feed-image -=Kernel-Error=- BlogFeed

FreeBSD slim lightDM MATE und Shutdown/Reboot durch den Benutzer

Auf fast jedem Unix ähnlichen System haben Benutzer nicht das Recht das komplette System herunterfahren oder neustarten zu können. Macht ja nur Sinn... Nutzt man dieses System aber als Desktop könnte es in gewissen Fällen ebenfalls nicht dumm sein, wenn Benutzer nicht in der Lage sind das System zu rebooten und einen shutdown abzusetzten. In den Meisten Fällen ist man dann wohl doch alleine auf seinem System und es ist eher eine Einschränkung wenn man sich erst als privilegierter Benutzer anmelden muss um seinen Comupter/Laptop abschalten zu können.

Dafür wurden nun verschiedenste Dienste entwickelt um dieses so einfach wie möglich zu erledigen. Das wohl bekannteste und verbreitetste ist consolekit / policykit / polkit. Dieses System ermöglicht es bestimmte Rechte basierend auf Benutzer oder Gruppen zu verteilen. Die gängigen Logonmanager sowie Displaymanager haben in der Regel bereits die Möglichkeit eingebaut um sich damit auszutauschen. Der normale Linux Benutzer wird damit wohl kaum noch in Berührung kommen.

Am einfachsten schaut man sich als Benutzer einmal in einem xterminal an welche Möglichkeiten einem geboten werden:

$ pkaction

Schon gibt es eine Liste der aktuell konfigurierbaren "Berechtigungen". Ob shutdown und reboot dabei ist sagt einem:

$ pkaction | grep -E 'stop|restart'
org.freedesktop.consolekit.system.restart
org.freedesktop.consolekit.system.restart-multiple-users
org.freedesktop.consolekit.system.stop
org.freedesktop.consolekit.system.stop-multiple-users

Ob der eigene Benutzer es bereits darf sagt einem:

$ pkaction --action-id org.freedesktop.consolekit.system.restart --verbose
org.freedesktop.consolekit.system.restart:
  description:       Restart the system
  message:           System policy prevents restarting the system
  vendor:            
  vendor_url:        
  icon:              
  implicit any:      no
  implicit inactive: no
  implicit active:   yes

Implicit active ist hier der spannende Eintrag... Dieser ergibt sich für mich aus der von mir angelegten Regel 05-shutreboot.rules unter /usr/local/etc/polkit-1/rules.d diese schaut wie folgt aus:

polkit.addRule(function (action, subject) {
  if (action.id == "org.freedesktop.consolekit.system.restart" ||
  action.id == "org.freedesktop.consolekit.system.stop"
  && subject.isInGroup("wheel")) {
  return polkit.Result.YES;
  }
});

Die Regel besagt das org.freedesktop.consolekit.system.stop sowie restart das Ergebnis YES zurückgeben soll, wenn der Benutzer in der Gruppe wheel ist. ist diese Regel eingetragen, und man ist sich sicher das alles klappen müsste, es dennoch nicht funktioniert sind ein beliebter Fehler die Rechte vom Ordner. Hier könnte folgendes helfen:

$ chown polkitd:wheel /usr/local/etc/polkit-1

In diesem Sinne...

Die neue QIVICON Home Base 2.0 für das Telekom Smarhome

Ich nutze privat an der einen oder andere Stelle das Smarthomezeugt vom rosa Haufen. Es funktioniert sogar in 80% der Fälle :)

Vor kurzem haben sie nun angefangen die Home Base 2.0 unter das Volk zu werfen. Hergestellt wird das Ding von Qivicon und um die Software rennt wohl dieser Kapps Verein, den genauen Zusammenhängen bin ich noch nie nach gelaufen.... Die alte Home Base war OK, wobei OK der Freund von Scheiße ist.

Kein WLAN, kein ZigBee (ok mit zusätzlichem USB-Stick), unglaublich langsam und vom Gefühl her wird es schlimmer umso mehr Geräte Angeschlossen werden. Zeitlich recht nahe beieinander sind auch diese super tollen neuen "IP" Endgeräte von Q3 in den Shops. Die laufen natürlich mit der neuen Home Base, die alte 1.0 hat aber etwas später ein Firmware Update bekommen und kann nun ebenfalls mit den neuen Geräte sprechen. "Kann sprechen" heißt dabei aber nicht "geht gut!". Die arme alte Java POWERED Home Base scheint damit komplett überfordert zu sein.

Also habe ich mir mal die Version zwei von unserem Briefträger ins Haus bringen lassen. Im Grunde eine gute Idee, selbst das Endergebnis ist nun gut. Mit gut meine ich, dass ich nicht mehr den Eindruck habe die Home Base sei überfordert. Die Videos und Streams der Kameras laufen sauber und flüssig, ich habe seither keinen Verbindungsaussetzer mehr zu einem der Sensoren gehabt (passierte früher schon mal, konnte fast immer mit einem Reboot der Home Base erledigt werden). Super Ding also. Wenn da nicht die Einrichtung wäre.

Es gibt eine 1A Wechselanleitung der Telekom (das war ironisch gemeint)... In der steht grob zusammengefasst folgender Ablauf:

 

1. Löschen sie alle Geräte/Verbindungen auf ihrer Home Base 1.0

2. Machen sie einen Reset an ihrer Home Base 1.0

3. Alte Home Base abklemmen, neue Home Base anklemmen.

4. Neue Home Base registrieren und aktivieren.

5. Alle Geräte/Verbindungen neu einrichten.

 

Punkt 1 und 5 klingen schon nach Brechreiz, japp... Man geht in diese APP oder in das Webinterface und klickt sich in die einzelnen Räume, dann zum einzelnen Gerät und dann auf Löschen. Dabei hat die APP sowie das Webinterface aus irgendwelchen Gründen einen gefühlten delay von 1 - 2 Sekunden. Dann stellt man fest das einige Geräte nicht einfach gelöscht werden können... Nein man muss zum Gerät hin und noch einen Kopf zur Bestätigung drücken. Also renne ich erstmal knapp eine Stunde durch meine Bude und drücke wild auf allen möglichen Knöpfen herum. Dabei verreckt die APP 5 mal und bestimmt 30 mal kommt die Info: "Kann gerade keine Verbindung zu ihrer ranzigen Home Base herstellen!". Schon beim Löschen der Geräte fällt mir unangenehm auf, wie viele es doch inzwischen sind und wer zum Teufel soll sich bloß merken wo und wie viele ich habe (einige sind Unterputz als Schalter.... Unterputz....). Irgendwann sind alle Geräte gelöscht und wenn gewünscht bestätigt. Ich schaue durch die APP, wirklich alles leer :-)

Erstmal Kaffee...

Zurück am Smartphone und Notebook kontrolliere ich noch einmal ob alles weg ist und ich mich bisher brav an die Wechselanleitung von der Telekom gehalten habe (mir kommt der Type von der Hotline in den Sinn der meinte: "voll irrsinnig wichtig und so!"). Reset der alten Home Base ist schnell gemacht. Abklemmen und los mit der neuen :-)

Geht aber nicht?!? Die APP ist fest davon überzeugt sich mit der alten Homebase nicht mehr unterhalten zu können, was mich nicht unbedingt wundert. Das Webinterface bei qivicon ist der gleichen Überzeugung. *brech* Support anrufen und dann first level Mensch? Ich finde in meinem Account bei qivicon den Button "exchange gateway" *klick*. Mir wird gesagt doch bitte die Seriennummer der neuen Home Base einzugeben, mache ich natürlich ganz brav. Geht auch... Nicht mal die Aktivierung ist mehr nötig *grübel* So wichtig kann die Aktivierung auch nicht sein, denn selbst in der Wechselanleitung steht man soll da mal "irgendwas" eintragen und die kommende Fehlermeldung ~ignorieren~. Fehlermeldung _ignorieren_ au man...... Irgendwann hört dann die neue Home Base auf rot zu blinken (ein gutes Zeichen, sie meint fertig, mit was auch immer, zu sein).

Klasse, die Home Base ist die und meine komplette Konfiguration (hatte ich nicht mit gerechnet) oh und öhm alle Geräte? Das wird übel.... Die neue Home Base möchte nun also mit den alten Geräten sprechen "die ich ja eigentlich gelöscht habe" diese Geräte verstehen nun die neue Homebase nicht. Denn die Geräte hatten sich ja mit der alten Home Base auf einen Schlüssel geeinigt. Als Ergebnis bewegt sich nun tonnenweise Datenmüll über die Luft zwischen den ganzen Geräten und der neuen Home Base hin und her. Dieses sorgt nun dafür, das mein internes Funkmodul alle paar Sekunden überlastet ist. Klar, einfach alle Geräte noch mal löschen und fertig. Leider scheint man dieses Funkmodul zum Löschen zu benötigen. Also habe ich immer ein paar Sekunden um Geräte zu löschen, bis das Funkmodul abkackt und sich nur durch einen !!!15 MINUTEN... Echt jetzt 15 fucking Minuten!!! Reboot wieder zum Arbeiten überreden lässt. Was genau macht die Home Base beim Reboot? Nur mal schnell auf einem Core checken ob die ersten 100 Nachkommastellen von π noch immer das gleiche Ergebnis liefern? Ich brauche also knapp 1,5h um die ganzen Geräte zu löschen.

Alle Geräte gelöscht und die Home Base bleibt an \o/ ich meine an dem Punkt schon mal gewesen zu sein :-P

Nun verbinde ich also alle Geräte wieder mit meiner neuen Home Base 2.0 was mich auch knapp 1,5h kostet, da das eine oder andere Endgerät jetzt dann auch noch mal einen Fullreset haben möchte um funktionieren. Nur fair wenn sich das schon die Home Base raus nehmen kann, oder?

Im Anschluss noch 20 Minuten damit verbringen das Heizungsprofil zu aktualisieren und den Rolladensteuerungen mit der Stopuhr vermitteln wie lange es denn wohl dauert bis die einzelnen Rolladen brauchen um oben-/unten zu sein.

Nun habe ich also die alte Home Base hier auf dem Tisch und werde sie gleich aufschrauben. Ich rechne aber mit keiner besonderen Überraschung, jemand von euch?

 

  • Telekom-QIVICON-Home-Base-Smart-Home-01
  • Telekom-QIVICON-Home-Base-Smart-Home-02
  • Telekom-QIVICON-Home-Base-Smart-Home-03
  • Telekom-QIVICON-Home-Base-Smart-Home-04
  • Telekom-QIVICON-Home-Base-Smart-Home-05
  • Telekom-QIVICON-Home-Base-Smart-Home-06

Simple Image Gallery Extended

Webserverumbau

Fast alle meine Server laufen auf einer FreeBSD Basis... Dieses System hier ist eines der wenigen das sich noch an Apache und Linux festkrallt. Das werde ich in den nächsten Tagen ändern. Weg von apache und weg von Linux. Wenn es also in den nächsten Tagen hier etwas "rumpelt" habe ihr jetzt schon eine Idee warum :-D

ownCloud / Nextcloud Security Scanner

Ihr erinnert euch doch sicher noch an meinen Bla zum BSI und nextcloud, oder? ==> Die Jungs vom BSI und nextcloud

Inzwischen ist der Scanner wohl für jeden einfach nutzbar... So wie man es von Qualys oder ähnlichem kennt. Einfach mal hier klicken: https://scan.nextcloud.com/ und fröhlich scannen :-)

Solche Scanner haben ja auch schon irgendwie etwas für sich, oder? Ein A+ sollte wohl für den Moment jeder ohne weitere Probleme erreichen können!

So long...

Die Jungs vom BSI und nextcloud

Nextcloud hat sie die Mühe gemacht und mal nach owncloud und nextcloud Installationen gesucht. Dabei haben sie direkt mal geprüft wie sicher oder unsicher die wohl sind. Das hat seinen Weg zum BSI gefunden und die haben dann die abuse Adressen aller Netzbetreiber "gefüttert".

Erstmal keine schlechte Idee. Natürlich will nextcloud was damit erreichen, das BSI macht auch brav mit super... Solange wir alle IPv4 machen läuft diese Version auch!

Oh ja, die abuse Mail:

Sehr geehrte Damen und Herren,
 
 ownCloud und Nextcloud sind Software-Lsungen zum Betrieb selbst
 gehosteter Cloud-Instanzen zur Synchronisation und zum Austausch
 von Daten.
 
 Das Unternehmen Nextcloud GmbH hat offen aus dem Internet
 erreichbare Installationen von ownCloud und Nextcloud geprft.
 Dabei wurden zahlreiche Cloud-Instanzen identifiziert, die mit
 veralteten Software-Versionen laufen, welche verschiedene
 Sicherheitslcken aufweisen.
 
 Angreifer knnen diese Schwachstellen ausnutzen, um unter anderem
 unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen.
 Dabei knnen die Angreifer ggf. sensible Informationen wie z.B.
 persnliche Dokumente, Fotos oder Kundendaten von Unternehmen
 aussphen und diese anschlieend im Internet verffentlichen oder
 fr kriminelle Zwecke wie Erpressungen nutzen.
 Andere Schwachstellen ermglichen Angreifern die Ausfhrung
 beliebigen Programmcodes auf dem Cloud-Server. Dies kann ggf.
 zu einer vollstndigen Kompromittierung des Systems und dessen
 Missbrauch fr weitere kriminelle Aktivitten fhren.
 
 Die Nextcloud GmbH hat CERT-Bund ihre Ergebnisse der Prfungen
 zur Untersttzung bei der Benachrichtigung betroffener Server-
 Betreiber bereitgestellt.
 
 Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in
 Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann
 die verwundbare Cloud-Installation identifiziert wurde.
 Weiterhin sind fr jedes System eine Risikoeinstufung sowie eine
 eindeutige ID (UUID) angegeben.
 
 Die Nextcloud GmbH stellt unter folgender URL detaillierte
 Informationen zu den bei der jeweiligen Cloud-Instanz erkannten
 Schwachstellen und deren Behebung zur Verfgung:
 https://scan.nextcloud.com/results/[UUID]
 
 Der Parameter [UUID] muss dabei durch die zu der jeweiligen Instanz
 angegebene UUID ersetzt werden. Beispiel:
 https://scan.nextcloud.com/results/12345678-1234-1234-1234-12345678
 
 Wir mchten Sie bitten, den Sachverhalt zu prfen und Manahmen zur
 Aktualisierung der Cloud-Installationen auf den betroffenen Systemen
 zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Fr alle
 auf den betroffenen Systemen identifizierten Schwachstellen stehen
 entsprechende Sicherheitsupdates der Hersteller zur Verfgung.
 
 Bei Rckfragen zu den durchgefhrten Prfungen der Cloud-Instanzen
 wenden Sie sich bitte direkt an die Nextcloud GmbH unter
 <cloud-security-scan@nextcloud.com>.
 
 
 Diese E-Mail ist mittels PGP digital signiert.
 Informationen zu dem verwendeten Schlssel finden Sie unter
 <https://reports.cert-bund.de>.
 
 Bitte beachten Sie:
 Dies ist eine automatisch generierte Nachricht.
 An die Absenderadresse kann nicht geantwortet werden.
 Bei Rckfragen zu dieser Benachrichtigung wenden Sie sich bitte
 unter Beibehaltung der Ticketnummer in der Betreffzeile an
 <certbund@bsi.bund.de>.
 
 ======================================================================
 
 Betroffene Systeme in Ihrem Netzbereich:
 
 Format: ASN | IP | Timestamp (UTC) | UUID | Severity | Port | Hostname
  12345 | 1.2.3.4    | 2017-02-06 19:53:17 | 1ae3f7da-3367-4012-9382-7912dd4bd163 | high       | 80     | cloud.domain.de
  12345 | 1.2.3.5    | 2017-02-06 19:53:17 | 2e0a45fa-1568-458f-898e-2a888b44c9c6 | medium     | 80     | cloud.wurst.com
  12345 | 1.2.3.6    | 2017-02-06 19:53:17 | 32288a95-d396-4c9b-8998-d1968dc30ad7 | low        | 80     | cloud.alalaa.de 
  12345 | 1.2.3.7    | 2017-02-06 19:53:17 | ecfd4e62-b1b5-4c7d-b888-3f19ca3ca7ff | high       | 443    | cloud.butani.cn
  12345 | 1.2.3.8    | 2017-02-06 19:53:17 | 52ff7f71-c004-4a36-9975-2b5a99f280d6 | high       | 80     | cloud.bima.org
  12345 | 1.2.3.9    | 2017-02-06 19:53:17 | e388d8c5-4124-4af3-b052-57f77469783a | high       | 80     | cloud.2083a.net
  12345 | 1.2.3.10   | 2017-02-06 19:53:17 | 5cad0785-a6eb-47ca-aeec-6c4252928d13 | low        | 443    | cloud.lutzola.nl
  12345 | 1.2.3.11   | 2017-02-06 19:53:17 | 7da5d2dc-8556-4699-9ea4-7814c6afb8c0 | high       | 80     | cloud.weglaa.wu
  12345 | 1.2.3.12   | 2017-02-06 19:53:17 | adac575f-6a42-487d-a8c3-1b789ebafe39 | medium     | 80     | cloud.breck.aa
  [.....]

 
 Mit freundlichen Gren / Kind regards
 Team CERT-Bund
 
 Bundesamt fr Sicherheit in der Informationstechnik (BSI)
 Federal Office for Information Security
 Referat CK22 - CERT-Bund
 Godesberger Allee 185-189, D-53175 Bonn, Germany