Trotz der momentan vorherrschenden NixOS-Stimmung gibt’s diese Woche mal einen Talk für eure Ansible Toolbox.

Auch diese Woche finden wieder Talks statt. Diesmal haben wir zum ersten Mal was aus der Kategorie “Kunstprojekt”. Auch die etwas unkonventionelle Entscheidung WPA Enterprise zu Hause einzusetzen weckt durchaus Interesse. Bei uns im Mumble vorbeischauen lohnt sich jedoch auf jeden Fall.

Since the update to (K)ubuntu “focal fossa”, the GPG pinentry dialog behaves a bit differently. When encrypting or signing emails, or when signing git commits, the keyboard input for the whole desktop used to be blocked, but still allowed mouse input. Fetching the password for a GPG key from a personal KeePassXC database was thus still possible. I could not use shortcuts, but oh well — at least I don’t need to remember the password. However since the update now, mouse input is blocked as well. Only the OK and Cancel buttons, as well as the text input field remain responsive, and nothing else. This has proven to be pretty annoying. While searching for a solution, I found a very nice way to automatically unlock my GPG key, without even copying the password into the clipboard. This is in reference to KeePassXC’s libsecret integration. A drawback of this libsecret solution is that there is no authentication or verification whithin this API. If you however trust the software you have installed and you are somewhat lazy, then this is a pretty nice way of managing secrets, while at the same time being limited to the entries/programs you configure to make use of it and the timeframe during which your database is unlocked. Furthermore, your passwords are not distributed over multiple password safes.

Prerequisites

• KeePassXC 2.5.0 or higher is required.
• sudo apt install libsecret-tools for testing and command line tooling
• Make sure other providers like gnome-keyring-daemon are not running.

Configure KeePassXC

In KeePassXC, go to Tools > Settings > Secret-Service-Integration and enable Enable KeepassXC Freedesktop.org Secret Service integration.

Select a database and/or group within the database that should be used for the integration (click on the pencil icon > Secret-Services-Integration > select a group). A designated group for the use with secret service is recommended, as other tools will by able to access it via libsecret and may arbitrarily and automatically create entries.

Be sure to have the search capabilities enabled for this group, as otherwise libsecret will not be able to find your entries. (Right click on the group > Group > Searching)

From now on all passwords stored or accessed via libsecret will be stored in and served by KeePassXC instead of gnome-keyring. As a default setting, you will receive a desktop notification when a program accesses an entry.

Use and Test with libsecret secret-tool

Create a new Key-Entry in your database within the group configured for secret service access. At least a name and a password must be specified.

Add an attribute in the Advanced tab, i.e. account with the value testentry. Both key and value may be chosen freely.

It is now possible to access the password of this entry by typing

secret-tool lookup account testentry

secret-tool allows to create new entries from the CLI also, i.e.

secret-tool store --label='created from cli' account cli

Secret Service Integration for skype-for-linux

In particular, skype-for-linux showed an annoying behaviour in relation to gnome-keyring, even when using a KDE desktop environment. gnome-keyring is a hard dependency, so you can’t uninstall gnome-keyring without also uninstalling skype … As I didn’t want to distribute my passwords over multiple password safes, I had resolved to manually entering the password every time when starting skype. (It turns out that if you forbid saving the password the keyring (two times!), skype will allow you to enter it by hand and forego gnome-keyring integration entirely).

You can’t use KeePassXC’s Secret Service Integration while gnome-keyring-deamon is running. So after trying to disable it, skype still seems to work, and now seemlessly handles its password needs via KeePassXC.

As a workaround for disabling the gnome keyring, you may simply remove its executable bit:

sudo chmod -x /usr/bin/gnome-keyring
sudo chmod -x /usr/bin/gnome-keyring-daemon

Secret Service integration for GPG

To allow for GPG to store a key’s password via libsecret into KeepassXC, it’s required hook into GPG’s pinentry mechanism and configure a pinentry program with libsecret support. This can be done by adding the following line to your GPG config file at ~/.gnupg/gpg-agent.conf:

pinentry-program /usr/bin/pinentry-gnome3

Other pinentry programs with support for libsecret will probably work in the same way.

Now, to trigger GPG for a password prompt, try something like

echo asdf | gpg --armor --sign

Remember to check Save in password manager in the pinentry dialog. After clicking OK you will observe that a new entry has been created in your KeePassXC group. From now on, every time you unlock your GPG key, no popup will show up as long as your KeePassXC database is unlocked. To verify this behaviour, restart gpg-agent via gpgconf --kill gpg-agent as the password is usually cached for 5 minutes.

To undo the integration for GPG, simply remove the line we added to your GPG config file earlier and restart gpg-agent. You may want to remove the entries in KeePassXC as well.

Sources

Most ideas have been taken from https://avaldes.co/2020/01/28/secret-service-keepassxc.html and the relevant github issues for KeePassXC.

Anscheinend haben sich unsere Vortragen tatsächlich gut von der Pause erholt: Wir haben diese Woche die vollen 3 Talks. Trotz lockdown ist da sogar ein Talk zu subraum-hardware dabei. Um genau zu sein findet Ihr diesmal also bei uns:

Nach einer kurzen Erholungspause geht es diese Woche mit Talks weiter. Diesmal findet Ihr bei uns:

Schon bevor wir der maker-vs-virus Community beigetreten sind haben wir lokale Ärzte mit Rat und Tat zur Bewältigung der Corona-Pandemie unterstützt. Ein schönes Beispiel dafür wollen wir in diesem Blogartikel vorstellen.

Not macht erfinderisch

In der aktuellen Coronakrise verfügen die Krankenhäuser der Region zwar über ausreichend Basis-Schutzmaterial, doch in Situationen, in denen ein hohes Infektionsrisiko besteht, z.B. bei Operationen Covid-19-positiver Patienten, sind auch Schutzmasken und Schutzbrillen überfordert. Ärzte aus dem orthopädischen Abteilung des St. Josefs-Krankenhauses in Salzkotten haben sich daher Gedanken gemacht, welche Möglichkeiten bestehen, den Eigenschutz zu verbessern. In der Abteilung werden schon seit Jahren im Rahmen der Knieendoprothetik Schutzhelme verwendet. Diese sind jedoch bestenfalls als Spritzschutz geeignet, ansonsten ist fraglich, ob diese Helme das Infektionsrisiko nicht noch erhöhen, da ungefilterte Luft in das Innere gesaugt wird. Daher machte sich Dr. Nihad Al Hussin auf die Suche, wie er mit möglichst geringem Aufwand adäquate Schutzhelme entwickeln kann. Hierbei ist er auf die Idee gekommen, kommerziell angebotene Tauchermasken soweit zu modifizieren, dass er über einen eigens konstruierten Adapter gängige Filter von Narkosegeräten anschließen kann, die eine ausreichende Zufuhr gefilterter Luft garantieren.

Eine gut passende Tauchermaske wurde schnell gefunden. Diese liegt dem Gesicht absolut dicht an und ist der Passgenauigkeit und Dichtigkeit handelsüblicher FFP 2 Masken deutlich überlegen. Jetzt musste nur noch ein passender Adapter konstruiert werden. Aber wie, wenn weder 3-D-Drucker noch entsprechende Kenntnisse vorhanden sind? Nach Kontaktaufnahme mit Andreas Horn vom C3PB e.V., erklärte dieser sich sofort bereit, das Projekt tatkräftig mit seinem Know-How und Gerätschaften zu unterstützen. So wurde dann über einen Scan des Maskenanschlusses sowie der Filteranschlüsse schnell ein entsprechender Adapter entworfen, der den Anschluss von 2 Narkosefiltern ermöglicht. Ebenso schnell war ein erster Prototyp per 3D-Druck hergestellt. Der erste Probeeinsatz zeigte eine einwandfreie Funktion. Die Maske schließt absolut dicht ab, ein Beschlagen war nicht zu verzeichnen. Zudem ist die Maske vergleichsweise angenehm auch über längere Zeit zu tragen. Eine Desinfektion mit gängigen Desinfektionsmaßnahmen ist zudem möglich. So konnte mit Hilfe des C3PB e.V. schnell eine Schutzmaske entwickelt werden, die in entsprechenden Situationen den Schutz des medizinischen Personals sicherstellt.

Bezugsdaten der Maske: Khroom® Von DEKRA® geprüfte CO2 sichere Schnorchelmaske Vollmaske. Die Datei zur Herstellung des Adapters wird für Interessenten kostenlos zur Verfügung gestellt und ist am Ende des Artikels verlinkt.

Ein Prototyp aus Scanner und 3D-Drucker

Eine große Herausforderung bei dem Projekt war die Form der Anschüsse. Während die Filter einfach nur eine kreisförmige Öffnung mit konischem Verlauf des Durchmessers brauchten und noch dazu genormt sind, hatte der Anschluss der Tauchermaske eine sehr individuelle Form die vermutlich eher dem Design der Maske geschuldet war, als der technischen Notwendigkeit.

Durch den Einsatz eines normalen (2D-)Scanners, wie er in jedem Kopiergerät integriert ist, haben wir es aber schnell und direkt im ersten Versuch geschafft, die Form und auch die Größe perfekt zu treffen. Noch dazu ist auf dieser Seite des Adapters an der Maske eine Dichtung vorhanden, sodass wir uns dort über die Dichtigkeit nicht all zu viele Sorgen machen mussten.

Der Druck des ersten Prototypens stellte sich dann aber doch schwieriger als gedacht heraus, die Form des Adapters auf Höhe der Abzweigung der Filter führte dazu, dass sich das Material beim Druck verziehen konnte. Es war deutlich mehr Bauteilkühlung als üblich nötig um diesem Problem entgegen zu wirken, was dann aber im dritten Anlauf geklappt hat.

Noch ein (wichtiger) Schritt bis zur Nutzung

Sollte es nun wirklich nötig werden, dass der Adapter aufgrund von Schutzmaskenknappheit genutz werden muss, gibt es noch ein bis zwei Sachen zu beachten. Zum einen muss der Druck mit einem Verfahren hergestellt werden, das luftdichte Bauteile ermöglicht. FDM-Drucke, wie sie mit den meisten privaten 3D-Druckern hergestellt werden können, sind nur in Ausnahmefällen oder nach besonderer Behandlung Luft- und Wasser dicht. Druckverfahren die sich anbieten sind SLA, DLP oder SLS. Da SLA und DLP Bauteile meist nur über eingeschränkte Stabilität verfügen ist unser Plan den Adapter im Fall der Fälle per SLS Verfahren bei lokalen Dinstleistern herstellen zu lassen.

Eventuell kann es aber sein, dass die leicht raue Oberfläche der SLS Druckteile am Filter nicht genug abdichtet (da die Dichtung hier durch den konisch zu laufenden Adapter zu stande kommt und nicht durch eine Gummi- oder Silikondichtung). Dann wäre Vakuumguss vermutliche die beste Option, da damit auch Oberflächen in fast beliebiger Beschaffenheit hergestellt werden können. Auch für Vakuumguss gibt es in der Regel lokale Anbieter.

In Summe hoffen wir aber natürlich, dass unser Adapter nie zum Einsatz kommen muss, aber wenn es nötig wird, ist es besser nicht unvorbereitet zu sein.

Den Adapter haben wir auf Thingiverse (https://www.thingiverse.com/thing:4321884) veröffentlicht, wir übernehmen für die fehlerfreie Funktion des Adapters oder der Maske keinerlei Haftung, möchten aber auch anderen diese Notfalllösung zur Verfügung stellen.

Und auch ein bisschen Spaß muss sein - hoffen wir, dass unsere Ärzte nicht bald so aussehen, wie unser Modell für die Maske ;-)

Wir hoffen, dass Ihr alle die Osterfeiertage gut überstanden habt. Trotz unserer Schokoostereiervöllerei von letzter Woche konnten wir dem Angebot von zwei weiteren bunten Talks dennoch nicht wiederstehen: