LINUX.ORG.RU

Избранные сообщения taaroa

Android, зонды, безопасность, СПО, паранойя

Форум — Mobile

Disclaimer1: Проблема с данным маном в том, что местной аудитории, например, плевать на ведроид, а тому же 4pda наплевать на фанатичный СПО и избавление от зондов. Рискнем и запостим здесь.

Disclaimer2: Все описанное является суммой наклопленного мной опыта вперемешку с моим личным мнением. Пишите комменты, будем улучшать-дополнять-чинить

Уровень прошивки

Практически все стоковые прошивки на сегодняшний день идут с gapps (Google Apps). Что же это за зверь:

  • Любое приложение (даже не требуещее никаких прав) может с ним общаться.
  • Gapps имеют доступ к сети.
  • Gapps позволяют Google в любой момент установить/удалить с вашего телефона любое приложение.
  • Gapps постоянно держат открытое сетевое соединение с серверами гугла (для нужд push-нотификаций).
  • Gapps — нереальное огромное количество кода. Стоковый образ (если верить opengapps) будет весить около 700Мб.

ААААА, как это удолить этот рассадник потенциальных уязвимостей и жора батарейки?

Сложный вопрос, на самом деле. Есть три варианта действий:

  • Новый и простой, и профитный способ. Появилась прошивка «LingeageOS for microG». Если ваше устройство поддерживает её, просто ставьте её и наслаждайтесь. Fdroid+MicroG+пуши+signature spoofing+unlp+OTA-обновления из коробки
  • Самый простой способ. Если ваш андроид достаточно старый (на достаточно новом не удастся отключить самый главный компонент gapps), из Настройки->Приложения отключите все, связанное с Google (особенно, Google Service Frameworks):
    • root не требуется;
    • push-уведомления работать не будут;
    • на устройстве останется огромная и потенциальная куча гугловского дерьма, хоть и менее активная.
  • Способ посложнее. Накатываем root и вручную удаляем все пакеты и библиотеки, требуемые гуглу:
    • требуется root и разблокировка загрузчика;
    • минимальное количество зондов без смены прошивку на полностью опенсорсную;
    • увы, в последних версиях андроида вам, скорее всего, придется оставить несколько пакетов (вроде GoogleSetupWizard), иначе система не загрузится.
  • Самый профитный способ. Ставим альтернативную прошивку (или мотаем до следующей секции и покупаем устройство с пгавославной прошивкой без зондов из коробки). Наслаждаемся.
    • Требуется root, разблокировка загрузчика, шаманство и местами смена устройства.

Я тут начал наслаждаться, но вдруг понадобились пуши, да и Uber требует зонды. Что делать?

Вдоль

Попробовать поставить MicroG, свободную реализацию клиентской части гуглозондов. Самая больная часть: помимо собственно MicroG вам нужно будет запилить себе Signature Spoofing. Коротко говоря, это обход защитного механизма, не позволяющего прикидываться gapps'ами кому попало. Для этого необходимо либо патчить прошивку при помощи Xposed/Needle/Haystack, либо использовать совместимую прошивку (смотрите список, по ссылке, их стало очень много). Все подробности по той ссылке.

MicroG позволяет завести пуши, сервисы геолокации (со множеством бекендов, ищите nlp location backend в f-droid) и большое количество софта (когда я в последний раз тыкал, работали даже покемоны).

Уровень софта

Без гуглозондов жить есть!

https://f-droid.org/ — каталог с опенсорсным софтом.

Предлагаю вам следующий список приложений, способный заменить типичный набор проприетари из типичной вендорской прошивки. Аналогичный список: https://github.com/Datenschutz/awesome-FOSS-apps

  • Yalp store. Позволяет ставить приложения из Google Play (да, иногда это все-таки нужно), в том числе через общий аккаунт. Не требует зондов.
    • Позволяет так же выкачивать купленные приложения (но не факт, что они заработают: они при работе могут проверять лиценизию через gapps, возможно, тут может помочь microg).
    • Альтернативно, воспользуйтесь моим решением для выкачивания софта прямо в свой репозиторий f-droid.
  • K-9 Mail. Почтовый клиент.
  • DAVDroid. Синхронизация контактов с owncloud/nextcloud.
  • Gadgetbridge. Синхронизация с умными часами и браслетами (pebble, mi band и некоторые другие)
  • NewPipe. Клиент для YouTube. Умеет воспроизводить видео в фоновом режиме как музыку, загружать файлы.
  • Odyssey. Просто материальный музыкальный плеер, но в последнее время очень нужный, т.к. вендоры повадились заменять в прошивке плеер на Google Music.
  • Набор простых и красивых затычек для различных приложений — simple mobile tools.
  • Файрволл AFWall+ файрволл (имеет Xposed модуль для расширения возможностей)
  • Amplify Battery Extender.
  • DNS66.
  • KDE Connect.
  • OpenKeychain.
  • OpenVPN FOSS.
  • Картография и навигация: Maps.Me (приз симпатий от комментаторов), OsmAnd (приз глюкалова от меня, но щито поделать).
  • Список стал очень жирным. Пока новые элементы не добавляю, думаю над критериями включения в него софта.

Если вы будете ставить проприетарный софт, помните о следующем:

  • Желательно зайти в настройки приложения и вручную запретить доступ ко всем ненужным разрешениям, дабы не промахнуться в нужный момент.
  • Отключите приложению фоновый доступ к сети (если у вас свежий Android) или вообще доступ к сети (если у вас стоит файрволл).
  • Малвари вроде «Сбербанк Онлайн» вообще лучше создать отдельный аккаунт на телефоне.
  • Яндексовским приложениям нельзя давать доступ к местоположению. Вообще никаким — все сливают.
  • Проприетарь может читать названия аккаунтов, даже не принадлежащих ей. Называйте их максимально обще, т.е. вместо «sportloto@syncserver.com» делайте «contacts sync».

Права суперпользователя

Читая васянский 4pda вы часто можете увидеть «ну и накатываем SuperSU.zip». Не делайте этого. Есть прекрасный опенсорсный superuser, совместимый со свежими ведроидами. Нужно лишь поставить zip (используйте beta на android >=6) и apk.

Если ваша прошивка основана на LineageOS, то все еще проще. Где-то рядом с загрузками в директории extra должен валяться zip, включающий встроенные и интегрированные в прошивку права суперпользователя. Профит.

XPosed

XPosed — опенсорсный фреймворк для низкоуровневых хаков.

  • Не доступен для свежих андроидов.
  • Позволяет заставить не увидеть root всякие «Сбербанки Онлайн».
  • Имеет кучу некрофильских и неопенсорсных модулей. Осторожнее.
  • Легким движением руки может окирпичить прошивку.
  • Полезные модули:
    • PlayPermissionsExposed
    • YouTubeAdAway (но все-таки советую использовать NewPipe, LightTube, WebTube, SkyTube или MiniTube. Тысячи их!)
    • XPrivacy — по своей сути это «песочница» для любого, даже системного, ПО. Xprivacy применяет правила ко всему ПО. Эти правила можно создавать самому или качать готовые. То есть, к примеру, если установлено нечто местами полезное, но попутно показывающее свою рекламу, Xprivacy можно просто запретить этому ПО доступ в сеть. Или если очередная косынка хочет интернет, список контактов, доступ к микрофону и камере, то с Xprivacy это легко и просто запрещается конкретно этой гадости и она даже будет при этом работать не имея доступа к тому, что ей будет запрещено.

Уровень устройства

Тут тоже всё плохо. Выбор:

  • Рандомный флагман с хорошей поддержкой LineageOS (CyanogenMod). Поддержка, вероятно, будет хорошей, секьюрити-апдейты будут приходить долго (например, для htc desire hd цианоген обновлялся до самого конца — декабря 2016 года), но вот версия андроида, скорее всего, застрянет. Обычно дорого. Можно искать по списку официально поддерживаемых линейкой устройств.
  • OneplusOne / Wileyfox Swift 1. Поставлялись с CyanogenOS, имеют хорошее коммьюнити разработчиков, будут долго обновляться в софтовой части. В железной — все плохо. 1+1 уже довольно старый и хорошие запчасти купить сложно. Wileyfox изначально имел несколько проблем, в т.ч. слабенькую батарейку. Компенсируется ценой, местами можно найти новое в продаже. Довольно бюджетно.
  • Fairphone 2. Очень дорого, очень хорошо. Но это в теории, как там на практике — хз, не пользовался, отпишитесь.
  • Рандомный телефон с официальным портом los. Сойдет, главное, чтобы фатальных багов в порте не было. Долгой жизни порта не ждите.
  • Рандомный телефон с васянским los. Совсем плохо, но если телефон уже куплен, ничего не поделать.
  • Рандомный телефон с васянским ведроидом, основанным на стоковой прошивке / без исходников / проч. Лучше такое не ставить, а подготовить прошивку самостоятельно, смотрите выше и ниже.

Следует также заметить, что:

  • Существует несколько устройств с CyanogenOS, без доступной Cyanogenmod. В комплекте идут сервисы microsoft, gapps и много разной другой блотвари. Исходники обычно зажабены. Пример устройств: Wileyfox Spark, Wileyfox Swift 2(|+|x).
  • Выбирая устройство, так же загляните на его страничку на 4pda. Ресурс хоть и васянский, но очень полезный: можно увидеть список доступных прошивок, FAQ по типичным проблемом, список самых вероятных заводских проблем (которые можно проверить еще перед покупкой).

Уровень физической безопасности

Для чего нужна физическая безопасность:

Допустим, ваш девайс попал в руки злоумышленнику.

  • Во-первых, вы хотите, чтобы он не имел никакой возможности прочитать важные файлы с вашего телефона (кейз ФБ-1).
  • Во-вторых, вы хотите узнать, не добавил ли он кейлоггеров в ваш загрузчик (кейз ФБ-2).

Сразу скажу: всё плохо. Вам может показаться, что заботливые производители позаботились о вас, залочив загрузчик вашего телефона и не позволяя его разблокировать, не удалив все данные с телефона.

Я бы на вашем месте на это не рассчитывал.

  • Аппаратные защиты часто не надежны и опираются на принципах безопасности через неясность, в них переодически находят уязвимости
  • На прекрасных, казалось бы, телефонах Xiaomi вы не сможете разблокировать загрузчик, если с Xiaomi что-либо случится: разблокировка производится с участием интернета при помощи (работающей только под Windows) программы, требующей их аккаунта и доступа к интернету. У HTC похожая ситуация, но в несколько более мягких условиях.
    • Скорее всего, это доставит неудобств именно вам, а не злоумышленнику
  • Всякие проприетарные системы полнодискового шифрования тоже не выдерживают проверок специалистами.

Выводы:

  • Для хранения ваших секретных файлов в безопасности от ФБ-1 используйте, к примеру, Secrecy.
  • «Таблеток» от ФБ-2 на сегодняшний день нет. Промбируйте телефон при помощи скотча и волос и не расставайтесь с ним.
  • Лучше все-таки не хранить никакие важные данные на телефоне.

Модули сотовой связи

В каждом мобильном телефоне, почти каждом планшете есть GSM-модуль мобильной связи. Это —

  • Фактически отдельное устройство, обычно имеющее максимальный доступ к процессору, памяти и переферии. Зачем это делают — черт знает. Возможны исключения, нужно уточнять в каждом отдельном случае.
  • Идентифиционный модуль, который постоянно разговаривает с воздухом.
  • Куча проприетарного кода, который никто не анализировал. В тех немногих случаях, когда анализировали — находили кучу всего интересного.
  • Работает это все на протоколах, местами разработанные в 80-х годах.

Так что тут все настолько плохо, что я даже предложить ничего не могу. Страдайте.

Вроде, все, что хотел сказать. Выдыхаю

 , , , ,

derlafff
()

Шахматы, или «Как правильно почесать руки»

Новости — Игры
Группа Игры

Как известно, мало не много, а иного много не бывает. Представляем вам самую сложную настольную игру умной части человечества — шахматы.

Шахматы написаны на чистом sed без использования расширений GNU. По текущему уровню реализованой логики игра ведётся по правилам XIV века. Отсутствуют рокировки и взятия на проходе, уход от шаха примитивный.

Как заявил автор, писал игру:

примерно две недели, правда с гигантскими перерывами), я пару раз порывался бросить это занятие.

Новость написана по итогам прочтениясовсем другого сайта.

>>> Узреть степень своего ничтожества

 , ,

leonidko
()

Ситуация с Wayland: факты о X и Wayland.

Новости — Open Source
Группа Open Source

Это вольный перевод статьи, намедни размещённой на phoronix. Оринальная статья — обзор недостатков, их исправлений и преимуществ между X и Wayland. Её написал Eric Griffith, при участии Daniel Stone, специально для ресурса phoronix. Работа собрана по кусочкам из презентаций Keith Packard, David Airlie, Kristian Høgsberg, из страниц про X11, X12, Wayland в вики и на freedesktop.org, из прямых интервью с разработчиками.

Оригинал выпущен под Creative Commons версия 3, с указанием авторства; перевод доступен на тех же условиях (с указанием на авторов оригинала, как мне кажется).

( читать дальше... )

>>> Подробности

 ,

quiet_readonly
()

Посоветуйте программу для создания загрузочной флешки с образа Windows в Debian

Форум — General

В Xubuntu есть софтина Winusb:

sudo add-apt-repository ppa:nilarimogard/webupd8;sudo apt-get update;sudo apt-get install winusb

За пару кликов можно создать загрузочную флешку из образа Windows.

Но в Debian данный вариант не актуален.

Есть ли программа или команда, для создания загрузочной флешки с образа Windows в Debian?

 ,

Novichok2014
()

Microsoft создала родной слой эмуляции вызовов POSIX в Windows 10

Новости — Проприетарное ПО
Группа Проприетарное ПО

В ближайшие дни Microsoft представит совместную с Ubuntu разработку для ОС Windows 10, которая позволяет запускать немодифицированные (пока только консольные) бинарные файлы в Windows. Суть новинки заключается в трансляции системных вызовов Linux/POSIX в вызовы Win32 API, что позволяет достичь практически родной скорости выполнения Linux-приложений в среде Windows. Если не вдаваться в тонкости, то разработчики из Microsoft написали Wine наоборот.

Некоторые детали реализации:

( читать дальше... )

>>> Подробности

 , , , ,

birdie
()

Первый установочный образ Stali (static linux) от сообщества Suckless

Новости — Open Source
Группа Open Source

Сообщество Suckless, широко известное своей философией разработки ПО, а также набором программ, среди которых dwm, dmenu, surf, tabbed, st и другие, представило первый установочный образ дистрибутива Stali (static linux).

Проект интересен, прежде всего, множеством нестандартных архитектурных решений, отсутствующих в других дистрибутивах и воплощающих философию suckless на уровне ОС.

Основные отличия:

  • статическая линковка всех программ;
  • игнорирование FHS, предлагается иная иерархия директорий;
  • установка и обновление при помощи git;
  • замена coreutils и util-linux на sbase и ubase собственной разработки;
  • использование musl в качества системной libc;
  • отсутствие systemd, используется sinit (suckless init).

Разработчики отмечают более высокое быстродействие системы и низкое потребление памяти.

В дополнение к образу доступна пошаговая инструкция по установке.

>>> Подробности

 ,

d
()

Вирусы под Linux

Форум — Talks

Кстати, откуда такой миф, что вирусов под Линукс не существует?

Я однажды по забывчивости усановил root:rootroot, и поймал на ssh:22 одного спам-бота (ELF32), который выполнял какие-то команды с польской IRC-конференции.

 

pacify
()

Калибровка батареи ноута. Как?

Форум — Linux-hardware

Какой-то софт? Бывает под Линь?

Lenove B560

48 Wh Lithium-Ion, 10.8V 4050mAh

калибровка с Литий-ионными работает?

daris
()

Система для нетбука за 4-ре минуты

Форум — Linux-hardware

Система домашняя и делалась под asus n10j, но вполне сгодится и под другие платформы на базе любого процессора atom. Работает с видеокартами nvidia и intel. Делал для себя. Потихоньку развиваю пока на руках данное железо.

Основа gentoo, lxde, выполнена лучшая пока что на сегодняшний день оптимизация по производительности для данного процессора. Размер системы 3,357 Гб. Чуть перепрыгнул 3 Гб за счет замены некоторых пакетов на более удобные для работы. При использовании dhcpcd и wpa_supplicant размер потребляемой оперативки ~115 Мб.

Как примерно выглядит можно посмотреть тут и тут

Установку можно выполнить из любого дистрибутива, где есть утилиты для работы с squashfs или с помощью практически любого livecd. Обратите внимание на настройку своей сети - вопрос проработан пока частично.

Скачиваем stage4 например в корень домашней папки. Контрольная сумма загруженного файла должна быть такой 80e9e06b80ebe1efb0a45317d536d34b (md5sum)

Вариант стейджа в tar.gz для тех, у кого нет squashfs с поддержкой lzo сжатия. Время установки примерно в 2 раза больше. Контрольная сумма загруженного файла должна быть такой 4b243d980cdb11ce633be28d40a3a5e8 (md5sum)

Cтейдж можно смонтировать так:

# mkdir /media/squashfs
# mount ~/asus.squashfs-lzo /media/squashfs -t squashfs -o loop

Копируем в нужный раздел (в примере sda5)

# mkdir /media/asus
# mount /dev/sda5 /media/asus
# time cp -a /media/squashfs/* /media/asus

Правим grub.conf (в примере настройки для grub legacy и раздела sda5)

title Gentoo 3.0.17 nvidia
root (hd0,4)
kernel /boot/vmlinuz-3.0.17-gentoo-r2 root=/dev/sda5 vga=0x36D video=vesafb:ywrap,1024x600-32@60,mtrr:3,splash=verbose,theme:tty1 console=tty1 udev real_resume=/dev/sda1 elevator=cfq doscsi nofirewire cgroup_disable=memory rootfstype=ext4 noevms nolvm2

title Gentoo 3.0.17 intel
root (hd0,4)
kernel /boot/vmlinuz-3.0.17-gentoo-r2 root=/dev/sda5 video=uvesafb:ywrap,1024x600-32@60,mtrr:3,splash=verbose,theme:tty1 console=tty1 udev real_resume=/dev/sda1 elevator=cfq doscsi nofirewire cgroup_disable=memory rootfstype=ext4 noevms nolvm2

В случае необходимости редактируем /media/asus/etc/fstab (по умолчанию там корневой раздел sda5, а swap указан как sda1, домашний раздел по умолчанию в корневой папке)

Прописываем какой-нибудь уникальный 32 байтный идентификатор системы - без этого не будут нормально работать многие программы (ниже пример номера):

# dbus-uuidgen > /media/asus/etc/machine-id

На этом с установкой все, далее можно перегружаться в новую систему и настраивать сетевое подключение. Пароль суперпользователя root, и готовый пользователь quest с паролем quest.

Маленькие памятки:

Добавить нового пользователя можно так:

# useradd -m -G users,wheel,audio,cdrom,portage,usb,video -s /bin/bash имя_нового_пользователя
Удалить пользователя вместе с файлами можно так:
# userdel -r имя_удаляемого_пользователя
Смена пароля:
# passwd имя_пользователя
По умолчанию подключен wicd, но у меня он после пробной переустановки не стал запоминать пароль wifi сети и как следствие не поключается к ней. Буду искать в чем проблема.

А пока предлагаю настроить wifi сеть по другому:

Отключаем wicd:

# rc-update del wicd boot
# /etc/init.d/wicd stop

Можно отключить значек wicd в трее:

'Меню', 'Параметры', 'Сессионные настройки рабочего стола', убираем пометку с 'Wicd Network Manager Tray'.

На панель добавляем стандартный монитор отображения статуса сети (укажите в нем интерфейс wlan0):

Через добавить/убрать элементы панели (правая клавиша мыши по панели)
Создаем секретную фразу в случае запароленной сети:
# wpa_passphrase имя_wifi_сети пароль >> /etc/wpa_supplicant/wpa_supplicant.conf
Включаем сервисы в загрузку и запускаем:
# rc-update add dhcpcd default
# rc-update add net.wlan0 default
# /etc/init.d/dhcpcd start
# /etc/init.d/net.wlan0 start
На этом этапе сеть должна подключится к роутеру

Посмотреть все включенные сервисы можно командой rc-update из-под суперпользователя

Если не пользуетесь распределенной компиляцией, то можно отключить загрузку данного сервиса:

# rc-update del distccd default

Интересное мышиное управление:

Левый верхний угол - переключение рабочих столов
Ctrl + Alt + левая клавиша мыши - переключение между рабочими столами линии
Правый нижний угол - показывает рабочий стол
Верх экрана и левая клавиша мыши - разворот окна приложения
Правый верхний угол и левая клавиша мыши -  сворачивает окно
Правый верхний угол и правая клавиша мыши - закрывает приложение
Правый нижний угол и левая клавиша мыши - выбор активного окна
Alt и прокрутка - изменение прозрачности
Alt и левая клавиша мыши - перемещение окон
Shift и левая клавиша мыши - изменение размеров окон

Некоторые клавиатурные комбинации:

Alt + F1 - менеджер задач
PrtScreen - снимок экрана
Alt + F8 - терминал
Alt + F9 - менеджер файлов
Alt + F2 - браузер luakit
Alt + c - Создание таблицы
Alt + m - Создание документа
Alt + g - Запуск gimp
Alt + s - Запуск skype
Alt + F12 - Запуск настройки compiz
Alt + F4 - Закрыть приложение
Ctrl + Q - Закрыть приложение

Alt + 7 или 8 или 9
      u или i или o
      j или k или l
размещение активного окна (несколько нажатий разный масштаб окна)

Super + Tab - переключение между окнами

F3 - включение и выключение motion blur (местами работает великолепно и очень плавно отображает элементы, но некоторые вещи раздражают, например, перемещения окон, грузит процессор на атоме в районе 30%, несмотря на это отклик на действия пользователя почти такой же быстрый как и без данного эффекта, плохо настраивается, при доработке вполне может выполнять качественное отображение графических элементов интерфейса, но требуется более тонкая настройка, чем есть в интерфейсе, также желательно индивидуальное включение перед сглаживаемым действием и выключением после него + неплохо бы задействовать видеокарту для данного эффекта)

Что еще не сделано, но хотелось бы довести до ума:

  • Устранить проблемы с wicd. Не запоминает пароль сети.
  • Существует возможность ускорить работу с жестким диском еще ~ на 30%.
  • Выполнить полную оптимизацию загрузки - 5 секундный старт холодной системы на обычном HDD.
  • Голубой зуб пока не настраивал за ненадобностью.
  • Выполнить переход на более скоростную версию портежей.
  • Поправить настройку снимка части экрана по Super + левая клавиша мыши. Пока требуется вручную править домашний каталог в Менеджере настройки CompizConfig в пункте Снимок экрана для пользователя.
  • Существуют проблемы с менеджером сесий lxsession - не закрываются приложения пользователя вышедшнго из конкретной сессии, не работает /etc/lxdm/PostLogout.
  • Есть мелкие шероховатости в запоминании настроек программ, например, в midori приходится повторно вводить кодировку CP1251 на плохо написанных сайтах вручную, хотя в настройках браузера данная кодирока мною прописана.

P.S.

Хотелось бы услышать советы по доработке и отзывы. Заранее благодарен.

Приглашаю посмотреть на сие недоразумение, выразивших своё желание streetmack и qnikst.

P.P.S.

После входа в новую систему для уменьшения потребления памяти выполнить:

# prelink -au && prelink -amfR

С прелинком иногда бывают проблемы, но если вдруг что-то не запускается, то просто повторяем выше означенную команду.

Для взлета на видеокарте intel нужно в консоли выполнить следующие команды:

# cp /etc/X11/xorg.conf /etc/X11/xorg.conf.mynvidia
# cp /etc/X11/xorg.conf.intel /etc/X11/xorg.conf
# eselect opengl set xorg-x11

В Меню, Параметры, Сессионные настройки рабочего стола, во вкладке Расширенные настройки убираем упоминания о --loose-binding --indirect-rendering. Это позволит на intel-е задействовать практически все возможности compiz. Далее перезагружаем с помощью compiz fusion icon менеджер окон или можно просто перезапустить компьютер.

Чуток приблизим эту версию сборки к следующей:

Свежие установки для compiz берем отсюда. Добавилось прозрачное меню. Убрались некоторые теперь излишние пункты. Отдельно в параметрах терминала lxterminal настройте его прозрачность под себя. Все регулируется.

Для включения горизонтальной прокрутки тачпада

измените строку Exec=synclient TapButton1=1
в файле /etc/xdg/autostart/touchpad.desktop
на строку Exec=synclient HorizEdgeScroll=1 && synclient TapButton1=1
и в терминале выполняем synclient HorizEdgeScroll=1

Для завершения процессов пользователя при выходе из сесии

измените строку killall --user $USER -TERM
в файле /etc/lxdm/PostLogout
на строку sleep 5 && killall --user $USER -TERM

 

glibych
()