Gelöst: Netflix M7702-1003 & FireFox 66

Schlafen Sie gut, weil Sie ein Backup von Ihren Daten und Computern haben? Dann sollten Sie jetzt nicht weiter lesen, es könnte für schlaflose Nächte sorgen.

Backups

„Backups“ der Mythos von der Unverwundbarkeit eines Computers. Ich wußte schon immer, daß es nie so schön ist, wie man sich das einredet. Aber so krass….. Es hat sich ja eingebürgert, daß man bei Geschichten nicht am Ende anfängt, sondern vorn. Also machen wir das mal:

Es war ein regnerischer Tag im März, vorgestern um genau zu sein. Da sollte ein Gerät, dessen Name nicht genannt wird, sagen wir mal vom Typus Tabletus, zur Präsentation eines Films bei einer Veranstaltung benutzt werden. Der DisplayPort->HDMI Adapter hatte vor Wochen bereits gezeigt, daß er funktioniert und den Ton auch zum HDMI leitet. Schön, an sich. Blöd, weil ging nicht. Da stehste wie der Ochs vorm Scheuentor und der Ton muß per Chinch und selbstgestricktem Klinkenbuchsenadapter an die Lautsprecheranlage geleitet werden. Wie peinlich.

Zuhause hingesetzt und analysiert, also eigentlich direkt nach der Veranstaltung hingesetzt und Laptop mit Tablet verglichen. Laptop Ton geht, Tablet Ton geht nicht.Ton geht nicht, weil snd modul für Kernel  nicht geladen. Module nachgeladen, immer noch kein Ton. F***. Eingepackt. Nach Hause geschleppt, aufgestellt HDMI-Monitor dran, Ton bleibt weg. F***² .Ok, USB… USB… U S B ! Livedisk an den Adapter gesteckt, Reboot ins Bios, USB Bootdevice gewählt und *ZACK*  Bootentry vom OS gelöscht.. WTF!!!! Kommt auch nach Reset nicht wieder, bleibt weg, Langer M$ Mittelfinger -> Tschüss Linux!

„Nicht mit mir Burschi!“

Die Antwort auf die Frage „Wie kann einem DAS bitte in einem Bios passieren?“ lautet „Es ist von Microsoft!“.

Das Tablet hat eins der ersten von M$ selbst gebauten Biose drin und das merkt man auch. Wer packt schon einen Trademark Hinweis auf eine eigene Seite im Bios?! Das Booten von verschiedenen Bootdevices passiert mit Wischen von Rechts nach Links. Wenn man aber von „Links nach Rechts“ wischt, löscht man den Eintrag, ohne Nachfrage. Welcher Volldepp auf diese Idee gekommen ist, weiß ich nicht, aber der oder die gehört gevierteilt. Jetzt klingt es ja so, also ob ich von Links nach Rechts gewischt hätte, aber habe ich gar nicht. Ich habe gar nicht gewischt, sondern gedrückt, auf den Booteintrag, um den in der Liste zu verschieben. Das Bios ist halt nicht perfekt 🙁

Irgendwann morgens um 4 Uhr, als ich ins Bett ging, war ich so frustriert, daß alle Fixe per efibootmgr versagt haben, daß ich noch schnell ein TAR Backup vom HOME gemacht habe, es  auf einen anderen Server geschoben habe und dann ins Bett ging. Gegen 10 Uhr habe ich dann das OS neu installiert. So gegen 18 Uhr war alles wieder auf Stand. Gnome mit allen Extensions war da, FF hatte alle Plugins, alle Seiten usw. weil ich natürlich einfach mein Backup eingespielt habe, statt das alles neu zu konfigurieren und bis auf zwei Kleinigkeiten, lief das auch gut, bis Netflix dran war. Login geht. Trailer gehen, Film abgespielt und da kam Sie …  M7702-1003 . Die Fehlermeldung des Schwamms schlecht hin. Nichtmal Netflix weiß wieso die kommt. Woher ich das weiß, weil ich da gefragt habe 😉

Das Transscript dieses Gespräches mit einer BOT KI hebe ich mir für einen anderen Tag auf. Der Bot hat doch glatt behauptet, er wäre kein Bot, weil er ja Rechtschreibfehler durchs Tippen machen würde. Der hat aber so viele gemacht, das es schon wieder auffällig war und seine Argumente, liefen auch immer im Kreis, son typischer Eliza halt ;D Gut, ok, Netflix war nicht Schuld, aber halt auch keine Hilfe um überhaupt mal zu erfahren, was genau schief läuft. Was genau schief läuft wollte mir nicht mal STRACE sagen und wenn das nicht weiter weiß, gibt es nur einen anderen Grund..

S E L I N U X

Herleitung:

Wir brauchen strace  z.b. mit “ strace -f -p `pidof firefox |sed -e „s/ /,/g“` 2>/tmp/log “ und grepen dann mal durch das log und suchen nach widevine :

[pid 26822] writev(2, [{iov_base=“Sandbox: „, iov_len=9}, {iov_base=“failed to open plugin file /home/marius/.mozilla/firefox/mbmcq51y.default/gmp-widevinecdm/4.10.1196.0/libwidevinecdm.so: Permission denied“, iov_len=138}, {iov_base=“\n“, iov_len=1}], 3

Permission denied“ jo, ok, klar, Rechte falsch, kann passieren, wie auch immer, aber wäre möglich also schauen wir mal :

# pathdiscover /home/marius/.mozilla/firefox/mbmcq51y.default/gmp-widevinecdm/4.10.1196.0/libwidevinecdm.so

‚/home/marius/.mozilla/firefox/mbmcq51y.default/gmp-widevinecdm/4.10.1196.0/libwidevinecdm.so‘ translates to ‚/home/marius/.mozilla/firefox/mbmcq51y.default/gmp-widevinecdm/4.10.1196.0/libwidevinecdm.so‘

6834 kb        marius/marius -rwx—— :     libwidevinecdm.so ( regular file )
4096 Bytes   marius/marius drwxr-xr-x :   4.10.1196.0 ( directory )
4096 Bytes   marius/marius drwxr-xr-x :   gmp-widevinecdm ( directory )
4096 Bytes   marius/marius drwxrwxr-x : mbmcq51y.default ( directory )
4096 Bytes   marius/marius drwx—— :   firefox ( directory )
4096 Bytes   marius/marius drwxr-xr-x :  .mozilla ( directory )
36864 Bytes marius/marius drwx—— :   marius ( directory )
4096 Bytes  root/root            drwxr-xr-x : home ( directory )

Das sieht ja mal blöd aus. Blöd, weil alles korrekt!  WTF.. und wenn Du dann WTF sagst, sag auch gleich SELINUX 😀  Ein setenforce 0 später und schon lud Firefox das Modul wieder und NetFlix plärrte mit einem anderen Fehler weiter rum, der lag aber an dem Netflix HD Addon und war dann schnell behoben! Jetzt gibts zwei Wege, entweder man richtet den Context jedes Files einzeln, oder man erspart sich das, touched mal kurz /.autorelabel und macht einen Reboot!

Netflix Fehlercode: M7702-1003 … Gelöst! Nächstes Rätsel!

Und der Bot wollte unbedingt von mir, daß ich Chrome benutze :DD

Powertop SegFaultet … schon wieder

TPM2 Update zerlegt Fedorainstallation

Ihr habt einen TPM Chip im System ? Ihr setzt Fedora ein und habt deswegen den TPM Chip im Bios abgeschaltet ? Dann jetzt bloß nicht updaten!

Was passiert, wenn SEL auf TPM trifft

Ich fürchte ja, daß es dafür schon zu spät ist, aber sei es drum: NICHT UPDATEN! Sperrt das Paket in /etc/dnf/dnf.conf mit => „exclude=tpm2*“

Ok, das wird jetzt kompliziert, also langsam lesen.

Q: Wen betrifft das ?
A: Rechnerhardware mit einem TPM Chip auf dem Mainboard.

Q: Was ist TPM ?
A: Der Trusted Platform Modul – Chip signiert und prüft im Bootprozess, ob am System rumgespielt wurde und verweigert dann ggf. den Boot. Das macht in der Theorie den Rechner sicherer. Davon ab, kann man in dem Chip auch Digitale Signaturen und andere Kryptografische Informationen speichern und prüfen.

Q: Woher weiß ich, daß ich reinen TPM Chip habe?
A: Schaut ins Bios, der Chip wird da eine Option zum Ein- und Ausschalten haben.

Q: Was verursacht das Problem ?
A: Das Paket tpm2-abrmd-policies in der Version ( tpm2-abrmd-selinux-2.0.0-3.fc29 )  aktiviert beim Update wohl den TPM Chip und/oder setzt falsche SEL Policies im System, so daß der Rechner nicht mehr sauber bootet.

Q: Passiert das immer ?
A: Wissen wir noch nicht, ich war der einzige mit Fedora und TPM Chip.

Q: Sind spezielle Kernel im Spiel ?
A: Nein, wir haben 5.0.3, 4.19.23 und 4.20.5 ausprobiert => spielt keine Rolle.

Q: Wie wirkt sich das aus ?
A: Während des Bootprozesses stürzt der Kernel mit diversen Kernel-OOPS Meldungen ab. Mit Glück bootet er durch, bei mir war vor GDM Schluß mit lustig => System halt.
Wenn er durchbootet, dann bekommt man vom ABRT laufend Meldungen über Kernel-Abstürze, die automatisch behoben werden, teilweise 4x pro Minute.

Gegenmaßnahmen

als Root: systemctl stop tpm2-abrmd;systemctl disable tpm2-abrmd;

Dann rebooten und im BIOS den TPM Chip abschalten. Das hat bei mir dazu geführt, daß der vorherige Kernel 4.19.23 ( zu 4.20.5 ) sauber gestartet ist und im Bootprozess die SEL-Policies neu gesetzt wurden, im ganzen System, was ein Weilchen dauern kann. Danach lief jeder Kernel wieder normal, auch 5.0.3 .

Ein Bugreport wurde bei Red Hat abgesetzt. Ich wette, daß auch die TPM Maintainer vor einem Rätsel stehen, aber ich habe Augen- und Ohrenzeugen, da es mitten in unserer wöchentlichen LUG Sitzung passierte 😉

Update: Beitragstitel geändert, war zu reißerisch.