Schlagwort-Archive: cubian

Cubian X1

Die Installation von Cubian X1 mit Mate-Desktop ist gegenüber Cubian mit LXDE-Desktop [1,2] noch einmal vereinfacht worden, was vor allem auch daran liegt, dass a) eine menügeführte Konfiguration nach dem ersten Boot (cubian-config) vorhanden ist und b) Mate von Haus aus Interventionen des mausverwöhnten Benutzers erleichtert.

Ein paar Anmerkungen zur Konfiguration:

Wer die Fensterknöpfe lieber links haben will, kann sich diese mit Hilfe des dconf-editors dort hin legen.

Ein Autologin kann im Loginmanager SLiM unter /etc/slim.conf eingestellt werden. Die Datei ist so gut durchkommentiert, dass sich weitere Hinweise verbieten.

Mein Logitech K400r Keyboard mit Touchpad wurde wieder reibungslos erkannt, das nur nebenbei, als ich eine 102 Tasten-Tastatur einstellte.

Die Verwaltungssoftware ajenti habe ich – wie auch einen vorinstallierten apache, gleich gestoppt und deinstalliert. Ich will das lieber selbst in der Hand behalten.

Positiv anzumerken ist viel:

Z.B. dass Cubietruck nun die volle HD Auflösung des TVs über HDMI zu nutzen weiß. Das ist für Bilderfluten gut – für die Arbeit auf der Shell jedoch weniger. Hier muss man sich entscheiden, ob man über STRG + die Zeichengröße anpasst oder gleich einen größeren Font für das Terminal einstellt.

Oder dass der als Standardbrowser vorinstallierte Chromium so konfiguriert ist, dass man Flash-Filmchen abspielen kann. Nett – wenn auch auf dieser Geräteklasse eher ermüdend. Einen Klick auf „Vollbild“ sollte man sich sparen.

GIMP und Libreoffice bleiben auch unter Cubian X1 Mate bedienbar und selbst Icedove oder Iceweasel kann man nutzen, wenn man an Add-ons spart. Bei Ausflügen ins Netz muss man sich jedoch gedulden und das Öffnen vieler Tabs sollte man sich ebenfalls sparen. Als Bürorechner kann ich einen Cubietruck also nicht empfehlen. Eine „richtige Lösung“ (z.B. eine ZBox oder einen NUC mit kleiner SSD und 4GB RAM) kostet zwar mindestens doppelt so viel, aber funktioniert dafür auch reibungslos im Alltag.

Eine ganze Weile habe ich mich an einem zerschossenen CUPS abgearbeitet. Nachdem die Installation von cups-pdf fehlschlug und hierbei CUPS mit in den Abgrund riss fanden netstat und nmap zwar Port 631 von CUPS auf TCP und UDP belegt – aber der CUPS-Server war trotzdem nicht auf localhost im Browser zu erreichen. Bis ich mal auf die Idee kam, /etc/network/interfaces daraufhin zu überprüfen, ob überhaupt eine derartige Schnittstelle definiert ist … Nachdem dann also lo und eth0 der Verwaltung des Gnome network-manager entzogen waren lief CUPS brav im Browser. Der Networkmanager ist in /etc/NetworkManager/NetworkManager.conf auf „Mischbetrieb“ vorkonfiguriert, so dass eine /etc/network/interfaces mit dem folgenden Inhalt reichte:

# Loopback Interface
auto lo
iface lo inet loopback

# Not managed by NWM
allow-hotplug eth0
iface eth0 inet dhcp

Sollte CUPS dann noch immer zicken, lohnt der Versuch, /etc/hosts auf das Vorhandensein einer Zeile 127.0.0.1 localhost hin zu checken (hier war bei mir nur der Hostname aus /etc/hostname zu finden) und in der /etc/cups/cupsd.conf versuchsweise das

Listen localhost:631

durch

Listen 127.0.0.1:631

zu ersetzen und dann im Browser dezidiert diese Adresse aufzurufen.

Zu sicher

Beachte: Update des Beitrags!

Nach den Anpassungen der Apache Configuration in Folge des Poodle Bugs erhielt ich zu Beginn der Woche eine Rückmeldung einer Vista Nutzerin aus dem Kollegium, dass sie nicht mehr auf unsere Seiten zugreifen könne. Ich nahm das zuerst nicht weiter ernst, tippte auf lokale Probleme. Dann stellte ich unter Cubian X fest, dass Chromium nur noch einen 113er Fehler anzeigte, der für

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

steht und Iceweasel merkte an

ssl_error_no_cypher_overlap

Diverse Browser unter Android 4.0.3 (Lightning, Tint Browser, Zirco) wollten ebenfalls nicht mehr meine eigenen HTTPS verschlüsselten Seiten aufrufen. Während unter Android der Firefox noch einsetzbar war, so ging auf meinem Spielkistchen mit Cubian X gar nichts mehr. Die Software auf diesem System lässt sich nicht einfach aktualisieren – meine Apache-Konfiguration war für das Ding schlicht „zu sicher“.

Ich kam dann irgendwann auf Idee, die unterstützten Cipher Suiten miteinander zu vergleichen. Das geht direkt bei Qualys SSL Labs – oder für den Browser auch hier: https://cc.dcsec.uni-hannover.de/check . Die Schuppen fielen dann endlich von den Augen.

Sichere Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXPORT

Ergebnis unter Debian:

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7 No SNI ²	Protocol or cipher suite mismatch		Fail³
Android 4.0.4	Protocol or cipher suite mismatch		Fail³
Android 4.1.1	Protocol or cipher suite mismatch		Fail³
Android 4.2.2	Protocol or cipher suite mismatch		Fail³
Android 4.3	Protocol or cipher suite mismatch		Fail³
Android 4.4.2	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
BingBot Dec 2013 No SNI ²	Protocol or cipher suite mismatch		Fail³
BingPreview Jun 2014	Protocol or cipher suite mismatch		Fail³
Chrome 37 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Firefox 24.2.0 ESR / Win 7	Protocol or cipher suite mismatch		Fail³
Firefox 32 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Googlebot Jun 2014	Protocol or cipher suite mismatch		Fail³
IE 6 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 7 / Vista	Protocol or cipher suite mismatch		Fail³
IE 8 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 8-10 / Win 7 R	Protocol or cipher suite mismatch		Fail³
IE 11 / Win 7 R	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
IE 11 / Win 8.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
IE Mobile 10 / Win Phone 8.0	Protocol or cipher suite mismatch		Fail³
IE Mobile 11 / Win Phone 8.1	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
Java 6u45 No SNI ²	Protocol or cipher suite mismatch		Fail³
Java 7u25	Protocol or cipher suite mismatch		Fail³
Java 8b132	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (`0xc027`) FS	128
OpenSSL 0.9.8y	Protocol or cipher suite mismatch		Fail³
OpenSSL 1.0.1h	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
Safari 5.1.9 / OS X 10.6.8	Protocol or cipher suite mismatch		Fail³
Safari 6 / iOS 6.0.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 7 / iOS 7.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 8 / iOS 8.0 Beta R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 6.0.4 / OS X 10.8.4 R	Protocol or cipher suite mismatch		Fail³
Safari 7 / OS X 10.9 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Yahoo Slurp Jun 2014 No SNI ²	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
YandexBot Sep 2014	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

Überarbeitete Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

Ergebnis unter Debian:

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7 No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
Android 4.0.4	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.1.1	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.2.2	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.3	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.4.2	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
BingBot Dec 2013 No SNI ²	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
BingPreview Jun 2014	TLS 1.0	TLS_DHE_RSA_WITH_AES_256_CBC_SHA (`0x39`) FS	256
Chrome 37 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Firefox 24.2.0 ESR / Win 7	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Firefox 32 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Googlebot Jun 2014	TLS 1.0	TLS_ECDHE_RSA_WITH_RC4_128_SHA (`0xc011`) FS RC4	128
IE 6 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 7 / Vista	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE 8 / XP No FS ¹ No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
IE 8-10 / Win 7 R	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE 11 / Win 7 R	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
IE 11 / Win 8.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
IE Mobile 10 / Win Phone 8.0	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE Mobile 11 / Win Phone 8.1	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
Java 6u45 No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
Java 7u25	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (`0xc013`) FS	128
Java 8b132	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (`0xc027`) FS	128
OpenSSL 0.9.8y	TLS 1.0	TLS_DHE_RSA_WITH_AES_256_CBC_SHA (`0x39`) FS	256
OpenSSL 1.0.1h	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
Safari 5.1.9 / OS X 10.6.8	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (`0xc013`) FS	128
Safari 6 / iOS 6.0.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 7 / iOS 7.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 8 / iOS 8.0 Beta R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 6.0.4 / OS X 10.8.4 R	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Safari 7 / OS X 10.9 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Yahoo Slurp Jun 2014 No SNI ²	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
YandexBot Sep 2014	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

Cubian auf Cubietruck SD 2

Inzwischen sind weitere Anpassungen am „Glotzenrechner“ vorgenommen worden, die ich hier kurz dokumentieren will:

WLAN

Der Netzwerkmanager fand meine WLAN Netze zuerst nicht. Ursache war ein fehlendes Modul. Nach einem

auto wlan0

Eintrag in die /etc/network/interfaces und einem

sudo modprobe bcmdhd

ging es.

Das Modul bcmdhd kann aus einer Zeile in der /etc/modules beim Boot aufgerufen werden, dann spart man sich den händischen Aufruf nach einem Neustart.

Tastatur und Tasten

Ein Nachtrag noch zu den Keyboardhinweisen im ersten Teil: Anpassungen an den Tastenkürzeln und Shortcuts können vorgenommen werden in

~/.config/openbox/lxde-rc.xml

DIe XML Datei ist selbsterklärend. Dass ein STRG ALT t ein Terminal öffnet, kann z.B. mit dem folgenden Eintrag im Abschnitt <keyboard></keyboard> erledigt werden:

<keybind key=“A-C-t“>
<action name=“Execute“>
<execute>/usr/bin/lxterminal</execute>
</action>
</keybind>

Ein

openbox –reconfigure

schaltet die Einstellungen dann scharf. Bevor ich hierauf kam, blieben alle Eintragungen auch nach einem Reboot schlicht unwirksam.

Sollte man sich über die eigenen Tastenbelegungen nicht ganz sicher sein, dann helfen xev und diese Seite im Debian Wiki.

ownCloud

Fedora 20 bringt einen für ARM kompilierten owncloud-client (mirall) mit. Der fehlt für Debian und kann auch – aus meiner heutigen Sicht – nicht so leicht erstellt werden, weil das Paket qtkeychain ebenfalls nicht für Debian ARM vorliegt. Wirft man den Compiler an, dann spaziert man in die Abhängigkeitshölle. Man kann jedoch auf die Anbindung des eigenen ownCloud-Servers über WebDAVs ausweichen.

mkdir ownCloud

sudo apt-get install davfs

sudo dpkg-reconfigure davfs2

Hier den normalen Benutzern erlauben davfs2 zu verwenden.

sudo usermod -aG davfs2 cubie

sudo mount.davfs https://www.server.domain/owncloud/remote.php/webdav /home/cubie/ownCloud/

Derartige Eintragungen können in der fstab hinterlegt werden … oder man schreibt sich einen mount und umount alias in die .bash_aliases sofern der Rechner – wie hier – von vielen Familienmitgliedern verwendet wird. [Lektüre]

Samba

Unseren Sambaserver habe ich gleich über die /etc/fstab gemountet. Benötigt werden die cifs-utils:

sudo apt-get install cifs-utils

Das Tauschverzeichnis ist auch der Dokumentenpfad für alle lokal installierten Programme, was nicht nur Speicher auf der SD Karte spart, sondern den Zugriff von sonstigen Arbeitsstationen im Haus erleichert.

//ip.des.smb.servers/pfad/zu/tausch /home/cubie/fileserver cifs auto,username=tausch,password=geheim,uid=1000,gid=1001 0 0

Geheime Passwörter sollte man nicht direkt in der fstab hinterlegen – aber die für den Familienserver sind intern eh bekannt. [Lektüre]

Sonstiges

Bei mir fehlte die Möglichkeit zur Vervollständigung der Befehle durch TAB. EIn

sudo apt-get install bash-completion

installiert die fehlende Funktion nach.

Alle anderen inzwischen vorgenommenen Veränderungen sind weniger technischer Natur und dienten vor allem der „Verschönerung“ des Systems.

Einen Tipp evtl. noch: dwb ist ein empfehlenswerter schlanker, schneller Browser für Cubian-Benutzer, die auf der Shell mit vi arbeiten oder unter Firefox den vimperator installiert haben: http://portix.bitbucket.org/dwb/

OT: Auf neueren Ubuntuversionen – ab Quantal – ist dwb ebenfalls zu finden.

Cubian auf Cubietruck SD 1

Statt weiter mit der F20 Installation auf dem Cubietruck zu spielen, kam gestern Abend das neueste Cubian – ein Debian Abkömmling – auf eine 16GB microSDHC Karte von SanDisk (SDSDQX-016G-U46A). Die für den Betrieb des Logitech K400 nötigen USB HID Treiber sind schon mit an Bord und auch die Größenanpassung des Dateisystems nach der „Installation“ auf die Karte läuft automatisch ab.

Die folgenden Anpassungen halfen dann dabei, das System benutzbar zu machen:

dpkg-reconfigure keyboard-configuration

dpkg-reconfigure locales

dpkg-reconfigure tzdata

Das Keyboard Layout systemweit setzen:

sudo vi /etc/xdg/lxsession/LXDE/autostart

Hier den folgenden Eintrag am Ende hinzufügen:

setxkbmap -layout de

Dann die folgenden Pakete installieren:

sudo apt-get install libreoffice-l10n-de libreoffice-grammarcheck-de vlc pavucontrol smplayer pulseaudio keepassx mtpaint iceweasel oxygen-icon-theme vim gvfs-backends abiword aspell-de cifs-utils cups-pdf task-lxde-desktop libreoffice-help-de gigolo

Von box-loog.org noch ein hübsches Theme installieren … und man hat auf dem Cubietruck ein System, auf dem sich ohne große Wartezeiten LibreOffice und Iceweasel inklusive der für mich wichtigen Add-Ons benutzen lassen.

Auch die Tonausgabe über HDMI funktioniert – allerdings im Moment nur mit dem smplayer.