Monthly Archives: November 2020

Externer Displayport pl├Âtzlich kaputt? Teil 2!

Mittlerweile hat sich herausgestellt, da├č das Problem des hin und wieder ausfallenden zweiten Monitors auf einer Linux-Mint-Maschine irgendwo im Session Management von xfcwm und xfce steckt. Es ist mir n├Ąmlich gelungen, mit dem Session-and-Startup-Tool eine Session zu sichern, die zuverl├Ąssig (!) beide Bildschirme aktiviert. Allerdings habe ich in diesem Tool die Option

Display chooser on login

aktiviert. Der Nachteil: Ich mu├č nach dem Login diese Session im Chooser aktivieren. Zur Zeit versuche ich zu kl├Ąren, wie ich sie zur expliziten Default Session machen kann, soda├č ich den Chooser nicht mehr ben├Âtige.

Warum Sie nicht nur in Corona-Zeiten aufh├Âren sollten, Windows zu benutzen, und sich stattdessen mit Linux anfreunden sollten!

Der erste Grund ist: Wenn nicht jetzt, wann dann? Viele Menschen sitzen (im November 2020) zu Hause herum und wissen nichts mit sich anzufangen, warum nicht die Zeit nutzen und etwas Neues lernen? Aber ernsthaft: Neue Wege zu erkunden, ist immer gut und h├Ąlt jung. Aber es gibt auch sehr konkrete Gr├╝nde f├╝r die von mir gew├Ąhlte ├ťberschrift, und ich gebe ein Beispiel:

Ich gehe davon aus, da├č Sie Windows verwenden. Lassen Sie mich raten, mit welchem Programm Sie Ihre E-Mails (ja, das war dieses Nachrichten├╝bermittlungssystem vor der gro├čfl├Ąchigen Einf├╝hrung von WhatsApp und Telegram und anderen instant messenger services) bearbeiten. Gr├╝bel, gr├╝bel und studier’… Ich komm’ nicht drauf… Jetzt: ­čś▒ Outlook, richtig?

Haben Sie’s bezahlt? Oder raubkopiert? Oder, naja, so halblegal mit irgendeinem Schl├╝ssel aus dem Internet freigeschaltet?

Aber das nur am Rande: Die Tatsache, da├č Sie f├╝r die meiste Software, die Sie unter Linux/FreeBSD* (Erkl├Ąrung am Ende des Texts) verwenden k├Ânnen, keinen Penny bezahlen m├╝ssen, und zwar ganz legal, ist nur ein Aspekt. Ich will auf etwas anderes hinaus:

Bis Sie Ihre E-Mailaccounts in Ihrem Outlook-Profil eingerichtet hatten, haben Sie schon Zeit investiert, oder? Und dann hatten Sie erst einmal einen ersten Rechner, den Sie f├╝r Ihre Mailkommunikation nutzen konnten. Dann kam aber der Rechner im B├╝ro dazu, dann der im Hobbyzimmer und immer so weiter…

Haben Sie dann jedesmal ein Outlook-Profil von Grund auf neu erstellt?

Ich habe das immer und immer wieder gemacht, denn die Methoden, mit denen man das angeblich vermeiden kann, haben sich ├╝ber die Jahre immer wieder ge├Ąndert, und bei mir haben Sie praktisch nie ohne unangenehme Nebenwirkungen funktioniert. Da war es dann ganz einfach sinnvoller, den ganzen Kladderadatsch wieder von vorne einzutippen: Accountdaten, Serverdaten, Portnummern, Pa├čw├Ârter usw. usf.

Tja, und wenn eine dieser Methoden, das Outlook-Profil auf einen anderen Rechner zu ├╝bertragen, mit einem zerschossenen Outlook geendet hat, dann d├╝rfen Sie gerade mal de- und anschlie├čend reinstallieren.

Ich habe nachgeschaut: Man findet so grandiose Tips wie den Export der einzelnen Kontodaten in pst-Dateien. Na toll, da w├Ąre ich ja nie drauf gekommen. Dann haben Sie zwar einen Abklatsch der Mails, aber kein funktionierendes Postfach. Was soll so ein Hinweis?

Falls wir uns hier mi├čverstehen: Ich habe nicht einen E-Mailaccount bei meinem Internet-Access-Provider, sondern eine ganze Reihe Konten bei unterschiedlichen Systemen und Anbietern. Wer nur einen Account hat, und den sinnvollerweise mit dem IMAP-Protokoll betreibt, der ist nat├╝rlich fein raus und hat beim Umzug von einem auf einen anderen Rechner keine nennenswerte Arbeit. Wenn Sie aber viele Konten haben, darunter dann noch ein paar mit Zweifaktorauthentifizierung, wird’s lustig.

Genug von Windows, gehen wir zu Linux:

Unter Linux k├Ânnen Sie einen Mailclient wie bspw. Thunderbird benutzen. Thunderbird hat ein Verzeichnis, in dem es seinen Maschinenraum hostet, soll hei├čen: Die ganzen Dateien, die es zum Betrieb braucht, zuallererst die Datei thunderbird.

Aber es gibt im Home-Directory des Anwenders ein Verzeichnis .thunderbird (solche Dateien mit einem Punkt vornedran sind auf Linux/FreeBSD-Systemen versteckte Dateien bzw. Verzeichnisse), in dem sozusagen die Verwaltungsetage zu Hause ist. In diesem Verzeichnis liegen alle Ihre pers├Ânlichen Daten, alles ├╝ber Ihre Accounts, Ihre Einstellungen, Ihre Mails etc. pp.

Wenn Sie jetzt sagen, supi, das ist ja ├╝bersichtlich, dann lege ich mir doch gleich noch einen zweiten Linux-Rechner an, dann k├Ânnen Sie dieses Verzeichnis nehmen und einfach umkopieren! Fertig!

(Ich habe das gerade beim Redigieren des Textes getan! Und es funktioniert! Ich mu├čte lediglich einmal auf den Server kopieren, und dann vom Server korrekt auf den neuen Client kopieren, dann zeigte Thunderbird auf dem neuen Rechner meine ganzen Accounts genauso an wie auf der ersten Maschine. So einfach kann das Leben sein!)

Machen Sie das mal mit Windows!

Und damit sind wir beim entscheidenden Punkt: Ich will nicht sagen, der Maschinenraum von Linux/FreeBSD sei simpel und ├╝bersichtlich, nein, man mu├č eine Menge lernen und Erfahrung sammeln, bis man sich darin zurechtfindet. Aber auf Linux/FreeBSD-Systemen ist alles eine Datei, die ich ggf. kopieren, ├╝berschreiben oder einfach nur editieren kann. Gut, nat├╝rlich keine kompilierte Bin├Ąrdatei, das ist ja klar. Wer aber mal vor einem Windows-Rechner gesessen hat, auf dem eine b├Âsartige Adware die Browserkonfiguration gekapert hat, dann verzweifelt versucht hat, das zu reparieren und das nach stundenlangen Recherchen (und dabei wom├Âglich mit Einfangen neuer Malware) gesteckt hat und begonnen hat, sich geistig-moralisch auf die Neuinstallation von Windows vorzubereiten, der wei├č, wovon ich rede! Wer ist in der Lage, die Folgen eines solchen Angriffs z. B. mit ihren Auswirkungen auf die Registry zu beheben und das System so zu reparieren, da├č es danach wieder l├Ąuft wie vorher? Ja, ich wei├č: Ich habe das schon hinbekommen, indem ich mit Werkzeugen aus der SysInternals-Box einzelne Komponenten der Schadsoftware identifizieren und beseitigen konnte, Schwein gehabt! Aber ich hatte auch einen Fall, in dem ich das System in die Tonne treten mu├čte, sprich: Rechner plattgemacht, alles von vorne eingerichtet.

Womit wir beim n├Ąchsten Punkt w├Ąren: Man kann jedes System b├Âsartig hacken (ich sage b├Âsartig, weil hacken per se keine b├Âse Tat ist, im Gegenteil), aber kein System ist so anf├Ąllig und so gef├Ąhrdet wie Windows, und das gilt f├╝r die Desktop- genauso wie f├╝r die Serverversionen. Allein aus dem Grund sollte man sich ├╝berlegen, ob man nicht wenigstens einen Linux-Rechner haben sollte f├╝r die Shoppingtouren im Web.

Kurzum: Wer sich als normaler Anwender, und hier meine ich mit normal Menschen, die

  1. nicht programmieren,
  2. keine IT-Sicherheitsberater sind oder ├Ąhnliches,
  3. die den PC als Alltagswerkzeug benutzen, das einfach die paar Sachen machen soll, die man t├Ąglich so braucht (drucken, surfen, Bilder anschauen, Messenger-Dienste benutzen…),

einen Gefallen tun will, der sollte die gef├Ąhrlichen Dinge auf einem Linux-Rechner machen, das ist nicht schwieriger als unter Windows, es sieht nur ein bi├čchen anders aus. Dann nimmt er sozusagen den Windows-Rechner aus der Gefahrenzone und lernt nebenher, ein wenig mit Linux zu spielen (hier lasse ich FreeBSD mal weg, denn in aller Regel werden moderne Linux-Distributionen wie z. B. Ubuntu vom Start weg auch mit etwas ungew├Âhnlicherer Hardware fertig und k├Ânnen die Installation praktisch ohne Zutun des Nutzers erfolgreich durchf├╝hren).

In diesem Sinne: Viel Spa├č beim neuen Hobby ­čśť­čśť­čśť ÔÇ╝

___

*) Ich schreibe Linux/FreeBSD, weil es unfair w├Ąre, im gegebenen Zusammenhang nur von Linux oder nur von FreeBSD zu reden, aber beide zusammen stellen die heutige Unix-Welt dar, was eigentlich auch schon wieder falsch ist, weil Unix ja ein Markenname von ATT ist (oder war, wie auch immer).

Externer DisplayPort pl├Âtzlich kaputt?

Es geht um ein Lenovo ThinkPad T420s, aber dieses Problem k├Ânnte auch andere Maschinen betreffen, nein, es betrifft mit Sicherheit auch andere Maschinen! (Warum? Die L├Âsung folgt am Ende!)

Auf dem o. g. Ger├Ąt l├Ąuft Linux Mint 20, auch Ulyana genannt (eigentlich also Ubuntu, noch eigentlicher Debian). Der von mir verwendete Desktop war (und ist jetzt wieder) XFCE4.

Vor einiger Zeit hatte ich das Ger├Ąt eingerichtet, heftigst benutzt, und ziemlich zu Beginn einen zweiten Monitor am DisplayPort-Ausgang betrieben. V├Âllig problemlos.

Dann kam es, wie es kommen mu├čte: Hier was rumgefummelt, dort mit den Treibern gespielt, und schlie├člich, eines morgens, starte ich den Rechner und denke: H├Ąh? Was ist mit meinem Monitor los? Kein Bild? Warum?

Langes Gefummel, Kabelwechsel, Monitortausch, alles hardware-fokussiert, alles sinnlos. Am Ende die Notl├Âsung schlechthin: VGA-Kabel, alles gut. Naja, bis auf die Bildqualit├Ąt und die lustigen Artefakte bei schnellen Bewegungen auf dem Bildschirm.

Also, VGA ist halt, naja, eben eine Notl├Âsung, aber ich hatte nach vielen Recherchen das Problem ad acta gelegt und mir gesagt: Ist ein Hardwaredefekt!

Aber irgendwie habe ich mir das nicht geglaubt, und siehe da: Heute stie├č ich auf Berichte, die auf folgendes hinweisen:

https://askubuntu.com/questions/1230924/ubuntu-20-04-does-not-recognize-second-monitor

Konkret geht es mir um das hier:

In der Tat fand ich das File, die Zeile war nicht auskommentiert, ich habe das ge├Ąndert, aber geholfen hat es nichts. Au├čer in einem Punkt: Ich war mir jetzt 100% sicher, da├č es DOCH ein Software- bzw. Konfigurationsproblem sein wird.

Ich habe dann zun├Ąchst vom aktuellen NVidia-Treiber auf einen ├Ąlteren umgeschaltet, ohne Erfolg, dann wieder zur├╝ck auf den empfohlenen aktuellen Treiber, aber dann habe ich beim Login nicht die XFCE-Session gew├Ąhlt, sondern Gnome.

Und siehe da: Der externe Monitor wurde wieder wach!

Dann habe┬á ich mich ausgeloggt, an meiner alten XFCE-Session wieder angemeldet, und…

Yippieh, der Monitor funktionierte immer noch!

Sachen gibt’s… Da hat wohl die Gnome-Session etwas ├╝berschrieben, was der XFCE-Session wieder auf die Spr├╝nge geholfen hat. Keine Ahnung, was, aber Hauptsache, da├č! Uff.

PS: Zwischenzeitlich war der Port schon wieder tot, aber dann konnte ich ihn durch aktivieren der Zeile, also wegnehmen der Kommentarraute,

options nvidia-drm modeset=1

wieder einschalten. Ist das lustig ­čśë…

Fortsetzung hier: http://www.kolloquia.de/?p=827

GitAhead zickt herum beim Zugriff auf Remotes, die auf Synology-Diskstations liegen?

Sie bekommen merkw├╝rdige Fehlermeldungen, wenn Sie mit GitAhead einen Push auf das Remote-Repository durchf├╝hren wollen? Z. B., da├č Ihr Schl├╝sselpaar inkonsistent w├Ąre?

Dann tun Sie folgendes:

  1. Loggen Sie sich per SSH auf der Diskstation ein, geben Sie den Befehl sudo su ein und ├Âffnen Sie die /etc/passwd mit einem Editor. Suchen Sie den User, der hier mit Git arbeiten soll, kopieren Sie die Zeile, ersetzen Sie den Shell-Teil, der auf die Git-Shell zeigt, mit /bin/sh und kommentieren Sie die Originalzeile mit einer Raute aus.
  2. Lesen Sie den Artikel http://www.kolloquia.de/?p=802 und erzeugen Sie ein pa├čwortfreies SSH-Login f├╝r Ihr Git-Anwender-Konto!
  3. Wenn das geklappt hat, loggen Sie sich als Superuser wieder ein, l├Âschen Sie die Zeile mit /bin/sh und nehmen Sie die Raute vor der Originalzeile wieder weg.

Wenn Sie jetzt mit GitAhead auf Ihr Remote zugreifen wollen, sollte es funktionieren!

SSH-Login auf Synology/DSM ohne Pa├čworteingabe (passwordless)

Zum Thema gibt es einiges zu finden, manches ├╝bersichtlich, manches weniger, es gibt vollst├Ąndige Anleitungen und weniger vollst├Ąndige, genauer, unvollst├Ąndige, mit denen es nicht klappt, und um einfach die Wahrscheinlichkeit zu erh├Âhen, auf einen Artikel zu sto├čen, der _ALLES_ wichtige erw├Ąhnt, habe ich diesen hier erstellt. Damit also einfach einer mehr im Netz steht, der die Sachlage vollst├Ąndig dokumentiert.

Los geht’s:

Sie w├Ąren nicht hier, wenn Sie Telnet f├╝r Ihre Remote-Logins verwenden wollten, nehme ich mal an. Sie verwenden SSH, wollen sich aber ohne Pa├čwort anmelden.

Okay, dem hat Synology einen Riegel vorgeschoben! Um den zur Seite zu schieben, loggen wir uns auf der Webverwaltungsoberfl├Ąche der Synology-Station ein, ├Âffnen das Control Panel und klicken auf Terminal & SNMP.

Im ersten Tab, Terminal, aktivieren wir den Telnet-Dienst, und SSH werden Sie schon aktiviert haben, oder? Wenn nicht, dann tun Sie es jetzt.

Es wird oft gesagt, man solle den Default-Port 22 nicht verwenden und stattdessen irgendeine andere, hohe (vierstellige) Portnummer w├Ąhlen. Was, bitte sch├Ân, soll das denn bringen? Security by obfuscation? Sorry, aber das finde ich l├Ącherlich. (Ich habe es gerade extra recherchiert: Es gibt Admins, die ihre Server mit direktem Zugang zum Internet auf einen anderen Port setzen, aber das tun sie, um z. B. ihre Logfiles etwas k├╝rzer zu halten. An Sicherheit bringt das keinerlei Gewinn. Und wer liest Logfiles schon pers├Ânlich? Am besten als Ausdruck auf Endlospapier vom Nadeldrucker?) Wer an Ihre Station so nahe herangekommen ist, der wird auch den Port ausfindig machen, auf dem der sshd antwortet. Aber es schadet nichts, wenn Sie einen anderen Port benutzen, nur sollten Sie das dokumentieren. Und Sie m├╝ssen dann bei jedem Login den Port mit angeben, sonst klappt’s nicht.

Warum jetzt die Telnet-Aktivierung? Ganz einfach: Weil Dinge, die schiefgehen k├Ânnen, schiefgehen. Und wenn wir uns jetzt aussperren, gucken wir unter Umst├Ąnden dumm aus der W├Ąsche. Wenn Sie z. B. beim n├Ąchsten Schritt die SSH-Konfiguration zerschie├čen, werden Sie Schwierigkeiten haben, das zu reparieren. Also, lieber Telnet aktivieren, und sp├Ąter nicht vergessen, es wieder zu deaktivieren.

Wie schon angedeutet, jetzt m├╝ssen wir die SSH-Konfiguration ├Ąndern. Dazu loggen Sie sich auf der Station ein, egal wie, aber Sie ben├Âtigen ein Kommandozeilen-Prompt.

Geben Sie ein

sudo su

Jetzt sind Sie Bruce Allm├Ąchtig!

Machen Sie eine Sicherheitskopie der Datei /etc/ssh/sshd_config, denn die wollen wir nun bearbeiten.

Geben Sie ein:

vi /etc/ssh/sshd_config

Entfernen Sie die Raute vor diesen beiden Befehlen:

#RSAAuthentication yes
#PubkeyAuthentication yes

(Nachtrag: Ich habe gerade Tests auf einer zweiten Station gemacht. Auf dieser hat die Option PubkeyAuthentication yes ausgereicht! Testen Sie das ruhig, wenn Sie Zeit und Lust haben. Man lernt nie aus… )

Speichern Sie und starten Sie den sshd neu:

synoservicectl --reload sshd

Jetzt stimmt die SSH-Konfiguration auf der Serverseite. Aber jetzt m├╝ssen Sie f├╝r Ordnung in Ihrer Verzeichnisstruktur sorgen: F├╝r einen Account, in den man sich per SSH ohne Pa├čwort einloggen kann, fordert die SSH, da├č:

  1. Das  Home-Directory mit chmod 700 auf die richtige Berechtigungsstufe gesetzt wurde.
  2. Das .ssh-Verzeichnis eine Stufe tiefer ebenso.
  3. Die Schl├╝sselfiles, zumindest das des privaten Schl├╝ssels, sollten ebenfalls mit chmod 700 entsprechend gesch├╝tzt sein.

Wenn z. B. das Home-Dir auf den Vorsteinstellungen von Synology bleibt, haben Sie keine Chance!

Jetzt k├Ânnen Sie sich ausloggen und sich dem Client widmen. Wenn Sie bereits ein Schl├╝sselpaar haben, prima, wenn nicht, legen Sie eines an, am besten mit

ssh-keygen -t rsa Hotzenplotz@10.10.10.13

Jetzt k├Ânnen Sie den ├Âffentlichen Schl├╝ssel mit folgendem Befehl mit einem Rutsch ├╝bertragen, ohne sich auf der Kommandozeile weiter abzuplagen:

ssh-copy-id -i ihreprivateschl├╝sseldatei Hotzenplotz@10.10.10.13

Sie werden noch einmal um das Pa├čwort des Allm├Ąchtigen gebeten, und wenn Sie alles richtig gemacht haben, dann war’s das. Wenn Sie jetzt versuchen, sich mit

ssh Hotzenplotz@10.10.10.13

anzumelden, sollte das klappen. Wenn nicht, k├Ânnen Sie per Telnet wieder rein und reparieren, was zu reparieren ist.

Wenn alles klappt, Telnet deaktivieren!

Viel Erfolg!

PS:

Es ist klar, da├č Sie die Passphrase f├╝r Ihren Schl├╝ssel eingeben m├╝ssen, wenn dieser mit einer solchen gesch├╝tzt ist. Wenn Sie auch das nicht haben wollen, m├╝ssen Sie keinen neuen Schl├╝ssel ohne Passphrase erzeugen, sondern k├Ânnen die Passphrase vom vorhandenen Schl├╝ssel entfernen:

ssh-keygen -p -f ~/.ssh/privatekey -P "Alte Passphrase" -N "neue oder leere Passphrase"