Schlagwort: Gentoo

Zum Geburtstag: Calculate Linux 20.6

Seit 20 Jahren entwickelt Alexander Tratsevskiy das Projekt Calculate Linux (CL). Dabei handelt es sich um eine Linux-Distribution, die für den schnellen Einsatz in Unternehmensumgebungen optimiert ist, aber auch in einer Desktop-Version vorliegt. Sie basiert auf Gentoo und ist in den Varianten Calculate Linux Desktop (CLD), Calculate Directory Server (CDS), Calculate Linux Scratch (CLS), Calculate Scratch Server (CSS) und Calculate Linux Container (CLC) verfügbar.

Gentoo als Basis

CL nutzt das Rolling-Release-Modell und liefert damit Updates in binärer Form aus, bleibt aber kompatibel zu Gentoos Paketmanagement Portage. Die neue Version CL 20.6 bringt einige technische Verbesserungen mit.

zRAM und Zstd

Dazu zählt zRAM als Ersatz für die traditionelle Swap-Partition, wie es auch Fedora 33 einführen will. Auch ganz am Ende des Alphabets ist Zstd angesiedelt, das bei Calculate bei der Komprimierung für den Kernel, dessen Module und das Initramfs zum Einsatz kommt. Anstelle von ALSA bekommt nun PulseAudio den Vorzug, Anwender haben aber weiterhin die Wahl.

Nextcloud besser angebunden

Die WLAN-Unterstützung wurde verbessert, nicht mehr benötigte Bibliotheken können leichter entfernt werden. Beim Schließen des Notebook-Deckels ist nun Suspend die Standardaktion. Die beiden Chrome-Erweiterungen Passman und FreedomMarks verbessern die Zusammenarbeit mit Nextcloud. Der Browser bringt zudem ein vorkonfiguriertes uBlock Origin mit.

Für Desktop, Server und Cloud

Calculate Linux liegt in Editionen für Desktop, Server und Cloud vor. Diese bieten zusätzlich jeweils eine Scratch-Version, die zur Erstellung eines Live-Mediums mit einem individuellen Paketset dient. Die Desktop-Version bietet Abbilder mit KDE Plasma, Cinnamon, LXQt, Xfce und Mate als Desktop-Umgebungen. Die Cloud-Version liegt für die Container-Formate LXC und LXD vor. Die Abbilder sind jeweils Live-Systeme mit Installer und liegen auf der Projektseite zum Download vor.

2020-06-22
Gentoo: GNOME ohne Systemd

Lizenz: GPL

Das Gentoo-Projekt gab in dieser Woche bekannt, dass es gelungen sei, GNOME 3.30 für alle Init-Systeme anzubieten und nicht nur für Systemd. Die im Testing-Zweig der Distribution verfügbare Umsetzung booted standardmäßig mit OpenRC anstatt Systemd.

Elogind

Dies wird durch das elogind-Projekt erreicht, eine eigenständige Logind-Implementierung auf Basis von Systemd-Code, die derzeit von einem Gentoo-Nutzer gepflegt wird. Es stellt die fehlenden Logind-Schnittstellen zur Verfügung, die GNOME derzeit benötigt, ohne dabei mit Systemd zu booten.

Per USE-Flags auswählen

Für eine einfachere GNOME-Installation richten die GNOME-Profile nun standardmäßige USE-Flags (PDF) mit elogind für OpenRC-Systeme ein, während die GNOME/Systemd-Profile weiterhin zur Verfügung stehen. Nach der Profilauswahl sollte die Installation per emerge gnome mit dem gewünschten Init-System gelingen.

Noch nicht stabil

Es wird erwartet, dass GNOME 3.32 bald auch im Testing-Zweig verfügbar sein wird. Innerhalb von 6 – 8 Wochen soll die neue Option dann auch für Anwender des stabilen Zweigs verfügbar sein. Fehler können in Gentoos Bugzilla gemeldet werden.

Offenes Gentoo

Gentoo war seit der Einführung von Systemd bemüht, Alternativen bereitzustellen. Nachdem Udev an Systemd angebunden wurde, forkten Gentoo-Entwickler das Paket zu eudev, das wie elogind unter anderem auch beim Debian-Derivat Devuan verwendet wird.

Viel Auswahl

Systemd ist zwar von allen großen Distributionen übernommen worden, ist aber auch Jahre nach der Einführung nicht unumstritten. Allerdings ist die Diskussion darüber heute meist sachlicher als etwa bei der Einführung von Systemd bei Debian. Damals hatten militante Trolle jeglicher Sachlichkeit den Garaus gemacht. Anwender, die Systemd auf ihren Rechnern nicht haben möchten, können auf eine mittlerweile stattliche Zahl an Distributionen ohne Systemd ausweichen.

2019-03-29
Einbruch bei Gentoo durch Achtlosigkeit ermöglicht

Photo by Anas Alshanti on Unsplash

Die Analyse des Einbruchs und der Übernahme des GitHub-Repositories der Linux-Distribution Gentoo ist abgeschlossen. Aus dem jetzt vorliegenden schriftlichen Report lassen sich zwei Kernaussagen ableiten.

Vorbildliche Reaktion

Zum einen haben die Entwickler vorbildlich reagiert und sind sofort nach der Entdeckung an die Öffentlichkeit gegangen. Zweitens wurde der Einbruch durch ein kompromittiertes Passwort auf einer anderen Webseite erst ermöglicht. Wie die Entwickler feststellten, konnte das Passwort für den Hack von dem kompromittierten Passwort abgeleitet werden. Einer der Entwickler verwendete ähnliche Passwörter auf verschiedenen Webseiten und Diensten.

Drei Repositories betroffen

Der oder die Einbrecher hatten nach dem Eindringen zunächst alle legitimen Accounts entfernt und dann versucht, durch das Hinzufügen von rm -rf-Kommandos in verschiedenen Repositories Daten auf den Rechnern der Nutzer zu löschen, die per git pull diese Repositories auf ihre Rechner ziehen. An dieser Stelle waren allerdings Sicherheitsmaßnahmen eingebaut, die das Ausführen dieser Befehle verhinderten. Betroffen von den Änderungen der Einbrecher waren die Repositories gentoo/gentoo, gentoo/musl und gentoo/systemd. Kopien dieser Repositorien aus dem betroffenen Zeitraum sollten auf keinen Fall genutzt werden.

Schwachstellen identifiziert

Die Analyse hat einige Schwachstellen in der Handhabung der GitHub-Repositories seitens der Gentoo-Entwickler aufgezeigt. So sei unter anderem die Kommunikation mit Anwendern der betroffenen Repositories nicht ideal gewesen. Zudem war der Mechanismus zum Widerruf der Zugangsdaten schlecht implementiert. Es gab darüber hinaus kein Backup der Details der Gentoo-Organisation auf GitHub. Systemd, eines der drei betroffenen Repositories, war kein Spiegel eines Gentoo-Repository, sondern direkt auf Github gespeichert.

Auswirkungen

Die Gentoo-Organisation auf GitHub war als Folge des Einbruchs für fünf Tage gesperrt. Eine unangenehme Folge des Einbruchs war zudem, dass alle früheren Pull Requests von den zugehörigen Commits getrennt und geschlossen wurden. Das konnte von GitHub nicht rückgängig gemacht werden, sodass Anwender ihre Pull Requests erneut öffnen müssen.

Laute Einbrecher

Die Attacke verlief relativ laut, was zur schnellen Entdeckung beitrug. Einerseits wurden durch das Entfernen aller Konten die Entwickler per E-Mail informiert. Zum anderen erzwangen der oder die Täter ihre Änderungen mit dem Kommando git push –force. Damit hatten die Einbrecher selbst verhindert, dass ihre Änderungen lautlos von Anwendern mit einem git pull auf ihre Rechner gezogen werden konnten.

Lehren gezogen

Der Originalcode von Gentoo war zu keinem Zeitpunkt gefährdet, da er sich auf Servern der Organisation befindet, auf GitHub liegt lediglich eine Kopie. Die Entwickler selbst arbeiten fast ausschließlich mit dem Originalcode, während Beiträge aus der Community auch über die Gentoo-GitHub-Organisation vorgenommen werden. Als eine der Lehren aus dem Vorfall forciert Gentoo jetzt die Verwendung von Zwei-Faktor-Authentifizierung (2FA) für Konten auf GitHub. Viele Anwender nutzten diese doppelte Absicherung bereits vor dem Vorfall, aber nicht alle.

2018-07-07
Einbruch auf der GitHub-Präsenz von Gentoo

Quelle: Negative Space | Lizenz: CC0

Wie die Entwickler des Linux-Projekt Gentoo bekannt gaben, wurde ein Teil der GitHub-Präsenz des Projekts am 28.6. gegen 20:20 von Hackern übernommen und dort liegender Quellcode manipuliert. Zum Zeitpunkt der Bekanntgabe des Hacks, der sehr schnell entdeckt wurde, war nicht bekannt, welche Daten verändert wurden. In einem ersten Bericht schreiben die Entwickler:

[su_quote style=“modern-light“]Heute, am 28. Juni um ca. 20:20 UTC haben unbekannte Personen die Kontrolle über die GitHub Gentoo Organisation erlangt und den Inhalt von Repositories und Seiten dort verändert. Wir arbeiten noch immer daran, den genauen Umfang zu bestimmen und die Kontrolle über die Organisation und ihre Repositorien wiederzuerlangen. Der gesamte Gentoo Code, der auf GitHub gehostet wird, sollte im Moment als kompromittiert betrachtet werden.[/su_quote]

Originalcode ist sicher

Der kompromittierte Quellcode auf GitHub ist nur eine Kopie des Originalcodes, der von Gentoo auf eigener Infrastruktur unter der Domain gentoo.org gehostet wird. Der Originalcode, der für die Entwicklung und für ebuilds genutzt wird, ist von den Manipulationen nicht betroffen und wird als sicher betrachtet. Auch ein Spiegel des Codes im Repository gentoo mirror auf GitHub ist unversehrt und weiterhin zugänglich. Sorgen machen müssen sich lediglich Personen, die in den Stunden vor dem Einbruch bei Gentoo Code vom derzeit immer noch geschlossenen GitHub-Repository bezogen haben. Die von den Einbrechern hinterlassene Malware war dazu ausgelegt, sämtliche Daten auf dem Rechner eines Anwenders zu löschen.

Wiederherstellungsarbeiten

Der GitHub-Support arbeitet derzeit noch an der Wiederherstellung der Pull-Request-Historie zum Zeitpunkt des Einbruchs und an einem Audit. Wie die Gentoo-Entwickler in einer Zusammenfassung der Ereignisse seit dem Einbruch bekannt gaben, wurden, soweit bekannt, keine ebuilds von dem betroffenen Repository angestoßen. Der Account der Einbrecher und der hinterlassene bösartige Malware-Code waren rund 10 Stunden nach der Entdeckung von der Plattform entfernt.

Gentoo wartet derzeit auf den Abschluss des Audits seitens GitHub, um anschließend manuell nötige Nacharbeiten zur Wiederherstellung der Pull Requests vorzunehmen. Zudem müssen alle Nutzerkonten wiederhergestellt werden. Dazu gilt ab sofort Zwei-Faktor-Authentifizierung (2FA) als Voraussetzung. Nach Abschluss der Arbeiten wird das Repository wieder freigegeben.

Nach Abschluss der Wiederherstellung wird das Projekt einen zeitlichen Ablauf der Ereignisse publizieren. Als gute Vorsichtsmaßnahme empfehlen die Entwickler, bei der Nutzung von Git jeweils die Signaturen des genutzten Codes zu überprüfen. Zu Vermutungen oder Erkenntnissen zu dem oder den Tätern und deren Vorgehensweise und Motiven liegen noch keine Aussagen vor.

2018-07-01