Systemd vs. SysVinit

04. November 2020 · Betriebssysteme · andreas · Kein Kommentar

Die Diskussion “Systemd vs. SysVinit” nimmt fast schon religiöse Züge an und erinnert in mancher Beziehung an ein Phänomen, das oft zu beobachten ist, wenn sich irgendwo irgendetwas ändert: Neumodischer Krams? Kann nur schlecht sein!

METALLICA anyone? Da gibt es auch eine Fraktion, die “alles seit dem schwarzen Album” “grottenübel” findet, und trotzdem verkaufen sich die Scheiben und Konzertkarten noch immer recht gut.

Ich persönlich hätte nichts dagegen gehabt, wenn sich Debian für ein Verbleiben beim “alten” Init-System entschieden hätte, das hat schließlich jahrzehntelang problemlos funktioniert. Mich ärgern an Systemd täglich so Dinge, wie daß ich z.B. mit einem journaldingens arbeiten muss, statt mit grep um mal schnell ein Protokoll zu durchsuchen.

Über die tatsächlichen Vor- und Nachteile und was vielleicht besser ist und was weniger haben sich eine ganze Menge kluge Köpfe ihre Gedanken gemacht, die deutlich tiefer in der Materie stecken als Meinereiner und ich habe die Hoffnung, daß die auch zu einem klugen Ergebnis gekommen sind. Nicht alles ist nur schwarz oder weiß, wir bewegen uns im Normalfall irgendwo zwischen Grauschattierungen.

Letztendlich ist mir ein zuverlässig funktionierendes System wichtig und wenn ich mich komplett von allen Datenkraken lösen möchte, dann müsste ich den Netzstecker ziehen, das Mobiltelefon wegwerfen und hätte immer noch ein Problem, wenn das nächste Mal ein Google Streetview-Auto vorm Haus vorbeirollt.

Aktualisiertes AppArmor-Profil für Sublime Text

30. September 2020 · Betriebssysteme · andreas · Kein Kommentar

Das AppArmor-Profil für Sublime Text hat sich im Praxiseinsatz bewährt, allerdings sind im Laufe der Zeit ein paar Nebenwirkungen aufgetreten: trotz expliziter Genehmigung des Lese- und Schreibzugriffs auf alle im Besitz des Benutzers befindlichen Dateien unterhalb von “/home”

owner /home/** rw,

war es nicht möglich, z.B. die Datei “.bashrc” zu bearbeiten. Dies wurde auch entsprechend im Log protokolliert:

	apparmor="DENIED" operation="open" profile="/opt/sublime_text/sublime_text" name="/home/buster/.bashrc" pid=5507 comm="file_read_threa" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Ursache hierfür war das Einbinden der Datei “abstractions/evince”

#include <abstractions/evince>

welche wiederum den Regelsatz um den Inhalt der Datei “abstractions/private-files” erweiterte

#include <abstractions/private-files>

wodurch letztendlich die Regel

deny @{HOME}/.bash* mrk,

im Profil aktiv war. Diese unterbindet den Lesezugriff auf alle Dateien im “Home”-Verzeichnis des Benutzers welche mit “.bash” beginnen, weshalb die spätere Genehmigung ins Leere läuft.

Das aktualisierte Profil sieht wie folgt aus:

/etc/apparmor.d/opt.sublime_text.sublime_text
# 2020-05-11 athul/initial
# 2020-09-29 athul/replaced abstractions/evince

#include <tunables/global>

/opt/sublime_text/sublime_text {
  #include <abstractions/X>
  #include <abstractions/base>
  #include <abstractions/dbus-session-strict>
  #include <abstractions/fonts>

  deny network,

  /opt/sublime_text/ r,
  /opt/sublime_text/** r,
  /opt/sublime_text/plugin_host mrix,
  /opt/sublime_text/sublime_text mr,
  /proc/filesystems r,
  /usr/share/** r,
  /usr/bin/perl mrix,
  /usr/bin/sassc mrix,
  owner /dev/shm/* rwl,
  owner /run/user/** rw,
  @{HOME}/** rwk,
  @{HOME} rw,
}

Neben dem Ersetzen von “abstractions/evince” wurde das Profil noch um eine Zugriffsregel für den Perl-Interpreter sowie den Sass CSS-Precompiler erweitert und auf die Variable “@{HOME}” aus “tunables/global” statt der statischen Pfadangabe “/home/…” zurückgegriffen.

Als Best Practice sollte man zur Minimierung von Nebenwirkungen mit Hilfe von “aa-genprof” die Zugriffsrechte lieber dediziert vergeben statt die vorgeschlagenen Includes einzubinden.

Verlauf der Windows-Remoteunterstützung bearbeiten oder löschen

10. September 2020 · Betriebssysteme · andreas · Kein Kommentar

Leider hat Microsoft im Verbindungsdialog der Windows-Remoteunterstützung keine Möglichkeit vorgesehen, Elemente im Verlauf entweder zu bearbeiten oder zu löschen.

Wer dies trotzdem tun möchte, findet den Inhalt des Verlaufs in der Datei “RAExpertHistory.xml” im Ordner “%localappdata%”.

Das Ende ... ist vorbei

08. August 2020 · Betriebssysteme · andreas · Kein Kommentar

Gerade auf einem Test-PC nochmals Windows 7 reaktiviert:

Schön ist die Formulierung, daß Microsoft dringend empfiehlt, nicht nur die Soft- sondern auch gleich die Hardware auszutauschen und “Windows 10 auf einem neuen PC zu verwenden”.

netdom statt CNAME-Alias

30. Juli 2020 · Betriebssysteme · andreas · Kein Kommentar

Unter Server 2019 gab es seltsame Probleme beim Zugriff auf Netzwerkfreigaben über einen CNAME-Alias.

Auf manchen Clients wurden Zugriffe auf Freigaben sowohl im Explorer als auch an der Kommandozeile nur erlaubt, wenn der Servername vollqualifiziert angegeben wurde und ansonsten abgelehnt:

	C:\>net use f: \\fileserver.fqdn\freigabe 
The command completed successfully.

C:\>net use f: \\fileserver\freigabe 
System error 1240 has occurred.

The account is not authorized to log in from this station.

Des Rätsels Lösung war die Einrichtung des Alias nicht wie bisher auf dem DNS-Server über einen CNAME-Alias, sondern direkt auf dem betroffenen Server mit Hilfe von netdom durchzuführen:

	C:\>netdom computername servername /add:fileserver.fqdn
fileserver.fqdn
wurde als alternativer Name für den Computer hinzugefügt.

Der Befehl wurde ausgeführt.

Wer die anschließende DNS-Registrierung auf dem DNS-Server beschleunigen will, kann hierfür ipconfig verwenden:

	C:\>ipconfig /registerdns

Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneinträge für alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgeführt.

Anschließend funktioniert die Verbindung von allen Clients problemlos:

	C:\>net use f: \\fileserver\freigabe 
The command completed successfully.