjestelmän liittämiseen ja irrottamiseen tarvitaan [[pääkäyttäjä]]n oikeudet, ellei tiettyä liittämistä (esimerkiksi USB-muistitikun liittämistä polkuun <tt>/media/usb-muisti</tt>) ole erikseen sallittu <tt>[[fstab|/etc/fstab]]</tt>-tiedostossa.

== Käyttö ==
Yleinen muoto mount-komennolle on seuraava:
mount [valitsimet] [-o liitosasetukset] mistä minne
Liitosasetukset ovat samat kuin [[fstab|/etc/fstab]]-tiedostossa käytettävät asetukset.

Esimerkiksi ensimmäisen kiintolevyn ensimmäinen osio (vastaa Microsoft Windows -järjestelmässä C-asemaa) liitettäisiin hakemistoon <tt>/home</tt> komennolla:
mount /dev/hda1 /home

Tässä <tt>/dev/hda1</tt> on liitettävän osion [[laitetiedosto]]. Riippuen käytettävästä ajurista (esimerkiksi [[libata]]) sekä kiintolevyn liitäntätavasta saattaa yllämainittuna laitetiedostona olla myös <tt>/dev/sda1</tt>.

Useissa järjestelmissä liitettävän osion määrittelemiseen voi käyttää myös sen nimeä (label), [[wikipedia:UUID|UUID]]-tunnusta, väyläosoitetta tai valmistajan laiteelle antamaa nimeä. Näitä vastaavat [[udev]]in ylläpitämät laitetiedostot löytyvät tällöin <tt>/dev/disk</tt>-hakemiston alta.

Jos mount ei tunnista automaattisesti levyosion tiedostojärjestelmää, voidaan se kertoa valitsimella <tt>-t</tt>:
mount -t [[ext3]] /dev/hda1 /home

Mount-komennolla voi liittää myös levykuvia (.iso). Tiedoston <tt>levy.iso</tt> sisältö liitettäisiin hakemistoon <tt>/home/kayttaja/levy</tt> seuraavasti:
mount -o [[loop]] levy.iso /home/kayttaja/levy

Levykuvien liittäminen vaatii [[ydin|ytimeen]] "''Loopback device support''" -tuen joko sisäänkäännettynä tai [[moduuli]]na (mikäli käytetään moduulia, on moduulin oltava ladattuna komennolla <tt>[[modprobe]] loop</tt>). Lisätietoja artikkelissa [[ISO 9660]].

Yhdellä laitteella voi olla useampia liitoskohtia. Seuraava liittäisi laitteen <tt>/dev/sdf4</tt> alkuperäiset liitoskohdan <tt>/mnt/sdf4</tt> ohella myös liitoskohtaan <tt>/mnt/kuvat</tt>:
mount --bind /mnt/sdf4 /mnt/kuvat

Liitoskohta on mahdollista siirtää ilman sen irrottamista. Tämä tapahtuu käyttäen valitsinta <tt>--move</tt>:
mount --move /vanha/sijainti /uusi/sijainti

''remount''-optiolla voidaan vaihtaa jo liitetyn tiedostojärjestelmän asetuksia: esimerkiksi komento
mount -o remount,ro /home
asettaisi /home-osion vain luku -tilaan, jolloin se voidaan esimerkiksi tarkistaa [[fsck]]-ohjelmalla.

Jos tiedostojärjestelmän liitos on mainittu [[fstab|/etc/fstab]]-tiedostossa, voidaan mount-komennolle antaa argumentiksi pelkän liitoskohdan tai liitettävän laitteen. Mount-komento lukee tällöin tarvittavan muun tiedon [[fstab|/etc/fstab]]-tiedostosta. Esimerkki:

mount /mnt/cdrom

Pelkkä komento
mount
listaa kaikki liitetyt tiedostojärjestelmät.

=== Valitsimia ===
Mount-komennolle voidaan antaa seuraavia [[valitsin|valitsimia]] (luettelo ei ole täydellinen):
*-a: Liittää kaikki tiedostojärjestelmät jotka on määritelty tiedostossa [[fstab|/etc/fstab]] ilman määritettä ''noauto''.
*-n: /etc/mtab-tiedostoa ei päivitetä. Käytettävä kun <tt>/etc</tt> on kirjoitussuojattu, muutoin tarpeeton.
*-o <tt>asetukset</tt>: Liittää tietyin liitosasetuksin, kts. [[fstab]].
*-r: Liitos vain luku -tilassa. Sama kuin -o ro.
*-w: Liitos luku/kirjoitus-tilassa. Oletusasetus, sama kuin -o rw.
*-t <tt>tiedostojärjestelmä</tt>: Kertoo tiedostojärjestelmän tyypin. Esim. [[ext2]], [[reiserfs]], [[ISO 9660]] tai auto. Tiedostojärjestelmän tyypin eteen voidaan myös lisätä sana no, jolloin se kääntää valinnan päinvastaiseksi. Esimerkiksi komento <tt>mount -a -t nomsdos,ext</tt> liittäisi kaikki [[fstab|fstabissa]] määritetyt tiedostojärjestelmät paitsi ne, joiden tyyppi on ext tai msdos.
*-L Osion liittäminen sen nimen (label) perusteella. Tarpeellinen, mikäli labeleille ei ole omia laitetiedostoja esimerkiksi hakemiston <tt>/dev/disk/by-label</tt> alla.
*-U Osion liittäminen sen UUID-tunnuksen perusteella. Tarpeellinen, jos niille ei ole omia laitetiedostoja esimerkiksi hakemistossa <tt>/dev/disk/by-uuid</tt>.

== Irrotus umount-komennolla ==
Liitetty tiedostojärjestelmä irrotetaan komennolla <tt>umount</tt>:
umount laitetiedosto
tai
umount liitoshakemisto
Esimerkiksi
umount /dev/hda1
tai
umount /mnt/varasto

Jos irrottaminen ei onnistu vaan ohjelma antaa virheilmoituksen <tt>umount: /hakemisto: device is busy</tt>, käyttää jokin prosessi jotain irrotettavassa tiedostojärjestelmässä olevaa tiedostoa tai hakemistoa. Jotta irrottaminen onnistuisi, on nämä sovellukset lopetettava tai saatava ne vapauttamaan hakemisto. Komennolla [[fuser]] voi selvittää, mikä prosessi käyttää tiettyä tiedostojärjestelmää.

== Katso myös ==
*[[Fstab]]
*[[Ntfs-3g]]
*[[UnionFS]]

[[Luokka:Tiedostojärjestelmät]]
[[Luokka:Osiot]]
[[Luokka:Komentorivin perustyökalut]]

Kansion yhteiskäyttö ryhmässä

2011-09-16T11:52:20Z

Jem: Linkki korjattu.

Joskus on tarvetta sille, että tietokoneella on [[hakemisto]], johon usealla [[käyttäjä]]llä on sekä luku- että kirjoitus[[tiedoston oikeudet|oikeudet]] '''pysyvästi''' siten, että myös kaikissa uusissa ja muokatuissa tiedostoissa säilyy [[ryhmä]]n sisäinen luku- ja kirjoitusoikeus.

Tällainen tilanne on esimerkiksi:
* [[palvelin|palvelimella]], jossa useampi henkilö tekee yhdessä jotakin projektia tietyssä hakemistossa ja halutaan, että ryhmän sisäinen luku- ja kirjoitusoikeus säilyy myös uusissa ja muokatuissa tiedostoissa.
* kotona, jos vaikkapa jokaisella perheenjäsenellä on oma käyttäjätunnus, mutta halutaan silti pitää tietyssä hakemistossa yhteinen multimedia-arkisto, joihin kaikilla on luku- ja kirjoitusoikeus.

==Perinteinen järjestely==
Perinteinen asetelma on, että tietokoneen varsinaiset käyttäjät kuuluvat yhteen [[ryhmä]]än ("users") tai että usein yhteistyötä tekevät kuuluvat samaan hallinnollisen jaon mukaiseen ryhmään ("asiakaspalvelu"). Tässä asetelmassa yleensä käytetään [[umask]]-arvoa 027, jolloin ryhmällä on lukuoikeudet, muttei kirjoitusoikeuksia, uusiin tiedostoihin.

Jotta väljä umask ei haittaisi, henkilökohtaiset tiedostot laitetaan hakemistoihin, joiden käyttöoikeudet on käsin rajattu tai oikeudet rajoitetaan tiedostokohtaisesti. Kotihakemiston lukuoikeus voi myös olla hyvä poistaa:
chmod go= ~/salainen/
chmod go= ~/.netrc
[[chmod]] go=x ~/.

===Uusi ryhmä ja sgid===
Jos yhteistyötä tekevät eivät ennestään kuulu samaan ryhmään, perustetaan uusi ryhmä, johon yhteistyötä tekevät liitetään. Koska tämä ryhmä ei ole käyttäjien ensisijainen ryhmä, uudet tiedostot pitää joko erikseen siirtää kyseisen ryhmän omistukseen tai yhteiseen hakemistoon on asetettava [[sgid]]-bitti ("Set Group IDentity"), jolloin uudet tiedostot perivät hakemiston ryhmän ja alihakemistot myös sgid-bitin.

mkdir /export/leffat
[[chgrp]] perhe /export/leffat
chmod ug=rwx,o= /export/leffat
chmod g+s /export/leffat

Nyt tähän hakemistoon ei ole pääsyä kuin ryhmällä perhe, mutta perheen jäsenet voivat luoda, muokata ja poistaa tiedostoja hakemistosta. Uusi tiedosto tai alihakemisto saa omistajakseen sen luojan ja ryhmäkseen ryhmän perhe.

''Huom! Tiedostojen g+s on eri asia kuin hakemistojen g+s. Jos tiedostolle asettaa g+s:n, se tarkoittaa sitä, että kun tiedosto suoritetaan, se suoritetaan tiedoston ryhmän oikeuksin (jos kyseessä siis on tietokoneohjelma). ''g+s'' pitääkin asettaa nimenomaan hakemistoille.''

===Toimivuus===
Ryhmällä ei ole oikeuksia muuta kuin mitä tiedoston luoja sille antaa (käyttäjän [[umask]] määrää oletusoikeudet). Jos käyttäjällä on umask 027 tai vastaava, joka antaa ryhmälle lukuoikeudet, kuka tahansa ryhmästä voi kopioida tiedoston ja tallettaa sen uudestaan haluamillaan oikeuksilla, mahdollisesti muokkauksen jälkeen. Kirjoitusoikeuksien puuttuminen ei siis käytännössä estä muita muokkaamasta tiedostoa.

Ongelmia tulee silloin, kun jollakin käyttäjällä on tiukempi umask, joka ei automaattisesti anna muille lukuoikeuksia. Vastaava tilanne syntyy, kun tiedosto siirretään muualta, jolloin ryhmä ja oikeudet pysyvät entisellään. Tällöin käyttäjän on aina muistettava asettaa oikeudet sallivammiksi tai root (mahdollisesti ajastetun työn muodossa) joutuu korjaamaan oikeuksia.

Liian väljä umask ei haittaa tässä yhteydessä, koska mahdollisesti salassapidettävät tiedostot pysyvät salassa hakemiston oikeuksien turvin, kuhan ryhmään kuulumattomilla ei ole oikeuksia hakemistoon. Salassapidettäviä ja julkisia tiedostoja ei kannata pitää samassa hakemistossa.

===Rajoitettu kirjoitusoikeus===
Jos yhteisessä hakemistossa pidetään tiedostoja, joita ei haluta muiden tuhoavan, hakemistolle voi asettaa t-bitin. Tällöin kirjoitusoikeus hakemistoon ei riitä poistamaan muiden tiedostoja.

chmod +t /export/leffat

== Oikeuksien ja omistajuuden korjaaminen ==
Koska käyttäjä voi asettaa tiedostoille vääriä oikeuksia ja omistajuuksia, oikeuksia voi joutua korjaamaan. Tällainen automaattinen "korjaus" edellyttää, että käyttäjät eivät odota voivansa hallita tiedostojen oikeuksia kyseisessä hakemistossa.

=== Setgidin käyttöönottaminen näppärästi ===

1. Anna hakemisto ryhmän omistukseen:
sudo [[chgrp]] -R tiimi /export/tiimihakemisto
2. Aseta hakemistoille oikeudet JA setgid-bitti
sudo [[find]] /export/tiimihakemisto -type d -exec chmod g+rwxs {} \;
3. Aseta tiedostoille muokkausoikeudet
sudo find /export/tiimihakemisto -type f -exec chmod g+rw {} \;

Tässä muodossa komennot sisältävät ison tietoturva-aukon:
$ ls -l ~joku/salainen.txt
-rw------- 1 joku jotkut 43245 9.3.2011 salainen.txt
$ [[ln]] ~joku/salainen.txt /export/tiimihakemisto

Ja komentosarjan jälkeen tiimin jäsenillä olisi täydet oikeudet salaiseen tiedostoon (katso [[kova linkki]]). Parempi versio:

#!/bin/sh
find /export/tiimihakemisto $ -type d -o -type f -links 1 $ \! -group tiimi -execdir /bin/chgrp tiimi '{}' \;
find /export/tiimihakemisto -type d \! -perm -2070 -execdir /bin/chmod g+rwxs '{}' \;
find /export/tiimihakemisto -type f -links 1 \! -perm -060 -execdir /bin/chmod g+rw '{}' \;

Tiedostojen osalta varmistetaan testillä "<tt>-links 1</tt>", että tiedosto esiintyy vain tässä hakemistossa (jolloin ylläkuvattu hyökkäys estetään; hakemistot toimivat eri tavalla). Omistaja ja oikeudet muutetaan vain jos on muutostarvetta (jolloin [[aikaleima|ctime]] ei muutu turhaan). "<tt>-execdir</tt>" suoritetaan kyseisessä hakemistossa, millä vaikeutetaan joitakin hyökkäyksiä ([[race condition]]), mutta tämän takia komennoille on annettava koko polku, siltä varalta että suorittajalla on "[[työhakemisto|.]]" oletuspolussaan.

=== Ajastettu oikeuksien korjaus (cron) ===
Hakemistorakenne kannattaa joissakin tapauksissa käydä läpi säännöllisesti virheellisyyksien korjaamiseksi. Tämä hoituu koneen käytöstä riippuen ohjelmilla [[Komentojen ajastaminen#Säännölliset työt: cron ja anacron|cron ja anacron]].

Cronin ajettavaksi voi laittaa ylläkuvatun skriptin kerran tunnissa tai vuorokaudessa. Huono puoli on se, että ratkaisu kuluttaa turhaan resursseja silloin kun mikään ei ole muuttunut eivätkä muutokset tapahdu reaaliaikaisesti.

=== Taustaprosessi ===
Ongelmista pääsisi [[taustaprosessi]]lla, jolle ydin kertoo muutoksista, jolloin virheet voitaisiin korjata sitä mukaa kuin ne syntyvät, eikä hakemistoja tarvitsisi käydä läpi turhaan. Tähän ei vielä ole vakiintunutta ratkaisua, vaan tarvitseva joutuu itse koodaamaan tai etsimään sopivaa ohjelmaa.

=== ACL eli pääsynvalvontalistat ===
Linuxissa voi ottaa käyttöön [[Tiedostojärjestelmän pääsylistat (ACL)|ACL]]-toiminnon, jonka avulla tiedosto-oikeuksien hallintaa voi tehdä huomattavasti yksityiskohtaisemmin. ACL-toiminto vaatii kuitenkin jonkin verran opettelua ja konfigurointia.

== Käyttö Windows-järjestelmien kautta ==

===Samba===
[[Samba]]an voi melko tarkkaan määrätä uusien tiedostojen ja hakemistojen oikeudet ja omistajuudet. Käyttämällä jaettua hakemistoa samban kautta ei tällöin pääse muuttamaan oikeuksia vääriksi. Hakemistoa ei tarvitse jakaa verkkoon, vaan sitä voi käyttää [[localhost]]in kautta.

=== Osio Windowsin tiedostojärjestelmällä ===
Esimerkiksi sellaisessa tilanteessa, jossa perheen kaikki multimediatiedostot ovat yhdellä osiolla ja sitä halutaan käyttää myös Windowsista, näppärä ratkaisu on laittaa osion tiedostojärjestelmäksi NTFS ja sitten liittää se Linuxin sopivalla umask- ja ryhmätiedoilla, jolloin kaikki osion tiedostot ovat varmasti samoilla omistus- ja käyttöoikeuksilla.

Esimerkkirivi [[fstab|/etc/fstab]]-tiedostosta:
/dev/hda1 /mnt/windows ntfs defaults,umask=002,gid=1005 0 0

== Katso myös ==
*[[Tiedoston oikeudet]]
*[[Käyttäjä]]
*[[Ryhmä]]
*[[Tietoturva]]

[[Luokka:Järjestelmä]]
[[Luokka:Ohjeet]]
[[Luokka:Tiedostojärjestelmät]]
[[Luokka:Käyttäjät ja ryhmät]]

Tiedostojärjestelmän pääsylistat (ACL)

2011-09-16T11:48:30Z

Jem: Ulkoiset linkit ja luokat.

Linux tukee joillakin tiedostojärjestelmillä niin sanottuja pääsylistoja, englanniksi access control list (ACL). Pääsylistoilla voidaan Linuxin [[Tiedoston oikeudet|perinteisiä tiedoston oikeuksia]] joustavammin hallita kenellä on pääsy eri tavalla käsitellä tiedostoja ja hakemistoja. Tavallisella Linuxin pääsyoikeusmekanismilla ei esimerkiksi ole mahdollista antaa kahdelle tai useammalle ryhmälle räätälöityjä oikeuksia tiedostoon.

==Taustaa==

Unixissa ja sitä myötä Linuxissa ei perinteisesti ole ollut tukea pääsylistoille, vaikka joissakin muissa käyttöjärjestelmissä ne ovat olleet käytössä jo 1960-luvulla. Unixin ACL:n standardointia varten perustettiin POSIX-työryhmä, joka ei kuitenkaan saanut työtänsä päätökseen. Työryhmän työn tuloksena jäi kuitenkin "POSIX 1003.1e Draft 17", joka oli viimeinen työversio jonka ryhmä sai aikaiseksi ennen rahoituksen loppumista. Tämän työversion pohjalta toteutettiin ACL:t Linuxin kernel-versioon 2.5.46 vuonna 2002.

"POSIX draft"-ACL:ien lisäksi on NFSv4-verkkotiedostojärjestelmää varten olemassa oma ACL-spesifikaatio ja toteutus. Tällä sivulla keskitytään kuitenkin "POSIX draft ACL"-pääsylistoihin.

==Järjestelmävaatimukset==

Pääsylistojen käyttöönotto edellyttää, että
* Linuxin ydin on käännetty optiolla CONFIG_FS_POSIX_ACL=y
* tiedostojärjestelmä, jolla pääsylistoja halutaan käyttää on myös konfiguroitu tukemaan niitä
** esim. CONFIG_EXT4_FS_POSIX_ACL=y (Ext4-tiedostojärjestelmällä)
* tiedostojärjestelmä on [[Mount|mountattu]] acl-optiolla

Ytimen käännösoptiot on mahdollisesti saatavilla tiedostosta /proc/config.gz (riippuen siitä, onko ydin käännetty optiolla CONFIG_IKCONFIG_PROC).

zcat /proc/config | grep FS_POSIX_ACL

Mount-optiot saa selville komennolla <tt>mount</tt>. Jos suluissa olevassa optioiden listassa ei ole sanaa '<tt>acl</tt>', tiedostojärjestelmä on mountattava uudelleen tällä optiolla. Pysyvästi muutoksen saa aikaan lisäämällä <tt>acl</tt>-optio <tt>/etc/fstab</tt>-tiedoston <tt><opts></tt>-sarakkeen kohdalle, halutun tiedostojärjestelmän riville. Esimerkki:
#/etc/fstab: static file system information.
#<fs> <mountpoint> <type> <opts> <dump/pass>
/dev/sda3 / ext4 noatime,acl 0 1

==Pääsylistojen toiminta==

Tiedostojärjestelmä jakaa käyttäjät kolmeen eri luokkaan: ''tiedoston omistaja'', ''ryhmä'' ja ''muut''. Jokaiseen näistä luokista liittyy kolme eri pääsyoikeutta: lukuoikeus (<tt>r</tt>), kirjoitusoikeus (<tt>w</tt>) ja suoritusoikeus (<tt>x</tt>). Perinteisessä Unixin tiedostomallissa tiedostoon (tai hakemistoon) liittyy yksi omistaja ja yksi ryhmä, jota sanotaan ryhmäomistajaksi. 'Muut käyttäjät'-joukon muodostavat kaikki ne käyttäjät, jotka eivät kuulu ryhmään eikä ole tiedoston omistaja.

Pääsylistat laajentavat tätä mallia siten, että tiedostoon voidaan liittää useampia käyttäjiä ja ryhmiä, joilla jokaisella voi olla omat pääsyehdot tiedostoon. Esimerkiksi ryhmälle 'toimitus' voidaan määritellä '<tt>rw-</tt>'-oikeudet ja ryhmälle 'julkaisu' vaikkapa oikeudet '<tt>r--</tt>'. Tiedostolla on edelleen yksi omistaja ja ensisijainen ryhmä, jotka näkyvät '<tt>ls -l</tt>' -komennolla.

Tiedoston omistajaksi ei voi liittää useampaa omistajaa, ainoastaan yksi käyttäjä kuuluu luokkaan ''tiedoston omistaja''. Tiedoston omistajaa voi toki vaihtaa chown-komennolla. Kuten aiemmin mainittiin, tiedostoon voi liittää yksittäisiä käyttäjiä, mutta näistä käyttäjistä ei siis tule tiedoston omistajia, vaan ne muodostavat yhden käyttäjän mini-ryhmiä. Toisin sanoen, tiedostoon liitetty käyttäjä kuuluu myös luokkaan ''ryhmä''.

===Algoritmi===

Kun Linuxin ydin päättelee, onko käyttäjällä pääsyoikeus tiedostoon, se käyttää alla esitettyä algoritmia. Ohjelman ajo tapahtuu ''prosessissa'', johon liittyy erilaisia attribuutteja, joista olennaisia tämän tarkastelun kannalta ovat käyttäjä-id (uid) sekä ryhmä-id:t (gid). Ryhmä-id:t koostuvat käyttäjän ensisijaisesta ryhmä-id:stä (perinteisesti <tt>/etc/passwd</tt>-tiedostosta) sekä listasta lisäryhmiä (<tt>/etc/group</tt>-tiedostosta). <tt>id</tt>-komennolla voi tulostaa käyttäjä-id:n sekä ryhmä-id:t.

# Jos uid = tiedoston omistajan id, pääsy päätellään ''tiedoston omistaja'' -luokan suojausbiteistä.
# Jos uid löytyy tiedostoon liitetyn pääsylistan yksittäisten käyttäjien joukosta, pääsy päätellään tämän listan alkion mukaan (*).
# Jos jokin prosessin gid = tiedoston ryhmäomistajan id, pääsy päätellään tämän listan alkion mukaan (*).
# Tarkastellaan niitä pääsylistan nimettyjen ryhmien alkioita, joissa on mikä tahansa prosessin gideistä. Jos jokin näistä alkioista sisältää halutun pääsyoikuden, pääsy sallitaan (*), muussa tapauksessa pääsy evätään. Jos mikään listan alkioista ei täsmää prosessin gidien kanssa, siirrytään kohtaan 5.
# Pääsy päätellään ''muut''-luokan suojausbiteistä.

(*) Tähdellä merkityissä kohdissa suoritetaan lisätarkistus pääsylistan mask-alkiota vastaan. Jos mask-kenttä ei sisällä haluttua oikeutta, pääsy evätään.

Nämä säännöt saattavat vaikuttaa monimutkaisilta, varsinkin kohta 4. Ne ovat kuitenkin yhteensopivia Unixin perinteisen tiedostojen suojausmallin kanssa, jonka mukaan suojaus päätellään käyttäjään tarkimmin täsmäävän säännön mukaan. Tiedoston omistajaan sovelletaan vain ja ainoastaan ''tiedoston omistaja'' -luokan suojausbittejä. Jos käyttäjä ei ole tiedoston omistaja, mutta kuuluu tiedoston omistajaryhmään, sovelletaan vain ''ryhmä''-luokan suojausbittejä, ja vain muissa tapauksissa sovelletaan ''muut''-luokan suojausbittejä. Tämä tarkoittaa käytännössä sitä, että tiedoston omistaja voi halutessaan sulkea itseltään pääsyn tiedostoon, mutta sallia sen muille (esimerkiksi suojauksella <tt>----rwxrwx</tt>). Samalla tavalla tiedostoon pääsy voidaan estää tiedoston omistajaryhmään kuuluville, mutta sallia muille (esimerkiksi suojauksella <tt>-rwx---rwx</tt>).

Pääsylistan lisääminen tuo tiedostoon lisää ''ryhmä''-luokkaan kuuluvia käyttäjiä ja ryhmiä. (Muista, että listaan lisätty yksittäinen käyttäjä kuuluu ''ryhmä''-luokkaan; tiedostolla on vain yksi omistaja.) "Tarkimmin täsmäävän" -säännön takia algoritmin kohdassa 4 pääsy evätään heti, jos käyttäjä löytyy ''ryhmä''-luokasta, mutta hänellä ei ole tämän luokan suojausten mukaan pääsyä tiedostoon. Vain siinä tapauksessa, että käyttäjä ei löydy ''ryhmä''-luokasta, sovelletaan ''muut''-luokan suojausta.

Pääsylistan mask-alkio ansaitsee maininnan tässä yhteydessä. Linux noudattaa POSIX.1-standardia, joka sanoo, että tiedoston ryhmäsuojausbitit (siis ne jotka ovat näkyvillä <tt>ls -l</tt> komennon tulosteessa) määräävät mikä suojaus tiedostolla on kun siihen sovelletaan ''ryhmä''-luokan suojausmoodia. Pääsylistoilla on kuitenkin mahdollista antaa muille ryhmille kuin tiedoston omistajaryhmälle vapaampi suojaus kuin mitä ryhmäsuojauksella on. Esimerkiksi, jos tiedoston moodi on:

-rw-r--r--+ 1 jem users 0 Sep 14 19:28 juttu.txt

sillä voi kuitenkin olla pääsylista, jonka mukaan <tt>staff</tt>-ryhmällä on kirjoitusoikeus tiedostoon. Tämä ei ole yhteensopivaa POSIX.1-standardin mukaan. POSIX.1 ei salli, että tiedostoihin on maagisesti oikeuksia joillekin käyttäjille, mekanismilla jota se ei tunne. Tämän ongelman ratkaisemiseksi pääsylistoihin kuuluu myös <tt>mask</tt>-alkio joka viime kädessä ratkaisee, onko tiedostoon pääsyä vai ei.

Mask-alkioon vaikuttaa esimerkiksi <tt>chmod</tt>-ohjelma. Jos tiedostolta poistetaan <tt>chmod</tt>-komennolla lukuoikeusoikeus ''ryhmä''-luokalta,
chmod g-r juttu.txt
POSIX.1 sanoo, ettei ryhmän jäsenellä saa olla lukuoikeutta tuohon tiedostoon. Chmod-komento (tai oikeammin ytimen chmod-systeemikutsu, jota chown-ohjelma kutsuu) ratkaisee tämän poistamalla r-oikeuden mask-alkion arvosta. Jos chmod-käskyllä palautetaan lukuoikeus ''ryhmä''-luokalle, mask-alkioon palautetaan taas r-oikeus. <tt>Chmod</tt>-käsky ei vaikuta muiden pääsylistan alkioiden arvoihin, joten tiedosto on nyt samassa tilassa kuin ennen ensimmäistä <tt>chmod</tt>-käskyä.

==Oletuspääsylistat==

Pääsylistoja voidaan käyttää esimerkiksi siten, että tietyssä hakemistossa olevilla tiedostoilla on kahdella eri ryhmällä pääsyoikeus, mutta ulkopuolisilla ei. Esimerkiksi ryhmällä <tt>kehitys</tt> voi olla luku- ja kirjoitusoikeus kaikkiin tiedostoihin, ja ryhmällä <tt>testaus</tt> lukuoikeus. Tämä järjestely on helppo saada aikaan muuttamalla tiedostojen pääsylistoja. Mutta entä kun hakemistoon luodaan uusi tiedosto? Olisi kovin työlästä ja virhealtista muistaa aina käsin muokata tiedoston pääsylistaa kun hakemistoon luodaan uusi tiedosto.

Tätä tarkoitusta varten hakemistoihin voi liittää oletuspääsylistan. Oletuspääsylista ei vaikuta hakemiston pääsyoikeuksiin (sitä varten on olemassa hakemiston oma, varsinainen pääsylista), vaan toimii mallina pääsylistalle, jonka tiedosto saa kun se luodaan hakemistossa.

==Pääsylistojen muokkaus==

<tt>ls -l</tt> -komento antaa vinkin tiedostoon liitetyistä pääsylistoista tulostamalla <tt>+</tt>-merkin suojauskentän perään. Ls-ohjelmalla ei kuitenkaan kerro tämän enempää pääsylistoista.

Pääsylistojen käsittelyä varten on olemassa ohjelmat <tt>getfacl</tt> ja <tt>setfacl</tt>. Ellei näitä ohjelmia ole asennettu jo valmiiksi, ne pitää ladata ja asentaa erikseen. Miten tämä tapahtuu on jakeluriippuvaista – ne löytyvät tyypillisesti paketista nimeltään 'acl', tms.

Ohjelmalla <tt>getfacl</tt> ("Get File ACL") voi tutkia tiedostoon liittyvää pääsylistaa, ohjelmalla <tt>setfacl</tt> ("Set File ACL") voi pääsylistaa muokata tai kokonaan poistaa.

Esimerkki getfacl-komennon tulosteesta:

> getfacl juttu.txt
# file: juttu.txt
# owner: hemmo
# group: users
user::rw-
group::r--
group:devel:rw- #effective:r--
mask::r-x
other::r--

Saman tiedoston listaus <tt>ls -l</tt> -komennolla:

> ls -l juttu.txt
-rw-r-xr--+ 1 hemmo users 0 Sep 16 08:49 juttu.txt

Getfacl-komennon tulosteesta nähdään, että
* tiedoston omistaa käyttäjä hemmo ja sen ryhmäomistaja on users
* hemmolla on luku- ja kirjoitusoikeus tiedostoon
* users-ryhmän jäsenillä on lukuoikeus tiedostoon
* devel-ryhmän jäsenille on erikseen annettu luku- ja kirjoitusoikeus tiedostoon, mutta...
** koska mask:n arvo on r-x, devel-ryhmällä ei kuitenkaan ole kirjoitusoikeutta
* jos tiedostoa käsittelee joku muu kuin hemmo tai edellä mainittujen ryhmien jäsen, sovelletaan other-kohdan lukuoikeutta

Pääsylistojen muuttamiseen käytetään <tt>setfacl</tt>-ohjelmaa. Pääsylistaa muutetaan komennon <tt>-m</tt>-optiolla. Esimerkki:
> setfacl -m u:lyyli:rw-,g:test:rw- juttu.txt
> getfacl juttu.txt
# file: juttu.txt
# owner: hemmo
# group: users
user::rw-
user:lyyli:rw- #effective:r--
group::r--
group:devel:rw- #effective:r--
group:test:rw- #effective:r--
mask::r-x
other::r--

Uudet pääsylistan alkiot kerrotaan <tt>-m</tt> option perään pilkuilla erotettuina (ei välilyöntiä pilkun jälkeen). Esimerkissä myönnettiin käyttäjälle lyyli sekä ryhmälle test luku- ja kirjoitusoikeus tiedostoon. Koska mask on edelleen r-w, tosiasiassa heillä ei edelleenkään ole kirjoitusoikeutta tiedostoon. Tämä voidaan korjata <tt>chmod</tt>-komennolla:
> chmod g+w juttu.txt
> getfacl juttu.txt
# file: juttu.txt
# owner: hemmo
# group: users
user::rw-
user:lyyli:rw-
group::r--
group:devel:rw-
group:test:rw-
mask::rwx
other::r--

Pääsylistan alkioita voi poistaa <tt>setfacl</tt>-ohjelman <tt>-x</tt>-optiolla, pääsylistan voi korvata kokonaan toisella <tt>--set</tt> -optiolla, ja poistaa kokonaan <tt>-b</tt>-optiolla. Tiedoston pääsylistan voi kopioida tiedostosta toiseen näin:
getfacl tiedosto1 | setfacl --set-file=- tiedosto2

Lisätietoja <tt>getfacl</tt>- ja <tt>setfacl</tt>-komentojen man-sivuilla.

==Ongelmia==

* Monet varmuuskopiointiin käytetyt ohjelmat, kuten <tt>tar</tt>, eivät ymmärrä pääsylistoja. Tämä johtaa siihen, että tiedostot menettävät pääsylistansa, jos ne joudutaan palauttamaan <tt>tar</tt>-arkistosta.

* Jotkut editorit toimivat siten, että tallennuksen eivät kirjoita tiedostoa uudestaan, vaan kirjoittavat muokatun tekstin uuteen tiedostoon, jonka nimeävät vanhan tiedoston mukaan. Käyttäjä ei huomaa tiedoston vaihtumista, sillä nimi on sama. Koska tiedosto kuitenkin on järjestelmän kannalta uusi, jos editori ei ota asiaa huomioon, tiedostossa saattaa olla väärä pääsylista. Uusi tiedosto saattaa saada pääsylistansa hakemiston oletuspääsylista, tai ei mitään pääsylistaa. Mm. Emacs-editori toimii oletusarvoisesti näin.

* Tiedosto perii oletuspääsylistan vain hakemistosta, jossa se luodaan. Tiedosto säilyttää pääsylistansa, jos se siirretään (<tt>mv</tt>-käskyllä) tai kopioidaan (<tt>cp</tt>-käskyllä) toiseen hakemistoon, vaikka kohdehakemistolla on oletuspääsylista. Jos tiedosto luodaan hakemistossa, jossa ei ole oletuspääsylistaa, tai tiedostojärjestelmä ei edes tue pääsylistoja, tiedostoon ei tule mitään pääsylistaa.

==Aiheesta muualla==
* [http://www.suse.de/~agruen/acl/linux-acls/online/ POSIX Access Control Lists on Linux]
* [http://www.vanemery.com/Linux/ACL/linux-acl.html Using ACLs with Fedora Core 2 (Linux Kernel 2.6.5)]

[[Luokka:Järjestelmä]]
[[Luokka:Ohjeet]]
[[Luokka:Tiedostojärjestelmät]]
[[Luokka:Käyttäjät ja ryhmät]]

Keskustelu:Pankkipalvelut

2011-09-16T10:41:39Z

Jem: Ak: Uusi sivu: Pankkipalvelut-sivulla mainitaan, että Nordnet ei tue Linuxia ja toimii vain Internet Explorerilla. Sivulla https://www.nordnet.fi/mux/login/startFI.html?cmpi=start-loggain kuitenkin...

Pankkipalvelut-sivulla mainitaan, että Nordnet ei tue Linuxia ja toimii vain Internet Explorerilla. Sivulla https://www.nordnet.fi/mux/login/startFI.html?cmpi=start-loggain kuitenkin mainitaan, että tuetut selaimet ovat IE 7 tai uudempi, Firefox 1.5 tai uudempi, Safari 2.0 tai uudempi. Käyttöjärjestelmästä ei tosin sanota mitään.

Tiedostojärjestelmän pääsylistat (ACL)

2011-09-16T08:44:42Z

Jem: Valmis syötettäväksi leijonille.