Beiträge von Neuer1

Zitat von sterun

...Werde aber, alleine schon aus Neugier und Interesse, weiter schauen.
Gebe dir Bescheid, falls bis dahin keine Lösung / Erklärung gefunden wurde.

Sehr nett, danke!
Weil, das ist schon etwas anstrengend, wenn das jetzt jedes Mal beim Updates oder Software installieren kommt

Übrigens habe ich gerade mal versucht, das Ganze unter Manjaro KDE nachzustellen ... aber dort kam mir eine solche Meldung bisher noch nicht unter. Z.B. Updates funktionieren normal.

Obwohl dort auch unter den folgenden Einstellungen die Häkchen gesetzt sind:

Zitat von sterun

Start - Systemeinstellungen - Benachrichtigungen - Quelle für Ereignis = KDE-Dienst für Speicherplatzbenachrichtigung

oder

Start - Systemeinstellungen - Starten und Beenden - Hintergrunddienste - unten = Speicherplatzbenachrichtigung (Häkchen raus)

Das deutet für mich darauf hin, dass das keine KDE spezifische Sache ist, sondern openSUSE/Yast spezifisch.

Man hätte bei dieser Warnung ein simples Ankreuzfeld implementieren sollen, so in der Art "Diese Nachricht nicht erneut anzeigen". Oder hinter den jeweiligen Festplatten (in der Warnung sind alle Festplatten mit ihren Füllständen aufgeführt) eine Ankreuzmöglichkeit "Für diese Festplatte keine Warnung mehr anzeigen" o.ä.

Ja, Rechner zwischen den Schritten immer neu gestartet, und der letzte Schritt/die letzte Änderung ging wie gesagt nicht.

Das Ergebnis von

blkid

siehe oben. Oder meintest du, ich soll das nach einem Neustart nochmal machen und posten?

sterun:
Das mit dem Eigenbau war natürlich totaler Quatsch! Hatte ich DAU-mäßig falsch verstanden! Da sollte KDE Plasma stehen.

@Sauerland:
Danke für den Link. Aber ich glaube, das trifft auch nicht ganz mein Problem. Soweit ich das verstanden habe, ging es da nur um externe Festplatten, die auch (teilweise) nicht annähernd voll waren.
Bei mir betrifft es eine interne per SATA angeschlossene Platte, die ja auch tatsächlich zu 99,9% voll ist. Das ist ja so gewollt, weil da wie gesagt ein Veracrypt-Ordner drauf liegt.
Und einen Namen hatte ich der Platte gar nicht gegeben. Im Datei-Explorer (Dolphin) wird sie allerding als "10,0 GiB Festplatte" geführt. Also etwas mit Leerzeichen.
Ich habe den Trick jetzt mal versucht und sie mit GParted einfach "Veracrypt" genannt. So steht sie jetzt auch in Dolphin.
Die Warnmeldung beim Öffnen von Software installieren erscheint aber leider immer noch. Und auch, wenn ich z.B. Updates installieren will. Ich muss das dann immer erst mit Ok quittieren, sonst geht es nicht weiter.

sterun:
Jetzt erst gesehen ...

Passwort: 
linux-y50t:~ # blkid
/dev/sda1: UUID="65898683-8770-482b-bd2a-06a6aa943d93" UUID_SUB="1e1b2c75-01d0-4d6e-92fd-cbbf07348f40" TYPE="btrfs" PARTUUID="9c7758dc-01"
/dev/sda2: UUID="95294b0e-59b5-4be7-95e0-b65efa752d56" TYPE="swap" PARTUUID="9c7758dc-02"
/dev/sdb1: UUID="8926e26a-504c-4774-b97f-e99ef2667e58" TYPE="ext4" PARTUUID="e221e547-01"
/dev/sdc1: UUID="cfb1d803-fc30-44ad-afd7-fc0dbd7878c5" TYPE="xfs" PARTUUID="27dffa4d-f25c-4481-9cb3-057019637d5e"
/dev/sdd1: UUID="f3f5c27e-e174-4c22-a57a-87839331b1a3" TYPE="xfs" PARTLABEL="Veracrypt" PARTUUID="ee432358-cfbe-49ee-b643-df10a69e61f7"
linux-y50t:~ #

Danke für deine Mithilfe!

Aber leider hat es nicht zum Erfolg geführt.

Die ersten beiden Punkte habe ich ausgeführt, auch mit anschließendem Neustart - ohne Änderung.

Dann habe ich Punkt 1 nochmal als root (wie beschrieben) wiederholt - auch ohne Änderung.

Und als ich Punkt 2 (... Hintergrunddienste - unten ...) als root ausführen wollte, kam eine Fehlermeldung, und zwar schon in dem Moment, wenn ich auf "Hintergrunddienste" klickte (mehrmals versucht), die lautet: "Kein Kontakt zu KDED". Anschließend bleibt alles weitere (was unter Hintergrunddienste steht) ausgegraut und ist nicht ansteuerbar.
Weiß man jezt halt nicht, ob der letzte Punkt zum Erfolg geführt hätte ...

Hallo,

wenn ich über Yast2 - Software installieren aufrufe, erhalte ich seit neuestem immer eine "Warnung: Plattenplatz - Verfügbarer Plattenplatz geht zu Ende".
Darunter steht dann an erster Stelle ein Laufwerk, welches mit 99% belegt ist (die anderen sind unkritisch "grün"). Der Punkt ist, auf diesem Laufwerk befindet sich ein Veracrypt-Ordner, der den kompletten Festplattenplatz einnimmt.

An sich ist das mit der Warnung ja eine gute Idee, nur in diesem Fall weiß ich Bescheid, dass der Ordner die Größe der Festplatte hat (aber das geöffnete Veracrypt-Volume ist nicht annähernd voll!) und ich möchte jetzt ungern jedes Mal diese Meldung wegklicken müssen.
Daher die Frage: Kann ich das irgendwo konfigurieren, dass ich vielleicht einzelne Laufwerke von der Prüfung ausnehme? Oder falls das nicht geht, kann ich das dann notfalls ganz abschalten?

Nein, dass mit dem VPN ist soz. ein "must have". Wenn ich das nicht hinkriege, hat das ganze Thema Linux für mich keinen Sinn. Dann muss ich wohl doch irgendwann mit Windows 10 vorlieb nehmen!

Damit so Sachen wie Aussperren oder so erst mal folgenlos sind, spiele ich das ja auch alles in der virtuellen Maschine durch.
Wenn ich dann irgendwann quasi eine idiotensichere Prozedur entwickelt hätte und ausreichend durchgetestet, dann würde ich dazu übergehen, mir ein "echtes" System aufzubauen.
Ich muss nur dieses eine Skript hinkriegen ... oder auch eine andere - für mich umsetzbare - Methode, so ein "Killswitch" zu realisieren.

Es geht dabei nur darum ein IP-Leak auszuschließen. Es ist auch überhaupt nicht schlimm, wenn dieser IP-Leck-Schutz erst kurz nach dem bei mir wohlgemerkt automatischen Login greift. Es sollen nur ein paar Programme, die ich nachher manuell starte, abgesichert sein. Also, ob jetzt z.B. openSUSE selbst mit meiner echten IP auf den Update-Server zugreift oder nicht, spielt dabei keine Rolle.
Mein Anbieter ist AirVPN.

Alternativ bietet AirVPN auch so ein Einwahl-Tool namens "Eddie" an, welches auch über eine Killswitch-Funktion verfügt. Das Tool macht eigentlich auch einen guten Eindruck und funktioniert auch - bedingt: Wenn man es in openSUSE Leap 15 schließen will, friert es mehr oder weniger ein.
Aber selbst wenn es 100% funktionieren würde (tut es unter anderen Linuxversionen) würde ich mich ungern allein auf so ein Tool verlassen wollen. Weil man ja sieht, dass da schnell mal was nicht mehr rund laufen kann, oder es könnte ja auch sein, dass es irgendwann AirVPN mal nicht mehr gibt oder das Tool einfach nicht mehr weiterentwickelt wird ...
Außerdem weiß man ja auch nicht so genau, was das Tool macht, also lieber wär's mir schon, ich hätte eine selbst entwickelte (abgeschriebene!) Methode, die dann auf jeden Fall funktioniert.

Andererseits will und kann ich für diese eine Sache auch nicht erst den - wie du es schön genannt hast - Linuxrettungsschwimmerschein für Hochsee machen.
Ich mache mich aber auch noch mal auf die Suche, herauszufinden, was es mit dieser systemd-Service-Sache auf sich hat. Das müsste man dann halt auch unkompliziert kurzfristig abwählen können. Ich weiß nicht, ob in dem Fall dann ein

firewall-cmd --relaod

reichen würde.
Ich sehe aber meinen Traum, mich von Microsoft unabhängig zu machen, in einer Seifenblase davonschweben ...

Und man kann diese Regeln nicht zufällig "einfach" in Rich-Rules ummünzen, die man dann in eine neu definierte Zone reinschreibt?
So in der Art:

firewall-cmd --permanent --zone=killswitch --add-rich-rule ...

Mit sudo, so wie es in dem Skript steht, hatte ich es ja eben schon (erfolglos) versucht.

Jetzt muss ich leider schon wieder dumm nachfragen, wie du das mit dem Pfad meinst ...
Also der Pfad zu meinem Skript ist:

/home/keiner/vpn.sh

Das sollte - am Beispiel der ersten Zeile - in meinem Skript dann aber nicht so aussehen:

/home/keiner/vpn.sh/iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 443,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Oder?
Sondern genauso, wie du es oben geschrieben hattest? (Weil die iptables dann letztlich im Ordner sbin liegen?)

Leider sind mir deine Informations-Schnipsel etwas zu knapp.
Wenn da steht, "may require", dann wird es wohl so sein. Aber was bedeutet das jetzt für mich?

Ich habe es mal versucht, vor jeden Befehl ein sudo zu schreiben. Zuvor hatte ich es mit einem su - probiert, also, am Beispiel der ersten Zeile so:

su - iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 443,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Als Antwort kam dann aber für alle Zeilen:

su: Ungültige Option -- t

Mit einem sudo vorangestellt, anstelle su - kommt diese Meldung nicht.
Wenn ich, ein sudo vorangeschickt, dann die Datei ausführe mit:

./vpn.sh

funktioniert es. Also ein Ausführungsrecht hat die Datei wohl. Der letzt genannte Befehl funktioniert aber nur, wenn ich eine Konsole im Home-Ordner öffne. Wenn ich es so versuche:

./home/keiner/vpn.sh

funktioniert es nicht. (Mein Benutzername ist immer noch "keiner"!)

Sicherheitshalber habe ich aber auch noch mal ein

chmod +x /home/keiner/vpn.sh

abgeschickt.

So, wenn ich jetzt das System neu starte, wobei das Skript

#!/bin/bash


#Iptables Regeln für VPN:




sudo iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 443,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i wlan0 -p udp -m multiport --sports 443,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i eth0 -p udp -m multiport --sports 443,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A INPUT --src 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 10.0.0.0/8 -j ACCEPT
sudo iptables -t filter -A INPUT --src 10.0.0.0/8 -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 172.16.0.0/12 -j ACCEPT
sudo iptables -t filter -A INPUT --src 172.16.0.0/12 -j ACCEPT


sudo iptables -t filter -A OUTPUT -o wlan0 -j DROP
sudo iptables -t filter -A INPUT -i wlan0 -j DROP
sudo iptables -t filter -A OUTPUT -o eth0 -j DROP
sudo iptables -t filter -A INPUT -i eth0 -j DROP

immer noch unter Autostart (wie in Beitrag 1 beschrieben) steht, funktioniert es nach wie vor nicht.
Also, das mit dem sudo vorangestellt scheint nicht die Lösung zu sein.

Da fiele mir als Lösungsweg höchstens noch ein, mich dauerhaft als root anzumelden (habe aber noch nicht ausprobiert, ob das ginge), aber das ist natürlich auch nicht im Sinne des Erfinders!

"im Userkontext" heißt, dass, wenn sich ein anderer User anmelden würde, dass es dann nicht funktionieren würde?
Das wäre soweit okay, da es nur einen eingeschränten User gibt, der auch direkt ohne Passwort angemeldet wird.

"iptables ist root"
Damit meinst du was?

Wie könnte ich denn überprüfen, ob mein Skript auch die richtigen Rechte besitzt?

Ich glaube, systemd ist mir ein paar Nummern zu groß!

Hallo,

ich würde gerne ein Bash-Skript bei Systemstart automatisch ausführen lassen.

#!/bin/bash


#Iptables Regeln für VPN:


iptables -t filter -A OUTPUT -o wlan0 -p udp -m multiport --dports 443,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 443,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i wlan0 -p udp -m multiport --sports 443,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p udp -m multiport --sports 443,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT --dst 192.168.0.0/16 -j ACCEPT
iptables -t filter -A INPUT --src 192.168.0.0/16 -j ACCEPT
iptables -t filter -A OUTPUT --dst 10.0.0.0/8 -j ACCEPT
iptables -t filter -A INPUT --src 10.0.0.0/8 -j ACCEPT
iptables -t filter -A OUTPUT --dst 172.16.0.0/12 -j ACCEPT
iptables -t filter -A INPUT --src 172.16.0.0/12 -j ACCEPT


iptables -t filter -A OUTPUT -o wlan0 -j DROP
iptables -t filter -A INPUT -i wlan0 -j DROP
iptables -t filter -A OUTPUT -o eth0 -j DROP
iptables -t filter -A INPUT -i eth0 -j DROP

chmod +x /pfad/zu/mein_Skript

chmod u+x /pfad/zu/mein_Skript

./mein_Skript

firewall-cmd --reload

Es gibt ja in openSUSE Leap 15 (KDE Plasma), wenn ich das Anwendungsmenü öffne, diesen Eintrag "Autostart". Dort gibt es sogar extra die Kategorie "Sriptdatei". Dort kann ich mein Skript, dass in meinem Home-Ordner liegt, auswählen (es erhält dann auch gleich den Status "Aktiviert") und muss mich nur noch entscheiden, was ich punkto "Ausführungszeitpunkt" auswähle. Entweder "vor Sitzungsstart" oder "Anmeldung". Da ich automatisch und ohne Passwort angemeldet werde, dachte ich, dass letzteres womöglich nicht funktioniert. Ich habe aber beides ausprobiert und es funktioniert beides nicht!
Was mache ich falsch?