RemoteDesktop mit XRDP & XFreeRDP

Von Remotearbeitsplatzlösungen hat bestimmt sicher jeder schon mal etwas gehört. Die Technik dafür ist in der Regel auf VNC aufgebaut und trägt viele Namen: AnyDesk, Teamviewer, RDP oder auch direkt VNC.

RemoteDesktopProtocol

Wenn es bei VNC eher um die rudimentären Funktionen der Bildübertragung geht, so daß auf zwei Monitoren das Gleiche zu sehen ist, kann man sich mit RDP, Teamviewer und Anydesk auch als ein Benutzer auf einem anderen PC anmelden.

Ein GNOME Remotearbeitsplatz mit laufendem VideoUnter Windows nutzt man dazu das RemoteDesktopProtocol ( RDP ) und genau das kann man auch mit Linux nutzen. RDP ist in der Lage die Verbindung mit TLS zu verschlüsseln, was einen großen Vorteil hat, wenn man das quer durchs Internet benutzt. Es ist allerdings eine schlechte Idee, den RDP Port frei ins Netz zu stellen. Die Windows RDP Serverversion ist in der Vergangenheit mehrfach erfolgreich Ziel von Angreifern geworden, daher empfehle ich für Linux ohnehin, daß man den Port über SSH tunnelt.

Das geht ganz leicht:

ssh -C -L 127.0.0.1:3389:RDPSERVERIP:3389 username@sshgateway

Der Linux Client – XFreeRDP

Die Verbindung zu einem RDP Server aufzubauen ist ganz leicht, wenn man XFreeRDP benutzt. Analog zu dem SSH Tunnel oben, hier die dafür nötige Syntax:

xfreerdp /v:127.0.0.1 /u:username /p:Passwort /size:1920×1020

Die erste Frage wird jetzt wohl sein, wieso 1920×1020. Das ist leicht, weil das als Fensterversion genau in einen FullHD Monitor mit Cinnamon paßt 😉 Wer aber die volle Erfahrung haben will, der kann auch einen Parameter für Fullscreen angeben:

xfreerdp /v:127.0.0.1 /u:username /p:Passwort /size:1920×1080 /f

Wer darüber Videos ansehen und/oder Skypen will, der muß zwei Dinge haben: einen Server der das anbietet und folgende Parameter:

xfreerdp /v:127.0.0.1 /u:username /p:Passwort /size:1920×1080 /f  /microphone:sys:alsa /sound:sys:alsa /compression-level:2

Aber erwartet da jetzt nicht zu viel. Bei Tests gab es da leichte Bandbreitenprobleme über DSL.

Die nächste Frage dürfte sein, wieso man das in die Konsole hacken soll. Sagen wir es mal so, die meisten getesteten DesktopUIs waren nicht wirklich brauchbar. Ich empfehle Euch ohnehin für eine zügige Verbindung ein Desktopfile pro Verbindung:

[Desktop Entry]
Version=1.0
Name=Arbeitsplatz2
GenericName=RemoteTool
Comment=FreeRPD Client
Exec=xfreerdp /v:127.0.0.1 /u:username /p:Passwort /size:1920×1080 /f  /microphone:sys:alsa /sound:sys:alsa /compression-level:2
Icon=/home/username/.local/share/icons/freerdp.svg
Terminal=false
Type=Application
StartupNotify=false
Categories=Network;
Keywords=Arbeitsplatz;rdp;freerdp;internet;
X-Desktop-File-Install-Version=0.21
Name[de_DE]=Arbeitsplatz2

Wenn es noch ein automatischer Tunnel sein soll, müßt Ihr ein Shellscript schreiben und das aufrufen. Ab hier könnt Ihr auf einen beliebigen Windows oder Linux RDP Server zugreifen.

XRDP – Der RDP Server

Kommen wir zum schwierigen Teil der Aktion: Der eigene Server.

Eigentlich es ziemlich einfach, nur die Details sind ein Problem. XRDP ist glücklicherweise bei Fedora dabei. Installiert bekommt man es also einfach mit :

sudo dnf install xrdp

zum Starten ist auch nicht viel nötig:

sudo systemctl start xrdp

Aber Ton versucht man vergebens zu aktivieren, denn die nötigen Pulseaudiomodule liegen dem Programm bei Fedora seit einiger Zeit nicht mehr bei. Ich habe versucht die für Fedora 30 zu kompilieren, keine Chance.

Bei Fedora 31 sieht die Sache ein klein bisschen anders aus. Hier ist bereits PulseAudio 13 im Einsatz, wo Fedora 30 noch 12 benutzt. Der F30 Build von PulseAudio 13 wurde aus einem unerklärlichen Grund in die Mülltonne verschoben, ich tippe mal darauf, daß nicht alle anderen Pakete mitziehen wollten oder konnten.

Da es auch Für PulseAudio 13 keine Fedora Module für XRDP gibt, müssen wir hier kreativ werden 🙂 Wir leihen es uns bei einer anderen Distribution aus:

wget http://ftp.altlinux.org/pub/distributions/ALTLinux/Sisyphus/x86_64/RPMS.classic/pulseaudio-module-xrdp-0.4-alt1.x86_64.rpm
rpm -i ./pulseaudio-module-xrdp-0.4-alt1.x86_64.rpm

Jetzt kann Euer Fedora 31 auch den Sound liefern.

Die richtige Desktopwahl

So, Ihr habt Euren Server laufen und jetzt verbindet Ihr Euch mit XFreeRDP dahin. Ihr werdet jetzt abhängig von dem Desktopspin den Ihr installiert habt, entweder einen Erfolg vermelden können (GNOME) oder einen schwarzen Bildschirm sehen und nicht mehr ausloggen können (Cinnamon). Die anderen Desktops habe ich nicht ausprobiert, aber Gerüchten zufolge, sollen die durchweg „gehen“.

Um sicher zugehen, daß Ihr eine Umgebung bekommt, die auch läuft, legt Ihr im HOME vom Benutzer den Ihr einloggen wollt eine Datei namens .Xclients an, die „gnome-session“ als Inhalt und u+x als Dateiattribute hat:

echo „gnome-session“ > ~/.Xclients
chmod u+x ~/.Xclients

Voraussetzung ist, daß Gnome auch installiert ist. Falls das nicht der Fall ist, könnte das helfen:

dnf install gnome-desktop3

Da sollte der ganze Rattenschwanz an Abhängigkeiten kommen. Alternativ schreibt Ihr Euren Desktop in die Datei rein. Eine Liste mit passenden Anweisungen finden Ihr im Netz.

Wieso empfehle ich dann Gnome?

Weil das nicht über die fehlende Hardwarebeschleunigung meckert, wie andere Desktops das tun ( und dann nicht richtig funktionieren ). Außerdem ist die schlichte Deko des Desktops sehr hilfreich um Bandbreite einzusparen, was die Sache reaktiver macht. Im eigenen LAN ist das natürlich komplett egal.

Ich rate bei DSL Verbindungen dazu die Animationen des Desktops zu deaktivieren. Man kann das auch im XFreeRDP als Schalter mitteilen, aber direkt im Gnome ist es vermutlich „nachvollziehbarer“ für den Desktop.

Jetzt könnt Ihr loslegen.

Ein kleiner Sicherheitshinweis noch: Paßt bitte auf, daß Ihr nicht aus Versehen den Server runterfahrt, statt die Usersession zu beenden, daß kann sehr schmerzhaft werden 🙂 Gerade bei Gnome liegen die Funktionen dicht beisammen und aus Gewohnheit verklickt man sich da schnell. Also Obacht!

Android

Oh ja, es gibt auch eine Android XFreeRDP Clienten Version und je nach Eurem Android, kann die ggf. nur gebrochene Krypto. Wenn das der Fall ist, laßt es lieber, weil Eurer Tablet dann auch leistungsmäßig nicht ausreicht um das brauchbar zu benutzen. Falls Ihr diese lieb gemeinte Warnung ignorieren wollt, xrdp.ini ist Eure Anlaufstelle:

/etc/xrdp/xrdp.ini :

ssl_protocols=TLSv1, TLSv1.1, TLSv1.2, TLSv1.3v; set TLS cipher suites

Es dürfte klar sein, daß das im != Privaten Umfeld nicht eingesetzt werden darf, da Artikel 32 DSGVO das verbietet.

Dann wünsche ich jetzt allen Karnevalsfreunden unter Euch, die morgen zum Shoduvel nach Braunschweig kommen: Alles Gute in der Regenschlacht und verabschiede mich für heute 🙂

Linux-Gaming: der Vulkan-Weihnachts-HAMMER!

„Ho!“ „Ho!“ „Ho!“ ruft es vom Dach,
am Himmel sieht man die Sterne flach,
da erscheint ein großes Licht,
es ist der Vulkan, er ist nicht mehr dicht!

Liebe Linux Gamer,

ich habe ein Weihnachtsmärchen für Euch, endlich wird es wahr 🙂

World of Warcraft mit DxVK und voller FPS !

Wer hätte es gedacht, daß ich das nochmal erleben würde: Bo ey, ist das geil! 🙂

Alleine die Installation der DirectX-Vulkan Treiber sorgte für einen imposanten Leistungsschub bei World Of Warcraft. Endlich funktionieren alle Effekte ohne das es laggt, ruckt oder gar nicht geht 😉

Ein paar Impressionen…

Wenn man von Sturmwind aus über den Wald mit maximaler Sichtweite blickt

Wenn man von Sturmwind aus über den Wald mit maximaler Sichtweite blickt

Die WOW Weihnachtsdeko

Die WOW Weihnachtsdeko

Das Auktionshaus von Sturmwind

Das Auktionshaus von Sturmwind

Selbst auf Maximaleinstellungen ist es noch eine adäquate Leistung von 30 FPS und da geht mehr, weil meine GTX1050 auf dem Mainboard gar nicht die volle PCIE Bandbreite schaffen kann. Die GPU Utilization ist von ca. 28% auf über 80% angestiegen und das merkt man. Die Leistungsbegrenzung auf 60 FPS (siehe Video 😉 ) steht auf Stufe 8 von 10 der Details, egal wo man hingeht. Inis die vorher eher Slide-Shows waren wie z.b. Feuerlande sind jetzt komplett flüssig. Ob Wetter, Sonnenstrahlen, egal, es ruckt nicht mehr. Nur wenn man die Sichtweite auf Maximal dreht, wirds langsamer in Sturmwind.In Dalaran, was vorher extrem geruckt hat, läuft jetzt mit egal wie vielen Spielern flüssig.

Dalarn mit ausreichend FPS und NVIDIA Controlcenter mit GPU Utilizationanzeige

Dalarn mit ausreichend FPS und NVIDIA Controlcenter mit GPU Utilizationanzeige

Ich hoffe mal, Ihr werdet das alle gleich am ersten Weihnachtstag installieren 😀 Ich habe jetzt natürlich einen Vorteil, weil ich das schon am 23.12. gemacht habe.

Wie installiert man DxVK nun?

Das ist so einfach, das hätte ich gar nicht geglaubt, wenn es einer erzählt hätte 😉

Schritt 1:

ladet Euch von hier:  https://git.froggi.es/joshua/d9vk/-/jobs die neueste Buildfassung von DxVK herunter.

Downloadprotal

Schritt 2:

Das Archiv auspacken und in den Ordner „dxvk-release“ wechseln

Schritt 3:

Setupscript starten:

$ WINPREFIX=~/ed-wine/ ./setup_dxvk.sh install

Das sieht dann so aus ( allerdings mit einige Ausgaben):

Also einfach Euren WinePrefix korrekt setzen, das ist bei mir ED-WINE für Elite-Dangerous wo auch WOW drin ist, weil 64Bit. Das mit den 64Bit erkennt das Script von allein und installiert alles nötige für die 32 und 64Bit Unterstützung. Das ist wahrlich vorbildlich, bis auf einen winzigen Haken: Es nutzt nicht die Staging Version von Wine, sondern die stable Version. Das führt zur Umkonfigurierung der Wineumgebung, was dann beim ersten Start von WoW nochmal umkonfiguriert wird, wenn wieder die Staging Version zur Anwendung kommt. Ist natürlich harmlos, aber dauert i.d.R. ein Weilchen und es poppen 3 Fehlermeldungen von diversen M$-Konfigtools auf.

So liebe Linux Gamer, dann wünsche mal viel, viel Spaß mit Eurem neuen, verbesserten WoW.

Frohe Weihnachten!

„Security“ by Deutsche Bahn

Die Deutsche Bahn hat ja derzeit schon einen Gesprächstermin mit der Berliner Datenschutzbeauftragten, weil sie Greta’s Reisedaten preisgegeben haben, aber vor 16 Minuten brach auch die Sicherheitsfassade der DB IT zusammen. Auf Full-Disclosure wurde vom Vulnerability Laboratory eine DB Bahn Sicherheitslücke veröffentlicht.

„Security“ by Deutsche Bahn

Man kennt das als Bahnfahrer, man trifft an an einem Bahnhof ein und möchte woanders hin. Dazu braucht man einen Fahrschein, neudeutsch auch Ticket genannt. Um ein Ticket zu bekommen, stehen überall so kleine armlose Roboter rum, die Geld in Tickets wechseln. Dazu gibt man ein, wo man hin will und dann …. crasht gelegentlich die Anwendung intern, und da wird es spannend 🙂

Ein Prozess auf dem… und jetzt gut festhalten… Windows XP System, namens PasswordAgent.exe hat diverse Fehler, mal kann er was nicht abfragen, mal gibt es Laufzeitfehler, wie man das so noch von WinXP kennt ;). Jedesmal wenn das passiert, kommt eine Fehlermeldungsbox. Auf normalen PC wäre die im Vordergrund zusehen, hier allerdings versteckt sie sich hinter dem Anwendungsfenster des Verkaufsautomaten, damit der Kunde genau das nicht sehen kann.

Leider gibt es da noch einen Bug: Wenn man im Zahlenfeld auf Abbrechen klickt, während diese Meldung im Hintergrund angezeigt wird, kommt die nach vorne, vor die Verkaufsanwendung.

Jetzt haben wir ein Standardwindowsfehlerfenster und da ist ein Link drin zu den Details der Fehlermeldung. Darin wiederum ist ein Link zur M$-Hilfe. Drückt man drauf kommt, Ihr ahnt es, ein Browser ins Spiel, weil das ein Weblink ist. Ist der Browser erstmal gestartet, hat man über das Einstellungsmenü die Option ins Filesystem zu wechseln und der Rest dürfte auf der Hand liegen: Trojaner drauf, Ransomware oder einfach die DB Kunden verarschen, in dem der Automat keinen Fahrschein druckt oder oder oder…

Hier nochmal die Kurzfassung des Exploitweges:

PasswordAgent.exe := Unexpected Error (Background) – Runtime/Session/Timeout
=> Transaction Application => Cancel := Unexpected Error (Background) – Runtime/Session/Timeout (Front)
=> Click Error Report => Click Search Collection => Web Browser => Local File System => PWND!

Den Wert des Exploits schätzen die Finder auf 5.000€ – 10.000€ ein.

Angeblich kam die Bahn bereits selbst auf diese Lücke und hätte auch schon mit dem Patchen begonnen, insofern müßten potentielle Spaßvögel sehr schnell reagieren 😉

Quelle: https://www.vulnerability-lab.com/get_content.php?id=2191

Für Linux wieder bei Radio Okerwelle

Am Donnerstagabend um 20 Uhr war es mal wieder soweit, pünktlich zur LPD 2019.2 Vorbereitung waren die Linux Pinguine aus Braunschweig zu Gast bei Radio Okerwelle. Eine Stunde gings wieder um Linux, Linux und Windows 10. Wieso Windows 10? Also.. ähm.. ja, das war komisch 😀

BS-LUG bei Radio Okerwelle

Eins mal vorweg, nichts war gestellt, alles frei von der Leber weg und das merkt man auch. Wir haben sogar den, natürlich vorhandenen, Ablaufplan, live im Studio umgeschrieben und Themen aufgegriffen, die sich in den Musikpausen ergeben haben. Und das hat richtig Spaß gemacht 😀 \o/

Am Anfang haben wir nicht lange genug geredet, aber als wir erst einmal in Fahrt waren, gabs kein Halten mehr 😉 Leider hatten wir nur eine Stunde Zeit und mußten uns am Ende sehr, sehr sputen, damit noch der LPD am 16.11. thematisiert werden konnte.

Themen waren: u.a.

Linux – Unterschiede zu Windows
Wo kommen die Updates her
Supportende von Window 7
eingebauter Datenschutz bei Linux ( sprich das fehlen von Spionagefunktionen )
Einsatz in Firmen und Behörden
LPD am 16.11. im Haus der Talente in Braunschweig

Natürlich gabs auch einen Blobber und der ging voll auf mich 🙂 Mir fehlten am Ende kurz die Worte. Sie waren einfach weg 😀 Habe Sie aber später wieder gefunden 😉 Live iss halt.. Live 😉

Ich muß sagen, am Ende hätten wir noch eine Stunde reden können, weil zwischen den Blöcken, hatten wir so geniale Gespräche mit dem Radioteam, da sprudelte es praktisch nur so. Leider bekommt Ihr davon nichts mit, wenn Ihr Euch den Mitschnitt anhört.

Windows 10 oder doch Linux?

Achja, den Punkt Windows 10 bin ich Euch ja noch schuldig. Im Zuge des Supportendes von Win7 kam im Studio ein Kommentar der Art „Ich lasse das einfach drauf!“ und da mußte ich mal für die Security eine Lanze brechen und das gerade rücken. Also habe ich Windows 10 empfohlen, statt auf Win7 zu bleiben, wenn man denn unbedingt Windows weiter benutzen will. Selbstverständlich habe auch gleich die bessere Alternative empfohlen, aber als Linux Nazi wollte natürlich auch keiner rüberkommen. So realitisch, daß wir nicht alle bekehren können, sind wir dann ja dann doch 😉

Firefox: ungepatchte 17 Jahre alte Sicherheitslücke

Wie uns die TheHackerNews heute mitteilen, gibt es im Firefox eine ungepatche Sicherheitslücke, die streng genommen, seit 17 Jahren im Firefox schlummert.

Same-Origin-Policy versagt

Die Same-Origin-Policy versagt bei Zugriffen auf „file://“ URLs. Was andere Browser schon vor Jahren behoben haben, ist für die Firefox Entwickler nicht wichtig, da es bislang keinen Exploit dafür gab. Das hat sich geändert:

Was wir hier sehen, wenn das Bild denn scharf wird (runterladen per youtube-dl hilft dabei), ist folgendes:

Eine Email mit einem HTML Attachment wird in einem Webmail geöffnet.
Die HTML Datei wird von Firefox abgespeichert, wie man sieht im HOME des Users!
Die HTML Datei wird mit Firefox über file://…  geöffnet und ..
präsentiert uns den Inhalt des Verzeichnisses.

Die HTML Seite enthält Javascriptcode, der über die File und Fetch Api vom Browser das Verzeichnis und die Dateien ausliest und dann mit AJAX die Daten exfiltriert.

Ein Patch dafür ist nicht in Arbeit, da Mozilla die Lücke nicht als solche anerkennt. Mal sehen ob sich das jetzt ändert 😉

Quelle: https://thehackernews.com/2019/07/firefox-same-origin-policy-hacking.html