מחשבי Chromebook בנטפרי

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

האם ניסית לשים תעודת אבטחה ב /etc/ssl/certs ?

יש בנייה מותאמות אישית של Chromium OS שיכולה להתקין APK. כמו כן, לרוב ההפצות של לינוקס יש תוכניות להפעלת apk (waydroid/anbox).

נכנסתי דרך הSSH למכשיר
והתקנתי את הסקריפט של נטפרי ללינוקס
אבל זה לא עוזר בשביל להיכנס לחשבון שלי
אבל נראה שבקשות מcurl מתוך root לכתובות מאובטחות עובדות
עריכה: נראה שמשתשים לחיבור עם שרתי גוגל בתעודות אחרות
https://chromium.googlesource.com/chromiumos/docs/+/master/ca_certs.md

shloimy95

@nigun

נכנסתי דרך הSSH למכשיר

No need to log in via ssh, you can access developers terminal (crosh) by
pressing ctrl+alt+T in Chrome Browser

והתקנתי את הסקריפט של נטפרי ללינוקס
אבל זה לא עוזר בשביל להיכנס לחשבון שלי
אבל נראה שבקשות מcurl מתוך root לכתובות מאובטחות עובדות
עריכה: נראה שמשתשים לחיבור עם שרתי גוגל בתעודות אחרות
https://chromium.googlesource.com/chromiumos/docs/+/master/ca_certs.md

כתוב בדף זה שהוא לא מעודכן ומפנה אל https://chromium.googlesource.com/chromiumos/docs/+/HEAD/ca_certs.md
אתר זה כותב שישנן מספר תיקיות לתעודי אבטחה למטרות שונות, נראה ששירותי גוגל משתמשים בתעודות המאוחסנות ב-/usr/share/chromeos-ca-certificates. הסקריפט של Netfree אינו מכניס אישורים לתיקיה זו. נסה להעתיק אותם בעצמך מ-/etc/ssl/certs אל /usr/share/chromeos-ca-certificates.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

No need to log in via ssh, you can access developers terminal (crosh) by
pressing ctrl+alt+T in Chrome Browser

It's easier for me via ssh

אתר זה כותב שישנן מספר תיקיות לתעודי אבטחה למטרות שונות, נראה ששירותי גוגל משתמשים בתעודות המאוחסנות ב-/usr/share/chromeos-ca-certificates. הסקריפט של Netfree אינו מכניס אישורים לתיקיה זו. נסה להעתיק אותם בעצמך מ-/etc/ssl/certs אל /usr/share/chromeos-ca-certificates.

that is that is exactly what I did and it still doesn't work

shloimy95

@nigun

that is that is exactly what I did and it still doesn't work

אני לא רוצה להכניס את ה-chromebook שלי למצב מפתחים כדי לבדוק, האם הקובץ roots.pem נמצא בתיקייה /usr/share/chromeos-ca-certificates?
אם קיים בתיקיה, נסה להוסיף את תעודת האבטחה netfree לקובץ זה, אחרת חפש את הקובץ roots.pem כדי למצוא היכן באמת נמצאת התיקיה.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

האם הקובץ roots.pem נמצא בתיקייה

אין כזה קובץ
הנה כל מה שיש בתיקיה

localhost ~ # ls -l /usr/share/chromeos-ca-certificates/ 
total 160
lrwxrwxrwx 1 root root   45 Dec  1  2020 02265526.0 -> Entrust_Root_Certification_Authority_-_G2.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 062cdee6.0 -> GlobalSign_Root_CA_-_R3.pem
lrwxrwxrwx 1 root root   15 Dec  1  2020 0a775a30.0 -> GTS_Root_R3.pem
lrwxrwxrwx 1 root root   15 Dec  1  2020 1001acf7.0 -> GTS_Root_R1.pem
lrwxrwxrwx 1 root root   46 Dec  1  2020 106f3e4d.0 -> Entrust_Root_Certification_Authority_-_EC1.pem
lrwxrwxrwx 1 root root   26 Dec  1  2020 157753a5.0 -> AddTrust_External_Root.pem
lrwxrwxrwx 1 root root   31 Dec  1  2020 1d3472b9.0 -> GlobalSign_ECC_Root_CA_-_R5.pem
lrwxrwxrwx 1 root root   38 Dec  1  2020 244b5494.0 -> DigiCert_High_Assurance_EV_Root_CA.pem
lrwxrwxrwx 1 root root   26 Dec  1  2020 2b349938.0 -> AffirmTrust_Commercial.pem
lrwxrwxrwx 1 root root   22 Dec  1  2020 2c543cd1.0 -> GeoTrust_Global_CA.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 3513523f.0 -> DigiCert_Global_Root_CA.pem
lrwxrwxrwx 1 root root   34 Dec  1  2020 40547a79.0 -> COMODO_Certification_Authority.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 4a6481c9.0 -> GlobalSign_Root_CA_-_R2.pem
lrwxrwxrwx 1 root root   45 Dec  1  2020 4bfab552.0 -> Starfield_Root_Certificate_Authority_-_G2.pem
lrwxrwxrwx 1 root root   22 Dec  1  2020 5ad8a5d6.0 -> GlobalSign_Root_CA.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 607986c7.0 -> DigiCert_Global_Root_G2.pem
lrwxrwxrwx 1 root root   15 Dec  1  2020 626dceaf.0 -> GTS_Root_R2.pem
lrwxrwxrwx 1 root root   29 Dec  1  2020 653b494a.0 -> Baltimore_CyberTrust_Root.pem
lrwxrwxrwx 1 root root   40 Dec  1  2020 6b99d060.0 -> Entrust_Root_Certification_Authority.pem
lrwxrwxrwx 1 root root   28 Dec  1  2020 75d1b2ed.0 -> DigiCert_Trusted_Root_G4.pem
lrwxrwxrwx 1 root root   26 Dec  1  2020 76cb8f92.0 -> Cybertrust_Global_Root.pem
lrwxrwxrwx 1 root root   31 Dec  1  2020 7f3d5d1d.0 -> DigiCert_Assured_ID_Root_G3.pem
lrwxrwxrwx 1 root root   26 Dec  1  2020 93bc0acc.0 -> AffirmTrust_Networking.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 9c8dfbd4.0 -> AffirmTrust_Premium_ECC.pem
lrwxrwxrwx 1 root root   31 Dec  1  2020 9d04f354.0 -> DigiCert_Assured_ID_Root_G2.pem
-rw-r--r-- 1 root root 2035 Dec  1  2020 AddTrust_External_Root.pem
-rw-r--r-- 1 root root 1668 Dec  1  2020 AffirmTrust_Commercial.pem
-rw-r--r-- 1 root root 1668 Dec  1  2020 AffirmTrust_Networking.pem
-rw-r--r-- 1 root root 2346 Dec  1  2020 AffirmTrust_Premium.pem
-rw-r--r-- 1 root root 1220 Dec  1  2020 AffirmTrust_Premium_ECC.pem
-rw-r--r-- 1 root root 1739 Dec  1  2020 Baltimore_CyberTrust_Root.pem
-rw-r--r-- 1 root root 2005 Dec  1  2020 COMODO_Certification_Authority.pem
-rw-r--r-- 1 root root 1467 Dec  1  2020 COMODO_ECC_Certification_Authority.pem
-rw-r--r-- 1 root root 2614 Dec  1  2020 COMODO_RSA_Certification_Authority.pem
-rw-r--r-- 1 root root 1976 Dec  1  2020 Comodo_AAA_Services_root.pem
-rw-r--r-- 1 root root 1788 Dec  1  2020 Cybertrust_Global_Root.pem
-rw-r--r-- 1 root root 1882 Dec  1  2020 DigiCert_Assured_ID_Root_CA.pem
-rw-r--r-- 1 root root 1838 Dec  1  2020 DigiCert_Assured_ID_Root_G2.pem
-rw-r--r-- 1 root root 1383 Dec  1  2020 DigiCert_Assured_ID_Root_G3.pem
-rw-r--r-- 1 root root 1858 Dec  1  2020 DigiCert_Global_Root_CA.pem
-rw-r--r-- 1 root root 1813 Dec  1  2020 DigiCert_Global_Root_G2.pem
-rw-r--r-- 1 root root 1358 Dec  1  2020 DigiCert_Global_Root_G3.pem
-rw-r--r-- 1 root root 1919 Dec  1  2020 DigiCert_High_Assurance_EV_Root_CA.pem
-rw-r--r-- 1 root root 2510 Dec  1  2020 DigiCert_Trusted_Root_G4.pem
-rw-r--r-- 1 root root 2194 Dec  1  2020 Entrust.net_Premium_2048_Secure_Server_CA.pem
-rw-r--r-- 1 root root 2294 Dec  1  2020 Entrust_Root_Certification_Authority.pem
-rw-r--r-- 1 root root 1796 Dec  1  2020 Entrust_Root_Certification_Authority_-_EC1.pem
-rw-r--r-- 1 root root 2217 Dec  1  2020 Entrust_Root_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 2425 Dec  1  2020 GTS_Root_R1.pem
-rw-r--r-- 1 root root 2425 Dec  1  2020 GTS_Root_R2.pem
-rw-r--r-- 1 root root 1279 Dec  1  2020 GTS_Root_R3.pem
-rw-r--r-- 1 root root 1279 Dec  1  2020 GTS_Root_R4.pem
-rw-r--r-- 1 root root 1651 Dec  1  2020 GeoTrust_Global_CA.pem
-rw-r--r-- 1 root root 1249 Dec  1  2020 GlobalSign_ECC_Root_CA_-_R4.pem
-rw-r--r-- 1 root root 1315 Dec  1  2020 GlobalSign_ECC_Root_CA_-_R5.pem
-rw-r--r-- 1 root root 1745 Dec  1  2020 GlobalSign_Root_CA.pem
-rw-r--r-- 1 root root 1862 Dec  1  2020 GlobalSign_Root_CA_-_R2.pem
-rw-r--r-- 1 root root 1722 Dec  1  2020 GlobalSign_Root_CA_-_R3.pem
-rw-r--r-- 1 root root 2474 Dec  1  2020 GlobalSign_Root_CA_-_R6.pem
-rw-r--r-- 1 root root 1944 Dec  1  2020 Go_Daddy_Class_2_CA.pem
-rw-r--r-- 1 root root 2006 Dec  1  2020 Go_Daddy_Root_Certificate_Authority_-_G2.pem
-rw-r--r-- 1 root root 1975 Dec  1  2020 Starfield_Class_2_CA.pem
-rw-r--r-- 1 root root 1927 Dec  1  2020 Starfield_Root_Certificate_Authority_-_G2.pem
-rw-r--r-- 1 root root 1493 Dec  1  2020 USERTrust_ECC_Certification_Authority.pem
-rw-r--r-- 1 root root 2637 Dec  1  2020 USERTrust_RSA_Certification_Authority.pem
lrwxrwxrwx 1 root root   15 Dec  1  2020 a3418fda.0 -> GTS_Root_R4.pem
lrwxrwxrwx 1 root root   45 Dec  1  2020 aee5f10d.0 -> Entrust.net_Premium_2048_Secure_Server_CA.pem
lrwxrwxrwx 1 root root   31 Dec  1  2020 b0e59380.0 -> GlobalSign_ECC_Root_CA_-_R4.pem
lrwxrwxrwx 1 root root   31 Dec  1  2020 b1159c4c.0 -> DigiCert_Assured_ID_Root_CA.pem
lrwxrwxrwx 1 root root   23 Dec  1  2020 b727005e.0 -> AffirmTrust_Premium.pem
lrwxrwxrwx 1 root root   44 Dec  1  2020 cbf06781.0 -> Go_Daddy_Root_Certificate_Authority_-_G2.pem
lrwxrwxrwx 1 root root   38 Dec  1  2020 d6325660.0 -> COMODO_RSA_Certification_Authority.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 dc4d6a89.0 -> GlobalSign_Root_CA_-_R6.pem
lrwxrwxrwx 1 root root   27 Dec  1  2020 dd8e9d41.0 -> DigiCert_Global_Root_G3.pem
lrwxrwxrwx 1 root root   28 Dec  1  2020 ee64a828.0 -> Comodo_AAA_Services_root.pem
lrwxrwxrwx 1 root root   38 Dec  1  2020 eed8c118.0 -> COMODO_ECC_Certification_Authority.pem
lrwxrwxrwx 1 root root   23 Dec  1  2020 f081611a.0 -> Go_Daddy_Class_2_CA.pem
lrwxrwxrwx 1 root root   41 Dec  1  2020 f30dd6ad.0 -> USERTrust_ECC_Certification_Authority.pem
lrwxrwxrwx 1 root root   24 Dec  1  2020 f387163d.0 -> Starfield_Class_2_CA.pem
lrwxrwxrwx 1 root root   41 Dec  1  2020 fc5a8f99.0 -> USERTrust_RSA_Certification_Authority.pem

nigun

@shloimy95
אם אתה רוצה אני יכול לחשוף את הפורט של הSSH
ותוכל להיכנס מרחוק (אין מה להרוס אצלי)

shloimy95

@nigun אמר במחשבי Chromebook בנטפרי:

@shloimy95
אם אתה רוצה אני יכול לחשוף את הפורט של הSSH
ותוכל להיכנס מרחוק (אין מה להרוס אצלי)

אני לא רוצה להיכנס דרך ssh, אם אוסיף את התעודה עדיין לא אוכל לבדוק שזה עובד במסך הכניסה של כרום.
ברשימה שצירפת מהתיקייה אני לא רואה את תעודת נטפרי, האם אתה בטוח שהעתקת אותו לתיקיה /usr/share/chromeos-ca-certificates/ ?

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

ברשימה שצירפת מהתיקייה אני לא רואה את תעודת נטפרי

זה רשימה של התיקיה המקורית גיביתי אותה
ואחר כך עשיתי שם הרבה שינויים בניסיונות שונים להתחבר
הצגתי כאן את מה שהיה בגיבוי

nigun

@shloimy95
חשבתי על כיוון קצת אחר
מהבדיקה שלי כדי להיכנס צריך בעיקר את הכתובת
clients3.google.com
www.googleapis.com
ואולי גם clientservices.googleapis.com
אם אין בכתובות האלו תוכן בעייתי
אולי נטפרי יכולים לבטל את הסינון לכתובת האלו ולהשאיר את ההצפנה של גוגל.

טכנית זה אפשרית, לא נראה לי שזה המקום להיכנס לפרטים הטכניים איך לבצע את זה, אבל בניסוי שלי זה הצליח והצלחתי להיכנס לחשבון.

היתרון המרכזי זה שלא יצטרכו לעבור למצב מפתח.

shloimy95

@nigun דיברתי על זה עם תמיכת נטפרי כאשר קיבלתי את ה-chromebook שלי, הם לא היו מוכנים להוציא את www.googleapis.com מסינון. אני חושב שחלק מה-API של גוגל יכולים לשמש להורדת תוכן אסור.
למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס. ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס.

הבעיה היא שאין לך עדכוני אבטחה שזה יכול להיות בעייתי מאוד.

ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד.

אם זה יעבוד זה כנראה רק עם מצב מפתחים.

shloimy95

@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.
האמת היא שאני בודק מדי פעם את יומני השינויים ואם יש ליקוי אבטחה גדול או תכונה חדשה ומעניינת שאני רוצה אני הולך למקום עם אינטרנט לא מסונן כדי לעדכן. בכל מקרה אני לא אוהב לקבל עדכונים אחרונים כשהם משוחררים כי לעתים קרובות יש להם באגים שמתגלים ומתוקנים רק לאחר השחרור. אני מקווה ש-lacros-chrome ייצא בקרוב עבור המכשיר שלי, ובמקרה זה ככל הנראה עדכונים יעבדו עבור הדפדפן ואני לא אצטרך להתעסק בזה.
יש פתרון אחר שהוא טוב כמו wifree ולא חוסם עדכונים, אם אתה יכול לקבל פרטי VPN מהתמיכה של netfree ואתה מכיר מישהו עם Google Workspace אתה יכול לרשום את ה-chromebook שלך עם החשבון הארגוני שלו, ובאמצעות מסוף הניהול של גוגל הוא יכול לחסום את הגלישה כאשר ה-VPN אינו מחובר ומונע ממך להוסיף עוד חשבונות גוגל למכשיר (אתה עדיין יכול להוסיף לדפדפן). זה בטוח אם הוא משתמש בלקוח openvpn המובנה ובקובץ .onc, לא באפליקציית Android וב-.opvn המוזכרים ב-Netfree wiki. בשיטה זו ה-VPN מתחבר רק לאחר הכניסה, כך שעדכונים עדיין יורדים. לאחרונה דיברתי עם נציג של TAG UK וזה שירות שהם מציעים עם חשבון Google Workspace משלהם תמורת תשלום קטן.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.

מה רע במצב מפתחים?
לאף גורם חיצוני לא אמור להיות גישה לroot על המחשב שלך
לעומת זאת כשאתה נכנס לאתר עם דפדפן לא מעודכן הוא יכול להזריק לך נוזקות ולגנוב מידע דרך הווב.

shloimy95

@nigun אם אתה מבקר רק באתרים בטוחים מוכרים והחיבור שלך מאובטח באמצעות ssl/tls, לא סביר שהדפדפן שלך יידבק בתוכנה זדונית או שיגנבו נתונים. ברור שיש CVEs שמשפיעים על שרתי האינטרנט ואפשר לך עדיין להידבק, אולם ישנם גם רבים שיכולים להשפיע על מערכת ההפעלה שלך וכל התוכנות המותקנות ולהכיל הסלמה של הרשאות. ישנה אבטחה מובנית לכך בכל כרומבוק, ובכל הפעלה הכרומבוק מוודא שלא התעסקו בקבצי מערכת. הגנות אלו מושבתות במצב מפתחים.
דרך לעקיפת הבעיה כדי לקבל דפדפן מאובטח מעודכן ב-chromeos ולהשתמש בנטפרי היא התקנת דפדפן לינוקס (אפילו גרסת לינוקס של גוגל כרום) עם מסוף. גם פיירפוקס לאנדרואיד עובד, אולם חסרות לו הרחבות. אני מקווה שכאשר הפרויקט lacros יושלם הוא יתעדכן עם נטפרי.

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

3. יש בנייה מותאמות אישית של Chromium OS שיכולה להתקין APK. כמו כן, לרוב ההפצות של לינוקס יש תוכניות להפעלת apk (waydroid/anbox).

תעדכן אותי אחרי שתצליח להתקין את אחת מהם בלי להסתבך...

shloimy95

@מישהו12 מה תרצה לדעת, מעולם לא ניסיתי להתקין מבנה מותאם אישית של chromium OS, אולם השתמשתי ב-anbox כדי להפעיל אפליקציות בלינוקס פעמים רבות.

מישהו12

@shloimy95 איך התקנת anbox?

shloimy95

@מישהו12

1. התקן מודולי ליבה. (בכמה הפצות חדשות יותר יש את המודולים, מעולם לא ניסיתי להשתמש בהם). https://docs.anbox.io/userguide/install_kernel_modules.html

2. גרסת Snap בדרך כלל עובדת טוב יותר אז אם לא מותקנת התקן snap באמצעות

$ sudo apt install snapd

Snap כברירת מחדל משתמשת בתעודות אבטחה מובנות. השתמש בעקיפה באתר הבא כדי להשתמש בחנות המערכת עם תעודת נטפרי
https://forum.snapcraft.io/t/certificate-substitution-and-snaps/1077/6

3. התקן אנבוקס:

$ sudo snap install anbox --beta --devmode

4. הוסף תעודת אבטחה למערכת אנדרואיד
   אפשר שכבת-על של Android rootfs

$ snap set anbox rootfs-overlay.enable=true
$ snap restart anbox.container-manager

העתק את תעודת האבטחה בפורמט אנדרואיד לתיקייה
/var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts
הגדר הרשאות

$ sudo chown -R 100000:100000 /var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts

הפעל מחדש את Anbox

$ snap restart anbox.container-manager

5. תקן רשת IPV4 (ייתכן שלא יהיה צורך, בדוק אם האינטרנט עובד בדפדפן Webview של Android. אני כולל את השלב הזה כי בחלק מהתקנות של Anbox בעבר לא היה לי אינטרנט באנדרואיד כי המערכת מגדירה רק רשתות IPV6 במיכל עם זאת לא בכל הפצה/גרסה). אם שלב זה נחוץ עבורך, כדאי ליצור עבורו סקריפט מעטפת מכיוון שהוא נחוץ בכל פעם שתפעיל מחדש את אנבוקס.

$ /usr/share/anbox/anbox-shell.sh
# ip route add default dev eth0 via 192.168.250.1
# ip rule add pref 32766 table main
# ip rule add pref 32767 table local

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

sudo snap install anbox --beta --devmode

אי אפשר להוסיף את הPPA של המודולים
Err:5 http://ppa.launchpad.net/morphis/anbox-support/ubuntu impish Release
404 Not Found [IP: 91.189.95.85 80]

shloimy95

@מישהו12 אין ppa להפצה שלך מכיוון שהמודולים כלולים במאגר. נסה בלי להוסיף ppa

$ sudo modprobe ashmem_linux
$ sudo modprobe binder_linux
$ lsmod | grep -e ashmem_linux -e binder_linux

אם נטען בצורה נכונה הפלט אמור להראות את binder_linux ו-ashem_linux

אם הפעלת את secureboot, עליך לחתום על המודולים בפקודה

$ sudo kmodsign sha512 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /lib/modules/`uname -r`/kernel/drivers/staging/android/ashmem_linux.ko