מחשבי Chromebook בנטפרי

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

ברשימה שצירפת מהתיקייה אני לא רואה את תעודת נטפרי

זה רשימה של התיקיה המקורית גיביתי אותה
ואחר כך עשיתי שם הרבה שינויים בניסיונות שונים להתחבר
הצגתי כאן את מה שהיה בגיבוי

nigun

@shloimy95
חשבתי על כיוון קצת אחר
מהבדיקה שלי כדי להיכנס צריך בעיקר את הכתובת
clients3.google.com
www.googleapis.com
ואולי גם clientservices.googleapis.com
אם אין בכתובות האלו תוכן בעייתי
אולי נטפרי יכולים לבטל את הסינון לכתובת האלו ולהשאיר את ההצפנה של גוגל.

טכנית זה אפשרית, לא נראה לי שזה המקום להיכנס לפרטים הטכניים איך לבצע את זה, אבל בניסוי שלי זה הצליח והצלחתי להיכנס לחשבון.

היתרון המרכזי זה שלא יצטרכו לעבור למצב מפתח.

shloimy95

@nigun דיברתי על זה עם תמיכת נטפרי כאשר קיבלתי את ה-chromebook שלי, הם לא היו מוכנים להוציא את www.googleapis.com מסינון. אני חושב שחלק מה-API של גוגל יכולים לשמש להורדת תוכן אסור.
למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס. ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

למעשה נכנסתי פעם אחת עם אינטרנט לא מסונן ועכשיו אני לא מוצא בעיה לכבות את ה-WiFi והנתונים בכל פעם שאני נכנס.

הבעיה היא שאין לך עדכוני אבטחה שזה יכול להיות בעייתי מאוד.

ברגע שאני נכנס כל מה שאני צריך עובד. הדבר היחיד שהלוואי ש-wifree יעבוד.

אם זה יעבוד זה כנראה רק עם מצב מפתחים.

shloimy95

@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.
האמת היא שאני בודק מדי פעם את יומני השינויים ואם יש ליקוי אבטחה גדול או תכונה חדשה ומעניינת שאני רוצה אני הולך למקום עם אינטרנט לא מסונן כדי לעדכן. בכל מקרה אני לא אוהב לקבל עדכונים אחרונים כשהם משוחררים כי לעתים קרובות יש להם באגים שמתגלים ומתוקנים רק לאחר השחרור. אני מקווה ש-lacros-chrome ייצא בקרוב עבור המכשיר שלי, ובמקרה זה ככל הנראה עדכונים יעבדו עבור הדפדפן ואני לא אצטרך להתעסק בזה.
יש פתרון אחר שהוא טוב כמו wifree ולא חוסם עדכונים, אם אתה יכול לקבל פרטי VPN מהתמיכה של netfree ואתה מכיר מישהו עם Google Workspace אתה יכול לרשום את ה-chromebook שלך עם החשבון הארגוני שלו, ובאמצעות מסוף הניהול של גוגל הוא יכול לחסום את הגלישה כאשר ה-VPN אינו מחובר ומונע ממך להוסיף עוד חשבונות גוגל למכשיר (אתה עדיין יכול להוסיף לדפדפן). זה בטוח אם הוא משתמש בלקוח openvpn המובנה ובקובץ .onc, לא באפליקציית Android וב-.opvn המוזכרים ב-Netfree wiki. בשיטה זו ה-VPN מתחבר רק לאחר הכניסה, כך שעדכונים עדיין יורדים. לאחרונה דיברתי עם נציג של TAG UK וזה שירות שהם מציעים עם חשבון Google Workspace משלהם תמורת תשלום קטן.

nigun

@shloimy95 אמר במחשבי Chromebook בנטפרי:

@nigun הכנסת המכשיר שלך למצב מפתחים כנראה גרועה יותר לאבטחה מאשר אי עדכון במשך כמה חודשים.

מה רע במצב מפתחים?
לאף גורם חיצוני לא אמור להיות גישה לroot על המחשב שלך
לעומת זאת כשאתה נכנס לאתר עם דפדפן לא מעודכן הוא יכול להזריק לך נוזקות ולגנוב מידע דרך הווב.

shloimy95

@nigun אם אתה מבקר רק באתרים בטוחים מוכרים והחיבור שלך מאובטח באמצעות ssl/tls, לא סביר שהדפדפן שלך יידבק בתוכנה זדונית או שיגנבו נתונים. ברור שיש CVEs שמשפיעים על שרתי האינטרנט ואפשר לך עדיין להידבק, אולם ישנם גם רבים שיכולים להשפיע על מערכת ההפעלה שלך וכל התוכנות המותקנות ולהכיל הסלמה של הרשאות. ישנה אבטחה מובנית לכך בכל כרומבוק, ובכל הפעלה הכרומבוק מוודא שלא התעסקו בקבצי מערכת. הגנות אלו מושבתות במצב מפתחים.
דרך לעקיפת הבעיה כדי לקבל דפדפן מאובטח מעודכן ב-chromeos ולהשתמש בנטפרי היא התקנת דפדפן לינוקס (אפילו גרסת לינוקס של גוגל כרום) עם מסוף. גם פיירפוקס לאנדרואיד עובד, אולם חסרות לו הרחבות. אני מקווה שכאשר הפרויקט lacros יושלם הוא יתעדכן עם נטפרי.

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

3. יש בנייה מותאמות אישית של Chromium OS שיכולה להתקין APK. כמו כן, לרוב ההפצות של לינוקס יש תוכניות להפעלת apk (waydroid/anbox).

תעדכן אותי אחרי שתצליח להתקין את אחת מהם בלי להסתבך...

shloimy95

@מישהו12 מה תרצה לדעת, מעולם לא ניסיתי להתקין מבנה מותאם אישית של chromium OS, אולם השתמשתי ב-anbox כדי להפעיל אפליקציות בלינוקס פעמים רבות.

מישהו12

@shloimy95 איך התקנת anbox?

shloimy95

@מישהו12

1. התקן מודולי ליבה. (בכמה הפצות חדשות יותר יש את המודולים, מעולם לא ניסיתי להשתמש בהם). https://docs.anbox.io/userguide/install_kernel_modules.html

2. גרסת Snap בדרך כלל עובדת טוב יותר אז אם לא מותקנת התקן snap באמצעות

$ sudo apt install snapd

Snap כברירת מחדל משתמשת בתעודות אבטחה מובנות. השתמש בעקיפה באתר הבא כדי להשתמש בחנות המערכת עם תעודת נטפרי
https://forum.snapcraft.io/t/certificate-substitution-and-snaps/1077/6

3. התקן אנבוקס:

$ sudo snap install anbox --beta --devmode

4. הוסף תעודת אבטחה למערכת אנדרואיד
   אפשר שכבת-על של Android rootfs

$ snap set anbox rootfs-overlay.enable=true
$ snap restart anbox.container-manager

העתק את תעודת האבטחה בפורמט אנדרואיד לתיקייה
/var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts
הגדר הרשאות

$ sudo chown -R 100000:100000 /var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts

הפעל מחדש את Anbox

$ snap restart anbox.container-manager

5. תקן רשת IPV4 (ייתכן שלא יהיה צורך, בדוק אם האינטרנט עובד בדפדפן Webview של Android. אני כולל את השלב הזה כי בחלק מהתקנות של Anbox בעבר לא היה לי אינטרנט באנדרואיד כי המערכת מגדירה רק רשתות IPV6 במיכל עם זאת לא בכל הפצה/גרסה). אם שלב זה נחוץ עבורך, כדאי ליצור עבורו סקריפט מעטפת מכיוון שהוא נחוץ בכל פעם שתפעיל מחדש את אנבוקס.

$ /usr/share/anbox/anbox-shell.sh
# ip route add default dev eth0 via 192.168.250.1
# ip rule add pref 32766 table main
# ip rule add pref 32767 table local

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

sudo snap install anbox --beta --devmode

אי אפשר להוסיף את הPPA של המודולים
Err:5 http://ppa.launchpad.net/morphis/anbox-support/ubuntu impish Release
404 Not Found [IP: 91.189.95.85 80]

shloimy95

@מישהו12 אין ppa להפצה שלך מכיוון שהמודולים כלולים במאגר. נסה בלי להוסיף ppa

$ sudo modprobe ashmem_linux
$ sudo modprobe binder_linux
$ lsmod | grep -e ashmem_linux -e binder_linux

אם נטען בצורה נכונה הפלט אמור להראות את binder_linux ו-ashem_linux

אם הפעלת את secureboot, עליך לחתום על המודולים בפקודה

$ sudo kmodsign sha512 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /lib/modules/`uname -r`/kernel/drivers/staging/android/ashmem_linux.ko

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

/var/snap/anbox/common/rootfs-overlay/system/etc/security/cacerts

rootfs-overlay ריק... ליצור את תיקיית system לבד?

shloimy95

@מישהו12 כן. אתה יכול לראות אבל לא לערוך את קבצי המערכת בשילוב עם מה שאתה מוסיף בתיקייה /combined-rootfs

hagai.w

קניתי כרומבוק והשתמשתי באינטרנט של חבר שלי בשביל להתחבר בפעם הראשונה, עכשיו הייתי רוצה לנסות להכניס תעודות לפי מה שכתוב כאן:
https://chromium.googlesource.com/chromiumos/docs/+/master/ca_certs.md#:~:text=/usr/share/chromeos-ca-certificates

אבל אני חושש לעשות את זה למקרה שזה לא יעבוד, ואז זה ינתק אותי מהמשתמש, יש מישהו שיכול לנסות לבדוק אם זה פותר את בעיית ההתחברות עם נטפרי?

shloimy95

@hagai-w השיטה בקישור לא עובדת כי גם אם מותקן תעודת האבטחה, ה-API של גוגל חסומים. הגשתי בקשת תמיכה לגבי זה, אבל הם אומרים שאין שיטה בטוחה לפתוח את ה-API ללא דברים אסורים.
האם התקנת את התעודת בדפדפן כרום?
אתה יכול גם להוסיף את התעודת בהגדרות אנדרואיד, זה יאפשר לך להשתמש באפליקציות ששונו לעבוד עם תעודת משתמש.

shloimy95

@nigun כחלק מהפיתוח החדש לפתיחת תמונות בשירותי גוגל wiki.netfree.link/wiki/סינון_תמונות_בשירותי_גוגל Netfree פתחה כמה ממשקי API של גוגל. האם ה-chromebook שלך עדיין במצב מפתחים? כנראה ששווה לנסות שוב כדי לראות אם זה יכול להתעדכן עכשיו עם תעודת אבטחה ברמת המערכת. אם לא, אולי פנה לתמיכה עם הקלטה כדי לראות אם יש אפשרות לפתוח את ממשקי ה-API הדרושים.

nigun

@shloimy95
@hagai-w ניסה שלשום והנציג בדק שוב האם יש אפשרות לפתוח את הURLים אבל לא מצא פתרון

מישהו12

@shloimy95 אמר במחשבי Chromebook בנטפרי:

@מישהו12 כן. אתה יכול לראות אבל לא לערוך את קבצי המערכת בשילוב עם מה שאתה מוסיף בתיקייה /combined-rootfs

לא הבנתי.אז אני יכול לערוך או לא יכול?