Am 14.01.2023 wurde DietPi in der stabilen Version 8.13 freigegeben. Neben neuer Hardware hat die Distribution mehrere Pakete aktualisiert sowie eine Reihe an Fehlern korrigiert. Darüber hinaus macht sie über einen zurückgezogenen Schlüssel auf einen kompromittierten Buildserver in der Cloud aufmerksam, für den Sicherheit eher ein gut klingendes Marketing-Schlagwort statt eines ernst zunehmenden Prozesses ist. Nachdem eine Mehrheit der Zuschauer sich in dieser Umfrage dafür ausgesprochen hat, fasse ich die in meinen Augen wichtigsten Änderungen der neuen DietPi-Version wieder zusammen und ordne sie ggf. ein.
Neue Hardware: FriendlyELEC NanoPi R5C
Nachdem bereits in der vorherigen Version 8.12 zwei neue Einplatinencomputer von DietPi unterstützt wurden, gibt es erneut Zuwachs: Die Entwickler haben festgestellt, dass ein bereits bestehendes Abbild für den NanoPi R5S auch mit dem ähnlichen Schwesternmodell NanoPi R5C funktioniert. Dies ist naheliegend, da der R5C eine kleinere Version des 5S ist: Beide besitzen den identischen RK3568B2 Prozessor von Rockchip. Sie unterscheiden sich in Details. Primär geht es neben der Baugröße um die Anzahl der Ethernet (RJ-45) Schnittstellen. Der R5C besitzt nur zwei, die jeweils bis zu 2,5 GB/s übertragen können. Schon daran zeigt sich, wie der Fokus hier eher auf Netzwerk/IoT liegt. Dies trifft auch auf den Nachfolger NanoPi R6S zu. DietPi unterstützt ihn seit der Vorversion V8.12, im dazugehörigen Beitrag hatte ich ihm einen Abschnitt gewidmet.
Als Konsequenz hat sich DietPi dazu entschieden, ab V8.13 sowohl den NanoPi R5S, als auch R5C offiziell zu unterstützen. Außerdem wurde das Abbild entsprechend umbenannt, damit die Kompatibilität deutlich wird.
Weitere Verbesserungen bei den Logs und neue Software
Nachdem ein Nutzer Kernel-Logs auf seinem Statusbildschirm feststellte, wurde das Log-Level angepasst. Ein ähnliches Thema hatten wir ebenfalls bereits in DietPi 8.12: Es handelt sich hierbei um informelle Meldungen bzw. Warnungen, die der Kernel direkt auf die Konsole schreibt. Dementsprechend ist dies keine Eigenheit von DietPi, unter Debian konnte ich ähnliches unter gewissen Umständen ebenfalls beobachten, etwa bzgl. Netzwerkpakete von Docker. Da dies das Standardverhalten ist, obliegt es den Distributionen, ob ab Werk beispielsweise das Flag quite im Bootloader zu setzen. Bei einem angeschlossenen Statusbildschirm ist dies nachvollziehbar ärgerlich.
myMPD zur Musikwiedergabe ist ab sofort nur noch per HTTPS erreichbar. Der inoffizielle Bitwarden-Server namens Vaultwarden wurde auf Version 1.27.0 aktualisiert. NoMachine für grafischen Fernzugriff ist in der neuen Version 8.2.3 erhältlich. Nutzer des Amiga-Emulator Amiberry können sich über Version 5.5.1 freuen. Wie üblich können die neuen Versionen mit dietpi-software reinstall <id> gestartet werden, beispielsweise dietpi-softwarereinstall 183 für Vaultwarden.
Beim Torrent-Client Transmission wird der Zwischenspeicher nicht mehr auf 10 % des RAMs gesetzt, sondern stattdessen fix auf 4 MiB. Dies gilt jedoch nur für neue Installationen: Wer auf einer bestehenden Instanz inkonsistente Downloadgeschwindigkeiten feststellt, sollte die Änderung in der Konfigurationsdatei selbst nachziehen.
Die Backup-Software UrBackup hat eine neue Variable namens SOFTWARE_URBACKUP_BACKUPPATH erhalten, womit die Vorkonfiguration per dietpi.txt ermöglicht wird.
Die wichtigsten Fehlerkorrekturen
Neben einigen Gerätespezifischen Problemen von NanoPi und Pine H64 kam es unter DietPi-LetsEncrypt zu Fehlern, wenn mehrere Domains für einen Dienst als server_name angegeben wurden. Das kann beispielsweise bei Aliasen nützlich sein.
Docker kann nun auch dann fehlerfrei installiert werden, wenn nftables nicht vom Kernel unterstützt wird. Dabei handelt es sich um den Nachfolger der Firewall iptables, die etliche Jahre Standard war und seit Jahren zunehmend von nftables abgelöst wird. Weitere Details wie u.a. die grundsätzliche Funktion oder auch Unterschiede zu iptables habe ich in diesem Beitrag ausführlicher gezeigt.
Beim Dashboard Homer wurden Probleme behoben, die beim Neuinstallieren entstehen. Das zuvor erwähnte myMPD konnte nicht mehr aktualisiert werden, weil der Schlüssel des APT-Repositorys zum Jahreswechsel 2023 abgelaufen war – mit DietPi V8.13 kommt der aktualisierte Schlüssel, sodass Updates wieder möglich sind.
Neuer Grafana-Schlüssel wegen kompromittiertem Cloud-Buildserver
Grafana, eine Web-Anwendung zur grafischen Darstellung und Auswertung von Daten, brachte einen neuen APT-Schlüssel: Dabei outeten sie sich als Ex-Nutzer von CircleCI, einem Buildserver (CI) in der Cloud. Dieser hatte im November 2022 noch betont, wie sicher sein Clouddienst sei – um nur wenige Wochen später im Dezember die Kontrolle über die eigenen Server, insbesondere sensible Zugangsdaten ihrer Kunden zu verlieren. Im Forum wird diskutiert, in wie weit Quellcode und Builds der Kunden ebenfalls betroffen sind. Wer den Buildserver selbst gehostet hat, wurde nicht kompromittiert. Dafür jedoch alle Nutzer der Cloud-Dienste. Insbesondere hybride Umgebungen, bei denen die Nodes im schlechtesten Falle gar im internen Netz stehen. Einige sind zudem unzufrieden mit den Reaktionen des Clouddienstes.
Neben 2-Faktor Authentifizierung war der einzige Schutz wohl ein Virenscanner, der die Malware jedoch nicht als solche erkannte. Nachdem dies einige Zeit später bekannt wurde, hat CircleCI die Schadsoftware manuell im Virenscanner als schädlich hinterlegt – und zudem festgestellt, dass der kompromittierte Mitarbeiter Zugriff auf die Produktivumgebung hatte, obwohl er den gar nicht haben sollte bzw. nicht brauchte. Da hat Grafana wohl gerade noch mal rechtzeitig die Kurve bekommen, bevor man sich durch Drittanbieter-Dienste mit derartigem Sicherheitsverständnis einen GAU bei den eigenen Kunden einfängt…