Zwei Wochen Urlaub sind vorbei und mein RSS-Aggregator zeigt über 6.000 Einträge. Ich habe einige für mich interessante Themen herausgepickt und hoffe, dass sie auch für euch interessant sind.
Linux Mint Report April 2024
Ich bin kein wirklicher Fan von Mint Linux, aber die Macher gehen bei einigen Dingen einen konsequenten Weg. Dazu zählt unter anderem der Verzicht auf das Snap-Paketformat und auf Telemetrie, die ständige Verbesserung der Nutzerfreundlichkeit und die beharrliche Weiterentwicklung der XApps. Um die geht es unter anderem auch im neuesten Report. Einige Eckpunkte der nächsten Veröffentlichung der Distribution wurden bereits im März enthüllt.
Im vorletzten Report wurde die Bereitstellung eines neuen IRC-Clients namens Jargonaut erläutert, der den Wegfall des eingestellten Hexchat kompensieren sollte. Aufgrund der Kritik der User entschied man sich, keinen eigenen Client bereitzustellen, sondern von IRC auf das modernere Matrix-Protokoll zu wechseln. Dazu wird dessen Client Element als Web-App in Mint 22 integriert.
Die bei Linux Mint bereitgestellten XApps wurden mit dem Ziel der Unabhängigkeit von Mint entwickelt. Der initiale Anstoß zur Entwicklung traf später auf die Tatsache, dass GNOME Apps sich seit der Verwendung von GTK4 und libadwaita zunehmend nur in der GNOME Shell gut einfügen. Das stellt Distributionen wie Mint, Xubuntu und andere, die GTK-Apps verwenden, vor Probleme. Der Ausweg, den Mint mit den XApps bietet, wurde bisher von anderen Distributionen nach Einschätzung der Entwickler zu wenig genutzt. Das soll sich nun ändern.
Angestrebt wird eine Ausgliederung der XApps in ein eigenständiges Projekt, das von Entwicklern mehrerer Distributionen und Desktops betreut wird. Da dies kurzfristig nicht umzusetzen ist, werden für Mint 22 einige Apps in ihren GTK3-Versionen ausgeliefert.
Zudem wollen die Entwickler das Bewusstsein um die Risiken nicht verifizierter Flatpaks im hauseigenen Software Manager erhöhen. Auch wenn das keine populäre Maßnahme sein wird, sollen nicht verifizierte Flatpaks dort künftig standardmäßig nicht mehr angezeigt werden.
Immich wird zum Vollzeitprojekt
Seit geraumer Zeit nutze ich die selbst-gehostete Foto-App Immich bei mir als Ersatz für Google Photos. Die Anwendung läuft hier als Docker innerhalb von Unraid, lässt sich aber auch unabhängig davon leicht per Docker-Compose erstellen. Immich ist eine leistungsstarke Foto- und Videoverwaltungssoftware mit KI-Funktionen, die als Alternative zu proprietären Diensten wie Google Photos oder iCloud Photos entwickelt wurde. Immich ermöglicht es den Nutzern, ihre Fotos und Videos direkt von ihren mobilen Geräten aus zu sichern und selbst zu verwalten.
Das bisherige Hobby-Projekt hat jetzt einen großen Schritt getan und wird ab sofort zum Vollzeitprojekt für die Entwickler. Möglich wird das durch die Unterstützung von FUTO, einer in Texas ansässigen Organisation, deren Ziel es ist, Open-Source-Software zu entwickeln und zu unterstützen, die dem Anwender die Kontrolle belässt. FUTO wird für mindestens drei Jahre die drei Core-Team-Entwickler mit Gehältern ausstatten.
Bereits jetzt ist Immich Google Photos bei der Funktionalität überlegen. Jetzt haben die Entwickler Zeit, weitere Features für eine stabile Version und ein tragbares Modell zur Finanzierung in der Zukunft zu entwickeln. Teil davon wird ein Webdienst sein, der die Anwendung auch für Menschen öffnet, die nicht in der Lage sind, einen eigenen Server mit Docker zu betreiben. Wer mehr zu FUTO und den Deal mit Immich erfahren möchte, dem sei diese Q&A empfohlen.
Systemd plant Ersatz für Sudo
Sudo ist die Standard-Anwendung unter Linux, wenn es darum geht, einem User zeitweise erweiterte Rechte zu verleihen. Sudo ist sehr mächtig, was sich auch in 224k Code-Zeilen in 558 Dateien ausdrückt. Dabei wird der Standard-Linux-User den überwiegenden Teil der Sudo-Funktionalität niemals benötigen. Als Alternative bietet sich Doas an. Es besteht aus 77k Code-Zeilen in einer einzigen Datei. Der große Vorteil liegt aber in der Konfiguration. Während die Sudo-Konfig für die Mehrheit der Anwender nicht gerade einleuchtend ist, besteht meine Doas-Konfig aus einer Zeile mit sechs Argumenten.
Systemd-Entwickler Lennart Poettering hat auf Mastodon kürzlich eine Reihe von Toots getätigt, die eine weitere Alternative zu Sudo ankündigen. Das Projekt läuft unter dem Namen run0 und wird mit systemd 256 erstmals ausgeliefert. Dabei ist run0 als alternativer Mehrfachaufruf des bereits länger ausgelieferten systemd-run implementiert. Vor allem in Hinblick auf Sicherheit will run0 Vorteile gegenüber den Alternativen bieten.
Das wichtigste Unterscheidungsmerkmal dabei: Bei der Implementierung wird keine SetUID/SetGID-Funktionalität bei den Datei- oder Verzeichniszugriffen verwendet. SUID-Binaries wie Sudo und Doas werden aus dem Benutzerkontext heraus gestartet und laufen dann als Root. Die Authentifizierung bei run0 erfolgt über polkit und wird direkt aus PID1 heraus gestartet, sodass die Authentifizierungsaufforderung vom Terminal getrennt ist. Für den aufgerufenen Befehl wird ein unabhängiges Pseudo-TTY zugewiesen, wodurch der Lebenszyklus abgetrennt und aus Sicherheitsgründen isoliert wird.
Diskussion um Fedora Workstation
Anfang April wurde für Fedora 42 ein Vorschlag eingereicht, der vermeintlich darauf abzielte, bei Fedora Workstation GNOME durch Plasma zu ersetzen. Vermeintlich deswegen, weil auch die Antragsteller wohl nicht glaubten, dass dieser Plan erfolgreich sein würde. Man forderte einfach mal die ganze Torte, um dann das gewünschte Stück mit der Kirsche obendrauf zu erhalten. Realistisch ist wohl eher eine Gleichstellung von GNOME und KDE Plasma als Workstation-Editionen.
So wie der Vorschlag eingereicht wurde, müsste das Steuerungskomitee FESCo darüber entscheiden. Nach einiger Diskussion mit Für und Wider befand Fedora-Projektleiter Matthew Miller, dies sei keine Entscheidung für das eher technisch ausgerichtete Komitee, sondern sollte in der Workstation Workgroup diskutiert und entschieden werden. In seiner letzten Sitzung der Workstation WG kristallisierte sich eher Ablehnung gegenüber der Gleichstellung heraus, ohne dass bisher ein Beschluss gefasst wurde. Die Antragsteller wollen bei Ablehnung durch die WG das Fedora Council als letzte Instanz anrufen.
Und sonst noch…
Raspberry Pi Connect ist ein gerade als erste Beta veröffentlichtes Projekt, um auf sichere und benutzerfreundliche Weise von jedem Ort der Welt aus mit einem Webbrowser auf deinen Raspberry Pi Desktop zuzugreifen. Da nicht jeder Anwender mit SSH heimisch wird, steht mit Raspberry Pi Connect nun eine grafische Alternative bereit. Voraussetzung ist Raspberry Pi OS Bookworm in 64-Bit mit Wayland auf einem RasPi 4 oder 5 sowie RasPi 400. Dort lässt sich die Anwendung per sudo apt install rpi-connect installieren. Bei der Anwendung läuft im Hintergrund eine Peer-to-Peer-Verbindung mittels WebRTC.
Die Entwickler bei Tuxedo Computers haben die hauseigene Distribution Tuxedo OS auf v3 angehoben. Damit basiert das System nun auf Plasma 6. Tuxedo OS ist zwar für Tuxedo-Geräte optimiert, lässt sich aber auch auf fremder Hardware installieren.
Als Tunnelvision wurde ein neuer (alter) Angriffsvektor auf Virtual Private Networks (VPNs) getauft. Die dabei ausgenutzte Lücke existiert bereits seit 22 Jahren. Dabei wird der Datenverkehr des Opfers enttarnt und direkt über den Angreifer geleitet. Der Angreifer kann den Datenverkehr lesen, verwerfen oder verändern, während das Opfer seine Verbindung sowohl zum VPN als auch zum Internet aufrechterhält. Die Leviathan Security Group als Entdecker der Schwachstelle beschreibt den Angriff auf deren Blog als auch in einem YouTube Video.
