Ich nutze als OS derzeit openSUSE Leap 15.6. Demnächst steht das Upgrade auf 16.0 an, das einige „Issues“ in sich birgt. Außerdem möchte ich darauf hinweisen, dass ich nach entsprechender Prüfung einige Einstellungen von secureblue explizit und manuell übernommen habe.
Ich habe leider nur einen (einzigen) Desktop-PC als „große“ HW… mit nur einem (einzigen) Massenspeicher (SSD). Ich möchte da keine großen Experimente machen (z.B. mal temporär etwas Anderes installieren, etwas Anderes zusätzlich per Dual Boot, etc.). Es bleibt also höchstens ein Live-Betrieb…
Ich interessiere mich vordergründig für secureblue und nebengeordnet für Kicksecure. Bei einem potentiellen clean&fresh Install könnte so etwas in Frage kommen.
Hat jemand konkrete Erfahrungen damit und mag sie teilen?
Ablauf der Installation? Eventuelle Probleme (während der Installation)?
Läuft (im Betrieb) irgendetwas gar nicht?
Läuft (im Betrieb) irgendetwas nur nach entsprechender Nacharbeit?
Läuft (im Betrieb) irgendetwas schlecht (trotz dass es generell läuft)?
Hatte es auf einer alten Platte installiert, die noch MBR hatte. Damit ist es gescheitert bei der installation. Nach Konvertierung zu gpt hat dann allies geklappt.
Flatpaks funktionieren. Wobei man hier öfters mal den hardened Malloc inject manuell unterbinden muss. Insg. Ist es schon etwas umständlicher als auf normalen Distros und es ist manchmal eine arge Fehlersuche, zb wie man nix zum laufen bekommt.
Ich habe es auf einem nicht so leistungsstarken Rechner und habe Das Gefühl e läuft auch etwas langsamer, aber insg noch akzeptabel.
Mit ki geht es aber in aller Regel schnell zu beheben.
Nichts was sich nicht mit den Secureblue FAQ oder Discord-Channel lösen lässt. Meistens sind es unprivileged user namespaces oder Hardened Malloc, für beides gibt es ujust toggles. Kannst es ja mal in einer VM ausprobieren. Installation ist bei allen Distros mit graphischem Installer ähnlich.
Ich benutze Secureblue auf meinem Unterwegs-Notebook seit einigen Monaten und kann bis dato nicht klagen. Der Rechner fungiert fast ausschließlich als Office-Rechner.
Du wirst bei manchen Anwendungen vielleicht noch nachjustieren müssen. Das von Chief erwähnte unprivileged namespaces oder hardened malloc sind da zwei Dinge. Aber da finde ich das ujust-Tool sehr angenehm und straight forward.
Es gibt Anwendungen, die nur als AppImage bereit gestellt werden. Da muss man etwas basteln.
Ich habe qemu für eine benötigte Windows-VM und Firefox gelayert. Läuft auch super.
Andere Probleme gibt es, wie zB das etwas holprige Auto-Type Feature von KeepassXC. Das liegt aber an der noch nicht ganz ausgereiften Unterstützung in Wayland.
Und irgendwie funktionieren Videokonferenzen, die im Trivalent-Browser laufen, bei mir noch nicht. Da muss ich mir noch mal eine Lösung ausdenken.
Ansonsten finde ich den Ansatz aber super, wenn du einfach nur ein System willst, was out of the box läuft und wo du nicht groß selber rumbasteln willst.
Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb command-line flag.
Ach ne, Teams nicht, da habe ich mal siebeneinhalb Minuten Lebenszeit erfolglos verbastelt. Ist aber eventuell meine Aura bzgl. Microsoft, hab dann auch nicht länger probiert sondern der Gruppe einen anderen Link geschickt und bei Teams eine rote Linie bzgl. meiner Teilnahme gezogen
Alles andere läuft einwandfrei. Nur, damit nicht “geht nicht” als einziges Ergebnis hier steht
Bei den gelayerten Anwendungen ist es nur der Firefox Browser. Statt die Anwendung direkt auszuführen, startest du die dann halt mit “ujust with-standard-malloc firefox”.
Bei einigen Flatpaks musste ich die “LD_PRELOAD”-Umgebungsvariable zum “hardened malloc” entferne.
Das ist aber in wenigen Schritten erledigt.
Thunderbird/Betterbird und Ardour sind da bei mir zwei Anwendungen, wo das nötig war. Also hält sich im Rahmen.
Noch am Probieren bin ich mit dem offiziellen Nextcloud-Desktop Client. Der wird auf der Homepage nur als AppImage angeboten. Das Flatpak auf Flathub wird da nicht erwähnt. Daher bin ich mir bei dem nicht sicher. Getestet habe ich es und funktioniert, aber die Lösung gefällt mir nicht, da nicht offiziell empfohlen.
ja, ich nutze da derzeit diese Notlösung KeepassXC als X11 Anwendung zu starten. Unter KDE funktioniert dann zumindest Auto-Type. Unter Gnome habe ich es nicht zum laufen bekommen.
Mit den Videokonferenzen bin ich noch nicht fertig eine Lösung zu finden. Da fehlte mir bisher noch die Muse. Das scheint mir auch nur ein Problem mit der Erkennung und den Berechtigungen der Kamera und den Audioschnittstellen zu sein. Möchte das daher auch nicht als “geht nicht” hier stehen lassen. Läuft nur halt noch nicht bei mir
das Kamera-Problem bei Videokonferenzen im Trivalent Browser konnte ich jetzt lösen:
Für die entsprechende Applikation “OpenTalk” lag es am deaktivierten WebAssembly Interpreter, so dass das Kamera-Bild nicht angezeigt wurde bzw. die Nutzung der Kamera mit “fehlender Berechtigung” abgelehnt wurde. Den kann man für den Fall über “chrome://flags” aber aktivieren. Ich habe für diese Fälle ein extra Browser-Profil erstellt.
Bei zB “Nextcloud Talk” funktioniert der Kamera-Zugriff über einen anderen Modus. Da hat es vorher schon funktioniert.
Nachtrag zum Thema Firefox. Wollte ihn jetzt mal nach langer Zeit wieder benutzen, er war aber nicht mehr installiert, vmtl nach einem System-Update. Das liegt daran, dass Firefox, wie auch andere Anwendungen über die Secureblue Konfiguration wieder deaktiviert wird. Siehe hier: https://github.com/secureblue/secureblue/blob/d6897883057c02cec51330aa96611a1499f6cc32/recipes/common/desktop-packages.yml#L29 (rpm-ostree Konfiguration für Secureblue)
Vielleicht also gut zu wissen, dass das Layern von Firefox nicht erwünscht ist und nur kurzzeitig geht, bis das nächste System-Update den Request wieder deaktiviert.
Bei mir ist die gelegentliche Nutzung noch eine alte Gewohnheit: bspw Youtube ist mit Ublock Origin imho angenehmer, als der mögliche AdBlocker im Trivalent (Ublock light) und bei Streaming-Diensten, wie zB der Arte-Mediathek, habe ich bei Trivalent regelmäßig das Problem, dass die Bildqualität sehr niedrig ist, während das bei gleicher Internetverbindung unter Firefox nicht so ist. Ist auf meinem Gerät ein seltener Nutzungsfall und kann ich daher verkraften.
Ich schreibe gerade diesen Beitrag damit. Bin aber nicht glücklich.
Installation war einfach.
Es folgte wochenlange Bastelei, bis es halbwegs benutzbar war. Die größte Hürde war für mich, an den Punkt zu kommen, dass ich auch andere Apps als die von secureblue bereitgestellten installieren konnte. Flathub ließ das system anfangs nicht zu.
Manches geht noch immer nicht (Mediathekview). Gelegentlich crasht Trivalent oder das Dash will sich nicht mehr ausblenden. Ziemlich erratisch alles.
Secureblue war bei mir die erste Distro, bei der das absolut NICHT so war.
OK! Gerne. (Ich habe selbst schon mehrmals dort nachgeguckt.)
Aber wenn es wirklich auf so etwas ankommen sollte, würde ich das doch durchaus als „Frickelkram“ bezeichnen!
Mir erschien es so, als hätte @kann nicht nur einmalig einfach geklickt, sondern sich durchaus ein bisschen damit beschäftigt… Aber ich kann mich täuschen.
Ich habe es dann mithilfe der FAQ in etwas längerer Zeit lösen können.
So wie auch andere Probleme, aber es war eben ein schwierigerer und aufwändigerer Start als mit den anderen Distros, die ich bisher hatte. Meine Erwartung war eine andere gewesen, sonst hätte ich das nicht zu einem Zeitpunkt ausprobiert, an dem ich eigentlich gar nicht die Zeit für viel Bastelei hatte (das hat es natürlich schwieriger gemacht).
Secureblue wird ja gerne mit GOS verglichen. Aber GOS kann man installieren und dann sofort jedem in die Hand drücken, der schon mal ein Android benutzt hat. Mit secureblue geht das so nicht.
Wenn man Probleme mit einer einfachen Suche lösen kann, ist das doch kein Frickelkram. Es gibt sogar einen extra Punkt in den FAQ: https://secureblue.dev/faq#software
Was ist denn konkret das Problem? Wenn es per Flathub nicht geht (was schonmal ungewöhnlich wäre) gibts auf der Website noch ein Appimage und RPM, sollte beides unter secureblue gehen.
