{"id":10121,"date":"2023-01-25T17:00:00","date_gmt":"2023-01-25T15:00:00","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=10121"},"modified":"2023-01-24T22:54:53","modified_gmt":"2023-01-24T20:54:53","slug":"dietpi-v8-13-neuer-nanopi-r5c-aktualisierte-software-fehlerkorrekturen-und-ein-angegriffener-cloud-buildserver","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/dietpi-v8-13-neuer-nanopi-r5c-aktualisierte-software-fehlerkorrekturen-und-ein-angegriffener-cloud-buildserver\/","title":{"rendered":"DietPi V8.13: Neuer NanoPi R5C, aktualisierte Software, Fehlerkorrekturen und ein angegriffener Cloud-Buildserver"},"content":{"rendered":"

Am 14.01.2023 wurde DietPi in der stabilen Version 8.13<\/a> freigegeben. Neben neuer Hardware hat die Distribution mehrere Pakete aktualisiert sowie eine Reihe an Fehlern korrigiert. Dar\u00fcber hinaus macht sie \u00fcber einen zur\u00fcckgezogenen Schl\u00fcssel auf einen kompromittierten Buildserver in der Cloud aufmerksam, f\u00fcr den Sicherheit eher ein gut klingendes Marketing-Schlagwort statt eines ernst zunehmenden Prozesses ist. Nachdem eine Mehrheit der Zuschauer sich in dieser Umfrage daf\u00fcr ausgesprochen hat<\/a>, fasse ich die in meinen Augen wichtigsten \u00c4nderungen der neuen DietPi-Version wieder zusammen und ordne sie ggf. ein.<\/p>\n

Neue Hardware: FriendlyELEC NanoPi R5C<\/h2>\n

Nachdem bereits in der vorherigen Version 8.12 zwei neue Einplatinencomputer von DietPi unterst\u00fctzt wurden, gibt es erneut Zuwachs: Die Entwickler haben festgestellt, dass ein bereits bestehendes Abbild f\u00fcr den NanoPi R5S<\/a> auch mit dem \u00e4hnlichen Schwesternmodell NanoPi R5C<\/a> funktioniert. Dies ist naheliegend, da der R5C eine kleinere Version des 5S ist: Beide besitzen den identischen RK3568B2 Prozessor von Rockchip. Sie unterscheiden sich in Details. Prim\u00e4r geht es neben der Baugr\u00f6\u00dfe um die Anzahl der Ethernet (RJ-45) Schnittstellen. Der R5C besitzt nur<\/em> zwei, die jeweils bis zu 2,5 GB\/s \u00fcbertragen k\u00f6nnen. Schon daran zeigt sich, wie der Fokus hier eher auf Netzwerk\/IoT liegt. Dies trifft auch auf den Nachfolger NanoPi R6S zu. DietPi unterst\u00fctzt ihn seit der Vorversion V8.12, im dazugeh\u00f6rigen Beitrag hatte ich ihm einen Abschnitt gewidmet<\/a>.<\/p>\n

Als Konsequenz hat sich DietPi dazu entschieden, ab V8.13 sowohl den NanoPi R5S, als auch R5C offiziell zu unterst\u00fctzen. Au\u00dferdem wurde das Abbild entsprechend umbenannt, damit die Kompatibilit\u00e4t deutlich wird.<\/p>\n

Weitere Verbesserungen bei den Logs und neue Software<\/h2>\n

Nachdem ein Nutzer Kernel-Logs auf seinem Statusbildschirm feststellte, wurde das Log-Level angepasst. Ein \u00e4hnliches Thema hatten wir ebenfalls bereits in DietPi 8.12: Es handelt sich hierbei um informelle Meldungen bzw. Warnungen, die der Kernel direkt auf die Konsole schreibt. Dementsprechend ist dies keine Eigenheit von DietPi, unter Debian konnte ich \u00e4hnliches unter gewissen Umst\u00e4nden ebenfalls beobachten, etwa bzgl. Netzwerkpakete von Docker. Da dies das Standardverhalten ist, obliegt es den Distributionen, ob ab Werk beispielsweise das Flag quite<\/strong> im Bootloader zu setzen. Bei einem angeschlossenen Statusbildschirm ist dies nachvollziehbar \u00e4rgerlich.<\/p>\n

myMPD zur Musikwiedergabe ist ab sofort nur noch per HTTPS erreichbar. Der inoffizielle Bitwarden-Server namens Vaultwarden wurde auf Version 1.27.0 aktualisiert. NoMachine f\u00fcr grafischen Fernzugriff ist in der neuen Version 8.2.3 erh\u00e4ltlich. Nutzer des Amiga-Emulator Amiberry k\u00f6nnen sich \u00fcber Version 5.5.1 freuen. Wie \u00fcblich k\u00f6nnen die neuen Versionen mit dietpi-software reinstall <id><\/strong> gestartet werden, beispielsweise dietpi-softwarereinstall 183<\/strong> f\u00fcr Vaultwarden.<\/p>\n

Beim Torrent-Client Transmission wird der Zwischenspeicher nicht mehr auf 10 % des RAMs gesetzt, sondern stattdessen fix auf 4 MiB. Dies gilt jedoch nur f\u00fcr neue Installationen: Wer auf einer bestehenden Instanz inkonsistente Downloadgeschwindigkeiten feststellt, sollte die \u00c4nderung in der Konfigurationsdatei selbst nachziehen. <\/p>\n

Die Backup-Software UrBackup hat eine neue Variable namens SOFTWARE_URBACKUP_BACKUPPATH<\/strong> erhalten, womit die Vorkonfiguration per dietpi.txt<\/strong> erm\u00f6glicht wird.<\/p>\n

Die wichtigsten Fehlerkorrekturen<\/h2>\n

Neben einigen Ger\u00e4tespezifischen Problemen von NanoPi und Pine H64 kam es unter DietPi-LetsEncrypt zu Fehlern, wenn mehrere Domains f\u00fcr einen Dienst als server_name<\/strong> angegeben wurden. Das kann beispielsweise bei Aliasen n\u00fctzlich sein.<\/p>\n

Docker kann nun auch dann fehlerfrei installiert werden, wenn nftables<\/strong> nicht vom Kernel unterst\u00fctzt wird. Dabei handelt es sich um den Nachfolger der Firewall iptables, die etliche Jahre Standard war und seit Jahren zunehmend von nftables abgel\u00f6st wird. Weitere Details wie u.a. die grunds\u00e4tzliche Funktion oder auch Unterschiede zu iptables habe ich in diesem Beitrag ausf\u00fchrlicher gezeigt<\/a>. <\/p>\n

Beim Dashboard Homer wurden Probleme behoben, die beim Neuinstallieren entstehen. Das zuvor erw\u00e4hnte myMPD konnte nicht mehr aktualisiert werden, weil der Schl\u00fcssel des APT-Repositorys zum Jahreswechsel 2023 abgelaufen war – mit DietPi V8.13 kommt der aktualisierte Schl\u00fcssel, sodass Updates wieder m\u00f6glich sind.<\/p>\n

Neuer Grafana-Schl\u00fcssel wegen kompromittiertem Cloud-Buildserver<\/h3>\n

Grafana, eine Web-Anwendung zur grafischen Darstellung und Auswertung von Daten, brachte einen neuen APT-Schl\u00fcssel: Dabei outeten sie sich als Ex-Nutzer von CircleCI<\/a>, einem Buildserver (CI) in der Cloud. Dieser hatte im November 2022 noch betont, wie sicher sein Clouddienst sei – um nur wenige Wochen sp\u00e4ter im Dezember die Kontrolle \u00fcber die eigenen Server, insbesondere sensible Zugangsdaten ihrer Kunden zu verlieren<\/a>. Im Forum wird diskutiert, in wie weit Quellcode<\/a> und Builds der Kunden ebenfalls betroffen sind. Wer den Buildserver selbst gehostet hat, wurde nicht kompromittiert<\/a>. Daf\u00fcr jedoch alle Nutzer der Cloud-Dienste. Insbesondere hybride Umgebungen, bei denen die Nodes im schlechtesten Falle gar im internen Netz stehen<\/a>. Einige sind zudem unzufrieden mit den Reaktionen des Clouddienstes<\/a>.<\/p>\n

Neben 2-Faktor Authentifizierung<\/a> war der einzige Schutz<\/em> wohl ein Virenscanner, der die Malware jedoch nicht als solche erkannte. Nachdem dies einige Zeit sp\u00e4ter bekannt wurde<\/a>, hat CircleCI die Schadsoftware manuell im Virenscanner als sch\u00e4dlich hinterlegt – und zudem festgestellt, dass der kompromittierte Mitarbeiter Zugriff auf die Produktivumgebung hatte, obwohl er den gar nicht haben sollte bzw. nicht brauchte. Da hat Grafana wohl gerade noch mal rechtzeitig die Kurve bekommen, bevor man sich durch Drittanbieter-Dienste mit derartigem Sicherheitsverst\u00e4ndnis einen GAU bei den eigenen Kunden einf\u00e4ngt…<\/p>\n","protected":false},"excerpt":{"rendered":"

Am 14.01.2023 wurde DietPi in der stabilen Version 8.13 freigegeben. Neben neuer Hardware hat die Distribution mehrere Pakete aktualisiert sowie eine Reihe an Fehlern korrigiert. Dar\u00fcber hinaus macht sie \u00fcber einen zur\u00fcckgezogenen Schl\u00fcssel auf einen kompromittierten Buildserver in der Cloud aufmerksam, f\u00fcr den Sicherheit eher ein gut klingendes Marketing-Schlagwort statt eines ernst zunehmenden Prozesses ist. …<\/p>\n","protected":false},"author":5,"featured_media":10170,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1071],"tags":[],"class_list":["post-10121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dietpi"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=10121"}],"version-history":[{"count":9,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10121\/revisions"}],"predecessor-version":[{"id":10133,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10121\/revisions\/10133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/10170"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=10121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=10121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=10121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}