Die Videochat-Software von Zoom ist aktuell in vielen Schlagzeilen zu finden und das leider nicht nur im positiven Sinn: von “Unter Beobachtung” bis “Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?” - spätestens beim Gedanken daran, die Software auf das eigene System loszulassen, beschleicht den Systemadministrator mehr als nur ein ungutes Gefühl.

Wer Zoom trotzdem installieren will / muss und sich dabei halbwegs sicher fühlen will, kann die Software in einer Sandkiste wie z.B. Firejail einsperren.

Zoom

Den Client bezieht man am einfachsten über die Website des Herstellers, wo es den “Zoom-Client für Linux” fertig gepackt für verschiedene Distributionen gibt.

Nach Herunterladen der gewünschten Version wird diese mittels

$ sudo apt install ./zoom_amd64.deb

inklusive der eventuell noch benötigten Abhängigkeiten installiert und noch vor dem ersten Start abgesichert.

Alternativ kann auch die Version für ein “Anderes Linux-Betriebssystem” gewählt werden. Der Download ist dann ein gepacktes tar-Archiv, welches ohne Installation in einen beliebigen Ordner entpackt werden kann. Um Abhängigkeiten und Icon muss man sich dann allerdings selbst kümmern.

Firejail

Sofern nicht bereits installiert, kann Firejail in den meisten Fällen direkt aus dem Repository der verwendeten Distribution bezogen werden.

$ sudo apt install firejail

Ein Profil für Zoom wird mitgeliefert und findet sich nach der Installation unter “/etc/firejail/zoom.profile”

Damit beim Aufruf über das Icon in GNOME der Start auch tatsächlich mit Firejail erfolgt, ist der Aufruf von

$ firecfg --fix
Fixing desktop files in /home/benutzername/.local/share/applications
   ...
   Zoom.desktop created
   ...

notwendig, welcher die Links für alle “.desktop”-Dateien aus “/usr/share/applications” auf absolute Dateipfade überprüft und im Bedarfsfall angepasste Kopien unter “/home/benutzername/.local/share/applications” anlegt.

Ist Zoom dann gestartet, kann mit

$ firejail --list
3339:benutzername::/usr/bin/firejail /usr/bin/zoom

überprüft werden, daß Firejail auch tatsächlich verwendet wird.

Sollte nach der Installation von xrdp die Verbindung nur als root funktionieren und für alle anderen Benutzer verweigert werden, so hilft ein Eingriff in die Datei “/etc/X11/Xwrapper.config”: In der Zeile

allowed_users=console

den Wert von “console” auf “anybody” ändern.

Nach Aktivieren des automatischen Logins legte Debian während des Startvorgangs eine Pause ein, in der zumindest für den Benutzer nichts Sichtbares passierte.

Ein Blick in die Meldungen des Kernels brachte die Erkenntnis, das die Pause in Wahrheit für das Initialisieren des Zufallszahlen-Generators verwendet wurde:

[ 6.278178] IPv6: ADDRCONF(NETDEV_CHANGE): eno1: link becomes ready
[ 83.784868] random: crng init done

Das Problem wird durch die Art und Weise verursacht, wie der Kernel die Initialisierung durchführt:

The random number generator gathers environmental noise from device drivers and other sources into an entropy pool.

Sofern für den Login-Schirm der Graphikartentreiber initialisiert wird und der Benutzer Maus und Tastatur zur Anmeldung verwendet, wird offensichtlich genügend “environmental noise” für die Initalisierung generiert, ansonsten dauert’s eben länger.

Eine Lösungsmöglichkeit bietet die Installation eines Pseudo-Zufallszahlen-Generators wie haveged, welcher zwar lediglich Algorithmus-basierte Pseudozufallszahlen generiert, den Bootprozess aber merklich beschleunigt.

Nach einem

$ sudo apt install haveged

sieht der Systemstart dann wieder wie erwartet aus:

[ 2.917662] intel_rapl: Found RAPL domain uncore
[ 3.115268] random: crng init done

Normalerweise kann auf einem Linux-System nur root ein Laufwerk auf der Kommandozeile ein- oder aushängen, “normale” Benutzer verwenden hierfür die benötigten Befehle zusammen mit den sudo-Mechanismus.

Bei der automatisierten Einbindung eines Laufwerks ist es allerdings hinderlich, wenn das “sudo”-Kommando beim Einhängen jedesmal nach dem Kennwort des Benutzers fragt, weshalb mit einer Änderung in der Datei “/etc/sudoers” die Kennwortabfrage für bestimmte Befehle abgeschaltet werden kann.

Deshalb immer ein zweites Terminalfenster öffnen und mittels

$ sudo -i
[sudo] Passwort für localuser:
root@localhost:~#

parallel als root anmelden. So kann - falls die Datei durch eine Änderung beschädigt wird - jederzeit eingegriffen und die Änderung rückgängig gemacht werden. Auch sollten alle Änderungen ausschließlich mit dem Editor “visudo” durchgeführt werden, der beim Speichern eine Syntaxprüfung durchführt.

Die Änderung ist schnell gemacht und besteht aus dem Hinzufügen einer einzigen Zeile:

$ sudo visudo

...
%sudo ALL=NOPASSWD: /usr/bin/mount, /usr/bin/umount
...

Hiermit wird für alle Benutzer der Gruppe “sudo” die sudo-Kennwortabfrage für die beiden Befehle “/usr/bin/mount” sowie “/usr/bin/umount” deaktiviert.

Viele Distributionen setzen GNOME als Default-Desktopumgebung ein, unter Debian schlicht “Debian Desktop Environment” genannt. Neben GNOME gibt es mit KDE noch eine zweite “große” Desktopumgebung, welche versucht, für möglichst viele Anwendungsfälle ein eigenes Programm(paket) anzubieten, während mit LXDE, XFCE (und anderen) auch schlanke(re) Alternativen zur Verfügung stehen.

Jede der Umgebungen folgt ihrer eigenen Philosophie, aber während man sich bei der Distributionswahl vorerst für eine Distribution entscheiden muss, können problemlos mehrere Desktopumgebungen parallell installiert und getestet werden.

Schon GNOME und KDE unterscheiden sich in ihrer Grundausrichtung gewaltig: während GNOME dem Prinzip “weniger ist mehr” folgt und man sich zur stressfreien Nutzung auf die Philosophie einlassen sollte, statt GNOME zu verbiegen, ist KDE mehr an die von Microsoft Windows bekannte Oberfläche angelehnt und bietet Einstelloptionen für fast jeden Pixel auf dem Bildschirm.

Dazu gibt es bei beiden Umgebungen noch eine ganze Reihe von Standardprogrammen, mit ein Grund, weshalb während der Installation des Betriebssystems keine Desktopumgebung ausgewählt wurde.

Bei der nachträglichen Installation kommt der Mechanismus der Metapakete zum tragen, Pakete die dazu dienen, eine Untermenge an logisch zusammenhängenden Paketen zu mit einer einzigen Paketangabe zu installieren. Für viele der Anwendungsfälle gibt es neben dem eigentlichen Metapaket noch ein entsprechendes “…-core”-Paket, welches statt der vollständigen Funktionalität nur die Basisfunktionalität und minimal benötigten Komponenten installiert. Für die GNOME-Desktopumgebung sind dies die beiden Metapakete “gnome” (rund 1.100 Pakete mit 2.600 MB) und “gnome-core” (820 Pakete mit 1.500 MB).

Weiterlesen