„Komisch, ich kenne gar keinen bei Dr.Oetker.“ Trotzdem habe ich angeblich Post von denen bekommen 😉
Dr.Oetker: E-Mail Bestätigung 7578
Was zuerst aussah wie eine Email mit einem Attachment, entpuppe sich als Newsletterartige Spam. So genau kann ich das nicht sagen, denn der Spaminhalt wird vom Emailprogramm nur als weiße Fläche angezeigt 😀 Thunderbird blockiert hier einfach mal brav alles. So wünsche ich mir das.
Nach einigem Suchen im Code vielen mir drei Dinge auf:
Der Unterschied von dieser Version zu der Bash Version mit Sudo ist, es kommt ohne Sudo aus … und ist nicht mehr Bash, sondern C . Alles was Ihr zum Kompilieren braucht, ist das gcc Packet und das eine oder andere Develpaket. In einem Develpaket sind Strukturen, Definition und Macros gespeichert, die für die Benutzung einer Library benötigt werden. Man kann da auch andere Sachen reinschreiben, aber das führt jetzt zu weit.
Wie bauen wir die neue Taschenlampe jetzt?
Wenn wir uns das Makefile ansehen, welches hier wirklich ein Makefile ist und nicht ein File für den „make“ Befehl, ist die Sache ganz einfach:
gcc flashlight.c -o flashlight
Damit bauen wir das Binary, also die ausführbare Datei. Wenn Ihr das direkt auf Eurem Pinephone macht, wird da automatisch ein für die laufende Architektur gedachtes File erzeugt. Hier ist das „aarch64“. Wenn Ihr das spaßeshalber auf Eurem großen PC macht, und dann die Datei auf das Pine kopiert, werdet Ihr feststellen, daß es nicht funktioniert. Auf Eurem großen PC wurde es für x86_64 gebaut.
Ist das Binary fertig, setzen wir die nötigen Rechte: Hier „Jeder darf es ausführen und bei Ausführung darf es das als Root tun“. Wir erinnern uns: Rootrechte sind nötig, um die LED Helligkeit setzen zu dürfen.
chmod 755 flashlight chmod u+s flashlight
Nun kopieren wir das Binary „flashlight“ an seinen Ausführungsort: /usr/local/bin
Wieso ist hier „cp“ im Spiel und nicht „mv“ wie beim Binary?
Vielleicht wollt Ihr ja mal ein Update machen und dann wär es doch Schade, wenn das Desktopfile weg wäre. Das Binary baut Ihr ja jedes mal neu, ob das für einen zweiten Durchlauf noch vorhanden ist, spielt keine Rolle. Das Desktopfile wäre dann weg 😉
Wieso ist das dem Sudo-Bash Konstrukt überlegen?
Für das korrekte Sudofile muß man wissen, wie der Username des ausführenden Benutzers lautet. Seine UID würde vielleicht auch noch gehen. Außerdem mußten wir erstmal die sudoers-Datei ändern, damit die Anweisung ausgeführt wurde. Das fällt alles komplett weg.
Damit das Programm so auf jeder Distribution einsetzbar, völlig egal von den Umständen.
Gibt es Sicherheitsbedenken?
Die gibt es immer, es ist ein SUID Programm. Nun ist in dem Programm nichts drin, was gefährlich ist, solange die echten Betriebssystem Libs benutzt werden. Schafft es ein Angreifer, dem Befehl eine eigene Kopie einer benutzten System-Lib unterzujubeln, und dafür gibt es Möglichkeiten, könnte er die Funktionsaufrüfe nutzen und einfach irgendwas anderes machen.
Ich denke aber nicht, daß das mit diesem Build möglich ist. Falls Ihr Verbesserungen habt, schickt einen Pull-Request in Github-Repo oder lasst einen Kommentar da. C ist nicht gerade mein Steckenpferd und die GCC Options schon gar nicht 😉
Das sind 3,5 MB für die Anwendung, und 570 MB für die Abhängigkeiten. Also wenn man jetzt nicht GBweise Flatpaks einsetzt ist das Verhältnis so richtig fürn Arsch. Aufm Pine waren das ungelogen sogar 1GB an Abhängigkeiten.
Aus der Reihe: „Was kann bei SMTP schon schief gehen“ heute die: IT Niedersachsen.
IT Niedersachsen verwechselt Mailserver 😉
Wenn man viel Infrastruktur hat, kann einem das schon mal passieren. Vor einigen Jahren hatte ich mal einen Beitrag über die Stadt Wolfenbüttel im IT Sec Vortrag, weil deren Mailserver komische Zertifikate für SMTP benutzt hatte, die keiner kennen konnte, weil selbst-signiert und für interne Testserver gedacht. Damals hatte deren IT das Problem, es überhaupt zu finden, weil die Microsoftlösung Ihnen einen vom Pferd erzählt hatte 🙂
Vielleicht ist das jetzt so etwas ähnliches:
Wenn man eine Email an eine Adresse schicken will, die von diesem Server bedient wird:
80.228.54.249 „inetmail23.niedersachsen.de“
Dann bekommt man im Exim das hier:
SSL verify error: certificate name mismatch: DN=“/C=DE/ST=Niedersachsen/L=Hannover/O=Land Niedersachsen/OU=IT.Niedersachsen, FG 24a/CN=inetmail14.niedersachsen.de“
Weil das ausgelieferte Zertifikat nicht mit dem Hostnamen übereinstimmt. Vermutlich wurde einfach nur das falsche Zertifikat verteilt. Witzig ist nur, daß es auf beiden Servern passiert ist, denn ein „host inetmail23.niedersachsen.de“ zeigt zwei verschiedene IPs an. Da darf man von einem Deployserverproblem ausgehen, also hat es keiner mit Handarbeit verteilt 🙂
Heute geht es um Dateiintegrität und wie man das mit RPM prüft und ggf. behebt. Grund ist das Pinephone.
Fedora: wie man mit RPM sein System auf Integrität prüft.
Wenn man sein Pinephone zum ersten mal bootet, startet es mit dem Image auf der internen Storage mmcblk2. Will man etwas anderes Booten, so steckt man eine SD Karte rein, auf dem das Bootimage drauf ist. Das ist gerade am Anfang, wenn man viel Testet eine normale Sache, weil man die MicroSD Karte leicht wieder mit einem SD-Kartenreader am PC neu bespielen kann.
Wenn man aber zu an einen Punkt gekommen ist, wo das System gut genug funktioniert, möchte man es auf die interne Speicherkarte kopieren. Das könnt Ihr via rsync machen, oder Ihr kopiert die SD-Karte mit dem Tool dd rüber. Das hat aber einen Haken: Von dem System habt Ihr gerade gebootet und das läuft noch. Da man die Karte im laufenden Betrieb nicht wechseln sollte, steht Ihr vor einem Problem. Rsync umgeht das, aber Systemfiles lassen nicht so einfach syncen. Würde man so z.b. ein Fedora 33 auf ein anderes Fedora 33 syncen, würde es vermutlich laufen, aber (wie hier) ein Fedora auf Manjaro Syncen geht sehr wahrscheinlich voll in die Hose.
Wenn wir also dd steigt zwar die Erfolgschance, aber ein Datenverlust steht im RAM, weil die Programme auf der Partition rumwerkeln und die sich beim Kopieren ändern. Also am besten ALLES was geht beenden: Desktop, Services, alles bis auf SSHd und das Netzwerk.
Schritt 1 – Ermitteln was drauf ist
Dazu führt Ihr „rpm -qa > rpms“ aus. Nicht vergessen das File nachher wieder zu löschen.
Schritt 2 – jedes Paket prüfen
Dazu brauchen wir awk und ein klein wenig Bashmagie:
Das liest die Liste der RPMs Zeile-für-Zeile ein und prüft das Paket, ob die Checksummen mit den Dateien übereinstimmen. Einige Tests sind absichtlich abgeschaltet worden, weil für den Test, ob eine Datei beschädigt ist oder nicht, nicht nötig. Ob ich da mal dran war und die absichtlich verändert habe, war nicht die Aufgabe, kann man so aber auch machen, wenn man die –no Flags weglässt. „–nodeps“ sollte man aber drin lassen, weil sonst jedes Paket immer mit allen Abhängigkeiten geprüft wird und wir prüfen eh alle einzeln 😉
Schritt 3 – Defekte Dateien finden
Da wir in Schritt 2 eine Log-Datei angelegt haben, werten wir die aus und lassen uns gleich die Paketnamen der defekten Dateien geben. Das „sort -u“ wirft doppelte raus:
.5… ist die Ausgabe, wenn die Datei beschädigt ist und z.b. keine Configdatei ist. Configs können sich natürlich jederzeit ändern, deswegen sind die nicht gleich defekt.
Ein paar Beispiele was die Ausgaben so meinen:
S.5…… c /etc/ssh/sshd_config Datei hat andere Checksumme, ist aber eine Configdatei fehlend d /usr/share/man/fr/man1/manconv.1.gz Datei ist eine Dokumentation, nicht tragisch, wenn die nicht da ist. fehlend /boot/efi/overlays/adau1977-adc.dtbo Datei fehlt und sollte aber da sein. ..5…… /usr/bin/mokutil Datei ist defekt und sollte ersetzt werden.
Schritt 4 – Reparieren
Nun haben wir eine Liste mit Paketnamen und müssen die nur noch reparieren. In meinem Fall waren es vier defekte Pakete:
Das muß natürlich bei Euch so nicht passen, es könnte auch gut gehen oder andere Dateien betreffen!
Vom efibootmgr wissen wir jetzt, daß er gar nicht nötig ist auf einem Pinephone, weil das U-Boot benutzt und so gesehen kein EFI Bios vorhanden ist.
Ein Wort noch zum Pinephone:
Kopiert das System ruhig auf die interne Karte, weil das dann ca. 5x schneller ist: beim Booten, beim Runterfahren, Apps starten und updaten. Es lohnt sich wirklich.
ich habe für Euch Gnome 40.0 Alpha ausprobiert, und ja, das wird das spannend als Mobildesktop.
Fedora: Gnome-Shell 40.0 Alpha auf dem Pinephone
Kleiner Nachtrag zur Phoshumstellung:
Wenn man in Gnome-Tweaks die Text-Skalierung auf „1“ stellt, dann paßt der Unlocker auf den physikalischen Bildschirm.
Bei den Ganzen Toolkits ist mit dem DPI Scaling echt was faul, anstatt erst den Text zu vergrößern und dann zuberechnen wo der hin muß, wird erst berechnet wo das hin müßte und dann der größere Schriftsatz verwendet.
Das Lego-Film Motto kann man hier leider noch nicht anwenden, aber das wird schon 😀
Um Gnome ausprobieren zu können, muß man phosh erstmal stoppen. Das bedeutet, erst Phosh benutzen, damit man ins WLan kommt, dann per SSH als root einloggen und „systemctl stop phosh“ eingeben. Jetzt wärs es clever, die passenden Gnome Pakete zu installieren.
Auf die TOUR kann man getrost verzichten, aber ansonsten ist das so das „normale“ Minimalpaket.
Euer Pinephone zeigt jetzt einen schwarzen Bildschirm. Jetzt brauchen wir GDM : „systemctl start gdm“ .
Ein paar Sekunden später erscheint die neue Loginmaske von Gnome 40. Jetzt als „pine“ User einloggen und etwas Geduld, startet die Gnome-Shell sehr langsam vor sich hin. Leider gibt es vom Greeter keinen Screenshot, mangels Möglichkeit.
Was Ihr jetzt nicht seht, Euch aber leider eine Weile begleitet, der GDM Prozess läuft im Kreis mit 100% auf einem CPU-Core. Ihr habt also nur 3 Kerne und das Telefon wird jetzt sehr schnell, sehr warm. Zum Ausprobieren reicht das, aber ein als Dauerzustand kann man das vergessen.
Links seht Ihr, was Euch dann erwartet. Irgendwas passend skalieren scheint keiner richtig sauber hinzubekommen 🙁
Das ist der App-Starter, den man aber nicht anklicken kann, sondern ausschließlich per Swipe von Links->Rechts reinbekommt. Das Gnome-Dock von früher wurde nach unten verlegt und auch hier patzt die Gnome-Shell mit dem Scaling wieder. Zieht sich durch wie ein roter Faden 😉 Es ist eine Alpha, da ändert sich noch sehr viel.
Die Aktivitätenübersicht
Die App-Übersicht aka. Aktivitäten kann man links oben in der Ecke anklicken oder per Drei-Finger-zusammenzieh-Swipe aktivieren. Der Swipe ist allerdings eher hinderlich, weil die laufenden App allergisch auf die ersten Klicks der Finger reagieren könnten 😀 Das war bei 3.38 auch nicht anders.
Oben im Bild seht Ihr diese Minivierecke, das ist die Aktivitätenvorschau, auch hier hat das Skalieren komplett versagt. Das wird unmöglich so bleiben, weil viel zu winzig. Jetzt dürft Ihr mal raten, wie man App von einer Aktivität in die andere bekommen… ja, der dicke Finger hat, schafft das niemals gewollt das richtige Minivierreck zutreffen 🙂
Die Extensions
Wer alte Extensions im Home hatte, der darf die Updaten. Da das eine Alpha ist, gibt es da nur sehr wenig zum Updaten, ergo funktionieren die meisten Extensions nicht mehr, so auch meine Internet Radio App und da hatte ich mich schon so gefreut.
… Was cooles …!!!
Bei all den kleinen Problemen gibt es auch was positives zu berichten: Automatische Bildschirmrotation und GPS gehen mit Gnome auf dem Pinephone \o/ Die Bildschirmrotation arbeitet sauber und schnell. Sie läßt sich wie auch auf Laptops und Tablets mit einem Klick blockieren, wenn einem das auf den Keks geht.
Erstes Fazit
Wenn man mal von der Langsamkeit des belegten CPU Kerns absieht, dem allgemein langsameren Start von Gnome an sich und den Skalierungsproblemen, fühlt sich das ganz gut an, wenn man es benutzt. Deswegen kann es neben Phosh wieder spannend werden, welcher Desktop am Ende das Rennen machen wird.
Was leider nicht klappt ist, daß man in GDM beim der Anmeldung auf Phosh oder Cinnamon zu wechseln. Das wäre genial gewesen. Die Anmeldung wird bei GDM übrigens per OSK erledigt und daher auch ein echtes Passwort sein kann, statt nur Zahlen wie bei Phosh.
vor einigen Tagen viel auf, daß das Pinephone nichts mehr aufnahm. Dem kann nun abgeholfen werden.
Fedora: Pinephone Audiobug gefunden
In einer Aufgabenstellung, die Hercules, Asterix und Obelix alt aussehen lässt, habe ich in rund 5 Stunden alle 130 Updates, die als Auslöser in Frage gekommen sind, von Hand eingespielt und geprüft. Wie oft das Handy rebootet wurde könnte ich nicht aufzählen. Die Mühe hat sich gelohnt, wir haben jetzt einen Matrixserver.. Wait what? Ähm ja, also äh anderes Thema.
Es war Pipewire 0.3.21-2. Besorgt Euch von Koji einfach diese Pakete:
und installiert die mit „dnf -y downgrade pipew*0.3.20*rpm„. Danach noch ein Reboot und der Ton ist wieder aufzeichenbar, sprich man wird wieder gehört am anderen Ende. Wenn Ihr schon dabei seid, und das noch nicht gemacht habt, dann downgraded auch glib2 auf 2.67.1, machts leben leichter 😉
Soviel also zum „pipewire wäre schon fertig“ Gerücht 😀
Noch ein Tip:
Überlegt Euch genau ob Ihr Flatpaks nutzen wollt: Schon die erste App, die Gnome braucht, verballert schon 1 GB auf der Platte an Abhängigkeiten! Das System ist echt krank.
Wenn eine App bei einem Sqlite3 Zugriff „unreadable database“ von sich gibt, dann liegt das vermutlich daran, daß der User der Datenbank, in dem Fall ist das die UserID der Anwendung, welche die Datenbank nutzen will, keine Schreibrechte … und jetzt kommts .. auf dem Verzeichnis hat, wo das Datenbankfile liegt.
[root synapse]# ls -la /etc/synapse/
insgesamt 2048
drwxrwxr-x 3 synapse synapse 4096 12. Feb 11:38 .
drwxr-xr-x 133 root root 12288 12. Feb 11:31 ..
-rw-r--r-- 1 synapse synapse 1654784 12. Feb 11:38 homeserver.db
Die Lösung ist also fix gemacht:
cd /path/to/database chgrp appusergroup . chmod g+w .
und schon geht es wieder.
Wer sich jetzt noch fragt, was Synapse ist: Ein MatrixServer
The this script gets the latest updates via dnf log files and reversed the system back to a given date in time, that is still in the logfile.
Presenting the Rawhide Downgrade to past date script
It’s far from perfect, but tries it’s best. You need to install koji package first: „dnf install koji“
Most likely outcome: some packages will be missing, because koji can’t find them and some will be double present, with different versions and you end up in a collision. Remove the higher version files manually and do „dnf downgrade ./*rpm“
Usage: scriptname {timestamp}
#!/bin/bash
grep "Upgraded:" /var/log/dnf.rpm.log | sort -r > /tmp/liste
mkdir rpmdownload
cd rpmdownload
if [ "" == "$1" ]; then
echo "Keine Zeit angegeben.. benutze 4.2.2021"
since=$(date --date="2021-02-04T00:00:00+0100" "+%s")
else
since=$(date --date="$1" "+%s")
fi
packs=""
declare -A old = ()
IFS=$'\n'
for line in $(cat /tmp/liste)
do
date=$(echo $line|sed -e "s/ .*//g")
pkg=$(echo $line|sed -e "s/^.*: //g")
time=$(date --date="$date" "+%s")
if [ $time -gt $since ]; then
echo "$date => OK => $pkg"
koji download-build --rpm $pkg
basename=$(rpm -q --queryformat="%{Name}" ./$pgk)
if [ "${old[$basename]}" != "" ]; then
echo "found old entry ${old[$basename]}";
rm -f ${old[$basename]}
fi
$old[$basename]="$pkg"
packs="$packs $pkg"
else
echo "$date => IGNORE => $pkg"
fi
done
if [ "$packs" != "" ]; then
dnf -y downgrade ./*rpm
fi
When is it usefull?
If something, you don’t know of, broke the system by Updates and you need to undo tons of downgrades. Happend to pinephones on the 8th of February 2021.
