מחשבי Chromebook בנטפרי
-
@shloimy95 אמר במחשבי Chromebook בנטפרי:
האם הקובץ roots.pem נמצא בתיקייה
אין כזה קובץ
הנה כל מה שיש בתיקיהlocalhost ~ # ls -l /usr/share/chromeos-ca-certificates/ total 160 lrwxrwxrwx 1 root root 45 Dec 1 2020 02265526.0 -> Entrust_Root_Certification_Authority_-_G2.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 062cdee6.0 -> GlobalSign_Root_CA_-_R3.pem lrwxrwxrwx 1 root root 15 Dec 1 2020 0a775a30.0 -> GTS_Root_R3.pem lrwxrwxrwx 1 root root 15 Dec 1 2020 1001acf7.0 -> GTS_Root_R1.pem lrwxrwxrwx 1 root root 46 Dec 1 2020 106f3e4d.0 -> Entrust_Root_Certification_Authority_-_EC1.pem lrwxrwxrwx 1 root root 26 Dec 1 2020 157753a5.0 -> AddTrust_External_Root.pem lrwxrwxrwx 1 root root 31 Dec 1 2020 1d3472b9.0 -> GlobalSign_ECC_Root_CA_-_R5.pem lrwxrwxrwx 1 root root 38 Dec 1 2020 244b5494.0 -> DigiCert_High_Assurance_EV_Root_CA.pem lrwxrwxrwx 1 root root 26 Dec 1 2020 2b349938.0 -> AffirmTrust_Commercial.pem lrwxrwxrwx 1 root root 22 Dec 1 2020 2c543cd1.0 -> GeoTrust_Global_CA.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 3513523f.0 -> DigiCert_Global_Root_CA.pem lrwxrwxrwx 1 root root 34 Dec 1 2020 40547a79.0 -> COMODO_Certification_Authority.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 4a6481c9.0 -> GlobalSign_Root_CA_-_R2.pem lrwxrwxrwx 1 root root 45 Dec 1 2020 4bfab552.0 -> Starfield_Root_Certificate_Authority_-_G2.pem lrwxrwxrwx 1 root root 22 Dec 1 2020 5ad8a5d6.0 -> GlobalSign_Root_CA.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 607986c7.0 -> DigiCert_Global_Root_G2.pem lrwxrwxrwx 1 root root 15 Dec 1 2020 626dceaf.0 -> GTS_Root_R2.pem lrwxrwxrwx 1 root root 29 Dec 1 2020 653b494a.0 -> Baltimore_CyberTrust_Root.pem lrwxrwxrwx 1 root root 40 Dec 1 2020 6b99d060.0 -> Entrust_Root_Certification_Authority.pem lrwxrwxrwx 1 root root 28 Dec 1 2020 75d1b2ed.0 -> DigiCert_Trusted_Root_G4.pem lrwxrwxrwx 1 root root 26 Dec 1 2020 76cb8f92.0 -> Cybertrust_Global_Root.pem lrwxrwxrwx 1 root root 31 Dec 1 2020 7f3d5d1d.0 -> DigiCert_Assured_ID_Root_G3.pem lrwxrwxrwx 1 root root 26 Dec 1 2020 93bc0acc.0 -> AffirmTrust_Networking.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 9c8dfbd4.0 -> AffirmTrust_Premium_ECC.pem lrwxrwxrwx 1 root root 31 Dec 1 2020 9d04f354.0 -> DigiCert_Assured_ID_Root_G2.pem -rw-r--r-- 1 root root 2035 Dec 1 2020 AddTrust_External_Root.pem -rw-r--r-- 1 root root 1668 Dec 1 2020 AffirmTrust_Commercial.pem -rw-r--r-- 1 root root 1668 Dec 1 2020 AffirmTrust_Networking.pem -rw-r--r-- 1 root root 2346 Dec 1 2020 AffirmTrust_Premium.pem -rw-r--r-- 1 root root 1220 Dec 1 2020 AffirmTrust_Premium_ECC.pem -rw-r--r-- 1 root root 1739 Dec 1 2020 Baltimore_CyberTrust_Root.pem -rw-r--r-- 1 root root 2005 Dec 1 2020 COMODO_Certification_Authority.pem -rw-r--r-- 1 root root 1467 Dec 1 2020 COMODO_ECC_Certification_Authority.pem -rw-r--r-- 1 root root 2614 Dec 1 2020 COMODO_RSA_Certification_Authority.pem -rw-r--r-- 1 root root 1976 Dec 1 2020 Comodo_AAA_Services_root.pem -rw-r--r-- 1 root root 1788 Dec 1 2020 Cybertrust_Global_Root.pem -rw-r--r-- 1 root root 1882 Dec 1 2020 DigiCert_Assured_ID_Root_CA.pem -rw-r--r-- 1 root root 1838 Dec 1 2020 DigiCert_Assured_ID_Root_G2.pem -rw-r--r-- 1 root root 1383 Dec 1 2020 DigiCert_Assured_ID_Root_G3.pem -rw-r--r-- 1 root root 1858 Dec 1 2020 DigiCert_Global_Root_CA.pem -rw-r--r-- 1 root root 1813 Dec 1 2020 DigiCert_Global_Root_G2.pem -rw-r--r-- 1 root root 1358 Dec 1 2020 DigiCert_Global_Root_G3.pem -rw-r--r-- 1 root root 1919 Dec 1 2020 DigiCert_High_Assurance_EV_Root_CA.pem -rw-r--r-- 1 root root 2510 Dec 1 2020 DigiCert_Trusted_Root_G4.pem -rw-r--r-- 1 root root 2194 Dec 1 2020 Entrust.net_Premium_2048_Secure_Server_CA.pem -rw-r--r-- 1 root root 2294 Dec 1 2020 Entrust_Root_Certification_Authority.pem -rw-r--r-- 1 root root 1796 Dec 1 2020 Entrust_Root_Certification_Authority_-_EC1.pem -rw-r--r-- 1 root root 2217 Dec 1 2020 Entrust_Root_Certification_Authority_-_G2.pem -rw-r--r-- 1 root root 2425 Dec 1 2020 GTS_Root_R1.pem -rw-r--r-- 1 root root 2425 Dec 1 2020 GTS_Root_R2.pem -rw-r--r-- 1 root root 1279 Dec 1 2020 GTS_Root_R3.pem -rw-r--r-- 1 root root 1279 Dec 1 2020 GTS_Root_R4.pem -rw-r--r-- 1 root root 1651 Dec 1 2020 GeoTrust_Global_CA.pem -rw-r--r-- 1 root root 1249 Dec 1 2020 GlobalSign_ECC_Root_CA_-_R4.pem -rw-r--r-- 1 root root 1315 Dec 1 2020 GlobalSign_ECC_Root_CA_-_R5.pem -rw-r--r-- 1 root root 1745 Dec 1 2020 GlobalSign_Root_CA.pem -rw-r--r-- 1 root root 1862 Dec 1 2020 GlobalSign_Root_CA_-_R2.pem -rw-r--r-- 1 root root 1722 Dec 1 2020 GlobalSign_Root_CA_-_R3.pem -rw-r--r-- 1 root root 2474 Dec 1 2020 GlobalSign_Root_CA_-_R6.pem -rw-r--r-- 1 root root 1944 Dec 1 2020 Go_Daddy_Class_2_CA.pem -rw-r--r-- 1 root root 2006 Dec 1 2020 Go_Daddy_Root_Certificate_Authority_-_G2.pem -rw-r--r-- 1 root root 1975 Dec 1 2020 Starfield_Class_2_CA.pem -rw-r--r-- 1 root root 1927 Dec 1 2020 Starfield_Root_Certificate_Authority_-_G2.pem -rw-r--r-- 1 root root 1493 Dec 1 2020 USERTrust_ECC_Certification_Authority.pem -rw-r--r-- 1 root root 2637 Dec 1 2020 USERTrust_RSA_Certification_Authority.pem lrwxrwxrwx 1 root root 15 Dec 1 2020 a3418fda.0 -> GTS_Root_R4.pem lrwxrwxrwx 1 root root 45 Dec 1 2020 aee5f10d.0 -> Entrust.net_Premium_2048_Secure_Server_CA.pem lrwxrwxrwx 1 root root 31 Dec 1 2020 b0e59380.0 -> GlobalSign_ECC_Root_CA_-_R4.pem lrwxrwxrwx 1 root root 31 Dec 1 2020 b1159c4c.0 -> DigiCert_Assured_ID_Root_CA.pem lrwxrwxrwx 1 root root 23 Dec 1 2020 b727005e.0 -> AffirmTrust_Premium.pem lrwxrwxrwx 1 root root 44 Dec 1 2020 cbf06781.0 -> Go_Daddy_Root_Certificate_Authority_-_G2.pem lrwxrwxrwx 1 root root 38 Dec 1 2020 d6325660.0 -> COMODO_RSA_Certification_Authority.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 dc4d6a89.0 -> GlobalSign_Root_CA_-_R6.pem lrwxrwxrwx 1 root root 27 Dec 1 2020 dd8e9d41.0 -> DigiCert_Global_Root_G3.pem lrwxrwxrwx 1 root root 28 Dec 1 2020 ee64a828.0 -> Comodo_AAA_Services_root.pem lrwxrwxrwx 1 root root 38 Dec 1 2020 eed8c118.0 -> COMODO_ECC_Certification_Authority.pem lrwxrwxrwx 1 root root 23 Dec 1 2020 f081611a.0 -> Go_Daddy_Class_2_CA.pem lrwxrwxrwx 1 root root 41 Dec 1 2020 f30dd6ad.0 -> USERTrust_ECC_Certification_Authority.pem lrwxrwxrwx 1 root root 24 Dec 1 2020 f387163d.0 -> Starfield_Class_2_CA.pem lrwxrwxrwx 1 root root 41 Dec 1 2020 fc5a8f99.0 -> USERTrust_RSA_Certification_Authority.pem
-
@shloimy95
אם אתה רוצה אני יכול לחשוף את הפורט של הSSH
ותוכל להיכנס מרחוק (אין מה להרוס אצלי) -
@nigun אמר במחשבי Chromebook בנטפרי:
@shloimy95
אם אתה רוצה אני יכול לחשוף את הפורט של הSSH
ותוכל להיכנס מרחוק (אין מה להרוס אצלי)אני לא רוצה להיכנס דרך ssh, אם אוסיף את התעודה עדיין לא אוכל לבדוק שזה עובד במסך הכניסה של כרום.
ברשימה שצירפת מהתיקייה אני לא רואה את תעודת נטפרי, האם אתה בטוח שהעתקת אותו לתיקיה /usr/share/chromeos-ca-certificates/ ? -
@shloimy95 אמר במחשבי Chromebook בנטפרי:
ברשימה שצירפת מהתיקייה אני לא רואה את תעודת נטפרי
זה רשימה של התיקיה המקורית גיביתי אותה
ואחר כך עשיתי שם הרבה שינויים בניסיונות שונים להתחבר
הצגתי כאן את מה שהיה בגיבוי -
@shloimy95
חשבתי על כיוון קצת אחר
מהבדיקה שלי כדי להיכנס צריך בעיקר את הכתובת
clients3.google.com
www.googleapis.com
ואולי גם clientservices.googleapis.com
אם אין בכתובות האלו תוכן בעייתי
אולי נטפרי יכולים לבטל את הסינון לכתובת האלו ולהשאיר את ההצפנה של גוגל.טכנית זה אפשרית, לא נראה לי שזה המקום להיכנס לפרטים הטכניים איך לבצע את זה, אבל בניסוי שלי זה הצליח והצלחתי להיכנס לחשבון.
היתרון המרכזי זה שלא יצטרכו לעבור למצב מפתח.
-
@nigun דיברתי על זה עם תמיכת נטפרי כאשר קיבלתי את ה-chromebook שלי, הם לא היו מוכנים להוציא את www.googleapis.com מסינון. אני חושב שחלק מה-API של גוגל יכולים לשמש להורדת תוכן אסור.
למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס. ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד. -
@shloimy95 אמר במחשבי Chromebook בנטפרי:
למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס.
הבעיה היא שאין לך עדכוני אבטחה שזה יכול להיות בעייתי מאוד.
ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד.
אם זה יעבוד זה כנראה רק עם מצב מפתחים.
-
@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.
האמת היא שאני בודק מדי פעם את יומני השינויים ואם יש ליקוי אבטחה גדול או תכונה חדשה ומעניינת שאני רוצה אני הולך למקום עם אינטרנט לא מסונן כדי לעדכן. בכל מקרה אני לא אוהב לקבל עדכונים אחרונים כשהם משוחררים כי לעתים קרובות יש להם באגים שמתגלים ומתוקנים רק לאחר השחרור. אני מקווה ש-lacros-chrome ייצא בקרוב עבור המכשיר שלי, ובמקרה זה ככל הנראה עדכונים יעבדו עבור הדפדפן ואני לא אצטרך להתעסק בזה.
יש פתרון אחר שהוא טוב כמו wifree ולא חוסם עדכונים, אם אתה יכול לקבל פרטי VPN מהתמיכה של netfree ואתה מכיר מישהו עם Google Workspace אתה יכול לרשום את ה-chromebook שלך עם החשבון הארגוני שלו, ובאמצעות מסוף הניהול של גוגל הוא יכול לחסום את הגלישה כאשר ה-VPN אינו מחובר ומונע ממך להוסיף עוד חשבונות גוגל למכשיר (אתה עדיין יכול להוסיף לדפדפן). זה בטוח אם הוא משתמש בלקוח openvpn המובנה ובקובץ .onc, לא באפליקציית Android וב-.opvn המוזכרים ב-Netfree wiki. בשיטה זו ה-VPN מתחבר רק לאחר הכניסה, כך שעדכונים עדיין יורדים. לאחרונה דיברתי עם נציג של TAG UK וזה שירות שהם מציעים עם חשבון Google Workspace משלהם תמורת תשלום קטן. -
@shloimy95 אמר במחשבי Chromebook בנטפרי:
@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.
מה רע במצב מפתחים?
לאף גורם חיצוני לא אמור להיות גישה לroot על המחשב שלך
לעומת זאת כשאתה נכנס לאתר עם דפדפן לא מעודכן הוא יכול להזריק לך נוזקות ולגנוב מידע דרך הווב. -
@nigun אם אתה מבקר רק באתרים בטוחים מוכרים והחיבור שלך מאובטח באמצעות ssl/tls, לא סביר שהדפדפן שלך יידבק בתוכנה זדונית או שיגנבו נתונים. ברור שיש CVEs שמשפיעים על שרתי האינטרנט ואפשר לך עדיין להידבק, אולם ישנם גם רבים שיכולים להשפיע על מערכת ההפעלה שלך וכל התוכנות המותקנות ולהכיל הסלמה של הרשאות. ישנה אבטחה מובנית לכך בכל כרומבוק, ובכל הפעלה הכרומבוק מוודא שלא התעסקו בקבצי מערכת. הגנות אלו מושבתות במצב מפתחים.
דרך לעקיפת הבעיה כדי לקבל דפדפן מאובטח מעודכן ב-chromeos ולהשתמש בנטפרי היא התקנת דפדפן לינוקס (אפילו גרסת לינוקס של גוגל כרום) עם מסוף. גם פיירפוקס לאנדרואיד עובד, אולם חסרות לו הרחבות. אני מקווה שכאשר הפרויקט lacros יושלם הוא יתעדכן עם נטפרי. -
@shloimy95 אמר במחשבי Chromebook בנטפרי:
- יש בנייה מותאמות אישית של Chromium OS שיכולה להתקין APK. כמו כן, לרוב ההפצות של לינוקס יש תוכניות להפעלת apk (waydroid/anbox).
תעדכן אותי אחרי שתצליח להתקין את אחת מהם בלי להסתבך...
-
@מישהו12 מה תרצה לדעת, מעולם לא ניסיתי להתקין מבנה מותאם אישית של chromium OS, אולם השתמשתי ב-anbox כדי להפעיל אפליקציות בלינוקס פעמים רבות.
-
@shloimy95 איך התקנת anbox?
-
-
התקן מודולי ליבה. (בכמה הפצות חדשות יותר יש את המודולים, מעולם לא ניסיתי להשתמש בהם). https://docs.anbox.io/userguide/install_kernel_modules.html
-
גרסת Snap בדרך כלל עובדת טוב יותר אז אם לא מותקנת התקן snap באמצעות
$ sudo apt install snapd
Snap כברירת מחדל משתמשת בתעודות אבטחה מובנות. השתמש בעקיפה באתר הבא כדי להשתמש בחנות המערכת עם תעודת נטפרי
https://forum.snapcraft.io/t/certificate-substitution-and-snaps/1077/6- התקן אנבוקס:
$ sudo snap install anbox --beta --devmode
- הוסף תעודת אבטחה למערכת אנדרואיד
אפשר שכבת-על של Android rootfs
$ snap set anbox rootfs-overlay.enable=true $ snap restart anbox.container-manager
העתק את תעודת האבטחה בפורמט אנדרואיד לתיקייה
/var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts
הגדר הרשאות$ sudo chown -R 100000:100000 /var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts
הפעל מחדש את Anbox
$ snap restart anbox.container-manager
- תקן רשת IPV4 (ייתכן שלא יהיה צורך, בדוק אם האינטרנט עובד בדפדפן Webview של Android. אני כולל את השלב הזה כי בחלק מהתקנות של Anbox בעבר לא היה לי אינטרנט באנדרואיד כי המערכת מגדירה רק רשתות IPV6 במיכל עם זאת לא בכל הפצה/גרסה). אם שלב זה נחוץ עבורך, כדאי ליצור עבורו סקריפט מעטפת מכיוון שהוא נחוץ בכל פעם שתפעיל מחדש את אנבוקס.
$ /usr/share/anbox/anbox-shell.sh # ip route add default dev eth0 via 192.168.250.1 # ip rule add pref 32766 table main # ip rule add pref 32767 table local
-
-
@shloimy95 אמר במחשבי Chromebook בנטפרי:
sudo snap install anbox --beta --devmode
אי אפשר להוסיף את הPPA של המודולים
Err:5 http://ppa.launchpad.net/morphis/anbox-support/ubuntu impish Release
404 Not Found [IP: 91.189.95.85 80] -
@מישהו12 אין ppa להפצה שלך מכיוון שהמודולים כלולים במאגר. נסה בלי להוסיף ppa
$ sudo modprobe ashmem_linux $ sudo modprobe binder_linux $ lsmod | grep -e ashmem_linux -e binder_linux
אם נטען בצורה נכונה הפלט אמור להראות את binder_linux ו-ashem_linux
אם הפעלת את secureboot, עליך לחתום על המודולים בפקודה
$ sudo kmodsign sha512 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /lib/modules/`uname -r`/kernel/drivers/staging/android/ashmem_linux.ko
-
@shloimy95 אמר במחשבי Chromebook בנטפרי:
/var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts
rootfs-overlay ריק... ליצור את תיקיית system לבד?
-
@מישהו12 כן. אתה יכול לראות אבל לא לערוך את קבצי המערכת בשילוב עם מה שאתה מוסיף בתיקייה /combined-rootfs
-
קניתי כרומבוק והשתמשתי באינטרנט של חבר שלי בשביל להתחבר בפעם הראשונה, עכשיו הייתי רוצה לנסות להכניס תעודות לפי מה שכתוב כאן:
https://chromium.googlesource.com/chromiumos/docs/+/master/ca_certs.md#:~:text=/usr/share/chromeos-ca-certificatesאבל אני חושש לעשות את זה למקרה שזה לא יעבוד, ואז זה ינתק אותי מהמשתמש, יש מישהו שיכול לנסות לבדוק אם זה פותר את בעיית ההתחברות עם נטפרי?
-
@hagai-w השיטה בקישור לא עובדת כי גם אם מותקן תעודת האבטחה, ה-API של גוגל חסומים. הגשתי בקשת תמיכה לגבי זה, אבל הם אומרים שאין שיטה בטוחה לפתוח את ה-API ללא דברים אסורים.
האם התקנת את התעודת בדפדפן כרום?
אתה יכול גם להוסיף את התעודת בהגדרות אנדרואיד, זה יאפשר לך להשתמש באפליקציות ששונו לעבוד עם תעודת משתמש.