Linux am Dienstag – Programm für den 31.8.2021

Sprechen wir doch mal über Sicherheitslücken, davon gibt es ja derzeit einige.

Linux am Dienstag – Programm für den 31.8.2021

Bei Linux am Dienstag am 31.8. 2021 geht es ab 19 Uhr u.a. um folgende Themen:

Linux wird 30!
OpenSSH – VPN mit SSH
OpenSSL – Buffer Overflow im SM2 Modul gefixt.
Security – Was ist eine XSS Schwachstelle?
Security – Was ist eine SQL Injection?

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .

Pinephone: Wie man schwer erreichbare Apps konfiguriert

Auf dem Pinephone läuft Linux, soweit so gut. Daß bedeutet auch, daß wir echt coole Sachen mit dem Pinephone machen können 🙂

Pinephone: Wie man schwer erreichbare Apps konfiguriert

Wenn Ihr meiner Philosophie folgt, habt Ihr Gnome auf dem Handy laufen. Was wäre, wenn Ihr dieses Gnome, auf Euren PC benutzen würdet? 😀 Ich habe da zwei Ansätze für Euch. Beide vereint, daß der Bildaufbau ein bisschen langweilig ist, weil das Pinephone nicht die schnellste CPU hat.

Das Display per SSH exportieren

Dafür müssen wir den SSH Server umkonfigurieren. Dazu muß man sich als root-Benutzer auf dem Pine anmelden, entweder Ihr macht das SSH oder Ihr quält Euch durch die Toucheingabe ( nicht zu empfehlen ).

Eure /etc/ssh/sshd_config sollte so aussehen:

Include /etc/ssh/sshd_config.d/*.conf
PermitRootLogin prohibit-password
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
X11Forwarding yes
PermitTunnel yes
Subsystem sftp /usr/libexec/openssh/sftp-server

Dann Abspeichern der Änderungen und Neustart des Servers: systemctl restart sshd

Achtung: jetzt unbedingt Testen, ob Ihr noch einloggen könnt, sonst wird das unschön 😉 Wenn es Probleme gibt, die Änderungen einfach auskommentieren ( „#“ vor die Option schreiben )

Jetzt könnt Ihr per „ssh -Y -C pine@pine.ip“ ( Eure IP in Lan benutzen ) auf Euer handy einloggen und einfach eine Anwendung starten. Das sogenannte Display wird dann von SSH so umgebogen, daß es die Ausgabe auf Eurem PC/Laptop/Tablet oder anderem Telefon rauskommt 😉

Diese Methode ist für „schnell mal ebend“ geeignet.

RDP auf das Pinephone

Ein anderes Kaliber von mit dem Pinephone arbeiten bekommt wir über die Remote-Desktop-Schiene rein.

Damit bekommt man den Gnomedesktop auf den heimischen PC. Es sei aber gleich gesagt, für schnelles Arbeiten ist das nichts, weil der Bildaufbau langsam ist. Dafür kommt man echt an jede Ecke, jedes Icon und jede Einstellung dran.

Menüs und Optionen

Zur Vorbereitung müssen wir da erst einmal den XRDP Server installieren. Also auch hier wieder root werden und eingeben:

dnf install -y xrdp
sytemctl start xrdp
sytemctl enable xrdp
systemctl stop firewalld

Das letzte Kommando muß man erklären:

Ähm …., es ist unerklärbar. Beschönigen kann man nichts, der Firewall-Server hat ne Macke. Selbst wenn man RDP durchlässt, kommt es nicht an. Da hilft leider nur ausschalten. Aber: ab der Sekunde funktioniert dann auch endlich KDE-Connect korrekt, die DLNA Freigaben Eures Handies usw. . Ich bin zwar ein Sicherheitsfanatiker, aber echte Nachteile hat das nicht. Man kommt von außen eh nur an die Ports, an die man kommen muß, um die gewünschte Funktion auszuführen, dies könnte eine Firewall ohnehin kaum sinnvoll beschränken. Außerdem kann man sich noch eine klassische Iptables-Firewall aufbauen, falls ein Schutzinteresse besteht. Das hatte ich ja eh vor.

Hinweis: Im Mobilbetrieb, also außerhalb Eures Lans, solltet Ihr die Firewall wieder einschalten! Da muß schliesslich keiner auf Eurer Handy zugreifen können, zumal er gar nicht weiß, welche IP das gerade hat.

Kamera per RDP

ACHTUNG:

Ihr müßt ausgeloggt sein am Handy, also den Unlooker vom Handy sehen, sonst kommt Ihr als „pine“ Benutzer nicht rein. Als Root geht das, weil das eine andere Session ist.

Da man alle Apps per RDP starten kann, wobei es auch Einschränkungen gibt, weil der PolicyKit-Server nicht der hellste Stern am Himmel ist ( „CPU-Freq Problem“ ), kann man natürlich auch mit dem Firefox arbeiten oder seine Emails sichten ( diesmal in lesbarer Größe 😉 ).

Auf dem Desktop-PC brauch Ihr Remmina oder xFreeRDP um Euch dann auf Eurer Handy zu verbinden. Da ein Login via RDP ein lokaler Login ist, kann man sich auch als ROOT anmelden. So sieht das dann in Remmina aus

Natürlich könnt Ihr den XRDP auch nur dann starten, wenn Ihr den wirklich braucht, aber könnte ziemlich lästig werden.

Wir sehen uns dann beim nächsten Teil der Pinephone Serie.

Pinephone: Judgement Day!

Fedora erobert das Pinephone

Na…? Ward Ihr schon auf der Pine64 Shopseite und habt Eurer neues Projekthandy geordert? Ach Ihr habt den Artikel am Samstag gelesen und seid der Ansicht, daß es noch nicht so weit wäre. Also, das können wir ändern 😀

Fedora erobert das Pinephone

Selbst wenn Ihr es am Samstag noch geordert hättet, es wäre noch nicht da, aber das bedeutet nicht, daß Ihr nicht schon vorarbeiten könnt. Schritt 1 wäre eine schnelle MicroSD Karte mit 16 GB+ zu kaufen und sich einen passenden SD-Kartenleser zu organisieren. Mein Laptop war nämlich nicht in der Lage die schnelle Karte anzusprechen 😉 Mein Tablet allerdings schon und weil ich eh eine 256er Karte gekauft hatte ( kosten so um die 34 € ), habe ich die 128er aus dem Tablet ins Handy gesteckt.

Fangfrage: Wozu brauchen wir die SD-Karte, wenn doch schon ein Speichermedium mit 32 GB im Handy drin ist?

Nun, auf der internen Karte ist Manjaro drauf. Das könnte man überschreiben, aber dann wäre es weg. Und wir möchten doch unser neues Telefon nicht gleich am ersten Tag bricken, oder? 😀

Folgender Hinweis

Alles was Sie hier sehen, lesen oder hören, ist ohne Gewähr. Wenn Sie Ihr neues Telefon oder Ihren PC schrotten, ist das nicht mein Problem.

Das gesagt, geht es gleich los. Um ein Image schreiben zu können, muß man aber überhaupt erst einmal eines haben: Auf der Webseite PP Fedora Sdsetup findet man einen passenden Link dazu:

zur Zeit : https://github.com/nikhiljha/pp-fedora-sdsetup/releases/download/v0.2.0/fedora.tar.xz

Der Link kann sich jederzeit ändern, da die Basis Images alle paar Wochen neu gebaut werden. Hat man es erst einmal auf dem Handy, gibt es ganz normale Updates per dnf. Jetzt kann man zu recht sagen, „ja, aber was ist das für eine Quelle, wo kommen die Pakete her?“ Ihr werdet lachen, direkt von Fedora. Das ist lediglich ein bereits um die nötige Pinesoftware erweitertes Image mit einem zusätzlichen Fedora COPR-Repository von nikhiljha für die Spezialsoftware wie Megapixels, Chatty, Calls etc. .

Das Image muß nur noch im Dateimanager ausgepackt werden:

Image auspacken

Die Anleitungen zum Brennen von Images auf SD-Karten fürs Pine haben eins gemeinsam, die wollen das Image in der Konsole auf die Karte schreiben. Dabei ist das gar nicht nötig. Gnome-Disks aka. Laufwerke ist Eurer Freund. Wie man damit ein Image auf einen Datenträger schreibt, findet Ihr hier:

Fedora: Wie man ein ISO auf USB brennt

Ihr wählt also die SD-Karte als Ziel aus und als Image die .img Datei aus dem .tar.xz Archiv. (xz ist nur ein anderes Kompressionsprogramm als GZIP ).

Während das Image auf Eure Karte geschrieben wird, ein paar Hintergrundinfos über Fedora auf dem Pinephone.

Bleeding Edge und noch einen Schritt weiter

Das Pinephone benötigt zum Funktionieren Software, die hoch experimentell ist, dies nennt man Bleeding Edge. Daher kommen die Pakete direkt aus dem RawHide Repository von Fedora. RawHide ist die Alphaversion von Fedora. Natürlich ist da nicht alles experimentell. Die meiste Software wird bloß gegen neue Teile des Betriebssystem wie LibC usw. frisch kompiliert, ist aber ansonsten stabil. Es fliegt einem also nicht gleich immer alles um die Ohren, auch wenn Ihr hier natürlich anderes lesen werdet ;D Keine Panik, es war alles ohne Magie und Reinstall zu beheben. Es kann aber immer mal passieren, daß neue Libs für Ärger sorgen. Das war z.b. beim Mesa- und dem Bind-Libs-Update der Fall. Danach starten die Internet-Apps nicht mehr. Was man dagegen tun kann, wird man in Zukunft hier lesen können.

Ich werde im Blog entsprechende Warnungen posten, wenn etwas bekannt wird. Eine andere Quelle ist die Issue-Übersicht im Github. Da Ihr da aber nicht alle Fälle lesen werdet, genauso wenig wie bei mir, wäre es ratsam beide Seiten im Auge zu behalten.

Partionierung der SD-Karte

Das Image dürfte jetzt drauf sein. Da es nur 4.x GB hat, und Ihr eine 16 GB+ Karte verbaut habt, müssen wir doch in die Konsole. Also Terminal aufmachen und Root werden „sudo su“.

Ich hoffe Ihr habt Eurer Laufwerketool im Blick, Ihr braucht jetzt eine wichtige Info:

Bei Euch wird stehen, das es jede Menge ungenutzten Platz gibt. Das ist klar, weil das Image ja nur 4 GB groß ist. Wer Parted nicht installiert hat, möge das jetzt bitte nachholen: „sudo dnf install parted“

  • 1. sudo parted /dev/<SD-Device>

Wichtig: Das was oben bei Kartenleser steht, hier im Beispiel /dev/mmcblk0, ist Eurer <SD-Device> .

  • 2. Im parted gebt Ihr jetzt diese zwei Befehle ein:
    • (parted) resizepart 2 100%
    • (parted) quit

Damit wurde die Größe der Partition auf den zur Verfügung stehenden Platz vergrößert. Wie man oben sieht ist das dann alles 😉 Wer Lust hat, könnte sich alternativ eine Home-Partition anlegen. Jetzt braucht es nur noch eine Anpassung des eigentlichen Filesystems und wir sind fertig:

  • 3. sudo resize.f2fs /dev/<SD-Device_PARTITION2>
  • <SD-Device_PARTITION2> ist im Beispiel oben /dev/mmcblk0p2.

Der Moment der Entscheidung ist da

  • Jetzt zieht die Karte ab und steckt sie ins Pinephone, genau wie auf jedem anderen Handy auch. Deckel zu machen, und Pinephone starten. Die Zugangsdaten sind Username „pine“ / Passwort „123456“, was auch gleichzeitig der Entsperrcode ist.

Eine Frage bleibt, wollt Ihr Phosh nutzen, oder Gnome?

Im Screenunlocker müßt Ihr Euch jetzt für einen Desktop entscheiden. Leider merkt der sich das nicht, was bei Phosh bedeutet, daß man das ganze Handy neu booten muß.

Ich persönlich favorisiere Gnome, denn Phosh ist noch so unausgegoren, daß ich Euch nicht mal ein Bildschirmfoto davon zeigen kann, weil es nicht ausgenommen werden kann. Deswegen hier ein verwackeltes Archivfoto mit einem anderen Handy 😉 Zur Gegenüberstellung, das was Euch mit Gnome-Shell am Ende der ersten Artikelserie zum Pinephone erwartet:


Phosh

Gnome-Shell nativ

Die Initialisierung der Gnome-Shell dauert etwas, keine Panik 😉 Aber so macht ein Handy Spaß, oder? 😀

Ich favorisiere es übrigens quer, das gibt am wenigsten Probleme. Es sind natürlich noch einige Arbeiten an dem Handy zu machen. Was das alles ist, kommt im nächsten Teil der Serie in 3 Tagen!

Was Ihr Euch bis dahin verkneifen solltet: einfach ein komplettes Update zu machen, weil im Repo letzte Woche zwei Killerupdates gelandet sind, die die Funktionalität des Handy beeinflussen. Wer es sich doch nicht verkneifen kann, weil er auch die Cam und GPS austesten muß, der findet hier eine DNF Config, die das schlimmste verhindert:

# cat /etc/dnf/dnf.conf
[main]
keepcache=True
gpgcheck=1
installonly_limit=3
clean_requirements_on_remove=True
best=False
skip_if_unavailable=True
exclude=mesa* bind* gnome-shell* mutter*

Letzter Artikel der Serie:

Fedora erobert das Pinephone

nächster Artikel:

Fedora erobert das Pinephone