 Herzlich willkommen zum nächsten Talk mit einem echten Dauerbrenner-Thema, Linux auf dem Desktop. Persönlich habe ich das Gefühl, 2019 war es immer noch nicht so weit. Aber ganz kurz, wer benutzt denn aktuell Linux auf dem Desktop? Kurz, okay. Gut, vielleicht habe ich doch unrecht gehabt und 2019 war endlich das Jahr des Linux auf dem Desktop. Aber mal sehen. Genau. Nähres dazu wird uns gleich Ötvild erzählen. Ganz kurz ein Hinweis zum Ablauf des Talks. Der Talk ist in fünf Teilen untergliedert. Wir machen kurze Frage- und Antwortenrunden nach jedem Blog. Das heißt, wenn ein Blog zu Ende ist, bitte ich euch möglichst zügig zu einem der beiden Saalmikrofone zu laufen oder währenddessen die Fragen online über Twitter, Mastodon, IRC an den Signalangel zu stellen, damit wir über die Frage- und Antwortrunden nicht so viel Zeit verlieren und zügig durchkommen. Genau. Das war es von meiner Seite und jetzt freue ich mich auf den Talk. Herzlich willkommen, Ötvild. Okay, danke. Ich bin total überrascht, dass so viele Leute gekommen sind. Das hätte ich echt nicht erwartet. Die fünf Teile haben einen Grundrund. Ich habe kein wirklich großartiges Konzept. Ich habe mir mehrere Dinge angeschaut. Es gibt bei uns in Karlsdorf den Freitagsrund. Das ist ein offener Abend für Kurzvorträge. Dann habe ich mal ein paar Themen rausgesucht, die euch hoffentlich interessieren. Es ist nicht wertend gemeint. Die sind nicht besonders wichtig oder unwichtig, aber fangen wir mal an. Ich habe das ein bisschen gegliedert und wir würden anfangen mit X und am Ende auch ein bisschen Wayland. Es gab vor einer Stunde oder so einen sehr guten Talk hier auf dieser Bühne zu dem Thema. Ich bin froh, dass es nicht der doppelte Inhalt ist. Genau. Das ist eigentlich auch nur eine Zusammenfassung von einem anderen Talk, der sehr großartig ist. Ich habe das ursprünglich in acht Minuten gemacht. Ich werde das jetzt nicht versuchen. Grundsätzlich ist es so ein, wir kommen von dem oben links zu dem unten rechts. Beide Bilder sind neu, aber die Technik ist halt älter auf dem Bild oben links. Ihr seht schon, was sich das im Ziel alles verändert hat. Werbe Schatten, werben Farben, werben verschiedene Schriftarten. Fangen wir in den 80ern an. Da gab es die X-Protokoll-Version 1 bis 11. Seitdem hat sich nichts mehr getan. Es gibt nur Erweiterung. Das wird so ein Flussdiagramm mit fallen. Jetzt ist das Rendering vom Bild. Die Inputs laufen halt genau an das Raum. Genau, wir haben den X-Server. Wir haben die Hardware. Der X-Server spricht mit der Hardware und braucht dafür Treiber. Das ging tatsächlich sogar so weit, dass eine X-Protokoll-Version, meine ich, eine Molator für X86 CPUs hatte für Video-ROMs. Genau, dann haben wir Clients, zum Beispiel so ein Browser oder so. Wir benutzen zum Beispiel X-Lib und reden über ein Netzwerk-Socker mit dem X-Server. Dann haben wir ein Vino-Manager, der ist auch einfach nur ein Client. Der bestimmt dann, wo sind Fenster, welches Fenster ist gerade im Vordergrund und so was. Da ist dann diese tolle Netzwerktransparenz, die von X immer gelobt wird. Damals in den 80ern gab es hier wirklich, die war wirklich functional. Es hatte keinen großen Unterschied, ob die Anwendung lokal oder ein Netzwerk ausführt. Genau, und wie das funktioniert, ist die Clients machen Zeichenbefehle. Also ich will eine Linie haben, ich will Text haben. Und das heißt, der X-Server muss Fonds lesen und rendern können und dann das tatsächliche Bild rendern und zusammenbauen. Das macht natürlich die Netzwerkpakete sehr klein, weil es nur die Informationen darüber sind, was dargestellt werden soll. Aber das hat nicht so wirklich gereicht, weil wir wollen, dass Anwendungen schöner werden in den 90ern. Also mit Farbverläufen und verschiedenen Farben, verschiedenen Schriftarten pro Anwendung oder sogar in allem Fenster. Und das heißt, die Anwendungen bauen ihre Fenster jetzt komplett selber zusammen. Zum Beispiel mit irgendwie cute oder anderen Dubuys und schieben dann das fertige Bild rüber als Framebuffer. Das geht auch noch übers Netzwerk, aber es ist halt langsam. Ich hatte da mal ein Setup, irgendwie Full HD X, braucht so 25 MBit, meine ich, ohne irgendwie eine Komprimierung. Das will man vielleicht nicht unbedingt machen. Also Netzwerktransparenz geht, aber wenn ihr das lokal betreibt, ist es einfach shared memory. Also da wird gar nicht großartig irgendwas rumkopiert, sondern es bleibt an einer Stelle im Arbeitsspeicher. Und übers Socket gehen dann nur noch die Metadaten. Das heißt, der Xvermuss von sehen wir noch können, weil ansonsten würde er nicht X11 unterstützen, aber praktisch wird das nicht mehr benutzt. Gut, das sind die 90er. Dann jetzt über den Nullern, wollen wir Wobbly, Windows und Desktop Cubes haben, total der krasse Scheiß. Und das heißt, der Xverbau, das bildet auch gar nicht mehr zusammen, sondern das macht jetzt der Window Manager, um so Transparenzeffekte und so was einbauen zu können. Der Xvermuss muss das aber weiterhin können, weil ihr könnt jetzt zum Beispiel auch einen anderen Window Manager nutzen. Oder kompositiven Ausschalten, eure Hardware das nicht kann oder so was. Das ist immer noch möglich, das Netzwerk, aber es ist noch langsamer. Zumindest wenn ihr den Window Manager irgendwie was Netzwerk macht, würde ich nicht empfehlen. Genau. Und na ja, wir haben jetzt das Problem gehabt, dass der Xverber Hardwaretreiber hat, aber das ist ja nicht das, was wir haben wollen. Mit der richtigen Schichtarchitektur sind die Treiber ja im Körner. Und was jetzt passiert ist, wir haben Glamour als Xbackend, zumindest in aktuellen Distributionen mit aktueller Hardware, mit aktuellen Treibern. Und der Xverber rendert dann einfach über EGL raus und der Körner kümmert sich um die Auflösung und so was. Das heißt, ihr könnt auch 4.0 Terminals wechseln, ohne dass es flackert, zum Beispiel. Genau. Ja. Und na ja, Wayland merkt jetzt den Xverber und den Window Manager und schmeißt halt das Zeug raus, was wir nicht mehr brauchen. Die Netzwerktransparenz geht aber erstmal flöten, weil Wayland hat keine. Ihr könnt aber natürlich V and C benutzen oder so was. Genau. Gut. Wenn ihr aktuelle Distributionen benutzt, dann könnt ihr das einfach bei der Anwendung auswählen, was ich Wayland haben möchte. Sonst habe ich für ein paar kleinere Window Manager mal Alternativen für Wayland rausgesucht. Ja. Ich habe das mal ausprobiert. Ich probiere das regelmäßig aus, wenn es irgendwie neue Versionen von meinem Distro gibt. Das meiste klappt eigentlich relativ gut. Mir fehlen bis ja ein, zwei Features, aber ich habe auch eine LTS und mittlerweile sind die wahrscheinlich da. Dann habt ihr vielleicht noch mehr Probleme. Es gibt da eine etwas eigene Geschichte, die ich jetzt, glaube ich, nicht ausführlich erzählen muss. Ansonsten ein Problem, was eigentlich gut ist, ihr könnt nur noch Anwendungen anzeigen, die als euer Nutzer-Account laufen. Das hat so ein bisschen Probleme. G-Parted geht nicht mehr. Es gibt ein Workaround, um zu sagen, gut darf auch Fenster anzeigen. Du weißt nicht, ob ihr das wollt. Ja. Gut, habt ihr bis hierhin Fragen? Okay. Anscheinend ist das ein Nein. Ich trink noch mal etwas. Ja, okay. Dann kommen wir zum nächsten Thema. Das ist eines meiner Lieblingsthemen, Bildschirmsperren. Genau. Und da gibt es zwei Dinge. Ihr kennt vielleicht von früher noch so ein Bildschirmschoner. Wir hatten ja früher auch Röhrenbildschirmer und wenn die regelmäßig das gleiche Bild angezeigt haben, ist es irgendwie eingebrannt. Und dann wurden da so tolle Animationen mit Videofröhren oder Labyrinthen oder so was gemacht, um halt das einbrennen zu verhindern. Heute brauchen wir das eigentlich nicht. Und wir können tatsächlich sogar Strom sparen, was wir auch unserem Kongrass-Motor entspricht, wenn wir einfach keine Animationen machen und den Bildschirm ausmachen. Aber trotzdem wollen wir das, wenn ich den Laptop irgendwo liegen lasse oder so, das sollte nicht darauf zugreifen können. Wir wollen den Bildschirm also sperren einfach. Genau. Es gibt damit so ein bisschen Probleme. Ich habe zum Beispiel eine Vorbereitung für diesen Talk, diesen Toot gesehen. Da hatte jemand irgendwie i3 und die i3-Log hat Bild auf der Tastatur rumgehauen und dann war der Bildschirm entsperrt. Das ist ein bisschen doof. Wir werden uns jetzt angucken, warum das so ist und was man dagegen tun kann. Das Problem ist nämlich, das X-Protokoll kennt keinen Screen Locking. Der Screen Locker ist einfach nur irgendwie ein Klein, der sich in den Vordergrund schiebt und einen Input sich holt. Und wenn ihr das Passwort richtig eingebt, sich beendet. Das hat natürlich auch das offensichtliche Problem, dass wenn der Screen Locker crashed, der Bildschirm entsperrt ist, man kann die Links gut lesen. Das hätte ich nicht gedacht. Es gibt noch ein weiteres Problem durch dieses Ich schiebe mich in den Vordergrund. Ihr kennt das Konzept eines Kontextmenüs, bis es auch im Vordergrund. Wenn ich jetzt den Bildschirm sperren möchte, passiert einfach nichts. Was man tun kann, ist man kann diesen Passwort Dialog und den Screen Locker trennen. Das macht X-Screensaver so. Wenn der Screen Locker crashed, ist das nicht schlimm, den kann ich neu starten. Wenn der Screen Locker crashed, ist der Bildschirm entsperrt. Was man sonst auch macht, ist den Screen Locker und den Window-Manager-Mirton. Das machen so die großen Desktop-Ungebungen. Durch Compositing können wir bestimmen, was zu sehen ist, ohne den X-Server. Das können wir auf jeden Fall den Bildschirm blinken, egal was passiert. Im schlimmsten Fall haben wir einen scharzen Bildschirm, das kann man sagen. Wir können auch den Screen Locker und den Session-Manager merken. Das sorgt nicht für weniger Quashes. Das sorgt dafür, dass wenn es quashed, das alles weg ist, dass er auch niemand eurer Sachen sehen kann. Genau. Das kann ich mal eben demonstrieren. Wenn ich den Bildschirm sperre, seht ihr, dass er erst schwarz wird und dann den Passwort prompt anzeigt. Das sind zwei verschiedene Programme. Ja. Das andere Problem, die es damit gab, ist, wie kann ich als Anwendung herausfinden, ob der Bildschirm überhaupt gesperrt ist? Zum Beispiel, ich bin Media Player, dann will ich das Video vielleicht gar nicht anzeigen, wenn der Bildschirm gesperrt ist. Das braucht ja niemand. Oder ich bin Media Player und beverhindern, dass ich der Bildschirm sperrt, während ich gerade den Film abspiele. Ein weiteres Problem ist die Waste-Condition mit Standby. Was ich früher oft hatte, ist, ich klappe mal ein Laptop zu, der Bildschirm sperrt sich und dann kommt der Laptop auf. Die Reihenfolge war aber früher nicht definiert. Es ist mir häufig passiert, dass ich den Rechner aufgeklappt habe und der Bildschirm war noch da, für so drei, vier Sekunden. Wir können das jetzt mal eben ausprobieren und wenn das dann alles klappt, sehen wir, dass erst der Bildschirm dunkel wird, der Laptop dann jetzt in den Standby geht und wenn ich ihn aufwecke, ist der Bildschirm weiterhin schwarz und dann kommt die Passwortangabe. Genau. Das nächste System ist das System-D-Lock-Indy. Das habe ich dann der Person auch direkt empfohlen und ich wurde überraschenderweise nicht geblockt. Genau. Lock-Indy ist der Nachfolger für Konsolkit und verwaltet Sessions, also eure Lockins und gerade laufende Sitzungen und Seeds, das sind Bildschirme mit zugeordneten Tastaturen und Mäusern. Üblicherweise habt ihr einen Seed an so einem Rechner, aber es gibt durchaus die Möglichkeit, was da nicht dann noch möglich ist, ist sogenannte Fast-User-Switching. Also ihr könnt mit mehreren Leuten eingelockt sein und wechseln zwischen den laufenden Sessions und zum Beispiel hört ihr dann nur eure Musik und nicht die von der anderen Person, die möglicherweise auch gerade läuft oder Webcams oder so was. Berechtigungen werden dann halt auch mitgewechselt und es gibt halt Hooks für Standby, Shutdown und so was. Das ist eine richtigen Reihenfolge passiert und das heißt, dass Standby so lange aufgehalten wird, dass dann schon gesperrt wird. Genau, dann habe ich da unten noch die Doku verlängt. Das eben war auf Mastodon. Auf Twitter bin ich der Firma geblockt worden. Gut. Wenn ihr eine aktuelle große Desklappengehung benutzt, dann habt ihr das alles schon. Wenn ihr irgendwie i3 oder so was benutzt, es gibt ein Tool, das nennt sich XSS-Vlog, das mit Login D integriert und dann den Status zurückmeldet und dann den Status zurückmeldet. Wenn ihr das einfach mal testen wollt, könnt ihr Login-CTL-Logs-Session eingeben. Das müsst ihr euren Bild schon sperren. Mit Wayland werden Dinge besser, weil wir haben halt nicht mehr die Trennung zwischen X-Server und Compositor. Das heißt, wir können tatsächlich dafür sorgen, dass der Bild schon mir halt nicht mehr sichtbar ist. Und LogIndy ist dafür quasi je notwendig. Das heißt, wir haben auch den Zugruf auf die Geräte entsprechend. Ja. Habt ihr zu dem Teil Fragen? Alles klar. Da gibt es direkt am rechten Mikrofon eine Frage. Bitte schön. Ja, genau. Die Frage, die ich hätte, ich hab im Moment das Problem, dass der Logscreen im Multi-Bildschirm-Modus gerne mal auf dem falschen Bildschirm, sprich auf dem zugeklappten Laptop auftaucht. Fixed LogIndy beziehungsweise Wayland das auch? Und soll ich mir jetzt ein neues Distro suchen? Nein. Das ist Teil des GreenLockers. Ich kann jetzt nur hier demonstrieren, wie Plasma das macht. Und das ist, in dem der gleiche Logscreen auf allen Bildschirmen angezeigt wird. Also nicht nur auf einen. Ich kann jetzt hier irgendwie was eingeben. Und ihr seht, was ich eingeben habe. Und ich kann jetzt hier das richtige Passort eingeben und es abschicken. Also der Trick, den Plasma macht, ist einfach den Logscreen auf allen Bildschirmen anzuzeigen. Aber das kommt auf deinen Locker an. Okay, bedeutet aber du hast die nicht gespiegelt? Richtig? Nein. Also werde ich mir KDE mal anschauen. Alles klar. Okay, und da gibt es direkt noch eine weitere Frage. Hallo. Bedeutet das Wailand und SystemD ein Ding sind? Nein. Du kannst LoginD tatsächlich auch ohne SystemD nutzen. Es gibt ein Forkfond, das heißt irgendwie E-LoginD. Der Trick ist halt, wir wollen ja auf die Hardware zugreifen. Und LoginD sorgt dafür, dass wenn ich auf TTY1 eingeloggt bin, ich tatsächlich hard Zugriff auf die Grafikkarte zum Beispiel habe. Während ein klassisches Setup läuft TX Server als TTYD-Route auf die Hardware, das ist halt ein bisschen Anlaufkonzept. Danke. Okay, das war es fürs erste mit Fragen. Wir sehen uns später wieder. Oh, Sekunde. Zu früh gefreut, da hinten gibt es eine Frage vom Signal Angel. Verzeihung. Hallo. Wie kann ich den ScreenLocker abschalten bei SUSE KDE? In den Einstellungen. Also KDE hat sehr viele Einstellungen. Das ist ja großartig. Ich weiß aber nicht genau wo. Bevor ich dich jetzt wieder auslöschen über gehe, hat der Signal Angel noch eine Frage. Okay, dann jetzt wirklich später. Okay. Dann kommen wir zum Thema flackerfreier Boot. Auslöser war, ein Bekannter von mir hat ein neues Laptop installiert und das war damit Windows 10 und der Bootvorgang war halt so, wie ihr das vielleicht kennt. Also erst das Hersteller-Logo, dann unten drunter dieser Kreis, der sich dreht und dann noch ins Screen. Ich dachte mir, das sieht doch cool aus. Warum macht mein Laptop das nicht? Was meine ich mit flackerfrei? Ich meine, dass die Auflösung nicht wechselt während dem Boot. Und ich meine auch, dass der Inhalt nicht wechselt. Also, dass alles per Animationen passiert und kein harter Cut drin ist. Dafür müssen wir uns den Bootprozess anschauen. Das sieht ungefähr so aus. Dann haben wir die Firmware. Die kommt vom Hersteller. Da können wir jetzt erstmal nichts dran machen. Es gibt Coreboot und so was, aber ich betrachte jetzt einfach nur die Hersteller-Firmware. Dann haben wir den Bootloader. Der ist Teil eurer Distro. Dann startet das System irgendwie. Dann könnt ihr euch einloggen und dann habt ihr eurer laufende Sitze. Schauen wir uns die Firmware zuerst an. Klassischerweise ist es ein sogenanntes BIOS, das die Hardware installisiert. Das System startet und tatsächlich auch zur Laufzeit noch Dinge bereitstellt. Also Energie, Sparmodi oder einfacher Zeichen-Modi oder so was. Tatsächlich auch Zugriff auf Festplatten. Das Problem ist, dieses BIOS ist nie wirklich designed oder dokumentiert worden. Dieser klassische IBM PC hatte halt eins und die anderen sind nachbauten davon. Genau. Ich habe diese Fotos aus Wikimedia Commons gefunden. Das sieht tiefer ein BIOS. Das linke ist, glaube ich, schon UEFI. Wir gucken uns ja nur die Grafik an und da gibt es verschiedene Modi. Wohlsprünglich irgendwie EGA, VGA kennt ihr wahrscheinlich und dann SVGA. Ihr seht schon, diese Auflösungen sind winzig und alt. Wenn ihr ein Rechner anmacht und den im BIOS-Mode boot seht ihr, dass halt die Auflösung am Anfang falsch ist. Es ist eine von den Auflösungen uncharf. Weiteres Problem ist diese Grafiksteuerung vom OS ausgeht nur im Real Mode oder irgendwelche Interrupts. Wenn wir jetzt booten, dürft es aber so ein Boote-Sektor, das ist BIOS springt an den Anfang der Festplatte und füllt aus, was dann da steht. Es gibt ein Nachfolger seit 15 Jahren ungefähr. Das ist UEFI. Was tatsächlich ein Standard ist und dann gibt es da von verschiedenen Herstellern Implementierungen zu. Es hat die gleiche Aufgabe wie das alte BIOS. Dieses Foto habe ich gefunden und auch das ist nicht ganz gerekt. Das ist ein UEFI, aber es bootet im BIOS-Mode. Das könnt ihr da lesen, dass der Text so groß ist und unscharf. Wenn ihr ein ThinkPad habt, könnt ihr das relativ einfach erkennen, weil wenn das ThinkPad da ist, dann ist das UEFI-Mode. Auch da gibt es Grafik, das ist das sogenannte Graphics Output Protocol. Unterlinungs könnt ihr das mit dem e4fb-Körnern-Modul benutzen. Wenn ihr total abenteuerlustig seid, könnt ihr einfach eure Grafikmodul black-listen und wenn ihr dann Neustarte immer noch eine ordentliche Auflösung habt, dann ist das e4fb. Der Boot funktioniert so, dass wir eine Fett-Partition haben irgendwo auf der Platte, das ist die sogenannte e4fb-Partition und da sind dann halt Beine-Restrennen, die wir ausführen. Es gibt wieder die Beschränkungen, dass wir nur hardware Calls machen können, in den gleichen Modus, in denen die Firmware läuft. Aber es läuft ja mittlerweile alles im Long-Mode, von daher ist das egal. Gut, aber wo kommen die Logos her? Da gibt es einen ACP-Einstander, diesen BGRT, diesen Boot Graphics Resource Table und der enthält Informationen über das Hersteller-Logo. Nämlich diese Informationen über das Hersteller-Logo. Ob das Hersteller-Logo angezeigt wurde oder nicht, es könnte jetzt beispielsweise sein, dass ihr F12 drückt und dann so ein Menü bekommt, dann ist das Logo ja schon weg, wenn das System startet. Es zeigt auch die Adresse des Bildes, wenn das Betriebssystem das nochmal haben will und auch wo das gezeichnet wurde. Das Betriebssystem können wir nach dem Start genau das Logo an genau den Punkt nochmal drüber zeichnen und niemand merkt es, weil die Auflösung war ja vorher schon korrekt und ja, das sorgt auch dafür, dass ihr irgendwo um CISFS auf Linux das Hersteller-Logo findet. Ich meine, das wäre wie CIS, Glas, ACP-Ein, BGRT Image. Gut, wir haben Bootloader, die sind dann je nach Modus, entweder im Bootsektor oder auf dieser FESystem-Partition die starten dann die meisten Distorts, die im Moment verwendet, benutzen Grab oder System-D-Boot und die zeigen irgendwie ein Menü an, aber niemand macht mehr Dual-Boot, glaube ich, zumindest und es geht ja auch nicht schief beim booten, das heißt wir sehen Bootloader einfach gar nicht das können wir jetzt ignorieren genau der Körner braucht Hardware-Treiber, der Körner möchte ja Text anzeigen beim starten der Trick hier ist, dieses Schenberfahr-Consul, die für Takeover ist dafür sorgt, dass nichts auf den Bildschirm geschrieben wird, also auch nicht ein Lehrer-Bildschirm, bis da tatsächlich Text drauf ist. Das heißt, wenn wir quiet booten, bleibt einfach das Hersteller-Logo weil wir den Bildschirm gar nicht löschen. Gut, ein weiteres Problem ist, wir haben ja vielleicht irgendwie so Locks, die wir beim starten sehen wollen, also irgendwie dass wir Dienste gerade starten oder ihr habt fest, platten mit Verschlusslung, das solltet ihr definitiv haben und da müsst ihr ein Passwort eingeben beim starten Gut, wenn wir das nacheinander starten und das lange Zeit der Fall war dann ist das kein Problem, wir haben eine Konsole, da können wir Text drauf schreiben da können wir Text von lesen aber wir starten ja Dinge parallel mittlerweile und das ist auch für ein Problem weil wenn wir parallel Text ausgeben ist irgendwie vermischt und das will keiner lesen und wo geht input hin Deswegen haben wir Plymouth das zeigt halt so ein Logo an im üblichen Fall, es gibt aber auch einen nur Text-Modus und das kann dann auch input, also so ein dieser Dienst möchte dann ein Passwort haben beim starten und wie das halt funktioniert mit dem Hersteller-Logo ist es gibt ein BGRT-Theme dafür das ist das klassische Fedora-Theme das ist nicht mehr aktuell das Bild mittlerweile ist einfach das Hersteller-Logo oben dann das Dystro-Logo unten und so ein kleiner Spinar halt Nächster Schritt ist dann, wir haben Knock-In so wie GDM oder SDDM die laufen mit X oder Wayland und der Trick dabei ist einfach den X-Servor mit minus nur root zu starten das heißt nicht, dass der X-Servor nicht als gut läuft, das ist ein anderes Problem das hatten wir eben, das sorgt dafür dass der Start den Bildschirm nicht löscht das heißt, das Hersteller-Logo bleibt weiterhin drauf und wir können ordentlich eine Animation machen, so mit einem Übergang und das gleiche gilt dann halt auch für die Desktop-Ungebung so, was müsst ihr dafür tun? ihr könnt aktuell das Fedora benutzen, dann klappt das alles wenn ihr ein älteres habt oder einen Bundo1910 dann gibt es da so ein Plymouth-BGRT-Paket das könnt ihr installieren den Grab neu bauen dann könnt ihr den Bildschirm nicht mehr pink löscht sondern schwarz löscht nee, gar nicht löscht und dann neu starten ihr braucht dafür einen aktuellen Kernel und es geht soweit, ich weiß mittlerweile nur mit Intel GPUs vielleicht auch mit anderen und ihr fragt euch jetzt tatsächlich, wie sieht das aus es gibt da von der zuständigen Person bei Fedora dieses schöne Video und naja, es ist halt so wie man es erwarten würde ja, das sah doch jetzt gar nicht so schlecht aus ne ich habe euch da noch ein paar links rausgesucht ich finde dieses Genom-Wiki sehr großartig weil sie haben da Mock-Ups drin und auch wir machen andere Systeme das mit Screenshots von Windows 10 und MacOS, glaube ich ja gut, habt ihr zu dem Bereich Fragen? ja, ist das an ja, schön also ich habe gerade mal hier versucht auf meinem Zinpack das nachzustellen und ich habe einen UEF-Dings-Bios allerdings scheint es im Bios-Mode zu starten und ich habe im Bios jetzt nicht gefunden dass ich es umstellen kann, aber es muss dort irgendwo doch zu finden sein, oder? ja, du hast das für drei Optionen dieser Bios-Mode heißt teilweise CSM Compatibility Support Mode den kannst du ausschalten du kannst aber auch den default ändern Problem ist, wenn du es nicht ausschaltest macht er möglicherweise ein Fallback installiertes System, URL-File kann und auch so installiert wurde wenn du es in Bios-Mode installiert hast musst du dafür ein paar Dinge umstellen du musst die Partition anlegen, du musst den Bootloader-Eintrag hinzufügen und so was das kannst du machen im Einfachsten wäre es wahrscheinlich CSM auszuschalten und dann das Team neu zu installieren okay, aber wahrscheinlich meinst du nicht, dass es reicht einfach Grubnode zu installieren? wir können uns gleich mal treffen aber so einfach ist es leider nicht gut, gerne nichts leichter als eine neue Installation um ein Problem zu fixen Signal Angel, eine Frage? nein, sehr gut, dann geht es weiter okay so, und so weil wir schon mal dabei sind wie das Ganze bootet, können wir doch mal angucken wie wir das sicher machen damals als ich mal einen ersten Congestrock gesehen habe war das dieser hier und sicher gut hatte damals, als es neu rauskam nicht so den besten Ruf es galt irgendwie so als online Microsoft kontrollieren, welche Dinge ich starte das hat es sogar soweit geführt das ist dann eine Kampagne der FSF gegen, gab und aktuell steht im Debian Wiki nochmal extra, dass es nicht dafür ist genau wir hatten den Bootprozess ja eben grob ich werde mich jetzt auf das beschränken was Debian, Ubuntu und meines Wissens auch Fedora machen an konkreten Implimentationen, das sind Shim, Grubb und der Linuskörnel also das Grüne ist der Teil, den wir sichern wollen die laufenden Dienste könnt ihr ja nachinstallieren, da kann man nichts tun die Firma ist vom Hersteller das ist eine andere Baustelle wir wollen den Bootprozess bis zum Bootloader den Körnel und alle Module sichern die ihr nachladet die Firma hat irgendwie ein Kieh drin und prüft ob der Bootloader davon signiert ist das kommt ein bisschen darauf an wenn ihr irgendwie so ein meine Dell-Laptop mit Ubuntu kauft kann das wieder sein, dass da ein Canonical Kieh drin ist und nicht einer von Microsoft an bei den meisten Gräten sind die Kies von Microsoft drin das ist eine Geschichte ihr könnt aber auch eigene CAs erstellen und die Kies da reinladen ist halt das übliche Problem mit Kies das will man nicht selber machen eigentlich genau, das erste Ding ist Shim das macht eigentlich relativ wenig es lädt den Bootloader wofür haben wir das das Problem ist Microsoft muss ja das Beine resignieren und das ist nicht so einfach wenn ich die Post richtig gelesen habe ist das so eine Aktion mit Windows und das Smart Card und Internet Explorer das will man halt nicht so oft tun und Microsoft signiert nur E-Fi Binaries wenn wir auch die Kernel-Module prüfen wollen dann müssen wir irgendwie so eine Chain of Trust hinbekommen es wäre schön wenn man irgendwie Dinge krosszahlen könnte aber auch das macht Microsoft nicht das heißt wir haben diesen Shim der ist signiert von Microsoft und der hat den Public Key einer anderen Theaterin und prüft das nächste Burnout an dagegen das ist das was Shim hauptsächlich tut ansonsten ist Teil dieses Projekts der sogenannten Mock Manager für Machine Owner Keys das ist dafür da, dass ihr auch selber Kernel-Module bauen könnt es gibt ja Leute die machen das manchmal ich erzähle dann gleich noch was wie das funktioniert mit dem Workflow wir haben den Bootloader und wenn wir darauf angepasst werden ist wir nur korrekt signierte Module oder Kernel-Laden in den 3FS ist beliebig austauschbar und wir haben auch ein bisschen das Problem dass man es bei Graph die Config ja bearbeiten kann der könnte irgendwie E-Drücken beim Starten und das darf halt auch keine Lücken aufreißen und auch der Kernel den müssen wir ein bisschen anpassen weil was wir wollen ist dass wir die Hardware vor unbeschränkendem Zugrufe zum Beispiel durch Boot schützen das heißt wir wollen auch nicht, dass das System nachträglich manipuliert werden kann das heißt wir können kein Hibernate machen weil das bringt uns das, wenn wir die ganze Kette irgendwie gesichert haben dann macht jemand den Rechner in Ruhe zu Stand und tauscht den Kernel auf der Platte aus im Arbeitsspeicher das klappt ja auch nicht Def-Mem ist das gleiche Problem wenn wir den Speicher schreiben können dann können wir den Kernel auch austauschen das ganze heißt Kernel Lockdown ist so ein bisschen eine andere witzige Geschichte weil das lange Zeit nur in den Distros drin war so seit 2015 oder so es ist erst vor 2 Monaten wirklich im Abspring-Körnel gelandert und ich glaube das ist wie ein Thema gut, wie gesagt die Module die wir laden das heißt wir müssen die auch ordentlich signieren z.B. von der Distro aber es gibt das Problem dass ihr ja manchmal auch Module selber bauen wollt oder müsst z.B. weil ihr irgendwie VirtualBox installiert oder so, es läuft aber DKMS das baut die Module dann halt bei der Installation und das Konzept ist wenn ihr eine Acrylic-Distro habt und so ein DKMS-Modul installiert dann erkennt die das erzeugt ein Private Key signiert die Module damit und lädt den Public in eure Firmware rein dafür ist dieser Mock Manager da das finde ich im Ubuntu wirklich ganz gut beschrieben der einfachste Fall ist ich installiere das und das ist sicher ich mache einfach nichts weiter bisschen schwieriger wird wenn ich irgendwie so ein Graphic-Triber ihr wisst welcher Hersteller gemeint ist installiere nicht nachträglich irgendwie bauen muss wie das funktioniert ist wie gesagt mit einem Private Key das Problem ist ja noch wie finde ich heraus ob der Key echt ist wir müssen ja prüfen, dass die Person die den Key erzeugt hat auch die Person, dass die physikalischen Zugrufe auf das Gerät hat wie das funktioniert ist dieser Key hat ein Passwort und beim Neustart fragt euch der Mock Manager nach dem Passwort das ist das Konzept um sich halt zu stellen dass es die gleiche Person ist dann gibt es natürlich auch noch andere Probleme Leute vergessen Passwörter aber gut dann können wir den Prozess halt einfach neu machen das ist jetzt nicht so tragisch weiteres Problem Leute haben komische Keyboard Layouts das ist nicht gelöst gut ihr müsst jetzt nichts großartiges tun ihr müsst ein aktueller Firmware haben mit aktiviertem Secure Boot könnt ihr einfach Secure Boot nachträglich aktivieren das ist egal ihr braucht dafür eine Distro die das unterstützt das sind meines Wissens diese hier möglicherweise auch noch im Mint oder so was Arsch nicht ja ich habe daraus zitiert und dachte ich verlinke das auch nochmal wenn ihr mehr Details zu haben wollt ich habe das erzählt Karos Dorf und hat mich mal gefragt aber wie kann ich das denn deaktivieren erstens das ist ein Sicherheitsfeature zweitens ihr könnt es einfach an der Firmware deaktivieren Neustarten ist Firmware Setup und dann Secure Boot deaktivieren das umfasst dann die ganze Kette ihr könnt mit diesem Befehl den Schimmanweisen den Kerneln und den Bootloader nicht mehr zu prüfen das heißt er hat noch so ein bisschen Sicherheit in den Bootprozess und es gibt so genannte Magic Sys Request mit Alt Druck und irgendeine anderen Taste könnt ihr einen Befehl an den Kerneln senden und X steht dafür für Lift Lockdown das heißt bis zum nächsten Neustart könnt ihr dann so Dinge wie Dev-Mem benutzen oder beliebige Module laden oder so was würde ich jetzt nicht empfehlen diese Magic Sys Request könnt ihr auch auslösen in die mit den entsprechenden Buchstaben die ihr schreibt und ihr habt das Problem jetzt wahrscheinlich gesehen wir wollen uns erschützen gegen Angriffe von Root wenn ich das als Root aufheben kann ist das doof hm ja hab ich mal ausprobiert und dann war das kaputt mittlerweile ist das ein Bund wo gefext in Fedura wurde es irgendwie auch gefunden so schon längere Zeit hier Sie haben es aber niemandem gesagt der Commit hat keine sinnvolle Beschreibung Debian ist es schon noch offen also wenn ihr ein Debian habt das Problem ist halt dieser Befehl hat 2 Dinge ausgegeben auf der Konsole erstens du darfst das nicht zweitens ich hab es gemacht und trotzdem haben heute Software geschrieben die das benutzt nachdem der Bug gefixt war hat mich irgendwie eine Woche später jemand angeschrieben und gesagt hier ich habe dieses coole Programm was den Lüfter steuern hatten das funktioniert jetzt nicht mehr ja sorry aber ihr solltet vielleicht nicht Programme als Root laufen haben die direkt auf die Hardware zugreifen dafür sind Kernelmodule da und dann bin ich tatsächlich früher schon durch und würde Fragen entgeben nehmen glaube ich