Advies m.b.t. Shuttle DL30N aptio BIOS

[Basic-NL]

Beste Ubuntu NL forum genoten,

Dit is mijn eerste post sinds tijden van afwezigheid op het forum. Meestal vind ik het antwoord omdat iemand anders al dezelfde vraag heeft gesteld, maar ik heb nu iets waar ik echt niet uit kom.

Vorig jaar heb ik een nieuw model Shuttle DL30N mini PC gekocht omdat mijn oude Shuttle geen BIOS updates meer kreeg en ik graag een up-to-date en veilig systeem heb. Deze is aangeschaft via een reseller en via een configuratie tool op hun website samengesteld en voor mij geassembleerd (geen OS).

Na installatie van Xubuntu 24.04 LTS heb ik een hardware veiligheidstest gedaan met het commando: fwupdmgr security. Tot mijn teleurstelling bleek toen dat hij de waardering ‘HSI:0’ kreeg, d.w.z. dat het systeem niet voldoet aan de meest minimale veiligheidsvereisten.

Kan iemand mij misschien in Jip en Janneke vertellen hoe ik dit beter kan maken, en kan opkrikken naar niveau HSI:1 (of eigenlijk liever 2,3 of zelfs 4)? Kopie van het rapport en uitgetypt overzicht van de BIOS opties in bijlage.

Bij voorkeur blijf ik bij Xubuntu of een Linux distro, maar overstap naar iets anders zou ook mogelijk zijn als dat de veiligheid beter maakt.

Met vriendelijke groet,

Basic-NL

[steef76]

Ik zou de firewall nog even aanzetten met

Code: [Selecteer]

sudo ufw enable Die staat namelijk standaard uit.

Maar waarom pc vervangen als de bios niet meer geüpdatet wordt?


Steven

[Basic-NL]

Hoi Steven,

Sorry voor de late reactie. Ik kreeg geen notificatie van je bericht.
Dank voor de tip, maar ik heb de firewall aan staan.
De reden voor de PC vervanging is dat deze al ouder is, en niet meer ondersteund wordt door de fabrikant. Ik heb er geen verstand van, maar vermoed dat de veiligheid dan ook minder wordt.

Vriendelijke groet,


Basic-NL

[ajjp]

...maar vermoed dat de veiligheid dan ook minder wordt.

Daar geloof ik niets van. En BIOS-updates zijn mogelijk interessant voor servers, maar bieden m.i. geen winst voor particuliere gebruikers. Veiligheid zit in je Operating System en (vooral) in de gebruiker.

[Basic-NL]

Hoi ajjp,

Dank voor jouw reactie. Mag ik vragen waarom jij gelooft dat BIOS updates geen zin hebben voor een particulier?
Zoals gezegd: ik heb geen diepgaande kennis van PC’s. Goed, ik installeer mijn OS en software zelf, en ook een BIOS update lukt me nog. Maar dat is het wel. Maar wil het graag begrijpen.

Diverse zaken geven mij het gevoel dat BIOS updates toch een goed idee zijn:
- Dat de BIOS opstart voor het OS en laatstgenoemde ook regelmatig updates krijgt;
- Dat er bij BIOS updates zelf vaak staat dat het een security update betreft;
- Dat de tool fwupdmgr PC gebruikers erop wijst als hardware niet qua veiligheid voldoet;
- Dat updaten van de BIOS ook wordt aanbevolen door een blad als C’t.

Ook als iemand anders hierover nog informatie kan geven, dan graag.
Ben ook benieuwd of het BIOS van mijn Shuttle nog beter kan worden ingesteld zodat ‘ie toch door de test komt..

Met vriendelijke groet,

Basic-NL

[steef76]

Bedenk wel  dat niets wat aan het internet 100% veilig is.

[aartje]

Dank voor jouw reactie. Mag ik vragen waarom jij gelooft dat BIOS updates geen zin hebben voor een particulier?

Ik heb in mijn leven (lang) en in mijn professionele carrière nog maar één keer een bios ge-update en wel 2 jaar geleden
omdat mijn systeem niet goed opstartte (zoiets van keuze tussen onboard- en aparte videokaart ging niet goed)
De bios wordt normaal alleen aangesproken bij het booten onder Linux, om te kunnen booten en misschien om
de hardware aan te tonen. Linux heeft de drivers voor de hardware zelf aan boord en heeft de bios niet nodig.Misschien dat Windows dat anders doet, maar ik betwijfel dat. Updaten van bios heeft alleen zin, heel soms, met nieuwere hardware.
Maar het risico dat je PC onbruikbaar wordt is het bij het updaten van je bios veel groter dan het (eventuele!) veilig-
heidsrisico.
Ik raad je aan om je bios alleen te updaten als het echt nodig is.

[Basic-NL]

@steef76: Daar ben ik mij zeker van bewust. Daarom wil ik het ook graag goed doen

@aartje: Ik begrijp dat BIOS alleen voor opstarten en aanspreken hardware wordt gebruikt. Tijdens deze processen is de PC toch al vaak verbonden aan internet. Kan hier dan niet op ingebroken worden?

Mijn belangrijkste vraag is toch: hoe stel ik de BIOS goed in, zodat het resultaat van de fwupd veiligheidstest een hoger veiligheidsniveau  aangeeft?

[vanadium]

Als je geen nucleaire geheimen op je PC hebt staan, dan zou ik me niet veel zorgen maken. Een goed bijgewerkte ondersteunde Ubuntu-versie geeft de eindgebruiker goede basisveiligheid.

[Basic-NL]

@vanadium: Nucleaire geheimen? Nee, dat niet.
Maar toch zou ik graag kwaadwillenden buiten de (digitale) deur houden.
Ik begrijp dat jij de BIOS veiligheid voor een gewone gebruiker niet belangrijk vindt.
Toch vraag ik me af waarom er dan een Linux hardware check in het systeem is ingebouwd, gericht op gewone gebruikers, die ook de BIOS onder de loep neemt, als dit onderdeel niks uit maakt?
Zou ‘m toch graag zo veilig mogelijk instellen.

[Ronaldus]

Je bios is de link tussen je hardware en de software en wordt nog voor het besturingssysteem geladen.

Het updaten van het bios heeft mij ooit eens een pc gekost. Gaat dat namelijk fout, dan heb je een grote kans dat je je pc kunt weggooien.
Ik zou dus zeer terughoudend zijn met het updaten daarvan en dat alleen doen als je hiermee een concreet probleem hoopt op te lossen.
Veel van die bios-updates zijn bovendien alleen vanuit Windows uit te voeren.

Mogelijke risico's worden bovendien als het goed is afgevangen door een bijgewerkt besturingssysteem.

Je haalt een artikel aan die het updaten adviseert. Er zijn er net zoveel die zeggen: 'If it ain't broke, don't fix it!'

https://www.paradigit.nl/tips/bios-updaten/#:~:text=Op%20zich%20is%20het%20ook,niet%20aan%20de%20verwachtingen%20voldoen.
https://nl.wikipedia.org/wiki/Basic_input/output_system

[vanadium]

Ik begrijp dat jij de BIOS veiligheid voor een gewone gebruiker niet belangrijk vindt.

Ik vind het wel belangrijk, maar voor een eindgebruiker zeker niet kritisch vanuit praktisch oogpunt. Veel belangrijker is een up-to-date besturingssysteem.

Opnieuw, maak je daar niet teveel zorgen over. De kans dat ze bij je binnendringen is zeer klein. Wellicht zal je al een nieuwere computer moeten kopen om al die tests te passeren.

[Basic-NL]

@Ronaldus & @vanadium
Dank voor jullie beider reacties en blik op deze zaak. Ik ben misschien wat paranoïde als het gaat om veiligheid. Heb de leverancier en fabrikant nog wel om advies gevraagd v.w.b. Instellingen.
Voor wat betreft de waarschuwing voor mogelijke problemen bij updaten van een BIOS:  dit had ik al begrepen van horrorverhalen op internet, maar goed dat je @Ronaldus hier op wijst.
De BIOS van Shuttle PC’s zijn overigens wel eenvoudig te updaten met een USB stick. Heb dit meerdere keren gedaan. Maar ik zoek, voor ik hardware aanschaf, wel altijd eerst uit of deze Linux vriendelijk is. Maar misschien zegt dat ook niet altijd alles en heb ik tot nu toe gewoon geluk gehad 😀