Debian auf altem Sony Vaio C1VE zu installieren

[hikaru]

Mit Jessie solltest du dich sowieso nicht mehr ins Netz trauen.

[debianoli]

Mit Jessie solltest du dich sowieso nicht mehr ins Netz trauen.

Ernst gemeinte Frage: Wenn ich hinter einem Router mit einem Jessie-Rechner bin, keine Ports auf habe und zB nur zum Mails lesen auf das Internet zugreife, abrufe, habe ich dann wirklich das Risiko einer Attacke?

Oder einen Browser ohne Java Script nehme, das dürfte doch auch relativ sicher sein (viele Seiten gehen dann natürlich nicht).

[MSfree]

Wenn ich hinter einem Router mit einem Jessie-Rechner bin, keine Ports auf habe und zB nur zum Mails lesen auf das Internet zugreife, abrufe, habe ich dann wirklich das Risiko einer Attacke?

Ja.

Die meisten "Firewalls" lassen zwar keine neuen von aussen zu, sie lassen aber praktisch alle neuen Verbindungen von innen nach aussen durch. Ist eine Verbindung aufgebaut, dürfen die Netzwerkpakete in beide Richtungen fließen.

Wenn dir also jemand eine Mail schickt, die Code entält, mit dem dein Mailprogramm angegriffen werden kann, kann nach erfolgtem Angriff dein Mailprogramm beliebig ins Internet telefonieren, also z.B. eine Commandserver eines Angreifers kontaktieren, und weitere Schadsoftware nachladen.

[debianoli]

praktisch alle neuen

Wenn dir also jemand eine Mail schickt, die Code entält, mit dem dein Mailprogramm angegriffen werden kann, kann nach erfolgtem Angriff dein Mailprogramm beliebig ins Internet telefonieren, also z.B. eine Commandserver eines Angreifers kontaktieren, und weitere Schadsoftware nachladen.

Ok, das ist klar. Doch gibt es überhaupt Schadsoftware für Mailprogramme, die unter Jessie laufen? Wenn ich da jetzt nicht unbedingt Icedove nehme, dürfte das Risiko doch gering sein?

[MSfree]

Doch gibt es überhaupt Schadsoftware für Mailprogramme, die unter Jessie laufen?

Ich schlage vor, du schaust selbst nach. Ich habe gerade keine große Lust, alle 1964 Sicherheitsmeldungen nach (d)einem Mailprogramm zu durchstöbern.

https://www.cvedetails.com/vulnerabilit ... x-8.0.html

[debianoli]

Ich schlage vor, du schaust selbst nach. Ich habe gerade keine große Lust, alle 1964 Sicherheitsmeldungen nach (d)einem Mailprogramm zu durchstöbern.

https://www.cvedetails.com/vulnerabilit ... x-8.0.html

Ach komm, jetzt hab dich nicht so...

[Nightshade]

Hier wie versprochen meine Anleitung.
Und ja, mir ist bewusst, dass im Internet surfen mit einer veralteten Software nicht gut ist. Aber ich gehe das Risiko ein. Mehr als Projektseiten und Wikipedia geht eh nicht. Für bequemes Surfen ist das Teil soweiso zu lahm.
Die Ersetzung der Festplatte mit Compact-Flash hat gut geklappt. Der Bootvorgang dauert zwar jetzt länger (das BIOS erkennt sie nicht sofort) aber jetzt ist das Notebook nur noch halb so laut!
Ich liefere meine Konfigurations- und Skriptdateien noch nach. Man sollte ihnen nicht blind vertrauen: Devices der Festplatte sind beispielsweise fest eingetragen. Wenn sie abweichen, muss man die Dateien halt anpassen.
Die deb-Datei von jogdiald kann ich nicht anhängen. Sie ist nicht absolut notwendig aber angenehm, und ich kann sie im Internet nirgendwo mehr finden. Ich bin froh, dass ich sie in meinen Archiven noch aufgespürt habe.

Ich denke, dass ich das Notebook zu 85% wieder hergestellt habe.
Das ist fast besser, als ich gedacht habe.

Installation von Debian auf C1VE

Notfallzugriff
--------------

# Boot über Knoppix CD 3.4
knoppix 2 nopcmcia ide2=0x180,0x386

Installation
------------

# Debian jessie netinst-Image herunterladen debian-8.11.1-i386-netinst.iso
# Auf CD brennen
wodim blank=fast -eject

# Auf einen USB-Stick kopieren
cp debian-8.11.1-i386-netinst.iso /dev/sdi
# C1VE mit CD im CD-Rom UND eingestecktem USB-Stick starten
# Wenn der Installer das CD-Rom nicht mehr findet wird er den USB-Stick als Quelle verwenden
# Erste Partition sollte von Typ "c" sein, wenn Windows ME später installiert werden sollte.
Wenn Windows installiert werden soll:
# Wenn Debian-Installation abgeschlossen: VAIO-CDs einlegen und neu booten
# Erweiterten Modus wählen
# Partitionen beibehalten. Auf diese Weise wird Windows ME auf die erste Partition installiert und Debian nicht angetastet
# Danach neu Booten und mit der Debian-Installation fortfahren

Netzwerk
--------

# Möglicherweise funktioniert die Auswertung einer des Einsteckereignisses nicht. (ungetestet bei Jessie)
# Wenn die Karte eingesteckt ist, wenn der Rechner hochgefahren wird, wird sie wie eine normale, feste Netzwerkkarte behandelt.
# Die Datei interfaces an den richtigen Ort kopieren in /etc/network kopieren
# /etc/resolv.conf Nameserver eintragen

APT
---

# Beim Zugriff auf die Archive-Pakete von Jessie bekommt man die Fehlermeldung, dass der Schlüssel abgelaufen ist
# Deshalb folgende Zeile in neuer Datei etc/apt/apt.conf.d/50allow-unauthenticated
APT::Get::AllowUnauthenticated "true";

# Datei anlegen mit folgenden Zeilen /etc/apt/sources.list.d/jessie_archive.list
deb http://ftp.de.debian.org/debian-archive/debian/ jessie main
deb-src http://ftp.de.debian.org/debian-archive/debian/ jessie main
# Die ursprüngliche Datei /etc/apt/sources.list mit folgendem Inhalt belassen:
deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

apt-get install aptitude

# Komplettes update machen

SSH
---

apt-get install openssh-server
# Direkter Zugriff auf root von anderen Rechnern aus ist nicht möglich

XOrg
----

apt-get install xorg
apt-get install wmaker
# xorg.conf nach /etc/X11 kopieren
# Aufruf von X mit externem Monitor:
startx -- -layout ext
# Default ist der LCD des Laptops
# Es können nicht beide Monitore gleichzeitig verwendet werden

Backup
------

# Auf Zielrechner:
nc -l -p 12345 > mbr
# Auf Quellrechner
dd if=/dev/sdb bs=512 count=1 | nc 192.168.100.2 12345

# Auf Zielrechner:
nc -l -p 12345 > root.tgz
# Auf Quellrechner
tar -zcpvf - --exclude=/proc --exclude=/tmp --exclude=/mnt --exclude=/dev --exclude=/sys --exclude=/run --exclude=/media --exclude=/var/log --exclude=/var/cache/apt/archives / | nc 192.168.100.2 12345

# Auf Zielrechner:
nc -l -p 12345 > winme.gz
# Auf Quellrechner
dd if=/dev/sdb1 | gzip | nc 192.168.100.2 12345

Power Management
----------------

apt-get install longrun
apt-get install wmlongrun
#Folgende Fehlermeldung beim Installieren:
## For wmlongrun to work, you will need the CPUID/MSR drivers in your kernel. I am assuming that they are there, and running MAKEDEV.
## Unable to create devices, please install the CPUID/MSR drivers in your kernel, and rerun cd /dev; ./MAKEDEV
## Möglicherweise buggy
# longrun selbst läuft nach folgenden Anweisungen:
modprobe msr
modprobe cpuid
# /etc/sudoers benötigt folgende Zeile:
dard ALL = NOPASSWD: /usr/bin/longrun

# Bildschirm ausschalten (nur unter X)
xset dpms force off
# Bildschirmhelligkeit kontrollieren
# Package nicht mehr in Debian enthalten. Quelle: /debian/pool/main/s/spicctrl
# Low Power Mode:
/usr/bin/spicctrl -b 0 ; sudo longrun -f economy ; sudo longrun -s 0 33
# High Power Mode:
/usr/bin/spicctrl -b 255 ; sudo longrun -f performance ; sudo longrun -s 0 100

# Kernel Parameter setzen: /etc/default/grub
# GRUB_CMDLINE_LINUX_DEFAULT
update-grub

# APM muss im Kernel aktiviert sein
# die Kernel-Parameter acpi=off apm=on haben nichts bewirkt
# APM funktioniert NICHT! obwohl es es früher gemacht hat.
# ACPI funktioniert nur eingeschränkt. Es gibt den aktuellen Ladezustand des Akkus wieder (z.B. für wmbattery) aber keine Abschätzung über die verbliebene Zeit
# Viele Funktionen können über spicctrl abgerufen werden, aber nur auf der Kommandozeile
# Zuklappen des Notebooks führt zu Standby, aus dem er aber nicht mehr aufgeweckt werden kann!

# Verhindern, dass beim Zuklappen ACPI in Standby geht:
# Datei editieren: /etc/systemd/logind.conf
HandleLidSwitch=ignore
systemctl restart systemd-logind

# Jogdial
---------

# Jogdiald im Internet nicht mehr auffindbar, alle Links sind tot.
# Eine Dependency zu xlibs fehlt, deshalb so installieren: (funktioniert trotzdem)
dpkg --force-all -i jogdiald_0.2.4-1_i386.deb
# Damit apt nicht ständig weiter versucht, das Paket wegen fehlender Abhängigkeiten wieder zu entfernen, die Datei /var/lib/dpkg/status editieren und die Abhängigkeit zu xlibs (>> 4.1.0) manuell löschen
# Der Jogdial kann daraufhin verwendet werden. Konfigurationsdateien unter /etc/jogdiald

# Function Keys
---------------

# Nur einige der Function Keys können größeren Aufwand belegt werden, z.B. PgUp, PgDown
# Die meisten anderen Funktionalitäten können über jogdial erledigt werden
# Datei anlegen /etc/modprobe.d/sonypi.conf
alias char-major-10-250 sonypi
options sonypi minor=250
# Folgenden Befehl ausführen:
mknod /dev/sonypi c 10 250

# Motion Eye Kamera
-------------------

# Funktioniert nicht. Grund unbekannt.
# Ist praktisch nutzlos, weil der Laptop nicht die Power hat, das Bildsignal in Echtzeit zu übertragen
# War aber äußerst cool!
mknod /dev/video0 c 81 0
chmod 666 /dev/video0
ln -s /dev/video /dev/video0
# Datei anlegen /etc/modprobe.d/meye.conf
alias char-major-81 videodev
alias char-major-81-0 meye
options meye gbuffers=32
alias /dev/video0 meye
alias /dev/v4l/video0 meye


# Kernel kompilieren
--------------------

apt-get install fakeroot kernel-package linux-source-3.16
# einem beliebigen Verzeichnis entpacken
tar -xvf /usr/src/linux-source-3.16.tar.xz
cd linux-source-3.16.tar.xz
apt-get install libncurses5-dev
make menuconfig
# Processor Type and Features -> Processor Family -> Crusoe (YEEEAAAH!)
make-kpkg clean
fakeroot make-kpkg --initrd --revision=1.0.custom kernel_image
# Diese Aktion dauert auf dem Laptop über einen Tag!
# Es ist besser, das in einer Virtual Machine auf einem Heimrechner zu erledigen


Firefox
-------

# Aktuell Firefox-Versionen können nicht mehr mit der alten CPU ausgeführt werden
# Folgender Tarball stattdessen nehmen: firefox-31.8.0esr.tar.bz2
# Trotz Sicherheitsbedenken wäre vielleicht eine noch ältere Version angemessen:
# Der Start dieses Firefox belegt fast den gesamten Speicher und dauer ewig!


WindowMaker
-----------

# Hintergrundbild setzen
wmsetbg -u /path/to/some_image.png


Verschlüsselung
---------------

apt-get install cryptsetup
cryptsetup luksFormat -c serpent-cbc-essiv:sha256 -s 256 /dev/sdb3
# in /etc/crypttab
crypt /dev/sdb3 none luks,noauto
cryptsetup luksOpen /dev/sdb3 crypt
mkfs.ext4 -m0 /dev/mapper/crypt
cryptsetup luksClose crypt
mkdir /media/crypt
# in /etc/fstab
/dev/mapper/crypt /media/crypt ext4 acl,user_xattr,nofail,noauto 1 2
# decrypt.sh nach /usr/local/sbin kopieren.
# decrypt.service nach /etc/systemd/system kopieren
systemctl enable decrypt.service
# Nach dem Bootvorgang befindet sich auf Konsole 2 die Entschlüsselungsaufforderung
# Vorgehen: die Verzeichnisse /tmp und /var/tmp werden in das verschlüsselte Dateisystem kopiert und dann mit mount --bind mit den originalen verbunden.
# Home wird ebenfalls mit mount --bind verbunden. Vorher manuell einmal nach /media/crypt/system kopieren.

# Swap verschlüsseln
# in /etc/crypttab
swap /dev/sdb5 /dev/urandom swap,cipher=aes-xts-plain64,size=256
# swap-Zeile in fstab abändern:
/dev/mapper/swap none swap sw 0 0
# Das war's

Sonstiges
---------

# Inhalt aus Datei /etc/motd löschen oder ändern (Motto of the Day)

# Um das Laden der Module msr, cpuid und sonypi zu automatisieren:
# vaiomodules.sh nach /usr/local/sbin kopieren.
# vaiomodules.service nach /etc/systemd/system kopieren
systemctl enable vaiomodules.service


Installierte Software
---------------------

git
libreoffice
geequie
evince
gimp
openjdk-7-jdk
mplayer2
audacious (?)
audacity
pulseaudio
xawtv
fortune
mc
sudo
maelstrom
apmd
nedit
gedit


wmbattery
wmcpu
wmdate
wmnet
wmtime


Funktioniert nicht:
sublime
thunderbird (mögliche Abhilfe: alte Version nehmen)
wmlongrun

TODOs:
------

Was nicht funktioniert:
- meye (Grund unbekannt, sollte eigentlich gehen)
- apm (ärgerlich, Standby nicht möglich, schaltet sich nicht nach dem Herunterfahren aus)
- wmlongrun (ging bereits ab 2004 (?) nicht mehr. Ein Patch kann möglicherweise gemacht werden)
- zwei Monitore gleichzeitig benutzen. (ging glaube ich nie)

[Nightshade]

interfaces:

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static
        address 192.168.100.19
        netmask 255.255.255.0
        network 192.168.100.0
        broadcast 192.168.100.255
        gateway 192.168.100.1

resolv.conf:

Code: Alles auswählen

nameserver 192.168.100.1

decrypt.service:

Code: Alles auswählen

[Unit]
Description=Harddisk Decryption
After=getty@tty2.service

[Service]
Type=oneshot
ExecStart=/usr/local/sbin/decrypt.sh
StandardInput=tty
TTYPath=/dev/tty2
TTYReset=yes
TTYVHangup=yes

[Install]
WantedBy=default.target

decrypt.sh:

Code: Alles auswählen

#!/bin/bash

WARN='\033[31m'
INFO='\033[32m'
NEUTRAL='\e[0m'

CRYPT_DEVICE_NAME=crypt
DEVICE_LOCATION=/dev/mapper/$CRYPT_DEVICE_NAME
VOLUME_LOCATION=/dev/sdb3
MOUNT_LOCATION=/media/crypt

   
/sbin/cryptsetup -T 5 luksOpen $VOLUME_LOCATION $CRYPT_DEVICE_NAME
if [ -b $DEVICE_LOCATION ]; then
   mount $MOUNT_LOCATION
   echo -e "${INFO}Migriere tmp und home${NEUTRAL}"
   rm -r /media/crypt/system/tmp
   rm -r /media/crypt/system/vartmp
   cp -a /tmp /media/crypt/system/tmp
   cp -a /var/tmp /media/crypt/system/vartmp
   mount --bind /media/crypt/system/tmp /tmp
   mount --bind /media/crypt/system/vartmp /var/tmp
   mount --bind /media/crypt/system/home /home
   echo -e "${INFO}Entschluesselt${NEUTRAL}"
else
   echo -e "${WARN}Entschluesselung nicht erfolgreich!${NEUTRAL}"
fi

vaiomodules.service:

Code: Alles auswählen

[Unit]
Description=Sony Vaio Modules
After=network.target

[Service]
ExecStart=/usr/local/sbin/vaiomodules.sh >/dev/null 2>&1

[Install]
WantedBy=default.target

vaiomodules.sh:

Code: Alles auswählen

#!/bin/bash

/sbin/modprobe sonypi
/sbin/modprobe cpuid
/sbin/modprobe msr

xorg.conf:

Code: Alles auswählen

Section "Files"
	ModulePath   "/usr/lib/xorg/modules"
	FontPath     "/usr/share/fonts/X11/misc"
	FontPath     "/usr/share/fonts/X11/cyrillic"
	FontPath     "/usr/share/fonts/X11/100dpi/:unscaled"
	FontPath     "/usr/share/fonts/X11/75dpi/:unscaled"
	FontPath     "/usr/share/fonts/X11/Type1"
	FontPath     "/usr/share/fonts/X11/100dpi"
	FontPath     "/usr/share/fonts/X11/75dpi"
	FontPath     "built-ins"
EndSection

Section "ServerFlags"
  Option "AllowMouseOpenFail" "true"
  Option "DefaultServerLayout"  "lcd" 
  Option "DontVTSwitch"  "false" 
  Option "DontZap"  "false"
  Option "DontZoom"  "false"
  Option "BlankTime"  "3"
  Option "StandbyTime"  "5"
  Option "SuspendTime"  "8"
  Option "OffTime"  "40"
EndSection

Section "Module"
	Load  "glx"
EndSection

#################################################################
#### MOUSE and KEYBOARD
#################################################################

Section "InputDevice"
	Identifier  "Keyboard"
	Driver      "kbd"
EndSection

Section "InputDevice"
	Identifier  "ClitMouse"
	Driver      "mouse"
	Option	    "Protocol" "auto"
	Option	    "Device" "/dev/input/mice"
	Option	    "ZAxisMapping" "4 5 6 7"
EndSection

#################################################################
#### GRAPHICS CARD
#################################################################

Section "Device"
  Identifier   "ATIMobilityExt"
  Driver       "ati"
  BusID      "PCI:0:13:0"
  Option     "crt_screen"
  Option     "extern_disp"
  Option       "DPMS"
  VideoRam   8192
EndSection

Section "Device"
  Identifier   "ATIMobilityLCD"
  Driver       "ati"
  BusID      "PCI:0:13:0"
  Option       "DPMS"
  VideoRam   8192
EndSection

#################################################################
#### MONITOR
#################################################################

Section "Monitor"
  Identifier   "ExternMonitor"

  VendorName   "ACR"
  ModelName    "Acer AL1714"
  HorizSync    30.0 - 82.0
  VertRefresh  50.0 - 75.0
  
  # Monitorgroesse zur DPI-Berechnung in mm
  DisplaySize 340 273

  UseModes     "ExternModes"
  Option       "CalcAlgorithm" "IteratePrecisely"
  Option       "DPMS"
  Option       "Accel"
EndSection

Section "Modes"
  Identifier   "ExternModes"
  
  Modeline "640x480" 27.96 640 656 720 864 480 480 485 501
  Modeline "800x600" 43.68 800 816 928 1072 600 600 606 626
  Modeline "1024x768" 71.39 1024 1040 1216 1400 768 768 776 802
  Modeline "1152x864" 90.48 1152 1168 1384 1568 864 864 873 902
  Modeline "1280x960" 111.82 1280 1296 1552 1736 960 960 970 1003
  Modeline "1280x1024" 127.80 1280 1280 1536 1664 1024 1024 1035 1070
EndSection

Section "Monitor"
  Identifier   "LCDMonitor"
    
  ModelName    "AutoDetected"
  VendorName   "AutoDetected"
  
  HorizSync    28-65
  VertRefresh  57-70
  
  # Modi fuer den extenen Monitor
  UseModes     "LCDModes"
  
  # Optionen (welche gibt es alle)
  Option       "DPMS"
  Option       "CalcAlgorithm" "IteratePrecisely"
EndSection

Section "Modes"
  Identifier   "LCDModes"
  Modeline  "1024x480" 38.25 1024 1040 1216 1328 480 480 484 501
  Modeline  "1024x480" 46.53 1024 1040 1216 1328 480 480 485 501
EndSection

#################################################################
#### SCREEN: MONITOR -> GRAPHICS CARD
#################################################################

Section "Screen"
  Identifier   "ExternScreen"
  Device       "ATIMobilityExt"
  Monitor      "ExternMonitor"
  DefaultDepth 16
  SubSection "Display"
    Depth      16
    Modes      "1280x1024"  "640x480" "800x600" "1024x768" "1152x864" "1280x960"
  EndSubSection
EndSection

Section "Screen"
  Identifier   "LCDScreen"
  Device       "ATIMobilityLCD"
  Monitor      "LCDMonitor"
  DefaultDepth 24
  SubSection "Display"
    Depth      24
    Modes      "1024x480" 
  EndSubSection
EndSection

#################################################################
#### SERVER LAYOUT
#################################################################

# call with: startx -- -layout ext
Section "ServerLayout"
  Identifier   "ext"
  
  InputDevice  "Keyboard" "CoreKeyboard"
  InputDevice  "ClitMouse" "CorePointer"
  
  Screen       "ExternScreen"
EndSection

Section "ServerLayout"
  Identifier   "lcd"
  
  InputDevice  "Keyboard" "CoreKeyboard"
  InputDevice  "ClitMouse" "CorePointer"

  Screen       "LCDScreen"
EndSection