Fedora – GDM stürzt wegen SELinux ab

Ein schlecht ausgerolltes Update der SELinux Policies unter Fedora 27 führt dazu, daß der Loginbildschirm, im Fachjargon „Greeter“ genannt, mit einer unschönen Meldung absemmelt.

Fehleranalyse

Betroffene Version:  sellinux-policy 3.13.1-283.35

Wenn Eurer GDM Greeter also mit dem „blah blah ‚Benutzer abmelden'“ Fehler stehen bleibt, dann prüft folgendes:

1. „STRG+F2“ damit Ihr eine Root Konsole bekommt

2. „grep gdm /var/log/messages oderjournalctl -xe | grep gdm

kommt dabei das hier raus:

Jul 8 01:40:51 eve systemd[1627]: selinux: avc: denied { status } for auid=n/a uid=42 gid=42 cmdline=“/usr/libexec/gdm-x-session gnome-session –autostart /usr/share/gdm/greeter/autostart“ scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=system permissive=0

dann hilft Euch das hier weiter, falls keine neuere Version im Repository verfügbar ist (also vorher mit dnf -y update checken) :

dnf -y downgrade selinux-policy*
systemctl restart gdm

und anschließend das erneute Update mit dem Eintrag „exclude=selinux-p*“ in die /etc/dnf/dnf.conf verhindern.

Fazit

So eine Scheiße will einem um 1.10 Uhr nachts wirklich nicht passieren!

Runes of Magic – Der schwarze Fix

So ein diabolisches Programm wie Runes of Magic hat man selten. Da möchte ich Euch einen Bug zeigen, für den ich endlich einen Fix gefunden habe, da zeigt sich der Bug nicht mehr 😀

Der Bug

Zum Glück braucht man es nur ein paar mal starten und der Bug manifestiert sich, als ob er Uhrzeitabhängig wäre 😀 Wem das hier bekannt vorkommt:

Dem kann ich jetzt helfen 🙂 Ein Fenster mit Fehlermeldungen, die nicht angezeigt werden, weil das Fehlerfenster einen Programmierfehler hat :D, ist vor dem Spielfenster zu sehen. Es läßt sich nicht wegbewegen und ist auch ansonsten einfach defekt.

Natürlich gibt es dazu dutzende Bugreports an Wine und Runes of Magic, aber die schieben sich gegenseitig den Fehlerteufel zu und machen nix.

Um das zu lösen, braucht Ihr wmctrl,  das Window-Manager-ControlProgramm, also quasi WMCP 😉 Der Befehl:

wmctrl -l

listet alle offenen Fenster Eures Desktops auf, was so aussehen könnte:

0x03800003 -1 MeinRechner Schreibtisch
0x0380000b -1 MeinRechner nemo-desktop
0x08400006 0 MeinRechner marius@MeinRechner:~
0x09800001 0 MeinRechner Runes of Magic
0x09800003 0 MeinRechner Error List
0x0a400019 0 N/A ROM-Fix1.png (2.6M) — Krita

Ihr seht den Titel des Fensters und die WindowID. Spontan wollte ich mit der WindowID und der -c Option von wmctrl das Fenster einfach schliessen, aber da spielt Runes of Magic nicht mit aka. das ignoriert das kaputte Windowsfenster einfach. Es müssen andere Mittel her 😀

Die Lösung

Die Lösung sieht dann so aus:

wmctrl -r „Error List“ -e 0,0,0,1,1

Damit wird das Fenster mit dem Titel „Error List“ auf dem derzeitigen Desktop, Links oben auf die Koordinate 0/0 geschoben ( da wars vorher schon ) und dann auf 1×1 Pixel reduziert. Es ist jetzt also nur noch genau ein Pixel links oben in der Ecke, wo man sowieso den Fensterrahmen hat. Damit ist es aus der Störgleichung entfernt und das Spiel kann losgehen.

Wer früher mühselig zig Restarts von Rom hingelegt hatte, bis das Fenster mal nicht zu sehen war, der kann jetzt aufatmen … endlich weg 😀

Ein kleines Manko gibts dann doch, wenn man die Arbeitsfläche wechselt, ist der Bug wieder da.

Also Terminal aufmachen  und eingeben : watch -n 5 „wmctrl -r \“Error List\“ -e 0,0,0,1,1″

Alle 5 Sekunden wird es damit automatisch wieder verkleinert.

GVO – Baustellenschild ohne DSE reicht nicht

Nur mal so am Rande, weil das Kunden immer wieder wegen der GVO denken:

„Machen Sie doch meine Seite einfach leer, dann brauche ich keinen Datenschutz“.

Ja, also, äh.. nein, das ist Quatsch.

Wer eine Webseite, auch wenn die „leer“ ist, laufen hat, braucht auf der leeren Webseite eine Datenschutzerklärung ( DSE ), weil der Vorgang der Übermittlung von Personenbezogenen Daten bereits stattgefunden hat, um die leere Seite anzuzeigen. Dafür bekam der Webserver, der die leere Seite ausgab, die IP des Aufrufenden mitgeteilt, sonst hätte er die leere Seite nicht schicken können. Eine „leere“ Seite ist nämlich nicht leer.

Nur wer GAR KEINE Webseite betreibt, braucht auf der nicht vorhandenen Webseite, keine Datenschutzerklärung 🙂

Wie erreicht man das ?

Man trägt im DNS für die Webseite beim „IN A“ / „ALIAS“ als Ziel IP die 127.0.0.1 ein. Dann fragt der Aufrufende sich selbst und das erfordert keine DSE, weil Euer Server damit nichts zu tun hat.

Von in dem Kontext „Groben Unsinn“ wie die IP eines chinesischen Webservers zu benutzen, der alle Anfragen nimmt und was anzeigt, sollte man dringend absehen, das geht argumentativ in die Hose.