Skip to content

Eesti ID kaardi tarkvara ehk open-eid v. 3.12 kasutamine Debianis

Aasta tagasi kirjutasin artikli Eesti ID kaardi tarkvara v. 3.11 kasutamine Debianis. Kõik seal märgitu kehtib Debian Jessie kohta jätkuvalt edasi.

Debian testingu (ehk Stretch) kasutajad, kellel on ID-kaardi tarkvara paigaldatud selle sama juhendi alusel on ehk aptitude update või apt-get update puhul märganud selliseid teateid:

Err https://installer.id.ee/media/ubuntu trusty InRelease
The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://installer.id.ee/media/ubuntu trusty InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: Failed to fetch https://installer.id.ee/media/ubuntu/dists/trusty/InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4

Põhjus see et RIA kasutab ID-kaardi tarkvara pakkide allkirjastamiseks uut võtit. Ning kui juba võtmeuuenduseks läheb, siis on mõttekas ka repo uuema vastu ära vahetada. Seega tee juurkasutajana käsurealt alljärgnev:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key

Kommenteeri sources.list failist välja või kustuta senine trusty-repo ja lisa samasse faili

deb https://installer.id.ee/media/ubuntu/ xenial main

Tee seejärel

aptitude update && aptitude safe-upgrade

ning näed et osa pakke jääb uuendamata, mistõttu tee kas kohe algselt või seejärel

aptitude dist-upgrade

ning libxml-security-c17 eemaldatakse ja libxml-security-c17v5 tuleb asemele ning kõik komponendid uuenevad viimase versioonini.

Kui sul on pidevalt edasirullunud Debian testing, siis järgevat sinu arvutis ei juhu. Aga uue stretch'i paigalduse puhul tekib probleem libssl teegiga - nimelt stretch'is on olemas libssl1.0.2 ja libssl1.1, kuid vaja oleks libssl1.0.0 pakki.

Loomulikult võid teha vajaliku paki alla sikutada (faili nimi on artikli koostamise seisuga). See näide on amd64 jaoks, kuid vastav sarnane url ja faili nimi on olemas ka i386 ja muude arhitektuuride jaoks.

wget http://security.debian.org/debian-security/pool/updates/main/o/openssl/libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb

Kuid kuna see libssl saab turvapaikasid veel hea mitu korda, siis õigem oleks kui lisad sources.list faili

# open-eid vajab libssl1.0.0, mida stretch'is pole
deb http://security.debian.org/debian-security jessie/updates main

ning siis tee

aptitude install libssl1.0.0

Kui Debian stretch arvutis varem ID-kaardi tarkvara pole olnud, siis kogu tegevus on selline:

aptitude install apt-transport-https
wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ xenial main' >> /etc/apt/sources.list
echo '# open-eid vajab libssl1.0.0, mida stretchis pole' >> /etc/apt/sources.list
echo 'deb http://security.debian.org/debian-security jessie/updates main' >> /etc/apt/sources.list
aptitude update
aptitude install libssl1.0.0
aptitude install open-eid

Eesti ID kaardi tarkvara v. 3.11 kasutamine Debianis

Kuutõrvajas on toimiv juhend Eesti ID kaardi tarkvara v. 3.8 kasutamine Debianis 2014 suvel. Sel viisil paigaldatud tarkvara toimib Stretch'is ja Jessie's edasi, kuid paari kiiksuga:

  • viimased Firefox'id eeldavad et laiendused on allkirjastatud ning vastasel juhul laiendused on blokeeritud (kui kasutad ametlikus repos leiduvat Iceweasel'it, siis see on parasjagu 38ESR'i juures ja seal seda olukorda ei teki)
  • BDOC'i tugi on killuke poolik (ilmselt vajalikud uuemad sertifikaadid on puudu)
  • Ubuntu Precise repo on nüüdseks installer.id.ee saidist puudu ning see võib tekitada olukorra kus /var/lib/apt/lists/partial/ kausta hakatakse poolikuid faile kuhjama ning /var või muu partitsioon, kus ta asub, kirjutatakse varem või hiljem triiki täis (kui sa järgnevat uuendust ei plaani teha, siis vähemalt kommenteeri sources.list failist see rida välja -> deb https://installer.id.ee/media/ubuntu/ precise main)

Ubuntule tehtud ID-tarkvara on saadaval hetkel 14.04 ja 15.04 jaoks. Neist esimene on LTS ning eeldatavalt püsib EstEID tugi kuni järgmise LTS'i ehk 16.04 jaoks saavad EstEID pakid tehtud. Mistõttu mina läksin 14.04 teed (järgmised toimingud loomulikult administraatori õigustes):

  • dokumenteerimise mõttes kommeneteeri /etc/apt/sources.list failist välja rida

    # deb https://installer.id.ee/media/ubuntu/ precise main
    ning lisa
    # tänane kuupäev
    deb https://installer.id.ee/media/ubuntu/ trusty main

  • tee tavaline uuendus

    aptitude update
    aptitude safe-upgrade


Jessie puhul ei tohiks tohiks ühtegi probleemi tekkida - EstEID tarkvara uueneb versioonini 3.11.1 ja kõik toimib nagu seni.

Debian testingus aga ei toimi DigiDoc'i klient. Praegune Debian testing (Stretch) on stable'ga (Jessie) võrreldes oluliselt edasi liikunud ning EstEID kontekstis on komistuskiviks libxml-security-c17 puudumine testingus. Olemas on libxml-security-c17v5, aga sellest ei tea EstEID veel midagi.

Lahendus on lihtne: Sikuta Jessie jaoks mõeldid pakk ja paigalda käsitsi (minul konflikte ei tekkinud):
64-bitise paigalduse puhul:

wget http://ftp.ee.debian.org/debian/pool/main/x/xml-security-c/libxml-security-c17_1.7.2-3+b1_amd64.deb
dpkg -i libxml-security-c17_1.7.2-3+b1_amd64.deb

32-bitise paigalduse puhul:

wget http://ftp.ee.debian.org/debian/pool/main/x/xml-security-c/libxml-security-c17_1.7.2-3+b1_i386.deb
dpkg -i libxml-security-c17_1.7.2-3+b1_i386.deb

ning seejärel uuesti

aptitude safe-upgrade

(või vastav arm'i pakk kui seda kasutad)
ning uuendamata jäänud libdigidocpp-tools, libdigidocpp0 ja libdigidocpp-common saavad ka korda ja EstEID tervikuna töökorda.

Kui arvutis varem EstEID oli puudu, siis Debian stable's ehk Jessie's tee nii:

aptitude install apt-transport-https
wget -O /tmp/ria-public.key https://installer.id.ee/media/install-scripts/ria-public.key
apt-key add /tmp/ria-public.key
echo 'deb https://installer.id.ee/media/ubuntu/ trusty main' >> /etc/apt/sources.list
aptitude update
aptitude install estonianidcard qesteidutil esteidfirefoxplugin

Stretch'i puhul oleks tegevus sama, aga enne paigaldust lisa käsitsi libxml-security-c17 (vt eespool).

Lisaks tavapärasele toele Firefox/Seamonkey brauserites toimib autentimine nüüd ka Chromiumis. Kui kasutad Chromiumi kohustuslike eelseadistuste funktsionaalsust (Managed policies) ja seal ExtensionInstallWhitelist direktiivi, siis lisa ckjefchnfjhjfedoccjbhjpbncimppeg ka loendisse.

Leiame töötavad sshd serverid oma kohtvõrgust (let's find working ssh servers from our local subnet)

Mõnikord ununeb ära missugustele kohtvõrgus asuvatele arvutitele saab ssh'ga ligi. Nmap tuleb appi:

nmap -v --open -sV 192.168.1.0/27 -p 22

Loomulikult saad CIDR'ina kirjeldatud võrku muuda vastavalt oma vajadustele või otsida mõnes muus pordis töötavaid teenuseid.

Jessie ehk Debian 8 on ilmunud

Kaheaastase arendustöö järel ilmus eile Debiani uus stabiilne versioon koodnimega Jessie ning järjenumbriga 8. Suurte uuendustena on süsteemihalduse ja juhtimise ülekolimine systemd peale ning 64-bitise ARM platvormi lisandumine.

Kokku on Jesssie's 43000 erinevat tarkvarapakki ning neist olulisemad on :

Apache 2.4.10
Asterisk 11.13.1
GIMP 2.8.14
GNOME 3.14
GNU Compiler Collection 4.9.2
Icedove 31.6.0 (Thunderbirdi variant)
Iceweasel 31.6.0esr (Firefoxi variant)
KDE Plasma Workspaces + KDE Applications 4.11.13
LibreOffice 4.3.3
Linux 3.16.7
MariaDB 10.0.16
MySQL 5.5.42
Nagios 3.5.1
OpenJDK 7u75
Perl 5.20.2
PHP 5.6.7
PostgreSQL 9.4.1
Python 2.7.9 + 3.4.2
Samba 4.1.17
Tomcat 7.0.56 + 8.0.14
Xen Hypervisor 4.4.1
Xfce 4.10

Järgmise Debiani versiooni nimi on juba teada ja selleks on Stretch.

Et Linuxi-nädal oleks täielik, siis ilmus paar päeva tagasi uus Ubuntu 15.04 Vivid Vervet (ning ka nemad kasutavad nüüd init'i jaoks systemd'd).

Eemaldame failist tühjad read ja tühjad realõpud

Erisuguses failipõhises andmetöötluses on tihti vaja failist välja visata tühjad read ja/või asjatud tühikud rea algusest ja lõpust. Kui oled Linuxi kasutaja, siis sed tuleb käsureal appi:

sed 's/^ //; s/ $//; /^$/d' miskifail.txt > miskiuusfail.txt

Lihtne selgitus:

  • miskifail.txt - algne fail
  • miskiuusfail.txt - töödeldud fail
  • `s/^ //` - eemaldame tühikud rea algusest
  • `s/ $//` - eemaldame tühikud rea lõpust
  • `/^$/d` - eemaldame tühjad read

Eraldame webm-videost audiofaili

Sul on webm videofail, mis teadupärast koosneb kas VP8 või VP9 videovooost ja ogg või opus audiovoost. Sa tahad sealt kätte saada vaid seda heliosa. Kuna webm näol on tegemist konteineriga, siis pole isegi uuesti kodeerida vaja. Lihtsalt eraldad vajaliku helivoo.

Eeldame, et arvutis on olemas libav (eks midagi sarnast on olemas ka ffmpeg puhul). Esmalt vaatad millest fail koosneb:

avprobe minufail.webm

Eeldusel et eelmise käsu väljundis oli midagi taolist "Stream #0.1: Audio: vorbis, 44100 Hz, stereo" siis eraldame sealt selle soovitud helivoo:

avconv -i minufail.webm -map 0:1 -c:a copy minufail.ogg

Kui avprobe ütles et tegemist oli opus'ega, siis võid panna helifaili laiendiks .opus, aga .ogg peaks ka toimima.

Kuna webm konteiner on natuke modifitseeritud matroska-konteiner, siis peaks sama toimima ka suvalise .mkv failiga. Lihtsalt seal võib leiduda ka muid audiokodekeid (vaata et paned õige laiendi).

Kustutame mälupulga tühjaks

Praktikas on tihti vaja mõne mälupulga kogu sisu mõistlikult turvalisel viisil tühjendada. Linuxis käiks see kõige lihtsamal viisil käsurealt nii (olles administraatori õigustes):

shred /dev/sdx -n 5 -v

Vajalik /dev/sdx vaata järgi näiteks df käsuga, kuid tavalise ühe kõvakettaga arvuti puhul oleks üldjuhul /dev/sdb (praktikas on mälupulgal tihti vaid üks partitsioon ja /dev/sdb1 toimib ka). Võti -n kirjutab kõik üle 5 korda ja -v näitab mida ta parasjagu teeb.

Programm shred loomulikult kolmetäheliste organisatsioonide huvi vastu ei aita, kuid harju keskmise huvilise vastu küll ning teeb seda viisil, mis arvestab välkmälude tavapärase hajutatud kirjutamise (wear leveling) loogikaga ehk teisisõnu kirjutab äärest ääreni.

Muudame kataloogitäie piltide suurust ja nime

Sul on näiteks kataloogitäis jpg-faile, mida on vaja sobitada ühte suurusesse. Selline lihtne toiming aitab (kui sul on muud vormingud, siis tee vajalikud asendused ning ära unusta tõstutundlikkust ja loomulikult convert käsule vajalikke võtmeid juurde lisada).

convert *.jpg -resize 600 -set filename:f 'prefiks-%t' '%[filename:f].jpg'

Siin näites resize 600 teeb kõik pildid 600 piksli laiuseks ning kõrguse sätib vastavalt algse faili proportsioonidele. Kõiki muid variante leiad Imagemagick Resizing or Scaling lehelt. Set filename ... aga moodustab uue faili nime algsest nimest (seda teeb %t) ilma laiendita ning paneb ette sõna prefiks (kirjuta sinna mida vaja või pane ta lõppu kui vaja). Kõiki asendusi saad vaadata lehelt Imagemagick Format and Print Image Properties.

Kui convert käsk midagi huvitavat ei tee, siis on ehk imagemagick arvutist puudu (või otsiteest väljas) ja "aptitude install imagemagick" lahendab olukorra (midagi sama on ka rpm-distrote jaoks ning leidub ka installikas maci ja windowsi jaoks). Siin on soovitus meelega convert, mitte mogrify käsu kohta (esimene jätab vaikimisi vanad failid alles, teine mitte).

Linuxile on saadaval uue renderdusmootoriga Opera

Teatavasti loobus Opera enam kui aasta tagasi oma renderdusmootorist ning võttis kasutusele WebKit'ist kahvlisse aetud Blink'i. Samaga ilmusid ka uued Opera versioonid Windowsi ja Mac OS X platvormidele (Opera versioonid alates 15'st). Opera Linuxi variant jäi aga Presto-põhise 12.16 juurde.

Selle aasta alguses võeti ka Opera Linuxi-arendus jälle ette ning eile ilmus esimene Opera versioon Linuxile (v 26). Arendajad ise ütlevad et toimib vaid Ubuntus, kuid minul töötab probleemitult ka Debianis ning ilmselt ka muudes .deb põhistes distributsioonides (näiteks Mint). Kes tunneb huvi, siis asi hargneb siit deb.opera.com. Kui seni tuli installida pakk nimega opera, siis nüüd on nimeks opera-stable ning praktikas tähendab see et uus ja vana Opera saavad Linuxis kõrvuti eksisteerida (vana versiooni kasutamine pole turvalisuses mõttes küll hea idee).

Kui varem pole olemas polnud, siis paigalduse käigus lisatakse süsteemi ka pepperflashplugin-nonfree, mis on wrapper-skript PPAPI-põhise flashi plugina lisamiseks (laeb alla Google Chrome ning pakib sealt lahti vaid flashi plugina).

CUPS'i ehk Linuxi printerite seadistamine eemalt

Sul on mingid Linuxiline arvuti, kus on vaja printereid eemalt seadistada (seda juhib deemon nimega cupsd). Võid sinna arvutisse sisse logida ja käsurealt möllata või seadistada, et selle arvuti cupsd lubab end veebiliidesest seadistada.

Kuna tavaliselt seda vaja teha üliharva, siis hoopis lihtsam lahendus on ssh tunnel, mille teed oma arvutis käsurealt nii (miskimasin on see, kus vajad seadistamist):
ssh root@miskimasin -T -L 6631:localhost:631

Ja siis võtad oma arvuti veebibrauseri ette:
localhost:6631
ning teed mis vaja. Kui kõik on valmis, siis paned käsurealt Ctrl+C abil ssh tunneli kinni.

Arvuti võib lauaarvuti, sülearvuti või nutitelefon - peaasi, et seal toimivad sshd ja cupsd. Proovinud ei ole, aga sama peaks toimima ka Mac OS X puhul (kui sshd on lubatud).