CleanPress

Ubuntu 21.04 versucht es erneut mit Wayland

Verfasst von

sla

in

Ubuntu 21.04
Bild: Hippo! by Mim | Lizenz: CC BY-ND 2.0

Mit Ubuntu 17.10 »Artful Aardvark« kehrte Canonical nicht nur zu GNOME als Desktop zurück, sondern setzte auch Wayland als Standard ein. Bei GNOME blieb man bis heute, für Wayland war es anscheinend noch zu früh, denn mit Ubuntu 18.04 LTS »Bionic Beaver« kam wieder ein herkömmlicher X-Server zum Einsatz.

Zweiter Anlauf

Jetzt wollen die Entwickler mit Ubuntu 21.04 »Hirsute Hippo« einen zweiten Anlauf wagen, Wayland als Standard zu etablieren und im Erfolgsfall nächstes Jahr mit 22.04 in die nächste LTS-Version zu übernehmen. In der Ankündigung heißt es, die Tatsache, dass Ubuntu 21.04 bei GNOME 3.38 bleibe und nicht auf das neue GNOME 40 setze, sei hilfreich bei diesem erneuten Versuch.

Seit dem ersten Versuch wurden viele der Fehler bei Wayland beseitigt und fehlende Funktionalität nachgereicht. So funktioniert etwa das Desktop-Sharing mithilfe von Pipewire mittlerweile gut. Auch Fractional Scaling für Displays mit HiDPI und unterschiedliche Skalierung bei mehreren Monitoren funktioniert mit Wayland besser als unter X.Org. Es verbleiben aber auch noch Probleme wie etwa die nicht funktionierende Farbauswahl im Color Picker von GIMP.

Bereits seit Fedora 25 Standard

Lediglich Nvidia-Anwender werden weiterhin mit X.Org als Standard versorgt, man hoffe jedoch, dass die Situation sich bis zur Veröffentlichung von Ubuntu 22.04 LTS klärt und auch diese Anwender Wayland als Standard nutzen können. Fedora setzt seit Ausgabe 25 vom Oktober 2016 konsequent auf Wayland für die Workstation-Ausgabe. Mit dem im April anstehenden Fedora 34 soll auch der Spin für den Plasma-Desktop mit Plasma 5.21 automatisch eine Wayland-Sitzung starten.

Das lässt hoffen, dass 2021 das Jahr wird, in dem Wayland den Logenplatz als Display-Protokoll übernimmt. Wenn Canonical diesmal durchhält, könnte das bei der weiten Verbreitung von Ubuntu auch einen Schub zur Beseitigung der noch bestehenden Fehler geben.

Kommentare

39 Antworten zu „Ubuntu 21.04 versucht es erneut mit Wayland“

  1. Avatar von D.R.
    D.R.

    für Wayland-Sessions fehlt mir momentan noch eine vernünftige Farbkalibrierung.
    Alle Tools die ich kenne, arbeiten noch mit X.

    Das ist ein Teufelskreis: ohne Pioniergeist keinen Fortschritt aber die Einschränkungen bei der Funktionalität sind eben doch hinderlich.
    Der Umbruch von X nach Wayland ist ja auch echt groß und mit den Funktionen von X hängt die Messlatte auch sehr hoch.

    Antworten
    1. Avatar von 2Cents
      2Cents

      Es wundert mich dass man da nicht von Anfang an dran gedacht hat.
      So wird die Farbkalibrierung wohl wieder etwas angeflanschtes, eine aufgesetzte Erweiterung, so wie bei den vielen Erweiterungen für X.

      Antworten
  2. Avatar von Jochen Geyer
    Jochen Geyer

    Die Erfahrung mit diesem Möchtegern-Distributor lässt hoffen, die vergeigen das planmäßig auch wieder.

    Antworten
    1. Avatar von tuxnix
      tuxnix

      Die tiefe Ablehnung von Ubuntu teile ich. Aber, dass Wayland später angepackt wird als bei Fedora hat hier sehr schliche Gründe. Zum einen ist es der Userkreis der nicht so experimentierfreudig ist und weniger Verständnis hat als der Fedorianer der sich helfen kann, wenn mal eine gewohnte Funktion ausfällt. Und zum anderen muss Ubuntu auch erst einmal den Code so anpassen, dass sich das gewohnte Ubuntu Look and Feed einstellt. Das sind in meinen Augen zwar Fürz die man bei Linux eigentlich nicht bräuchte, aber Ubuntu ist eine Marke und handelt dem entsprechend.

      Deshalb kommt Wayland bei Ubuntu ein wenig später zum Zuge und das ist allemal besser als Mir.

      Antworten
      1. Avatar von anonym
        anonym

        Auf Look und Feel dürfte das eher keine großen Auswirkungen gehabt haben. Aber es gab z.B. lange Probleme mit der Zwischenablage, die zwischen Wayland- und X-Anwendungen oft nicht funktionieren wollte und dann fehlte eben Funktionalität wie das im Artikel erwähnte Desktop-Sharing. Eine Distribution wie Ubuntu, die einfach zu funktionieren hat, kann dann eben warten.

        Antworten
        1. Avatar von Nick
          Nick

          Das teilen der Zwischenablage war unter Wayland anfangs gar nicht vorgesehen, weil das streng genommen schon immer unsicher und daher eine Sicherheitslücke war. Diese Funktionalität musste erst auf Basis von Wayland nachgerüstet werden, und zwar so das es sicher ist, womit nur jeweils autorisierte Fenster bzw. Programme auf explizite Inhalte der Zwischenablage zugreifen können, und nicht alles zu jeder Zeit wie unter Xorg.

          Antworten
    2. Avatar von Charon
      Charon

      Ubuntu ist eine gute und zuverlässige Distro. Die installiert wird und dann läuft. Ich habe alles getestet, von Manjaro bis Opensuse und die waren nicht zuverlässig wie Ubuntu.

      Die Wege die Canonical geht, sind nicht immer verständlich.

      Antworten
      1. Avatar von Jochen Geyer
        Jochen Geyer

        Die Wege die Canonical geht, sind nicht immer verständlich.

        Da hat aber jemand das Canonical Marketing wirklich verinnerlicht, dafür aber Di­ver­si­tät nicht verstanden.
        Aber vielleicht willst du einmal erklären, warum du eigentlich zu Linux gekommen bist?

        Antworten
        1. Avatar von Charon
          Charon

          Na ja, ich bin zu Gnu Linux gewechselt, weil ich hier die Freiheit habe. Mein System so einzurichten wie ich es möchte. Voraussetzung, das Wissen bzw der Skill. Windows 10 hat mich oft enttäuscht nach Updates. Bluescreen, kein Hochfahren, Treiber haben Hardware unbrauchbar gemacht.

          Wie gesagt, mein Linux Mint 20.1 oder auch Ubuntu 20.04.1 installiere ich einmal und es läuft wie ein Rolex Uhrlaufwerk, langweilig aber präzise. Nach 2 Jahren habe ich die Möglichkeit Upzugraden oder auch nicht. In meiner Familie laufen alle Rechner mit Gnu Linux und alle sind zufrieden.

          Das Canonical hat Firma, manchmal Experimente macht mag nicht immer gut sein, aber kann es gut verstehen.

          Das schöne ist, dich zwingt ja keiner das zu nutzen. Es gibt ja noch genug Alternativen.

          Lieben Gruß Charon

          PS: Hab das hier vom Smartphone geschrieben während meines Dienstes im Krankenhaus. Rechtschreibfehler etc, sorry und so. 🙂

          Antworten
          1. Avatar von Jochen Geyer
            Jochen Geyer

            Anfänglich wollte ich deinen gesamten Beitrag sezieren, aber ehrlich gesagt, ist mir meine Zeit zu schade, das Bild der Canonical Sekte glatt zu ziehen.

            ich bin zu Gnu Linux gewechselt, weil ich hier die Freiheit habe. Mein System so einzurichten wie ich es möchte.

            Gerade Canonical und Ubuntu ist ziemlich weit weg von GNU/Linux.
            Da wäre einmal die besonders einfache Installation von proprietärer „Treiber“ zu nennen, oder auch der proprietäre snap-Store.

            Auch das du GNU/Linux falsch schreibst, sind Anzeichen dafür, dass du dich weder mit GNU/Linux auseinandergesetzt hast, sondern lediglich den Canonicalzweig kennst und doch nur deren Marketing nachplapperst.

          2. Avatar von Charon
            Charon

            Dein Post ist ein Widerspruch in sich. Wolltest nicht sezieren, tust es trotzdem. Ubuntu hat mich von Windows und Mac OS abgeholt. Es ist meine Entscheidung. Und bin zufrieden damit. Es zwingt dich keiner es zu nutzen. Ohne Ubuntu gäbe es weniger Umsteiger, denn was wären die Alternativen? Arch, Gentoo, Fedora oder Debian wo primär übers Terminal das System konfiguriert werden muss? Der 0815 Anwender ist damit überfordert. Aber scheinbar fühlst du wohl unter den Puristen. Change my mind.

          3. Avatar von Jochen Geyer
            Jochen Geyer

            Dein Post ist ein Widerspruch in sich.

            Diese Vermutung gebe ich gern zurück.

            Wolltest nicht sezieren, tust es trotzdem.

            Hätte ich deinen „Beitrag“ wirklich seziert, hätte ich jeden einzelnen Satz auseinandergenommen, aber so blieb es bei einem Zitat.
            Als jemand der vorgibt im Gesundheitswesen tätig zu sein, erwarte ich, dass dieser auch die Bedeutung von »sezieren« (Schichtweises abtragen, wäre eine Deutung) kennt.

            Ubuntu hat mich von Windows und Mac OS abgeholt. Es ist meine Entscheidung. Und bin zufrieden damit.

            Aber ein Widerspruch stellt deine unglaubwürdige Behauptung dar, du würdest eigentlich Arch Linux verwenden.
            Das ist auch deswegen unglaubwürdig, weil du vorher immer *buntu über den Klee gelobt und den technik-fernen Habitus der Canonical Sekte verwendet hast.
            Ein Arch Linux Anwender hätte seine Beträge ganz anders aufgebaut.

            Nun ist die Frage, bist du einfach nur ein Lügner, der sich auch noch selbst entlarvt, oder bist du einfach nur minderbemittelt?

            Ohne Ubuntu gäbe es weniger Umsteiger, denn was wären die Alternativen?

            Wer braucht eigentlich diese ewigen Anfänger, die nicht einmal einen brauchbaren Bugreport verfassen können?
            Und was bringen diese technik-fernen Patienten der Linux Community eigentlich?

            Die Alternative wäre eine echte Linux Community ohne nerviges Apple Fanboy/-girl-Gehabe.
            Aber vor allem würde wieder sichtbar, über echte Linuxthemen diskutiert und nicht über klickbare, grafische Oberflächen.

            wo primär übers Terminal das System konfiguriert werden muss?

            Ein schönes Beispiel, einer Selbstdemontage.
            So spricht jemand, der Linux nicht als Alternative zu Windows/macosx versteht, sondern als günstigen Ersatz.
            Problem dieser Denke, Linux ist eine Alternative, aber kein Ersatz.

            Der 0815 Anwender ist damit überfordert.

            Warum muss der 0815 Trottel überhaupt Linux verwenden?
            Für diese Zielgruppe gibt es wahlweise Windows, oder macosx (wie immer das gerade geschrieben wird), dort wird diese Zielgruppe verarztet, um einmal im Kontext des Gesundheitswesen zu bleiben.

            Die Canonical Sekte zeichnet sich einzig durch besonderen missionarischen Eifer aus, aber nicht durch technisches Verständnis.

            Der Fehler in der Matrix ist eindeutig der Canonicalzweig, weil dieser Versprechungen macht, für die Linux nie vorgesehen war.

            Die Linux Community ist eine technik-affine Community und keine die den „Massenmarkt“ bedienen möchte, auch wenn Canonical dies immer wieder verspricht und dann doch an der Realität und dem eigenen Anspruch scheitert.

            Übrigens, so könnte ein sezierter Text aussehen.

          4. Avatar von tuxnix
            tuxnix

            Nah ja. Wer will das denn festschreiben wer Linux benutzen darf und wie man dann denken soll. Für mich steht zwar auch fest, dass die Politik die Canonical fährt, schädlich für GNU/Linux ist, aber man muss das „Fan-Gehabe“ nicht auf den Kopf stellen und Canonical auch noch dafür kritisieren, wenn sie Wayland benutzen.

          5. Avatar von kubuntuuser
            kubuntuuser

            Wer will das denn festschreiben wer Linux benutzen darf und wie man dann denken soll

            Nun ja, ich denke, das konnten wir doch alle gerade lesen. 😉

            Habe übrigens noch niemals von Linus etwas darüber gelesen, wer sein Linux verwenden darf und wer nicht. Nein, denn das wäre ein niveauloses und darüber hinaus auch ziemlich asoziales Verhalten. Ja, Linus kann auch austeilen. Aber soweit würde er nicht sinken. Das ist einer selbsternannten Elite vorbehalten, die (übrigens immer wieder vergeblich) versucht ihren eigenen Minderwertigkeitskomplex dadurch zu kompensieren, dass sie sich für etwas Besseres hält und sich darauf einen abnudelt. Wie armselig das doch ist.

            Im Gegensatz dazu freue ich mich über alle Interessenten gleichermaßen, die sich für Linux und damit für das Universum neben Microsoft oder Apple interessieren und werde dabei nicht müde, sie darin zu unterstützen wo ich kann. Vor allem aber würde ich mich niemals herablassend und arrogant über diese Gruppe erheben. Wozu denn auch?
            Gut, ich bin auch kein Egozentriker der sich für etwas Besseres hält und bei jeder sich bietenden Gelegenheit in Internet-Foren versuchen muss, sein kleines Licht und nicht vorhandenes Selbstbewusstsein aufzupolieren, indem er Andere herabqualifiziert und beleidigt. Dabei sind es doch genau diese Kleingeister, die dem Linux-Projekt insgesamt mehr als alles andere schaden.

            Diese schaden übrigens nicht nur Linux sondern auch den Foren, die solchen Egomanen eine Plattform bieten um herumzutrollen! Das zieht nicht nur das Niveau des gesamten Forums herunter – es verprellt auch völlig unnötigerweise Neueinsteiger und Interessierte, denen schnell die Lust am Thema sowie an der Diskussion und ebenso auch am Forum selbst vergeht, wenn sie von Einzelnen ständig nur abqualifiziert und herablassend behandelt werden. Und das dürfen wir nicht zulassen. Als Forenbetreiber würde ich mir sogar Gedanken darüber machen, ob ich ein derartiges Verhalten in meinem Forum überhaupt dulden wollte.

          6. Avatar von kiwi
            kiwi

            Ob der Ton in dieser Diskussion noch angemessen ist, beurteilt jeder aus deiner Sicht anders. Mir fällt auf dass, diese Diskussion zu scharf geführt wird und wenn sich dabei jemand verletzt fühlt würde es mich nicht wundern. Ich würde mir wünschen, dass es weniger persönlich sonder mehr sachlich zugeht. Gegen Aussagen die man als falsch empfindet, seine eigene Meinung und Belege/Quellen vorbringen ist sehr gut. Um so weniger man dabei dem andern absicht, dummheit oder ähnliches vorwirft um so eher macht man sich selbst und andere frei von solchen negativen Gefühlen und Gedanken.

            Ich selbst habe mit über MS DOS, 4Dos, windows 3.11, Suse, windows 95-windows7, ubuntu, debian zu mint gefunden. Bei DOS war mir egal ob die Software frei war, weil eh alles von Freunden auf Disketten kopiert wurde was ich brauchte, erst mit zunehmender Komplexität wurde mir klar das die Windows Welt eine Einbahnstraße ist, einmal im Jahr Neuinstallation, angepasste Installationsmedien, Bluescreens beindenen keiner helfen kann – oder Freude die fragen wie man die Kiste schneller macht – das alles beantworte ich jetzt für mich mit Mint. Und nein ich mag diese unfreien Treiber und Multimedicodes nicht trotzdem nutze ich sie wenn nötig. Wo ich kann wähle ich den Hersteller der gerade mehr open source Verständnis zeigt. Freunde denen ich mit Windows helfe bekommen immer wieder Linux nahe gelegt, doch Freunde bleiben sie auch wenn Sie bei dem bleiben was sie kennen und gewohnt sind.

            Ubuntu bin ich dankbar auch wenn hier unterschiedliche Ziele und Werte natürlich zu reibungen führen. Ich würde es selbst nicht mehr nutzen aber sie bereichen die Linux Welt.

          7. Avatar von Ferdinand
            Ferdinand

            Was den Ton der Diskussion angeht, so kann ich Dir nur zustimmen, ein solcher Diskussionsstil ist hier nicht erwünscht, schreckt Leser ab und verhindert eine ausgewogene Diskussion mit gegenseitigem Respekt selbst dann, wenn sich Meinungen diametral gegenüberstehen.

          8. Avatar von kubuntuuser
            kubuntuuser

            schreckt Leser ab und verhindert eine ausgewogene Diskussion

            Ganz genau das. Daher habe ich mich auch vor ca. einem Monat von Linuxnews verabschiedet. Bin heute nur durch die Linuxnews-Email über eine neue Antwort von kiwi erinnert worden.

            Dass sich Leser abwenden ist übrigens auch eine Folge davon, wenn der Betreiber nicht einschreitet und solche Rüpel folgenlos gewähren lässt. Das versaut das ganze Forum. In anderen Foren gibt es hierfür eine Netiquette die auch mittels Sanktionen durchgesetzt wird.

            Wie gesagt, ich bin raus. Habe oft genug darauf hingewiesen. Mir war das dann zu doof. Schade um die ansonsten gute Seite.

            Macht’s gut und bleibt gesund.

          9. Avatar von Ferdinand
            Ferdinand

            Es muss ja nicht immer alles öffentlich passieren. Ich habe mich auf privater Ebene für eine freundlichere Gangart eingesetzt und hoffe, dass das reicht. Wenn nicht, werde ich restriktivere Maßnahmen ergreifen.

          10. Avatar von findwindoof
            findwindoof

  3. Avatar von 2Cents
    2Cents

    Wie sieht’s denn mit root evelation aus um ìn einer bestehenden Wayland Sitzung mit normalen Nutzerrechten Einstellungen mit root Rechten durchzuführen?
    Gibt’s dafür inzwischen Lösungen?

    Antworten
    1. Avatar von Nick
      Nick

      Grafische Programme mit Rootrechten zu starten, ist unter Wayland explizit nicht vorgesehen. Das war noch nie eine gute Idee und ist eine enorme Sicherheitslücke. Um dieses Problem auf sicherere Weise zu adressieren wurde Polkit geschaffen. Dafür muss ein Programm aber modular aufgebaut sein, womit das GUI stets mit Nutzerrechten läuft, dass Programm jedoch für einzelne Module via Polkit, zeitlich begrenzt für eine Aktion höhere Privilegien anfordern kann, die vom Nutzer dann via Root-Passwort abgesegnet werden müssen. Bekannte Beispiele wären Programme, wie Gparted, Synaptic, oder auch Dateimanager wie Nautilus, um Dateien und Verzeichnisse mittels Rootrechten bearbeiten zu können, wenn man der Adresszeile „admin:///Pfad_zur_Datei“ mitgibt und das via Root-Passwort bestätigt. Aber auch Dinge wie grafische Systemeinstellungen können via Polkit abgehandelt werden, wenn partielle Optionen Rootrechte erfordern. Auf diese Weise bekommen grafische Programme nur die Privilegien die sie wirklich benötigen, anstatt das Programm völlig unnötig in Gänze mit vollen Rootrechten auszustatten, was eine enorme Angriffsfläche mit sich bringt. Man gewöhnt sich daran, auch wenn ich persönlich ein Terminal bevorzuge um Änderungen am System durchzuführen.

      Antworten
      1. Avatar von 2Cents
        2Cents

        Microsoft hat das elegant mit dem geschützten Modus und UAC Dialog gelöst, der in den Vordergrund tritt. Was nicht bedeuten muss, dass die Art und Weise, wie UAC im Hintergrund gelöst ist, gut gelöst wäre, ich beziehe mich jetzt hier nur auf die Oberfläche und das in Beschlag nehmen und Darstellen der Oberfläche.
        Programme die mit Nutzerrechten laufen haben auf den UAC Dialog keinen Einfluss, sie können keinen Screenshot erstellen, keine Daten rauskopieren usw..

        Wenn die GUI nämlich bei Wayland weiterhin mit Nutzerrechen läuft, wer verhindert dann, dass GUI Elemente verändert werden und man dann bei der Passworteingabe als Nutzer etwas ganz anderes zu sehen bekommt, als das, was man dann mit root Rechten abnickt?
        Der dargestellte Dialog ist ja in keinster Weise geschützt.
        Man denke da bspw. an Phising, der Nutzer sieht was ganz anderes, als das, dass er mit seiner TAN abnickt.

        Bei Wayland wäre ein klassisches Problem die Shell.
        Wie starte ich eine Terminalsitzung sicher mit Rootrechten, wenn Wayland das nicht erlaubt bzw. das dargestellte abschottet und die Shell auch nicht mit policykit Modulen modularisierbar ist?
        Ich gehe mal davon aus, dass ein Prozess mit Nutzerrechten die gesamte Shell und alles was darin als root angezeigt wird. Z.B. geöffnete Configdateien, die nur root lesen dürfen soll, dann per Screenshot kopierbar ist, weil bei Wayland eine Art GUI Bereichsschutz für Rootprozesse fehlt, der einen grafischen Bereich für root anbietet, der vom Rest abgeschottet ist.

        Besonders fatal, vor kurzem hat Linus Torvald den Code der das zurückblättern in einer richtigen ttty Konsole erlaubt aus dem Kernel entfernt, man kann also nicht einmal als Workaround Wayland verlassen und in eine tty Konsole per ALT+CTRL+F* Hotkey wechseln, wenn man die Zurückblättern, also Scrollfunktion dringend benötigt.

        Ja, X hat das natürlich auch nie besser gemacht. Aber bei Wayland hätte man doch wenigstens im Design da etwas einplanen müssen oder können.

        Antworten
        1. Avatar von Nick
          Nick

          Bedaure aber das was Du da hinsichtlich der UAC als elegant betitelt hast, ist unter der Haube keine sichere Sache. Selbst Microsoft weist darauf hin, dass diese Lösung keine hohe Sicherheit bietet. Und letztlich wird die UAC von vielfältiger Schadsoftware ohne Nutzer einfach abgenickt. Streng genommen wird bei der UAC auch nur zwischen verschieden Identitäten des Administrators hin und her gewechselt, und stellt damit keine echte Trennung von Nutzerkonten dar, wie man sie bspw. hätte würde man sich als eingeschränkter Nutzer einloggen.

          Grundsätzlich kontrolliert der Wayland-Compositor ob GUI-Elemente geändert werden. Ein Programm hat nach dem Start darauf keinen Einfluss mehr, womit nur der Nutzer dies praktisch veranlassen kann. Unter anderem das gehört zum Sicherheitskonzept von Wayland, dass Programme nur sich selbst sehen und nichts anderes, noch das eigene Fenster oder Fenster und Eingaben anderer Programme einsehen bzw. manipulieren können. Um an der grafischen Darstellung von Dialogen und Elementen etwas faken zu können, müsste ein Angreifer den mit höheren Privilegien ausgeführten Wayland-Compositor übernehmen können, der für sich nur einen beschränkten und verifizierten Input akzeptiert. Dein Szenario ist etwas was deutlich in Richtung Xorg gehen würde.

          Darüber hinaus ist ein Root-Terminal grundsätzlich risikoreich, weshalb auch ein Terminal unter Wayland initial mit Nutzerrechten gestartet wird. Benötigt man anschließend Rootrechte für diverse Aktionen, führt man schlicht „su -“ aus und bestätigt via Root-Passwort. Wo ist das Problem? Unter Xorg war das auch nicht anders, mit Ausnahme dessen das Programme direkt mit Rootrechten gestartet werden konnten, womit jeder Aspekt eines Programms Rootrechte hatte, was wiederum gefährlich ist.

          Einige deiner Formulierungen ergeben sinngemäß irgendwie keinen Sinn. Bist Du sicher das Du die Thematik wirklich verstanden hast? Oder Du weisst vl. nicht wie Du bestimmte Sachverhalte ausdrücken sollst? Jedenfalls ist Wayland nicht dazu da um sich gegen Prozesse mit Rootrechten verteidigen zu können, dass ist eine ganz andere Baustelle. Ebenso können viele systemrelevante Konfigurationen unter der Kontrolle von Root, mit Nutzerrechten eingesehen jedoch nicht bearbeitet werden. Partiell ist das sogar notwendig für Prozesse die unter Nutzerrechten agieren. Natürlich betrifft das keine Konfigurationen die besonders sensibel sind, und daher ausschließlich von Root gelesen werden können. Die Angelegenheit mit dem Scrollen im TTY kann ich so bislang nicht bestätigen. Hier unter Gnome 3.38 mit Wayland und Linux 5.10.12 ist ein Wechsel des TTY problemlos möglich.

          Antworten
          1. Avatar von 2Cents
            2Cents

            Einfach mal richtig lesen:
            „Was nicht bedeuten muss, dass die Art und Weise, wie UAC im Hintergrund gelöst ist, gut gelöst wäre,“

            Es geht um abgeschottete Anzeige und die ist sicher.

            „Streng genommen wird bei der UAC auch nur zwischen verschieden Identitäten des Administrators hin und her gewechselt,“

            Und das ist sicher. Der angezeigte Administrator ist sicher. Gibst du ein Passwort ein, dann ist das sicher, du kannst es nicht mit Nutzerrechten auslesen.
            Und du kannst auch keinen Screenshot mit Nutzerrechten von der angezeigten Oberfläche darstellen.
            Selbst Copy&Paste geht auch nicht.

            MS hat damit erreicht, dass der Nutzer Admintätigkeiten sicher durchführen kann, während er als Nutzer eingeloggt ist.
            Das UAC andere Schwächen hat, sagte ich schon. Da geht’s dann mehr um die Signaturen und die Voreinstellung, nicht um die Anzeige an sich, die sicher ist.

            Grundsätzlich kontrolliert der Wayland-Compositor ob GUI-Elemente geändert werden. Ein Programm hat nach dem Start darauf keinen Einfluss mehr, womit nur der Nutzer dies praktisch veranlassen kann.

            Und wie wird dann realisiert, dass das Programm bspw. ein Untermenü oder einen Echtzeitchart anzeigen bzw. verändern kann, wenn es keinen Einfluss auf die eigene Darstellung hat?

            Darüber hinaus ist ein Root-Terminal grundsätzlich risikoreich, weshalb auch ein Terminal unter Wayland initial mit Nutzerrechten gestartet wird. Benötigt man anschließend Rootrechte für diverse Aktionen, führt man schlicht “su -” aus und bestätigt via Root-Passwort. Wo ist das Problem? Unter Xorg war das auch nicht anders, mit Ausnahme dessen das Programme direkt mit Rootrechten gestartet werden konnten, womit jeder Aspekt eines Programms Rootrechte hatte, was wiederum gefährlich ist.

            Bei X konnte man die Passworteingaben abfangen. Darunter auch das root Passwort nach „su -„.
            Bei Wayland gehe ich mal davon aus, dass das Terminalprogramm die Eingaben bekommt und dieses läuft mit Nutzerrechten.

            Und ja, bei Xorg war das sehr schlecht, auch das war ein Grund, warum etwas neues besseres her musste, das solche Schwächen nicht hat und da auch nichts erlaubt.
            Es hieß, das würde mit Wayland angegangen werden, aber als Nutzer möchte man trotzdem einige Dinge mit root Rechten ausführen. Das hatte man am Anfang soweit ich das mitbekommen habe, nicht bedacht, so dass man hier andere Lösungen brauchte.

            Jedenfalls ist Wayland nicht dazu da um sich gegen Prozesse mit Rootrechten verteidigen zu können,

            Das habe ich nicht behauptet.
            Es geht mir um die Möglichkeit unter einer normalen Sitzung mit Nutzerrechten Oberflächen und Prozesse die Rootrechte erfordern durchzuführen und zwar so, dass die restliche Software der Sitzung, die mit normalen Nutzerrechten läuft, hier keine Angriffspunkte hat.

            Bildlich und vereinfacht gesprochen also, ich habe den Desktop und jetzt mache ich ein Rechteck auf für ein Programm mit root Rechten, das root Dinge tun soll und in diesem Rechteck kann nur dieses eine Programm Daten verändern und auslesen, inkl. der Eingabe wenn das Rechteck den Fokus hat. Wollte man nen Screenshot mit nem Screenshotprogramm machen, dann wäre der Inhalt dieses Rechtecks im erstellten Screenshot leer.

            Die Angelegenheit mit dem Scrollen im TTY kann ich so bislang nicht bestätigen. Hier unter Gnome 3.38 mit Wayland und Linux 5.10.12 ist ein Wechsel des TTY problemlos möglich.

            Es geht nicht um den Wechsel nach TTY, sondern es geht um das Scrollen innerhalb der TTY Sitzung. Das geht nicht bzw. nicht mehr.
            Wenn es bei dir geht, dann nutzt du noch einen alten Kernel, der diese Codeänderung nicht bekam.
            Bei mir läuft hier Debian Buster mit Linux Kernel 4.19.0-13-amd64 und der kann es nicht mehr.
            Die Änderung kam irgendwann im Herbst letzten Jahres.

            Also wechsel in eine TTY via STRG+ALT+F1, dann log dich als root ein. Gib bspw. dmesg ein und dann versuch zu Scrollen mit Shift+PageUp oder Shift+PageDown.
            Das geht nicht mehr, früher ging das, auch wenn man nicht besonders weit scrollen konnte, aber für die meisten Sachen hat’s gerreicht.

            Jetzt ist es wie bei DOS. Scrollen geht gar nicht mehr, man sieht nur das, was dargestellt wird.
            Will man mehr sehen, muss man sich mit less, pipes und Co verrenken.

  4. Avatar von Ferdinand
    Ferdinand

    Auch nett: https://github.com/Aishou/wayland-keylogger

    Antworten
    1. Avatar von 2Cents
      2Cents

      Danke für den Link.

      Antworten
    2. Avatar von Nick
      Nick

      Ich fürchte Du hast dich hier zu sehr auf den Titel fixiert, denn auf das technische herunter gebrochen ist dieser Keylogger praktisch Unsinn, da der Autor wesentliches falsch definiert. Denn ein Angreifer der in der Lage ist, in die „.bashrc | .profile“ Datei zu schreiben um sich via LD_PRELOAD in gemeinsam genutzte Libraries wie die „libwayland“ einzuklinken, um dann Clients quasi umzuprogrammieren ihre eigenen Eingaben zu loggen, dann hat man praktisch verloren. Nur in diese Lage muss ein Angreifer erstmal kommen, womit dieser gleich mehrere Hürden nehmen muss. Dieser Angriffsvektor hat in etwa soviel Gehalt wie wenn jemand sagen würde: „Wenn ich Rootrechte auf deinem System erlange, kann ich jede Menge an bösen Dingen tun.“. Aber der Infektionsweg bleibt in beiden Fällen im Dunkeln, als gäbe es hier praktisch keine Hürde die einen Angreifer daran hindert derartige Aktionen auszuführen. Von daher ist dieser Keylogger gegenstandslos, weil der Nutzer hierbei aktiv, destruktiv und in völliger geistiger Abwesenheit agieren muss, damit das in greifbare Nähe kommt. Und Rootrechte gibt es bekanntermaßen auch nicht im Sonderangebot. Zuzüglich dessen sollte auch noch festgehalten werden, dass Wayland für sich auch nur ein Teil des Sicherheitskonzepts darstellt, und entgegen mancher Meinungen nicht dafür konzipiert wurde, vor den hier angegebenen Angriffsvektoren zu schützen, zumal das deutlich in Richtung, Firejail, AppArmor und Co. geht, und Aufgabe tiefgreifender Sicherheitsmechanismen ist.

      Antworten
      1. Avatar von Ferdinand
        Ferdinand

        Danke für die Analyse. Ich muss gestehen, ich habe da nicht sehr intensiv draufgeschaut.

        Antworten
      2. Avatar von 2Cents
        2Cents

        Denn ein Angreifer der in der Lage ist, in die “.bashrc | .profile” Datei zu schreiben

        Sowohl .bashrc als auch .profile sind mit einfache Nutzerrechten beschreibbar.
        Dafür braucht man kein root.
        Wenn man aber nur diese Dateien editieren muss, um mit diesem Keylogger PW Eingaben innerhalb eines root Prozesses abzufangen, dann läuft da was falsch.
        Einfachtes Beispiel also die PW Eingabe nach dem ausführen von „su -“ in einem Terminal.

        Antworten
        1. Avatar von Ferdinand
          Ferdinand

          Ich hab jetzt wirklich die Nase voll von Dir. Andauernd bekomme ich Ärger, weil Du anderer Leute E-Mail-Adressen verwendest. Damit ist jetzt Schluss. Entweder Du unterlässt das oder es gibt eine Zwangsanmeldung für alle, die kommentieren wollen. Die Community wird es Dir bestimmt danken. Es kann doch nicht so schwer sein, eine legitime E-Mail-Adresse zu verwenden wie alle anderen auch.

          Antworten
          1. Avatar von 2Cents
            2Cents

            Du hast mich noch nie darauf hingewiesen, dass das für dich ein Problem ist.
            Und ich verstehe auch nicht, warum du an diese Fake Mailadresse überhaupt irgendwas schickst. Zumal da eindeutig im Fakenamen drin steht, das ich keine Post empfangen will. Halte dich bitte daran, dann bekommst du auch keinen Ärger.
            Zudem finde ich es recht dreist, E-Mail Adressen zu verlangen und dann nicht einmal die E-Mail Adressen wie bei einer richtigen Registrierung bestätigen zu lassen.
            Zudem verwende ich keine E-Mail Adressen von anderen, ich fülle nur den Platzhalter aus, weil die Kommentarsektion das fehlerhafterweise so verlangt, das ist aber nicht meine Schuld, sondern eine unnötige Datensammelei dieser Webseite. Die DSGVO lehrt normalerweise Datensparsamkeit.
            Und im übrigen muss ich beim Abgeben von Kommentaren nirgends unterschrieben, dass ich eine gültige E-Mail Adresse nutzen muss. Und es steht auch nicht dabei, was im Rahmen des Datenschutzes mit der gesammelten E-Mail Adresse dann alles gemacht wird.
            Daher meine Empfehlung, schalte diesen E-Mail Zwang einfach aus und biete es nur optional an, für die, die das brauchen.

          2. Avatar von Ferdinand
            Ferdinand

            Als ich Dich das letzte Mal bat, dies zu unterlassen war Deine Reaktion: Die Leute sind doch selbst schuld, wenn sie so schwache Passwörter verwenden. Soviel dazu. Ich schicke gar nichts an diese Adressen, sondern das Kommentar-Plugin tut es. Dann bekomme ich Post vom legitimen Besitzer der E-Mail-Adresse, der sich beschwert, dass er andauernd Mails erhält, dass eine Antwort auf seinen Kommentar erscheinen sei. So hat der Besitzer der von Dir zuletzt benutzten @bittekeinspam.de in den letzten Tagen jeweils einige Mails dieser Art erhalten und sich heute bei mir beschwert. Findest Du das gut? Ich hab da keinen Bock drauf, also unterlasse das bitte. Danke.

          3. Avatar von 2Cents
            2Cents

            Wann soll das gewesen sein? Ich habe keine derartige Bitte von dir erhalten.
            Und wir haben auch nicht über Passwörter im Bezug auf die Kommentare gesprochen. Ich verwende auch keinen E-Mail Account von anderen Personen und brauche daher auch deren Passwort nicht.
            Du hast deine Webseite so konfiguriert, dass E-Mails nicht per Link bestätigt werden müssen. Dennoch verlangst du unnötigerweise einen Eintrag im E-Mail Feld, damit die Kommentare akzeptiert werden und dann bist du noch so dreist, wie ich gerade an der Wegwerfmail erkenne, ungefragt E-Mails an diese dann angegebene E-Mail zu schicken, wobei du aufgrund einer fehlenden Registrierungsanfrage, dir noch nicht einmal die Erlaubnis dafür eingeholt hast. Kein Wunder, dass du da Probleme kriegst.
            Das kommt praktisch einer E-Mail Sammelei und einer E-Mail Registrierung gleich, wobei es bei deiner Lösung noch schlimmer ist, weil die Betroffenen die Probleme gar nicht hätten, wenn die E-Mail dann auch wirklich vom E-Mail Accountinhaber bestätigt werden müsste. Das lässt du nämlich einfach weg, willst aber trotzdem richtige E-Mail Adressen.
            Meine Empfehlung, schalte das Plugin einfach ab, lass den E-Mail Zwang weg oder biete wenigstens eine Anonymous E-Mail Adresse als Voreinstellung an, die man im E-Mail Feld verwenden kann, damit das Kommentar akzeptiert wird.
            Aber richtige E-Mails verlangen und dann quasi doch eine Registrierpflicht zu verlangen, aber die E-Mail dann nicht bestätigen lassen, das ist mit Abstand die schlechteste Lösung von allen. Wenn du echte E-Mails willst, dann solltest du auch eine echte Registrierungspflicht mit Bestätigung der E-Mail Adresse einführen.

          4. Avatar von Ferdinand
            Ferdinand

            Wenn es Dir nicht gefällt, was ich hier tue, dann musst Du hier nicht lesen oder kommentieren. Ansonsten bitte ich Dich, eine E-Mail-Adresse zu nutzen, durch die ich keine Mails von erzürnten Leuten erhalte. Damit ist die Diskussion für mich beendet. Danke für dein Verständnis.

          5. Avatar von 2Cents
            2Cents

            Gut, dann lese ich hier nicht mehr. Denn jedes mal ne Wegwerfaddresse zu holen ist mir zu umständlich und eine random Adresse wählen, wie bisher, wird nicht in jedem Fall ins Nichts führen. Bei der Sammelei von echten E-Mail Adressen ohne vernünftige Registrierung mit Bestätigung mache ich jedenfalls nicht mit.
            Ein Kompromiss wäre jedoch, wenn du mir erlaubst deine zu verwenden. Also linuxnews@mailbox.org Das wäre noch eine Idee.

          6. Avatar von kubuntuuser
            kubuntuuser

            Gut, dann lese ich hier nicht mehr.

            Ich denke darauf könnte man sich einigen. 😉 SCNR

  5. Avatar von wurzl
    wurzl

    Hallo zusammen. Ich habe mir gerade Ubuntu 21.04 Beta auf einen USB Stick gepackt und gebootet. Aber anscheinend läuft die Session unter X11 (Im Terminal: echo $XDG_SESSION_TYPE sagt X11). Gibts da einen „Trick“ wie ich eine Wayland Session ausprobieren kann, oder ist das bereits ein Fallback weil Wayland nicht funktioniert? Ich bin noch nicht solange dabei und meide eigentlich auch jegliches frickeln am System. Neugierig bin ich aber schon 🙂

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Sollte eigentlich so sein. Aber weder die Beta noch ein Daily vom 31.3. hat Wayland als Standardsitzung. Wenn Du installiert hast, stellst Du die Session einfach beim Login um. Bei einer Live-Session ist es etwas komplizierter, wie hier beschrieben. Ob das nun zum Release noch geändert wird, ist mir nicht bekannt.

      Antworten
      1. Avatar von wurzl
        wurzl

        Ok Danke für die Antwort. Ich warte dann wohl besser noch auf die finale Version. Der erste Eindruck gefällt mir aber sehr gut.

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge