Tipps & Tricks

Linux stolpert plötzlich über Secure Boot

Ich wollte meinen Rechner per USB-Stick mit Linux Mint 20 starten. Aber bei aktiviertem Secure Boot bekomme ich nur eine Fehlermeldung („Verification ­failed, Security Violation“). Auch ein Stick mit Fedora startet nicht. Mit Ubuntu und Kubuntu (20.04 LTS) habe ich aber trotz Secure Boot keine Probleme. Auch das parallel installierte Windows 10 startet mit aktiviertem Secure Boot problemlos. ­Unterstützen Linux Mint und Fedora kein Secure Boot?

Grundsätzlich lassen sich Linux Mint und Fedora auch mit eingeschaltetem Secure Boot starten. Ursache für das ak­tuelle Problem ist vermutlich ein Patch von Ubuntu für die Sicherheitslücke BootHole – siehe ct.de/yg8u. Der Patch markiert im UEFI-BIOS hinterlegte Schlüssel voreilig als ungültig, wodurch Secure Boot unter anderem den Bootloader von Linux Mint und Fedora nicht mehr akzeptiert. Bis zu einem Update des Shim müssen Sie leider Secure Boot per BIOS-Setup abschalten oder, falls es das BIOS-Setup Ihres ­Systems zulässt, die kryptografischen Schlüssel und Signaturen für Secure Boot auf Werkseinstellungen zurücksetzen. Weitere Informationen finden Sie über ct.de/yg8u. (ktn@ct.de)

Weitere Infos und Anleitungen: ct.de/yg8u

FIDO2-Sticks und Bitlocker

In c’t 24/2020 („FIDO-Generalschlüssel“, S. 98) haben Sie FIDO-­Sicherheitsschlüssel vorgestellt. Eignen sich diese nur für eine Authentifizierung für Webdienste oder kann ich so einen Stick auch zum Entsperren meiner Bitlocker-­verschlüsselten Notebookfestplatte beim Startvorgang nutzen?

Einfache FIDO2-Sticks können Sie nicht nutzen, um das Bitlocker-Passwort einzugeben. Ein passendes Gerät müsste in der Lage sein, sich dem PC gegenüber als Tastatur auszugeben und das Eintippen bestimmter Zeichenfolgen zu simulieren. Diesen Trick beherrschen zum Beispiel Sticks aus der YubiKey-Serie des Herstellers Yubico (siehe c’t 25/2019, S. 66). Diese FIDO2-Sticks besitzen eine Taste und lassen sich etwa so einrichten, dass sie eine bestimmte Zeichenfolge eintippen, wenn man den Knopf lange drückt. (rei@ct.de)

Screenshot-Nummerierung zurücksetzen

Ich benutze gerne die Screenshot-­Funktion von Windows, die mit der Tastenkombination Windows+Druck ein Bildschirmfoto speichert. Die Bilder landen im Unterordner „Bildschirmfotos“ meines Bilder-Ordners und tragen Namen nach dem Muster „Screenshot (Nummer).png“. Üblicherweise lösche ich die Screenshots wieder, nachdem ich sie verwendet habe, aber Windows scheint das nicht mitzubekommen und vergibt immer die nächsthöhere Nummer. So liegt in dem ansonsten leeren Ordner mittlerweile nur eine Datei namens „Screenshot (53).png“. Kann man Windows irgendwie dazu ­bringen, beim nächsten Screenshot wieder ab 1 zu zählen?

Ja, das geht. Windows speichert die Nummer für den nächsten Screenshot in der Registry, und zwar in dem Eintrag ScreenshotIndex im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer. Mit dem Registry-Editor (Start über die Tastenkombination Windows+R und die Eingabe regedit) können Sie dort eine 1 eintragen oder den Wert einfach löschen. Windows beginnt dann die Zählung wieder von vorne und überspringt eventuell schon vorhandene Dateinamen. (hos@ct.de)

Microsofts erfundene Firmen

Ich habe kürzlich eine Demo zu einem Microsoft-Produkt gesehen. Dabei wurde immer wieder eine Firma namens Contoso erwähnt, von der ich noch nie ­gehört habe.

Kein Wunder: Microsoft verwendet in Schulungen und Demonstrationen üblicherweise Namen von Firmen, die der Konzern selbst erfunden hat. Contoso gehört zu den häufiger verwendeten. Um keinen rechtlichen Ärger mit real existierenden Firmen zu bekommen, hat Microsoft die Firmennamen registriert, mitunter sogar in mehreren Varianten. So gibt es beispielsweise nicht nur „Contoso Ltd.“, sondern auch „Contoso Bikes & Formal Wear“ sowie „Contoso Bikes & Haircuts“.

Ebenfalls häufig genannt ist „Fabrikam, Inc.“. Selbst eine Bank („Woodgrove Bank“) und eine Kunstschule („Fine Art School“) gehören zum Portfolio. Eine Liste der von Microsoft registrierten Namen finden Sie in Microsofts Technet, siehe ct.de/yg8u. (axv@ct.de)

Fiktive Microsoft-Firmen: ct.de/yg8u

Monitor durch Bewegung aufwecken

In der Umkleide unserer Dorffeuerwehr läuft ein sogenanntes Wachendisplay. Darauf werden im Alarmfall erste Informationen über den Einsatzort, alarmierte Fahrzeuge und so weiter angezeigt. Dazu läuft ein Windows-PC rund um die Uhr und wartet auf Informationen der Leitstelle. Solange kein Alarm vorliegt, leuchtet der Ruhebildschirm nur die menschenleere Umkleide aus. Ich hätte gerne, dass der Monitor sich bei Ruhe in der ­Umkleide schlafen legt, aber bei einer ­Bewegung, also wenn der Erste den Raum betritt, sofort angeht. Ein Weg, der mir einfällt, wäre ein Bewegungsmelder, der einen Druck auf die ESC-Taste simuliert. Bevor ich aber nun eine alte Tastatur nehme und einen Bewegungsmelder dranlöte: Fällt euch eine einfachere Lösung für dieses Problem ein?

Ein erster Tipp wäre ein Bewegungsmelder als Zwischenstecker: So etwas gibt es im Elektronikfachhandel schon für unter 10 Euro (siehe ct.de/yg8u). Sie könnten den Rechner so wie aktuell konfi­guriert lassen und einfach die 230-Volt-­Versorgung des Bildschirms schalten. Die meisten Bildschirme gehen direkt an, wenn sie eingesteckt werden, und warten kurze Zeit auf ein Videosignal – wenn das da ist, wird es angezeigt.

Eine etwas komplexere Variante wäre das alarmierungsorientierte Schalten einer WLAN-Schaltsteckdose. Ob das funktioniert, hängt von den Schnittstellen des eingesetzten Leitstellen- beziehungsweise Anzeigesystems ab. Die Delock 11826 beispielsweise kann per HTTP-­Request oder MQTT geschaltet werden.

Bevor Sie etwas Eigenes basteln, sollten Sie aber vielleicht auch mal mit dem Programmierer der Anzeigesoftware sprechen. Vielleicht können Sie ihn überreden, Ihren Anwendungsfall zu implementieren. Es sollte möglich sein, das auch softwareseitig zu lösen, und wahrscheinlich gibt es mehrere Feuerwehren, die dieses Problem haben. (amo@ct.de)

Bezugsquellen für Schaltsteckdosen: ct.de/yg8u

Schnelles Internet für die Schule

Ich bin Lehrer und Mitglied des Admin-Teams unserer Schule. Wir haben das Problem, dass im Fernunterricht unser Schulserver nicht mehr erreichbar ist, wenn gleichzeitig circa 1000 Schüler und Lehrer auf den Server zugreifen wollen. Dies liegt nach unseren Analysen nicht an unserem Server, sondern an der schlechten Internetverbindung, die nur etwa 10 MBit/s im Upstream leistet. Da sich die Telekom mit dem Breitbandausbau voraussichtlich bis zum Herbst nächsten Jahres Zeit lässt (wenn er denn überhaupt jemals kommt), brauchen wir eine stabile und schnelle Übergangslösung. Ich dachte da an einen dem Server vorgeschalteten LTE-Router mit SIM-Karte, da ja LTE ­immerhin 50 MBit/s Upstream schafft. Wie finde ich passende Angebote?

Wir würden nicht LTE statt DSL nehmen, sondern zusätzlich zu DSL. Mit einem speziellen Multi-WAN-Router kann man dann sowohl die ein- als auch die ­ausgehende Last transparent auf beide Leitungen verteilen beziehungsweise die Leitungen bündeln.

Passende Tarife heißen beispiels­weise bei der Telekom „Hybrid LTE“ (siehe ct.de/yg8u). Die Leitungsbündelung ist herstellerspezifisch. Daher ist man zum Beispiel beim Hybrid-Angebot der Telekom auf passende Speedport-Router des Konzerns angewiesen. Einen schon etwas älteren Test von uns zu diesem ­Produkt finden Sie in c’t 7/2016 ab Seite 150. Die Erde hat sich seitdem zwar weitergedreht, aber das grundsätzliche Konzept, das wir in diesem Beitrag beschreiben, ist unverändert.

Bevor Sie sich für ein Produkt entscheiden, sollten Sie unbedingt die LTE-­Abdeckung am voraussichtlichen Aufstellungsort des Hybrid-Routers prüfen. Dazu können Sie ein beliebiges Smartphone mit Telekom-Karte nehmen und gängige Speedtest-Seiten ansteuern.

Alternativ können Load­balancer mehrere Internetzugänge nutzen. Weil sie Leitungen nicht bündeln, braucht man spezielle DNS-Einstellungen, um ein­gehende IP-Sessions auf die Leitungen zu verteilen. Das einzurichten überlassen Sie am besten einem IT-Dienstleister.

Schließlich noch der Hinweis, dass die Telekom schnelle Anbindungen gelegentlich auch als Punkt-zu-Punkt-Richtfunkinstallation realisiert, wenn der Festnetzausbau auf sich warten lässt. Als Schul­vertreter sollten Sie ein gutes Argument für ein erschwingliches Angebot haben. Möglicherweise gibt es in Ihrer Region auch alternative Anbieter. Eine Internetsuche nach „Richtfunk“ und dem Namen der Stadt, in der sich Ihre Schule befindet, fördert sie zutage. (dz@ct.de/ea@ct.de)

Telekom-DSL-Tarife: ct.de/yg8u

Apache auf vServer veraltet?

Ich habe vor Kurzem einen vServer angemietet und wollte einen Web­server aufsetzen. Als Basissystem ist Ubuntu 18.04 installiert, über die Standard-Paketquellen wird Apache in der Version 2.4.29 installiert. Ist die nicht von 2017? Exploits samt CVE-Nummern scheint es für diese Version auch einige zu geben. Nutzt mein Anbieter veraltete und unsichere Softwareversionen?

Nein, Version 2.4.29 aus den Paketquellen ist zwar alt, das heißt aber nicht, dass sie alle möglichen Sicherheitslücken mit sich herumträgt. Genau genommen handelt es sich nämlich um ­Version „2.4.29-1ubuntu4.14“.

Während des Support-Zeitraums einer Ubuntu-Version pflegt der Distributor Sicherheits-Updates nach und markiert das über den Revisions-String der Ver­sionsnummer: „1ubuntu4.14“. Ihr Anbieter setzt also nicht Version 2.4.29 ein, so wie sie 2017 erschienen ist, sondern mit einer Reihe von Updates, die Sicherheitslücken schließen (in aller Regel aber keine Funktionen nachrüsten).

Im Changelog des Pakets (siehe ct.de/yg8u) können Sie sehen, welche Lücken in der aktuellen und in früheren Revisionen geschlossen wurden. In der Regel sind ­betroffene CVE-Nummern im Changelog gleich mit angegeben. (syt@ct.de)

Changelog zu apache2 2.4.29-1ubuntu4.14: ct.de/yg8u

Firefox 83: Wieder mit einem Klick suchen

Seit dem Update auf Firefox 83 brauche ich zwei Klicks beziehungsweise muss ich zweimal Enter drücken, um mit einer alternativen Suchmaschine zu suchen. Während das neue Verhalten sicher hilfreich ist für Nutzer, die gerne Suchvorschläge von den alternativen Suchmaschinen angezeigt bekommen wollen, war das alte Verhalten für die direkte Suche schneller. Kann ich das alte Verhalten ­wiederherstellen und weiter mit einem Klick suchen?

Ja, das geht. Sie müssen die Konfi­gurationsseite about:config aufrufen und die Option browser.urlbar.update2.oneOffsRefresh auf false setzen. Wenn Sie zusätzlich noch die Navigation zwischen Ihren Suchmaschinen per Pfeiltasten ­wiederherstellen wollen, müssen Sie mit der Option browser.urlbar.update2.disableOneOffsHorizontalKeyNavigation genauso ­verfahren und diese ebenfalls auf false setzen.

Sollten Sie auch die neuen Einträge für die Suche im Verlauf, in den Tabs und den Lesezeichen wieder loswerden ­wollen, bildet browser.urlbar.update2.localOne­Offs die dritte Option im Bunde, die auf false gesetzt werden muss. (Kai Wasserbäch/hos@ct.de)

Vim-Modus in VS Code löscht unerwartet Zeichen

Ich benutze das Vim-Plug-in für die Arbeit mit Visual Studio Code. Wenn ich die automatische Vervollständigung von Funktionen (IntelliSense) nutze, ­ werden beim Löschen der Platzhalter in der Funktion an der falschen Stelle Buch­staben gelöscht. Wie kann ich den Fehler beseitigen?

Aller Wahrscheinlichkeit nach liegt ein Konflikt mit einer anderen Erweiterung vor. Schauen Sie die Erweiterungen mal in Ruhe durch und sehen Sie nach, welche Sie nicht mehr benötigen und welche schon länger nicht mehr aktualisiert wurden. In einem uns bekannten Fall war die Erweiterung „Auto Close Tag“ von Jun Han inkompatibel zum Vim-Plug-in und ließ Zeichen an der falschen Stelle verschwinden. (mls@ct.de)