Hasain Alshakarti

Efter lite googlande och testande och ett och en och annan %!@£$! så kan jag säga att den fungerar mycket bra i Ubuntu.

Hela historien är att jag för ett tag sedan ficka mitt mobiltbredband från Telenor uppgraderat och då skickade Telenor en ny Option GlobeSurfer Icon 7.2 usb-modem till mig. Till min förvåning så upptäcker jag att det är ett sådant usb-modem med ZeroCD (TM) dvs. den växlar mellan att vara usb-minne och modem beroende på vilken drivrutin du har i maskinen. Till det nya modemet så fanns det bara Windows drivrutiner och på Telenors hemsida så utlovades drivrutiner till Windows och OS X, inget tal om linux.

Jag testade givetvis att ansluta modemet till min maskin och konstaterade att den funkade som usb-minne så den vart lagd på lite is tills mer tid finns att undersöka saken.

Efter lite testande så kan jag konstatera att det som behövs för att få den att funka i Ubuntu, just nu kör jag 7.10 x64 på en HP 8510w, är att du laddar ner och kompilera ett verktyg vid namn USB_ModeSwitch http://www.draisberghof.de/usb_modeswitch/ kopiera binären till /usr/sbin eller /sbin, sedan kopierar du usb_modeswitch.conf som följer med till /etc

Nu skapar du en fil i /etc/udev/rules.d, jag kallade den 99-telenor.rules.

Filen 99-telenor.rules skall innehålla följande rad

BUS=="usb", ATTRS{idVendor}=="05c6", ATTRS{idProduct}=="1000",  RUN+="/usr/sbin/usb_modeswitch"

Om du som jag har en Option GlobeSurfer Icon 7 är det bara att tuta och köra, men om du har du en annan så ska du ansluta den innan ändringen ovan och köra lsusb som ger dig ett resultat i stil med 

Bus 007 Device 031: ID 05c6:1000 Qualcomm Inc
Bus 007 Device 001: ID 0000:0000  
Bus 006 Device 001: ID 0000:0000  

du tar de id:n som står efter ID med : mellan och skriver in de i raden ovan  som idVendor och idProduct.

Nu borde du kunna ansluta ditt modem och den växlar till modem läge automatisk, ladda ev. om udev om de behövs!

/Hasain

Jag skriver detta efter att ha gått igenom alla mina appar som jag hade på min maskin innan uppgraderingen och kan konstatera att det fortfarande funkar bra 🙂

Jag vet att många tycker att man ska passa på att installera om när en ny version kommer och jag tror jag behöver göra det snart men just nu får det gå med en uppgradering till 7.10 när jag är i mitten av en leverans period och alla mina saker måste funkgera smärtfritt efter helgen.

Har dessutom gjort livet surt för en del hackers som har hållit på o terroriserat en nära vän som bedriver ett forum där åsikterna inte stämmer överens med de hos hackergruppen i frågan, det är kul att ge tillbaka utan att bryta mot några lagar och se hur frustrerade de har blivit.

Jag har fått ett par .net 2+ smartkort med dena nya minidrivern och ska försöka testa dessa under tiden som kommer, det som är mest spännande med de är P11 gränssnittet som borde innebära att korten är mer kompatibla med Uni-kryss. Återkommer med mer information när jag hunnit testa lite.

/Hasain 

Första gången jag körde Linux var det en hel del saker att tänka på när anslutning till ett nätverk skulle justeras men idag går nästan allt per automatik och en vanlig användare kan lika lätt som i andra GUI-baserade OS byta iställningar på nätverksanslutningen oavsett om det är trådbundet eller trådlöst.

Network Manager heter det lilla verktyget som gör det möjligt att glömma kommandoprompten när man ska hantera sina anslutningar till olika nätverk.

Mitt första intryck är att den funkar bra och är relativt stabil, denna bild varade tills jag började använda WLAN i kombination med Network Manager, och inte alla WLAN utan just där det finns mer än en AP för samma SSID.

Network Manager slutar att fungera efter att man har genomfört ett antal byten mellan olika AP med samma SSID, sk. roaming, den vill bara inte ansluta och ingenting funkar tills man startar om nm-applet delen i Network Manager!

I och med att jag vistas i div. miljöer med mycket WLAN och att jag råkar använda det som min primära anslutning så har jag tröttnat på Network Manager och det ständiga omstartandet av nm-applet och löst mitt problem genom att avinstallera Network Manager och gå tillbaka till CLI-mode 🙂

Nu funkar det utmärkt att köra WLAN med flera AP, det är dock lite arbete med att ansluta till nya WLAN om man inte varit duktig och förberett lite mallar för olika inställningar 😉

Mitt hacker-jag säger samtidigt att det är bra att OS strular med nätverksanslutningarna så att den kan smyga med lite intressanta aktiviteter 😀

/Hasain

PKI finns idag i de flesta tillämpningar som körs under Linux, om stödet inte finns med från början så går det i de flesta gångerna att lägga till det i efter hand och är man lite händig själv så kan man fixa till PKI i det mesta men då får man vara beredd att sätta sig vid tangentbordet själv 🙂

Efter att ha konstaterat att PKI är ganska supporterad i Ubuntu/Linux, så kom turen till att testa med smartkort. För att smartkort ska funka så behövs en drivrutin till läsaren och CSP programvara som mappar mellan rådande standard och smartkortet. De standard som används i Linux när det gäller smartkort är PKCS11 och korten är antigen PKCS15 eller så emuleras PKCS15 av CSP.

Det finns två projekt som kommit längst i Linux när det gäller smartkort, OpenSC som kan hantera många kort med filsystem och RSA modul är den ena och Musclecard so kan hantera många java-baserade kort är den andra. Jag började med att testa OpenSC och har mer eller mindre fastnat för den 😉

OpenSC klarar av att prata med smartkort och läsare baserade på CT-API, PC/SC och OpenCT. läsaren som jag använder är Gemplus GemPC Twin som är ett USB CCID och kommunicerar med PC/SC. det som behövdes för att få fat på läsaren är libccid(driver för CCID USB Readers), Pcscd(PC/SC Middleware) och OpenSC(PKCS11/15 tools and API) med tillhörande plugins för exempelvis Mozilla.

Om man ska jämföra lite så måste jag säga att jag saknar den kompletta CSP implementationen som ju finns i Windows! I Linux så stödjer alla ett gränssnitt mot PKCS11 men den finns inte i själva OS:et eller på ett automatiserat sätt utan måste pluggas in i varje applikation eller de lav systemet på ett mer eller mindre mauellt sätt. Den manuella aktiviteten är nödvändig i början och allt brukar funka om man byter kort eller läsare givet att det nya kortet och den nya läsaren är kompatibla med systemet.

Jag har testat och kört Smartkort i Firefox samt lokal smartkortlogon i Ubuntu. För Firefox så behöver man manuellt lägga till en modul för att kunna använda smartkortet via OpenSC, efter det så finns kortet och de cert och nycklar för HTTPS/SSL inloggning. Lokalinloggnig med smartkort i Ubuntu var lite mer av ett äventyr, det fanns färdiga PAM moduler men ingen av de funkade, man fick bara ett fel meddelande om att signeringen inte kunnde genomföras, efter lite tester så visade det sig att det meddelande som skickades till kortet för signering var för långt, det är troligtvis en miss i testprocessen där man inte räknat med begränsningar som beror på korten eller mjukvaran runt dessa. Efter en justering och en ny kompilerad pam-modul så funkade det utmärkt 🙂

Det finns två varianter av smartcardlogon som pam-modul, en som inte genomför någon kontroll av certkedjan och CRL:en och en som följer konstens alla regler och kan automatiskt mappa användare i systemet beroende på egenskaper i det cert som finns på kortet. Den första av dessa funkar fint med selfsigned certfikat och är ganska enkel att sätta upp då man lägger certfikatet i en fil i användarens hemmamapp, vid inloggning kommer pam-modulen att försöka hitta lämpliga nycklar på det kort som sitter i läsaren som matchar certet, den kommer sedan att be kortet signera lite slumpdata för att sedan verifiera signaturen mot det certo och nyckel som finns i användarens hemmamapp.

Smartkortlogon via SSH ska enligt uppgift från Johannes G. funkar bra, har själv inte hunnit testa dett men hoppas kunna återkomma om det.

/Hasain

Det finns en mängd olika guider om hur man ska bete se för att säkra en standard installation av div OS, detta är inte något sådant utan bara min egna tankar om en nyinstallation Ubuntu!

Det finns två frågor att ta ställning till:

1. Kan någon komma åt mitt system via nätverket?
   Nej, jag kommer inte att exponera några tjänster, och är det så att jag gör det så ska en brandvägg kontrollera vem kan ansluta alternativ ska detta aktiveras vid behov, rent manuellt altså 🙂
2. Kommer jag att köra godtycklig kod på min maskin?
   Kanske?! jag kommer nog att surfa lite och så vill man installera lite appar och sånt. Då är det viktigt att inte vara inloggad som root och dessutom vara försiktig vart man tar vägen och vad browsern får göra.

   Det första fixar Ubuntu lika snyggt som exempelvis UAC i Vista, det andra fixar vi med lite plugins till firefox som exempelvis noscript och adblock och så fixar vi en hosts fil som tar hand om adresser till kända bråkmakare som reklamsiter och annat smått och gått man inte vill ha kontakt med.

När den gäller säkerheten i filsystemet så SKA filsystemet vara krypterat, om du inte kan ha ett krypterat filsystem så tänk på att skydda single user logon via ett lösenord(MD5) i menu.lst och glöm inte att ställa in rättigheterna ordentligt i filsystemet, detta speciellt om det finns flera olika användare i systemet.

Hosts filer finns det gott om på nätet, prova "mvps hosts" i google, ett händigt skript för att styra brandväggen hittar du bland bifogade filer.

Nästa inlägg kommer att handla om att glömma lösenorden i Ubuntu och börja köra certfikat och PKI.

/Hasain