Установка Debian с максимально не проприетарным ПО

Авторам инструкции скорее всего в голову не могло прийти, что человек, который настраивает репозитории, не в курсе об apt update и apt install

Я в таких случаях люблю цитировать Шекли: «чтоб задать верный вопрос, нужно знать большую часть ответа» (дословность не гарантирую, но смысл не переврал). А чтоб узнать большую часть ответа, нужен опыт. А чтоб получить этот опыт, нужно ставить Debian и разбираться, в т. ч. задавая вопросы на форумах. Но, получая ответы типа «linux тебе не подходит», «проваливай на свою винду, неосилятор», многие могут прислушаться и уйти, оставшись навсегда уверенными, что линукс — только для красноглазиков с объёмом мозга в 1.5 большим среднестатистического. А потом линуксоиды удивляются, откуда такая статистика, что только 1.5 — 2% используют линукс при всей его относительной дружелюбности, и не верят ей. А проблема, оказывается, не в недружелюбности линукса, а в недружелюбности самих линуксоидов.

Отпишись в любом случае (и успеха, и неудачи).

На англ форуме порекомендовали команду grep, почитал о ней и отложил на крайний если не нашел бы решение т.к. не знаю что она делает, в итоге я просто нашел файл rtl8723b_config.bin на github и забросил в нужную директорию. Или же так лучше не стоило делать? а лучше через grep CONFIG_rtl8723b /путь/ тыкнуть попробовать?

Потом выскочила ошибка которую я убрал установкой firmware-misc-nonfree.

Сейчас ошибок нет, но выскакивает dev/sda2: clean, 133774/1222992 files, 1222972/4882432 blocks это простая проверка или что-то не так? sda2 это корень /

И еще вопрос, у меня /home подтягивается (монтируется) с другого раздела, при выключении я заметил ошибку что я его не размонтирую, подскажи пожалуйста, какой файл отвечает за команды перед выключением? Чтобы добавить unmount.

На англ форуме порекомендовали команду grep [skip] не знаю что она делает

Это просто фильтр по подстрокам или регулярным выражениям.

Например, grep "eth0" < file.txt выведет все строки из файла file.txt, содержащие цепочку символов «eth0», пропустив остальные строки, а ls | grep "^f.*" выведет все файлы текущего каталога, начинающиеся со строчной буквы «f». Подробнее см. man grep и синтаксис регулярных выражений. И то, и другое часто используется в nix-системах, упрощая администрирование, поэтому нужно.

я просто нашел файл rtl8723b_config.bin на github и забросил в нужную директорию.

Всё верно. Именно об этом и говорилось на том форуме.

Сейчас ошибок нет, но выскакивает dev/sda2: clean, 133774/1222992 files, 1222972/4882432 blocks это простая проверка или что-то не так?

Да, это просто проверка.

sda2 это корень /

Зависит от твоей конфигурации. Посмотри по команде df -h

И еще вопрос, у меня /home подтягивается (монтируется) с другого раздела, при выключении я заметил ошибку что я его не размонтирую

При завершении работы ось сама всё размонтирует. Но если тебе кажется, что что-то не так, выложи лог. Скорее всего, всё нормально.

unmount

Такой команды нет. Есть umount без n после первой u.

Зависит от твоей конфигурации. Посмотри по команде df -h

Да, я уже посмотрел и на это указал

При завершении работы ось сама всё размонтирует. Но если тебе кажется, что что-то не так, выложи лог. Скорее всего, всё нормально.

После того как нажал на кнопку выключения, идет лог на экране, и там просто выскакивает в строчка красным «FAILED umount /home» что-то в этом духе.

Такой команды нет. Есть umount без n после первой u.

Да, я ошибся, вообще почти ничего не монтирую вручную, поэтому бывает делаю ошибки, тем не менее консоль меня поправляет если что

P.S. Сегодня случайно испытал Debian в рабочем режиме со средой разработки, копированием файлов и т.д. показала себя очень хорошо, удобный GNOME (как для меня с привязкой к клавишам) и он не тормозит так как тормозила ubuntu, к тому же фризы, которые были на сайтах при ubuntu и на убунтовском форуме мне никто не мог сказать что это, здесь этого просто нет, всё работает отлично. Спасибо большое за помощь )

P.S.S. хотя и возникли трудности с установкой wine, что-то с их репозиторием, подключен а всё равно не находит.

У меня открыты порты

PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
631/tcp open  ipp

 sudo iptables -P INPUT DROP
 Затем разрешаем все входящие соединения от локального интерфейса:
 sudo iptables -A INPUT -i lo -j ACCEPT
 Затем разрешаем доступ к портам 80 и 22:
 sudo iptables -A INPUT -i eth0 -p tcp --dport 22 --match state --state NEW -j ACCEPT
 sudo iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT

Тем не менее у меня просто пропал интернет, несмотря на открытый 80 порт, может я не до конца понял условия и как оно делается..

После того как нажал на кнопку выключения, идет лог на экране, и там просто выскакивает в строчка красным «FAILED umount /home» что-то в этом духе.

Скорее всего, у тебя просто открыт какой-то файл в /home или не закрыта какая-то терминальная сессия, в которой текущим является домашний каталог или какой-то из его подкаталогов. Перед размонтированием ядро, если я правильно помню, посылает сигнал всем программам, имеющим открытые файлы и/или каталоги на размонтируемых устройствах. Потом какое-то время ждёт и принудительно размонтирует устройство, сбрасывая на него дисковый кэш. По-моему, как-то так, хотя может и упустил какую деталь.

P.S.S. хотя и возникли трудности с установкой wine, что-то с их репозиторием, подключен а всё равно не находит.

Wine'ом я давно не пользовался. В данный момент он у меня даже не установлен. Да если б и был, я всё равно сейчас arch пробую, про debian только по памяти могу сказать.

Но мне кажется, что если бы с wine в debian были проблемы, об этом на всех форумах давно бы вопросы задавали. Попробуй разобраться или кастани Vsevolod-linuxoid. Он, насколько я понимаю, сидит на debian и хорошо её знает. Можешь ещё mandala кастануть, у него тоже по-моему debian. И у amd_amd. Да у многих debian, это я только тех, кого сейчас вспомнил, перечислил.

У меня открыты порты

Это у тебя демоны висят. Выключи ненужные из автозапуска в systemd командой systemctl disable имя_сервиса от рута.

sudo iptables -P INPUT DROP

у меня просто пропал интернет, несмотря на открытый 80 порт

Естественно. Ты ведь закрыл все входящие соединения, открыв только 80 и 22 порты на проводном интерфейсе. У тебя, кстати, разве не беспроводной? И зачем тебе открытый входящий порт 80, если у тебя не стоит веб-сервер? Кроме того, 80 порт обычно используется только для http, а для https — другие.

Тебе надо разрешить все входящие соединения ESTABLISHED и RELATED.

А ещё лучше сбросить всё в состояние по умолчанию и пока не трогать. iptables — не самая простая штука в администрировании. Сначала поднаберись опыта в более простых вещах, потом прочитай какое-нибудь руководство о настройке iptables от корки до корки и только потом экспериментируй.

Но мне кажется, что если бы с wine в debian были проблемы, об этом на всех форумах давно бы вопросы задавали.

Да то я разберусь, просто надо привыкнуть к Debian, тут немного всё сложнее, но в тоже время как я понял безопасней.

Это у тебя демоны висят. Выключи ненужные из автозапуска

Какие ненужны, подскажи? Вот список:

~$ systemctl list-unit-files | grep enabled
cups.path                                                              enabled  
accounts-daemon.service                                                enabled  
anacron.service                                                        enabled  
autovt@.service                                                        enabled  
avahi-daemon.service                                                   enabled  
bluetooth.service                                                      enabled  
console-setup.service                                                  enabled  
cron.service                                                           enabled  
cups-browsed.service                                                   enabled  
cups.service                                                           enabled  
dbus-org.bluez.service                                                 enabled  
dbus-org.freedesktop.Avahi.service                                     enabled  
dbus-org.freedesktop.ModemManager1.service                             enabled  
dbus-org.freedesktop.nm-dispatcher.service                             enabled  
getty@.service                                                         enabled  
irqbalance.service                                                     enabled  
keyboard-setup.service                                                 enabled  
minissdpd.service                                                      enabled  
ModemManager.service                                                   enabled  
network-manager.service                                                enabled  
networking.service                                                     enabled  
NetworkManager-dispatcher.service                                      enabled  
NetworkManager-wait-online.service                                     enabled  
NetworkManager.service                                                 enabled  
pppd-dns.service                                                       enabled  
rsync.service                                                          enabled  
rsyslog.service                                                        enabled  
rtkit-daemon.service                                                   enabled  
ssh.service                                                            enabled  
sshd.service                                                           enabled  
syslog.service                                                         enabled  
systemd-timesyncd.service                                              enabled  
unattended-upgrades.service                                            enabled  
avahi-daemon.socket                                                    enabled  
cups.socket                                                            enabled  
remote-fs.target                                                       enabled  
anacron.timer                                                          enabled  
apt-daily-upgrade.timer                                                enabled  
apt-daily.timer                                                        enabled 

iptables — не самая простая штука в администрировании.

Понял, надо лучше вникнуть в документацию и действительно тщательно разобраться, по быстрому не прокатило :D

Автор, не мучайся так. В любом случае, совсем без проприетарных пакетов не получится, т.к. не все железо заведется.

В следующий раз просто скачай «Unofficial non-free images including firmware packages». Это тот-же самый чистый Debian, но firmware из non-free репозитория уже внутри. Не придется мучаться если не заведется сетевая карта.

https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/

тут немного всё сложнее, но в тоже время как я понял безопасней.

Скорее стабильней и безглючней. А безопасность обеспечивается не только осью, но и пользователем. И абсолютно защищённой системы не бывает. Со стороны ОС любой (или почти любой) поддерживаемый и обновляемый дистр относительно безопасен, если им грамотно пользоваться. Если хочешь супер-безопасности — используй openbsd. Но там серьёзные проблемы с железом и всё намного сложнее, чем в linux. На этом форуме openbsd юзает buratino. Он, кстати, и debian тоже юзает.

Какие ненужны, подскажи? Вот список:

Ну, это тебе надо смотреть, какие конкретно тебе не нужны. Только совет: если на 100% не уверен, что не нужно, то не отключай.

На вскидку: cups нужен, если у тебя есть расшаренный принтер, хотя он и без принтера может печатать в файл; cups-browsed — для поиска удалённых принтеров, но в детали я не вникал; ModemManager нужен, если ты подключаешь модемы или мобильники в качестве модемов; remote-fs — для подключения удалённых файловых систем, физически расположенных на других компах.

Это из того, что тебе, возможно, не нужно, но может и нужно. Ну и может что-то ещё не нужно, откуда ж мне знать? :-) Только осторожней с отключением сервисов, это важная штука.

Но я имел в виду демоны smtp на 25 порте и ipp на 631 порте, которые ты, по-видимому, просканировал nmap'ом. В списке твоих сервисов я этих названий не вижу. Попробуй найти процессы, которые открывают эти порты, командой lsof -i -P | grep -E ':(25|631)'

iptables — не самая простая штука в администрировании.

Понял, надо лучше вникнуть в документацию и действительно тщательно разобраться, по быстрому не прокатило :D

Да. Но до этого желательно почитать что-нибудь о протоколах tcp/ip, чтоб понимать, как формируются пакеты, что такое входящие, исходящие и транзитные пакеты, чем серверный порт отличается от клиентского порта, ну и прочую терминологию.

На мой взгляд, самая необходимая проприетарщина в линуксе - это блоб нвидии. Почему-то пользователи других видеокарт или той же нвидии с неродными дровами постоянно рассказывают страшные истории: кто про «тиринг», кто про тормозящую прокрутку в браузере. И валят почему-то на иксы. Хотя на нвидии с блобом иксы просто работают. (Но да, проблемы такие же, как и с любой другой проприетарщиной - когда поддержку твоей карты выкинут из дров, ты ничего не сможешь сделать, увы. Я хотел бы, чтобы были свободные дрова не хуже, но пока всякий раз какие-то косяки вылезают.)

Без остальной проприетарщины вроде бы как правило, можно обойтись. Хотя, конечно, сильно зависит от конкретного случая.

На мой взгляд, самая необходимая проприетарщина в линуксе - это блоб нвидии.

Как я понял, у ТС'а intel'овская на чипе и внешняя — radeon. Не лучший вариант для Линукса, но что есть. Зато с блобом проблем не будет. :-)

когда поддержку твоей карты выкинут из дров, ты ничего не сможешь сделать, увы

Я тут примерно год назад настраивал человеку ноут 2006 года выпуска с нвидией. Даже вопросы здесь задавал, чтоб получше настроить и потом не перестраивать. И были проприетарные дрова, хотя куда уж древнее. :-) Хотя теоретически всё, конечно, может быть.

Без остальной проприетарщины вроде бы как правило, можно обойтись.

Ещё wi-fi. Я не видел свободных работающих wi-fi драйверов.

lsof -i -P | grep -E ':(25|631)'

Эта команда вообще ничего не показала. Службы загуглил и несколько ненужных убрал.

lsof -i -P | grep -E ':(25|631)'

Эта команда вообще ничего не показала.

Тогда я ничего не понимаю. Команда lsof отображает открытые сокеты (опция -i) с номерами, а не именами портов (опция -P), а grep отфильтровывает порты 25 и 631, если они открыты. Если эта команда ничего не показала, значит эти порты закрыты. Но почему тогда nmap (ты же ею сканировал свой localhost) утверждает, что они открыты? Попробуй ещё раз запустить nmap. Может, они были тогда открыты, а сейчас нет? Или ты сканировал не только свой комп?

Вот, nmap localhost

Starting Nmap 7.40 ( https://nmap.org ) at 2018-03-10 23:18 EET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000053s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

Я немного протупил, выполнял без sudo, вот с sudo:

sudo lsof -i -P | grep -E ':(25|631)'
[sudo] пароль до vitaliy: 
cupsd      535        root    9u  IPv6  17766      0t0  TCP localhost:631 (LISTEN)
cupsd      535        root   10u  IPv4  17767      0t0  TCP localhost:631 (LISTEN)
cups-brow  554        root    7u  IPv4  17271      0t0  UDP *:631 
exim4     1073 Debian-exim    3u  IPv4  20789      0t0  TCP localhost:25 (LISTEN)
exim4     1073 Debian-exim    4u  IPv6  20790      0t0  TCP localhost:25 (LISTEN)

Уже вижу что cups лишний, принтер у меня по USB а в сети через ноут он не нужен. А exim хз что это.

Всё верно, эти 2 почта и принтер. Спасибо

Уже вижу что cups лишний, принтер у меня по USB а в сети через ноут он не нужен.

Если принтер есть, то cups отключать не надо. Я сейчас посмотрел, он и для локальной печати нужен. А exim4 нужен, только если у тебя почтовый клиент, а не браузер для почты.

А exim4 нужен, только если у тебя почтовый клиент, а не браузер для почты.

Да, а посоветуешь какой-нибудь почтовый клиент, безопасный скажем так для введения туда google почты (я понимаю что и она сама по себе не безопасна, сейчас нет лишних финансов на подъем своего почтового сервера и разбираться в нем)) ) как к примеру Spark на ios, если знаешь. Ну или мож какую программу, которую сам используешь?

А exim4 нужен, только если у тебя почтовый клиент

На самом деле провайдеры его обычно блокируют, поэтому тоже не нужен, разве что для почты внутри локальной сети.

Да, а посоветуешь какой-нибудь почтовый клиент, безопасный скажем так для введения туда google почты

Не исследовал этот вопрос. Почтовых клиентов много. Я использую thunderbird (icedove) и веб-интерфейсы (последние в последнее время чаще). Но что является наиболее безопасным — не скажу. Обычно, чем проще, тем безопаснее. Т. е. консольные программы потенциально безопаснее графических. Но и менее удобны.

Как можно закрыть wine (временно) доступ в интернет? Пытаюсь установить крякнутый Photoshop CC, а он распознает что есть подключение к сети, хоть wifi я и выключил.

Как можно закрыть wine (временно) доступ в интернет?

Так у тебя уже была похожая тема с ответом: Tails выход программы в обход Tor . Там, правда, тебе трафик через тор/не через тор пускать надо было, а сейчас просто закрыть. Но суть от этого не меняется.

Можно ещё по логам проследить, на какой адрес и порт стучится фотошоп, и закрыть этот адрес с портом.

Правда, в обоих случаях тебе снова придётся ковырять iptables. :-) Но для неё графические утилиты есть, погугли. С ними немного проще, наверно, хотя всё равно надо понимать, что делаешь. А потом, конечно, лучше освоить без графических утилит.

aureliano15, привет) Честно сказать я потерял название книги, которую ты мне советовал (там большая книга была), не мог бы напомнить ?

«UNIX и LINUX Руководство системного администратора», написанную большим коллективом авторов (Эви Немет, Гарт Снайдер, Трент Хейн, Бэн Уэйли при участии ещё нескольких человек). У меня 4-е изд. 2014 года, издтельство Вильямс, Москва-Петербург-Киев, но, возможно, уже есть и более новое издание. Ориентировочная цена 2300 руб. (это цена моего экземпляра в 2014 году)

Огромное спасибо, еще раз!)