Ist man Dank Lineage OS eine recht schlanke Betriebssystem-Installation gewöhnt, wird einem beim ersten Start eines Samsung-Geräts nicht nur leicht schwindelig: nicht nur Google hätte gerne Kontoinformationen, man soll am besten auch gleich ein Samsung-Konto einrichten und am dann auch gleich alle weiteren Apps im Samsung eigenen Galaxy-Store kaufen.

Viele andere Apps nerven und buhlen um Aufmerksamkeit (vom Hunger auf Daten ganz zu schweigen) und so drängt sich recht schnell der Wunsch auf, etwas für Ordnung zu sorgen.

Als erste Entrümplungsmaßnahme hilft überraschenderweise das Zurücksetzen auf  Werkseinstellungen, denn nach diesem ist bereits ein Teil der Zusatzsoftware verschwunden.

Ein breites Schmunzeln kommt dann bei der zwangsweisen Nachinstallation von Apps während des Neustarts: während man die Samsung-Apps alle (sogar auf einmal) abwählen darf, besteht bei den Google-eigenen Apps diese Möglichkeit nicht. Weiterlesen

Die Diskussion „Systemd vs. SysVinit“ nimmt fast schon religiöse Züge an und erinnert in mancher Beziehung an ein Phänomen, das oft zu beobachten ist, wenn sich irgendwo irgendetwas ändert: Neumodischer Krams? Kann nur schlecht sein!

METALLICA anyone? Da gibt es auch eine Fraktion, die „alles seit dem schwarzen Album“ „grottenübel“ findet, und trotzdem verkaufen sich die Scheiben und Konzertkarten noch immer recht gut.

Ich persönlich hätte nichts dagegen gehabt, wenn sich Debian für ein Verbleiben beim „alten“ Init-System entschieden hätte, das hat schließlich jahrzehntelang problemlos funktioniert. Mich ärgern an Systemd täglich so Dinge, wie daß ich z.B. mit einem journaldingens arbeiten muss, statt mit grep um mal schnell ein Protokoll zu durchsuchen.

Über die tatsächlichen Vor- und Nachteile und was vielleicht besser ist und was weniger haben sich eine ganze Menge kluge Köpfe ihre Gedanken gemacht, die deutlich tiefer in der Materie stecken als Meinereiner und ich habe die Hoffnung, daß die auch zu einem klugen Ergebnis gekommen sind. Nicht alles ist nur schwarz oder weiß, wir bewegen uns im Normalfall irgendwo zwischen Grauschattierungen.

Letztendlich ist mir ein zuverlässig funktionierendes System wichtig und wenn ich mich komplett von allen Datenkraken lösen möchte, dann müsste ich den Netzstecker ziehen, das Mobiltelefon wegwerfen und hätte immer noch ein Problem, wenn das nächste Mal ein Google Streetview-Auto vorm Haus vorbeirollt.

Das AppArmor-Profil für Sublime Text hat sich im Praxiseinsatz bewährt, allerdings sind im Laufe der Zeit ein paar Nebenwirkungen aufgetreten: trotz expliziter Genehmigung des Lese- und Schreibzugriffs auf alle im Besitz des Benutzers befindlichen Dateien unterhalb von „/home“

owner /home/** rw,

war es nicht möglich, z.B. die Datei „.bashrc“ zu bearbeiten. Dies wurde auch entsprechend im Log protokolliert:

apparmor="DENIED" operation="open" profile="/opt/sublime_text/sublime_text" name="/home/buster/.bashrc" pid=5507 comm="file_read_threa" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Ursache hierfür war das Einbinden der Datei „abstractions/evince“

#include <abstractions/evince>

welche wiederum den Regelsatz um den Inhalt der Datei „abstractions/private-files“ erweiterte

#include <abstractions/private-files>

wodurch letztendlich die Regel

deny @{HOME}/.bash* mrk,

im Profil aktiv war. Diese unterbindet den Lesezugriff auf alle Dateien im „Home“-Verzeichnis des Benutzers welche mit „.bash“ beginnen, weshalb die spätere Genehmigung ins Leere läuft.

Das aktualisierte Profil sieht wie folgt aus:

# Last Modified: Mon May 11 20:28:54 2020
# 2020-09-29 athul/replaced abstractions/evince

#include <tunables/global>

/opt/sublime_text/sublime_text {
  #include <abstractions/X>
  #include <abstractions/base>
  #include <abstractions/dbus-session-strict>
  #include <abstractions/fonts>

  deny network,

  /opt/sublime_text/ r,
  /opt/sublime_text/** r,
  /opt/sublime_text/plugin_host mrix,
  /opt/sublime_text/sublime_text mr,
  /proc/filesystems r,
  /usr/share/** r,
  /usr/bin/perl mrix,
  /usr/bin/sassc mrix,
  owner /dev/shm/* rwl,
  owner /run/user/** rw,
  @{HOME}/** rwk,
  @{HOME} rw,
}

Neben dem Ersetzen von „abstractions/evince“ wurde das Profil noch um eine Zugriffsregel für den Perl-Interpreter sowie den Sass CSS-Precompiler erweitert und auf die Variable „@{HOME}“ aus „tunables/global“ statt der statischen Pfadangabe „/home/…“ zurückgegriffen.

Als Best Practice sollte man zur Minimierung von Nebenwirkungen mit Hilfe von „aa-genprof“ die Zugriffsrechte lieber dediziert vergeben statt die vorgeschlagenen Includes einzubinden.

Leider hat Microsoft im Verbindungsdialog der Windows-Remoteunterstützung keine Möglichkeit vorgesehen, Elemente im Verlauf entweder zu bearbeiten oder zu löschen.

Wer dies trotzdem tun möchte, findet den Inhalt des Verlaufs in der Datei „RAExpertHistory.xml“ im Ordner „%localappdata%“.

Gerade auf einem Test-PC nochmals Windows 7 reaktiviert:

Schön ist die Formulierung, daß Microsoft dringend empfiehlt, nicht nur die Soft- sondern auch gleich die Hardware auszutauschen und „Windows 10 auf einem neuen PC zu verwenden“.