Re: Windows 10 Spionage - Umfang

[Reiner Lange]

Hallo Henry.

Es gibt ja durchaus ein berechtigtes Interesse an telemetrischen Daten. Mich 
stört bei Windows 10 die an den Tag gelegte Einstellung.
Ich sehe da folgende Abstufung:

1) Man beschränkt sich auf Bugreports, die auf einem nicht automatisierten Weg 
an den Betreiber gehen
2) Man sendet Crash Reports, wenn der Nutzer einwilligt
3) Man sendet Crash Reports, so lange der Nutzer nicht wiederspricht.
4) Man sammelt Telemetrie, auch wenn nichts schief geht um die Software besser 
an den Nutzer anzupassen (Optin, dann OptOut)

Bis Stufe zwei würd ich da noch mitgehen. Der rest ist schon nicht mehr so 
geil. Bei all dem kann man sich noch irgendwie einbilden, dass die sich in 
einem gewissen Rahmen bewegen und nicht all zu großes Schindluder getrieben 
wird. Hier und da mal ein Skandal, aber am Ende wird mehr oder weniger das 
gemacht was in der Datenschutzerklärung drinn ist.

Dann kommt aber MS und sagt: Wir garantieren dir garnix. Wir machen was wir 
wollen, wann wir es wollen und wie wir es wollen. Und wir sagen es Dir direkt 
ins Gesicht. 

Schon allein die Tatsache, dass ich extra bezahlen muss um einen Teil der 
Datensammlung permanent abzuschalten. Dass sich MS in ihrem Agreement ohne Not 
zum verlängerten Arm des Staates macht und dem im Zweifelsfall die Tür zu 
meinem Rechner aufmacht. Weiter: es gibt ja Tools um die Telemetrie 
abzuschalten ohne dafür zu zahlen. MS belässt es aber nicht dabei und schaltet 
alles wieder an, anstelle zu sagen: ok du hast n bischen Ahnung, wir 
akkzeptieren deine indirekte Willenserklärung und schöpfen nur die Unwissenden 
ab. Außerdem scheint MS sich ein Vorbild bei Google und Facebook zu nehmen, 
wenn man sich das Startmenü so ansieht. Das heißt hier werden Profile angelegt, 
werden Daten gesammelt, die weit über den Zweck der Produktverbesserung 
hinausgehen. 
Wenn das Ding schon root hat, dann sollte es wenigstens den Anschein von 
Vertrauenswürdigkeit erwecken. Aber so ist der benefit of the doubt verspielt. 
Das ist mein Problem.
Das Dilemma ist, dass es sehr gute Spiele gibt, die man nicht überredet bekommt 
unter irgend was anderem zu laufen als Windows.

Du hast Recht: letztenendes bleibt nur die physische Trennung meiner privaten 
Daten von den öffentlichen. 

Danke für all eure Denkanstöße.

> On 18. Apr 2020, at 16:06, Henry Wünsche  wrote:
> 
> Hier ist jetzt auch mal mein Senf:
> 
> Wieso stört dich die Wissbegierigkeit von Microsoft und Win10, Steam und 
> deine Games mit ihren EULAs (und den darin unter Umständen festgehaltenen 
> Datenübermittlungsklauseln zur Auswertung des Nutzerverhaltens) sind für dich 
> aber in Ordnung?
> 
> Klar, man kann und sollte generell ein gewissen Maß an Skepsis haben. Hier 
> wird aber mMn der MS-Teufel an die Wand gemalt.
> 
> "Hauptrechner" impliziert, dass noch mindestens ein weiterer Rechner im 
> Haushalt ist. Warum also nicht die Trennung Gaming-PC (Windows) und 
> Linux-Rechner für die "wichtigen" Sachen?
> 
> Ansonsten, wie schon erwähnt, LUKS
> 
> Beste Grüße,
> Henry
> 
> 
> On 17/04/2020 14:35, reiner.la...@gmx.de wrote:
>> Hello.
>> 
>> Scanned MS auch unverschlüsselte ext4 Partitionen?
>> 
>> Hintergrund:
>> 
>> Ich bin mit meinem Hauptrechner seit ein paar Tagen auf gentoo umgestiegen. 
>> Bisher hatte ich Windows 7. Das ist leider EoL und Windows 10 hat einfach 
>> eine desaströs grundlegend falsche Einstellung zu meinen Daten.
>> 
>> Nun überlege ich Windows 10 im Dual Boot zu betreiben, für die Games, die 
>> nicht auf Proton laufen.
>> Im Netz kann ich nichts schlüssiges zum Umfang der Spionagefunktion von 
>> Win10 finden. Jedenfalls räumen die sich sehr umfangreiche Rechte ein, 
>> sodass sie theoretisch meinen ganzen Rechner hochladen könnten.
>> 
>> Ich kann mich auch dunkel erinnern, gehört zu haben, dass ganze Word 
>> Dokumente zu MS verschickt wurden.
>> 
>> Und ich weiß, das MS jede EXE, zumindest die die sie nicht kennen, ziehen 
>> und ausführen.
>> 
>> Lieben Gruß,
>> Reiner
>> 
> 

Re: Windows 10 Spionage - Umfang

[Reiner Lange]

Vielen Dank für die Referenz.

Lieben Gruß,
Reiner

> On 17. Apr 2020, at 16:56, William Epler  
> wrote:
> 
> Da macht sich jemand die Mühe, die ganze "Telemetrie" per Powershell
> script auszuschalten:
> https://github.com/W4RH4WK/Debloat-Windows-10
> Problem ist, das es keine Garantie auf Vollständigkeit geben kann.
> 
> 
> -- 
> William Epler
> 

Re: Windows 10 Spionage - Umfang

[Reiner Lange]

Die Aussagen stammen aus News Artikeln, die ich vor längerem gelesen habe. Ich 
habe mir diese aber nicht gebkookmarked, sondern mir nur eine Zusammenfassung 
gemerkt. Also keine Aussagen, den ihr vertrauen sollt.

Bei den EXE Dateien: Dort hatte jemand ein virtuelles Internet zum Test seines 
Programms gebaut. Das war vom realen abgeschottet. Es gab ein NAT, welches WSUS 
ins Internet ließ sonst aber nichts. Jeder Build bekam eine eigene 
Versionsnummer. Man wunderte sich warum einige Stunden nach dem Test sich der 
letzte Build auf einmal am Realen System anmeldete.
Also ja. Vermutlich eine Funktion des Defenders.

Danke für den Tipp zum virt-manager. Das Programm kannte ich noch nicht.

Lieben Gruß,
Reiner

> On 17. Apr 2020, at 22:13, Daniel Leidert  wrote:
> 
> Am Freitag, den 17.04.2020, 14:35 +0200 schrieb reiner.la...@gmx.de:
>> 
>> Scanned MS auch unverschlüsselte ext4 Partitionen?
>> 
>> Hintergrund:
>> 
>> Ich bin mit meinem Hauptrechner seit ein paar Tagen auf gentoo umgestiegen.
>> Bisher hatte ich Windows 7. Das ist leider EoL und Windows 10 hat einfach
>> eine desaströs grundlegend falsche Einstellung zu meinen Daten.
>> 
>> Nun überlege ich Windows 10 im Dual Boot zu betreiben, für die Games, die
>> nicht auf Proton laufen.
>> Im Netz kann ich nichts schlüssiges zum Umfang der Spionagefunktion von Win10
>> finden. Jedenfalls räumen die sich sehr umfangreiche Rechte ein, sodass sie
>> theoretisch meinen ganzen Rechner hochladen könnten.
>> 
>> Ich kann mich auch dunkel erinnern, gehört zu haben, dass ganze Word
>> Dokumente zu MS verschickt wurden.
>> 
>> Und ich weiß, das MS jede EXE, zumindest die die sie nicht kennen, ziehen und
>> ausführen.
> 
> Mit geht es so ähnlich wie den anderen. Woher nimmst du diese Aussagen? 
> Richtig
> ist, dass bestimmte Datenübertragungen einfach nicht unterbunden werden 
> können.
> Microsoft gestattet da nur: Basis-Daten und Erweiterte Daten zu übertragen.
> Schön ist das nicht. Man kann aber schon einmal ziemlich viel überflüssige
> Datensammlungen via Gruppenrichtlinien (nur Pro-Version) ausschalten, 
> zumindest
> sofern man Microsoft traut, dass die Gruppenrichtlinien tun, was sie tun
> sollen. Die Aussage zu EXE-Dateien, vermute ich, steht im Zusammenhang mit der
> Cloud-Einstellung des Defenders? Wenn ja, kann man das abschalten.
> 
> Ich weiß nicht, was Microsoft tatsächlich an Linux-Partitionen lesen kann.
> Deren WSL kann meines Erachtens bisher kein EXT4. WSL 2 kann es ggf. Ich bin 
> da
> nicht auf dem Laufenden.
> 
> Verschlüssle halt deine Linux-Partitionen und/oder betreibe dein Windows als
> virtuelle Maschine (virt-manager) unter Linux, falls du so misstrauisch bist.
> 
> Gruß, Daniel
> 
> 

Windows 10 Spionage - Umfang

[reiner . lange]

Hello.

Scanned MS auch unverschlüsselte ext4 Partitionen?

Hintergrund:

Ich bin mit meinem Hauptrechner seit ein paar Tagen auf gentoo umgestiegen. 
Bisher hatte ich Windows 7. Das ist leider EoL und Windows 10 hat einfach eine 
desaströs grundlegend falsche Einstellung zu meinen Daten.

Nun überlege ich Windows 10 im Dual Boot zu betreiben, für die Games, die nicht 
auf Proton laufen.
Im Netz kann ich nichts schlüssiges zum Umfang der Spionagefunktion von Win10 
finden. Jedenfalls räumen die sich sehr umfangreiche Rechte ein, sodass sie 
theoretisch meinen ganzen Rechner hochladen könnten.

Ich kann mich auch dunkel erinnern, gehört zu haben, dass ganze Word Dokumente 
zu MS verschickt wurden.

Und ich weiß, das MS jede EXE, zumindest die die sie nicht kennen, ziehen und 
ausführen.

Lieben Gruß,
Reiner

Gentoo LXC Setup - IO superlangsam

[Reiner Lange]

Hallo zusammen.

Ich habe einen Gentoo Desktop aufgesetzt, der nun eine furchtbare IO 
Performance an den Tag legt. Aufgrund der Komplexität des Setups bin ich mir 
allerdings unschlüssig, wie ich das Problem diagnostizieren soll.

Das Setup ist folgendermaßen.

Ich habe einen genkernel mit LXC support compiliert. Das Basisystem entht nur 
Software die für das Management der LXC Container benötigt wird. Ich habe dann 
mehrere LXC Container am Laufen. Einer davon ist der Desktop. Andere enthalten 
Testserver verschiedener Distributionen.

Es gibt zwei Platten und eine SSD. Die SSD wird als Cache verwendet. Die 
Container liegen alle auf den zwei Platten.
Diese sind als llvm - pv konfiguriert. Jeder mount ist als BTRFS-RAID1 
konfiguriert. Diese liegen wiederum in llvm - lvs auf beiden Platten.

Die Kiste hat 64GB RAM und einen AMD Ryzen 7 1800X Eight-Core.

Nun ist mir folgendes aufgefallen:
* Auspacken großer Archive friert das System ein (obwohl der Kernel als 
Desktop konfiguriert ist)
* Die Datenbanken in den Containern sind sehr langsam. Schaltet man aber fsync 
(postgres) ab, dann sind sie super fix
* Es gibt eine VirtualBox VM, deren Plattenzugriffe sind ungewöhlich langsam, 
selbst für VM Verhältnisse (die VM läuft im Basissystem)

Jetzt ist halt die Frage was verkehrt ist.
Ist BTRFS auf LLVM böse?
Hab ich bei der Kernelconfiguration was übersehn?
Gibt es etwas, was ich bei der LXC konfiguration beachten muss?

Womit würdet ihr die Suche beginnen?

Lieben Dank und Gruß,
Reiner

Re: linux und tablets

[Reiner Lange]

Cool. Das klingt sehr interessant. Danke : )
> On 27 Apr 2015, at 08:32, Jochen Topf  wrote:
> 
> On So, Apr 26, 2015 at 11:05:20 +0200, Reiner Lange wrote:
>> Ich bin grad am überlegen mir einen touchfähiges tablet zuzulegen. Welches 
>> Gerät eignet sich eurer Meinung nach am besten um einen linux Desktop zu 
>> betreiben. Und welches linux würdet ihr empfeheln, wenn man keinen Androiden 
>> haben möchte.
>> 
>> Bei Android stört mich vor allem das man Apps nehmen muss die potentiell 
>> alles nach Hause funken können und ich das nich wirklich unterbinden kann.
>> 
>> Ich bilde mir ein das ich mit einem normalen linux Desktop weitaus mehr 
>> kontrollieren kann. (z.B. Facebook in einen eigenen account verbannen und 
>> per VPN über mein Heimnetz routen … wenn man es denn schon nutzen muss). Da 
>> kommt allerdings die Frage auf in wie weit es da Desktops gibt die auf 
>> touchfähiger Hardware brauchbar sind. Zur Not tut es auch Ubuntu Phone… mich 
>> würde aber interessieren ob es noch alternativen gibt, da Ubuntu nun auch 
>> nicht grad den Datenschutz an erster stelle hat.
> 
> Wenn Du noch ein bischen warten kannst, dann wäre vielleicht das Jolla Tablet
> was für Dich. https://jolla.com/ . Bisher haben die nur ein Handy, aber das
> Tablet soll demnächst rauskommen.
> 
> Ich habe seit ein paar Monaten das Jolla Handy. Das ist eine relativ normale
> Linux-Machine. Man muss einmal im Konfig-Menü den Developer-Mode aktivieren,
> dann kann man sich als User bzw. auch Root einloggen. Auf dem Ding selbst
> per Terminal-App oder, komfortabler, per ssh. Das Linux darunter nennt sich
> Sailfish OS, es basiert auf diversen Entwicklungen wie Maemo und so auf dem
> alten Nokia-Umfeld. UI basiert auf QT. Das UI ist jetzt nicht das allertollste
> und der Browser stürzt des öfteren ab, aber wahrscheinlich bekommt man auch
> nen anderen Browser installiert. Es ist halt relativ zugänlich für "Hacker".
> Man findet sich auch sofort zurecht, wenn man sich einloggt, Dinge sind meist
> da, wo man sie von einem normalen Linux erwartet und so.
> 
> Jochen
> -- 
> Jochen Topf  joc...@remote.org  http://www.jochentopf.com/  +49-351-31778688


___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: linux und tablets

[Reiner Lange]

Sowas wie Unity hat halt den Vorteil das ich ein ganz normales System unter der 
Haube habe und da auch rankomme. Wie sieht das bei CM aus. Ist man da auf Apps 
beschränkt oder kann man da eine Shell aufmachen und z.B. ein iptables aufrufen?

> On 26 Apr 2015, at 17:22, Fabian Hänsel  wrote:
> 
> Hej!
> 
>> Ich bin grad am überlegen mir einen touchfähiges tablet zuzulegen.
>> Welches Gerät eignet sich eurer Meinung nach am besten um einen
>> linux Desktop zu betreiben. Und welches linux würdet ihr empfeheln,
>> wenn man keinen Androiden haben möchte.
> 
> Die vernünftige Bedienbarkeit eines normalen Linuxdesktops auf einem
> Tablet erscheint mir sehr zweifelhaft, aber vielleicht wären cyanogenmod
> & Co etwas für dich ("Android ohnen Google").
> 
> Deren Hardwarekompatibilitätsliste dürfte dir dann auch bei der Wahl
> eines konkreten Geräts behilflich sein.
> 
> Beste Grüße
>  Fabian
> 
> ___
> Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
> https://ssl.schlittermann.de/mailman/listinfo/lug-dd


___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: linux und tablets

[Reiner Lange]

Danke für die Info. Das bestätigt schon mal so ein bischen meine Befürchtungen.
Das Windows8 Tablet hatte ich noch garnich auf dem Schirm. Da werd ich mich mal 
schlau machen.
> On 26 Apr 2015, at 17:15, Bernd Müller  wrote:
> 
> Hi, ich hatte mal Ubuntu 13.04 auf meinem Nexus 7 2012 - lief so weit nicht 
> schlecht. Leider wurde das Projekt für dieses Tab eingestellt... Man kann es 
> auch nicht mehr vernünftig testen, da die Quellen nicht mehr aufzurufen sind. 
> Der Support für 13.04 war ja nur 9 Monate.
>  
> Für Android-Tablets gibt es ein paar Lösungen, aber alles Bastelei so weit 
> ich es überblicke.
> Spannend sind die Atom-Tablets. Ich hatte schon mal ein 14.04 auf einem 
> Medion-Tab-(Notebook) ausprobiert. Da die Hardware wie bei normalen Computern 
> ist, kann man das hinbekommen. Wichtig, die Windows8-Tabs auf Intel-basis 
> sind mit Secure-Boot und UEFI ausgestattet. Bei Ubuntu hast du einen für 
> Secureboot signierten Kernel ab der Version 12.04.2. Den ganzen Kram mit 
> Amzon-Lens und so kann man abschalten/deinstallieren, dafür gibt es massig 
> Anleitungen.
>  
> Viel Spass und lass uns an deinen Gehversuchen teilhaben.
>  
> Grüße Bernd
>  
> Gesendet: Sonntag, 26. April 2015 um 11:05 Uhr
> Von: "Reiner Lange" 
> An: "Linux-User-Group Dresden" 
> Betreff: linux und tablets
> Hallo zusammen.
> 
> Ich bin grad am überlegen mir einen touchfähiges tablet zuzulegen. Welches 
> Gerät eignet sich eurer Meinung nach am besten um einen linux Desktop zu 
> betreiben. Und welches linux würdet ihr empfeheln, wenn man keinen Androiden 
> haben möchte.
> 
> Bei Android stört mich vor allem das man Apps nehmen muss die potentiell 
> alles nach Hause funken können und ich das nich wirklich unterbinden kann.
> 
> Ich bilde mir ein das ich mit einem normalen linux Desktop weitaus mehr 
> kontrollieren kann. (z.B. Facebook in einen eigenen account verbannen und per 
> VPN über mein Heimnetz routen … wenn man es denn schon nutzen muss). Da kommt 
> allerdings die Frage auf in wie weit es da Desktops gibt die auf touchfähiger 
> Hardware brauchbar sind. Zur Not tut es auch Ubuntu Phone… mich würde aber 
> interessieren ob es noch alternativen gibt, da Ubuntu nun auch nicht grad den 
> Datenschutz an erster stelle hat.
> 
> Danke und Gruß,
> Reiner
> ___
> Lug-dd maillist - Lug-dd@mailman.schlittermann.de
> https://ssl.schlittermann.de/mailman/listinfo/lug-dd 
> <https://ssl.schlittermann.de/mailman/listinfo/lug-dd>___
> Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
> https://ssl.schlittermann.de/mailman/listinfo/lug-dd

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

linux und tablets

[Reiner Lange]

Hallo zusammen.

Ich bin grad am überlegen mir einen touchfähiges tablet zuzulegen. Welches 
Gerät eignet sich eurer Meinung nach am besten um einen linux Desktop zu 
betreiben. Und welches linux würdet ihr empfeheln, wenn man keinen Androiden 
haben möchte.

Bei Android stört mich vor allem das man Apps nehmen muss die potentiell alles 
nach Hause funken können und ich das nich wirklich unterbinden kann.

Ich bilde mir ein das ich mit einem normalen linux Desktop weitaus mehr 
kontrollieren kann. (z.B. Facebook in einen eigenen account verbannen und per 
VPN über mein Heimnetz routen … wenn man es denn schon nutzen muss). Da kommt 
allerdings die Frage auf in wie weit es da Desktops gibt die auf touchfähiger 
Hardware brauchbar sind. Zur Not tut es auch Ubuntu Phone… mich würde aber 
interessieren ob es noch alternativen gibt, da Ubuntu nun auch nicht grad den 
Datenschutz an erster stelle hat.

Danke und Gruß,
Reiner
___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: Firejail

[Reiner Lange]

Hallo Chris.

Scheint so als müsste ich mich mal mit Namespaces auseinander setzen. Davon 
habe ich bisher noch garnichts gehört.
LXC ist mir auch neu. Mal sehn was man da lernen kann.

Übrigens, falls dir das Steilshoop was sagt, kennen wir uns glaub ich : )

Gruß,
Reiner


> On 16 Feb 2015, at 21:45, Christian Perle  wrote:
> 
> Hallo Reiner,
> 
> On Mon, Feb 16, 2015 at 14:39:50 +0100, Reiner Lange wrote:
> 
>> Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ entdectk. Da
>> gibt es auch debian Pakete.  Kennt das jemand? Abgesehen von exploits
>> die einem root geben, sollte das doch jegliche Spinoage auf die daten
>> einschränken, die ich pro App freigebe…
> 
> Ich wollte es schon mal ausprobieren, hatte aber damals noch keinen
> 3er-Kernel. Hab es vorhin auf Debian Wheezy aus Sourcen gebaut und kurz
> angetestet. Der Wheezy-Kernel (3.2) hat einige Funktionen noch nicht, die
> firejail gerne nutzen will (z.B. seccomp). Die Namespaces funktionieren
> aber soweit. Private Mounts, Network- und PID-Namespaces usw. klappen.
> Im firefox-Profil hat der Browser die PID 1.
> 
> Etwas erstaunt war ich, dass trotz privatem /tmp-Verzeichis (und damit
> Wegfall der Socket-Datei /tmp/.X11-unix/X0) der X-Server trotzdem erreicht
> werden konnte. Liegt daran, dass der X-Socket auch als Abstract Socket
> (erstes Zeichen ist @) vom Server bereitgestellt wird.
> 
> Anscheinend macht firejail auch massiven Gebrauch von bind-mounts. Im
> firefox-Profil wird z.B. das /bin/mount-Binary durch einen privaten
> bind-mount ueber die Datei unzugaenglich gemacht. Das .ssh-Verzeichnis
> des Users wird durch einen privaten tmpfs-Mount ausgeblendet.
> 
>> Was wären die Alternativen, mit denen ich ohne große Verränkungen im
>> täglichen Betrieb Desktop Apps Sandboxen kann?
> 
> LXC (Linux Containers) nutzt auch Namespaces, CGroups usw., ist aber im
> Setup etwas aufwendiger. Kenne ich bisher aber auch nur theoretisch,
> noch keine Praxiserfahrung.
> 
> Gruss,
>  Chris
> -- 
> Christian Perlechris AT linuxinfotag.de
> 010111  http://chris.silmor.de/
> 101010  LinuxGuitarKitesBicyclesBeerPizzaRaytracing
> 
> ___
> Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
> https://ssl.schlittermann.de/mailman/listinfo/lug-dd


___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: Firejail

[Reiner Lange]

Hallo Martin.

Qubes scheint genau das zu sein was ich gesucht habe. Sieht so aus als hat sich 
in den letzten Jahren doch schon so einiges getan. Ich kannte bisher lediglich 
SELinux. Die damit verbundenen Aufwände haben mich bisher abgeschreckt. Da bin 
ich eher Endanwender und will das schon alles funktioniert : )

Gruß,
Reiner

> On 16 Feb 2015, at 21:26, Martin Probst  wrote:
> 
> Hallo Reiner,
> 
>> On 16 Feb 2015, at 14:39, Reiner Lange  wrote:
>> 
>> Hallo zusammen.
>> 
>> […]
>> Was wären die Alternativen, mit denen ich ohne große Verränkungen im 
>> täglichen Betrieb Desktop Apps Sandboxen kann? Wie das iPhone/IOS das macht 
>> find ich ganz gut, alles Automatisch und man merkt es garnicht. Bei mir 
>> öffne ich einen Dateityp immer nur mit jeweils einem Programm und daher darf 
>> ruhig alles getrennt von einander sein.
> 
> Du kannst dir in diesem Fall einmal Qubes OS[1] ansehen. Hier wird jede 
> Applikation ge-sandbox-ed/virtualisiert gestartet und du bestimmst, welche 
> Applikation, welche Daten sehen darf. Ansonsten kann ich dir SELinux[2] an’s 
> Herz legen - das schreiben eigener Policies erfordert jedoch einiges an 
> Einarbeitung und fortgeschrittenen Linux-Kenntnissen (ohne jetzt eine Wertung 
> deines Kenntnisstandes vornehmen zu wollen). Für letzteres würde ich dir 
> allerdings Fedora/CentOS/RHEL empfehlen.
> 
> Viele Grüße,
> Martin
> 
> [1] https://qubes-os.org/ 
> [2] 
> http://selinuxproject.org/page/Main_Page___
> Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
> https://ssl.schlittermann.de/mailman/listinfo/lug-dd


___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Firejail

[Reiner Lange]

Hallo zusammen.

Ich möchte wieder auf Linux zurückkehren um etwas mehr Sicherheit und Kontrolle 
zu bekommen. Was mich bisher davon abgehalten hat ist, das man bisher mit einem 
0-Day exploit lediglich in eine meiner vielen Desktopanwendungen einbrechen 
musste um an alle Daten meines Benutzeraccounts heranzukommen. Ich müsste für 
jede Anwednung einen eigenen Nutzer anlegen um das zu verhindern.

Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ 
 entdectk. Da gibt es auch 
debian Pakete.
Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch 
jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…

Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen 
Betrieb Desktop Apps Sandboxen kann? Wie das iPhone/IOS das macht find ich ganz 
gut, alles Automatisch und man merkt es garnicht. Bei mir öffne ich einen 
Dateityp immer nur mit jeweils einem Programm und daher darf ruhig alles 
getrennt von einander sein.

Gruß,
Reiner___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: minimaler linux kernel

[Reiner Lange]

Am Montag, 8. April 2013, 20:33:06 schrieb Christian Perle:
> Um das Rootdevice in qemu zu mounten brauchst Du wenigstens
> (modular im initramfs oder fest im Kernelimage ist Deine Sache):
> 
> CONFIG_SCSI=y
> CONFIG_BLK_DEV_SD=y
> CONFIG_ATA=y
> CONFIG_ATA_SFF=y
> CONFIG_ATA_PIIX=y
> 
> Und natuerlich den Treiber fuer das Rootfilesystem (ext3 oder was auch
> immer).
> 
> Warum SCSI? Weil nahezu alle Storage-Controller (echtes SCSI, SATA, PATA,
> USB-Storage, Firewire-Storage, ...) auf den SCSI-Layer abgebildet werden.
> 
> Warum ATA_SFF? Damit ATA_PIIX ueberhaupt auswaehlbar ist.
> 
> Gruss,
>   Chris

Hey! Vielen Dank. Das hat funktioniert :)

Das die Treiber so verschachtelt sind war mir bisher nicht klar. Etwa das man 
das BLK_DEV_SD noch anschalten muss damit der kernel ueberhaupt mal 
Massenspeicher fuer SCSI unterstuetzt. Ganz zu schweigen davon das der ATA 
Geraete als SCSI behandelt werden.

Auf dem raspberry wird das lustig. Ich hoffe mal das ich mich von den 
Geraetetreibern durch die depencies nach oben arbeiten kann. Das haetter hier 
ja funktioniert.
Ueber Netzwerksupport will ich noch garnicht nachdenken. *grusel*


___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: minimaler linux kernel

[Reiner Lange]

Am Montag, 8. April 2013, 20:32:13 schrieb Jan Leonhardt:
> Hallo,
> 
> ich würde einfach aus einem Livesystem heraus schauen, was der Kernel
> den denkt zu finden und was er letzten Endes für Module benutzt ;)

Cool. Danke. Auf die Idee bin ich noch garnicht gekommen :D. 

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

minimaler linux kernel

[reiner . lange]

Hallo zusammen.

Ich bin gerade dabei gentoo auf meinen raspberry zu installieren. Dazu möchte 
ich den kleinst möglichen kernel verwenden. Leider ist das komplizierter als 
gedacht.

Ich übe derzeit mit dem standard gentoo genkernel (vanilla mit gentoo patches 
+ initramfs generator) für x86_64 und qemu, bevor ich mich dann an den 
gepatchten raspberry vanilla kernel wage.
Ich verdende die allnoconfig als ausgangspunkt. Ich vermute das ich für die 
qemu Festplatte den ATA Treiber und den PCI Treiber brauche. Ausserdem habe 
ich passend zum fs ext2 und ext3 ausgewählt. Aber aus einem nich näher 
benannten Grund findet er das /dev/sda1 nicht oder kann zumindest das rootfs 
nicht mounten:

VFS: Cannot openroot device "sda1" or unknown-block(0,0)
Kernel panic - not syncing: VFS: Unable to mount root fs on unkown-block(0,0)


Wie bekommt man denn nun raus welche Module man alle einkompilieren muss. Ich 
habe nun schon einige Wochen mit google befragen verbracht. Niemand scheint 
das so zu machen :(. Alle machen den Kernel modular und schalten alles an. Das 
kanns doch nicht sein.

Danke fürs lesen. Ich hoffe ihr könnt mir weiterhelfen.

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd