Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[Kyle Katarn]

@Mumford
Danke für deinen Hinweis auf freecyngn! Das ist an mir vorbeigegangen. Das Projekt wird seit einiger Zeit nicht mehr aktiv weiter verfolgt, weil das Ziel (nahezu) erreicht worden ist: Android: freecyngn wird offenbar eingestellt

@rudolf
Danke für deinen "Ruf zur Raison"! Bin wohl gedanklich über das Ziel hinausgeschossen ;-)

@ooo
Vielen Dank für deinen klarstellenden und fundierten Beitrag!

@zcover
Zu deinem Post #637: Es ist zwar etwas OT, jedoch lässt sich der microG-Service (teilweise) auch ohne den genannten Fork zur Standortbestimmung verwenden. Das ist unter LineageOS 14.1 zwar mit etwas Handarbeit verbunden, die nach jedem OS-Update wiederholt werden muss (ich aktualisiere LineageOS im Allgemeinen nach der Integration der monatlichen Google-Sicherheitpatches in die aktuellen Nightlys).
Es funktioniert jedoch zuverlässig und mildert mein Faulheitsproblem mit der nicht mehr so recht funktionierenden Standortbestimmung aus meinem Beitrag #632 beim Einsatz des ASN-Skripts, bei dem Google-IPs komplett blockiert werden. Ich nutze microG als UnifiedNlp (no GApps) mit dem dort auch aufgeführten LocalGsmNlpBackend mit einer - ab und an zu aktualisierenden - lokalen Datenbank auf meinem Telefon. Die Standortbestimmung ist dann zwar etwas ungenauer, aber sie funktioniert sehr ordentlich - auch ohne Datentarif.
Wie man das einrichten kann, habe ich vor einiger Zeit beschrieben.

 

[rudolf]

Wie kann man das abschalten?

Lineage14.1:
settings put global captive_portal_mode 0

Ältere:
settings put global captive_portal_detection_enabled 0
settings put global captive_portal_server localhost

jeweils als su im Terminal eingegeben.

 

[ooo]

@rudolf - Kleine Ergänzung für die Mitleser: Diese Befehle gibt man in einer adb (root) shell vom Rechner aus oder in einer Terminal (Emulator) App ein. - Vor dem jeweiligen Befehl ist der Befehl "su" einzugeben, falls man noch nicht root ist. (Manche ROMs brauchen root dafür, schaden tut es nicht.)

 

[rudolf]

Lineage hat bereits ein Terminal, adb ist unnötig. Vorher in den Entwickleroptionen das Terminal aktivieren.

 

[ooo]

Schon klar. - Aber für die 1,5 Anwender, die kein LineageOS haben (also die überwiegende Mehrheit mit gerootetem Stock-ROM), die hier mitlesen, wäre die Information schon hilfreich. - Aber egal, jetzt sind wir ja komplett versorgt mit allen Facetten ...

 

[rudolf]

Meins war genauso eine Ergänzug wie deins

 

[Mumford]

Vielen Dank an allen zusammen, in kurze Zeit wieder viel dazu gelerrnt!

Wenn man (wirklich) alle Google-IPs mit einem Custom Script geblockt hat - und auch den (unter LineageOS nicht funktionierenden) AFWall+ Datenleck-Fix am Laufen hat (es sei denn, man benutzt zum systemless Rooten das Magisk-Paket), dann ist auch Google's Captive Portal Login Check geblockt.

Ich habe die Datenleck-Fix in AFwall+ unter Lineage angeschaltet. Funktioniert es dann doch nicht? (Ich habe kein Magisk-Paket installiert),

 

[ooo]

Funktioniert es dann doch nicht?

Nein, es funktioniert nicht. (Mit einer aktuellen LineageOS-ROM.)

Beim Aktivieren der Option Datenleck-Fix in den Einstellungen von AFWall+ wird die Datei afwallstart im Verzeichnis /system/etc/init.d/ erzeugt. - Beim Starten des Phones werden (normalerweise) alle dort angelegten Dateien ausgeführt (Das nennt sich init.d-Scripte oder auch Startscripte). - Stock-ROMs haben dieses Verzeichnis bzw. diese Funktionalität nicht.

Die Datei afwallstart blockt beim Start des Phones solange alle Internet-Zugriffe, bis der Service von AFWall+ gestartet wurde (die App), der dann die eigentlichen vom Anwender eingerichteten Regeln aktiviert.

Das LineageOS-Team hat vor längerer Zeit (wahrscheinlich aus Sicherheitsgründen) entschieden, dass ROM-fremde Startscripte (afwallstart) nicht mehr ausgeführt werden. Deswegen ist der Datenleck-Fix von AFWall+ unter LineageOS nicht funktional, da das Script /system/etc/init.d/afwallstart nicht ausgeführt werden kann (Restriktion durch SELinux).

Bei Einsatz von Magisk (oder auch Chainfire's SuperSU) als Root-Methode in einer LineageOS-ROM ist das Ausführen von Startscripten im Verzeichnis /system/etc/init.d/ wieder möglich. - Und damit ist auch der Datenleck-Fix von AFWall+ wieder aktiv.

 

[rudolf]

Du könntest versuchen eine /data/local/userinit.sh zu erzeugen und dort eintragen:

cd /system/etc/init.d
afwallstart

Oder du kopierst die afwallstart als /data/local/userinit.sh.

Ich finde es aber auch bedenklich dass SuperSu und Magisk offenbar das Selinux für init.d abschalten.

Bitte sag bescheid ob meine Vorschläge funktionieren, ich würde es dann an Ukanth melden.

 

[ooo]

Der "Trick" über /data/local/userinit.sh & friends funktioniert ebenfalls nicht mehr (zeitgleich mit Einführung von SELinux strict mode bei LineageOS - *offizielle* ROMs).

Magisk und SuperSU vergeben nur für die Ausführung des Scripts den temporären Kontext (SELinux moderate mode) und schalten danach wieder zurück auf strict mode. - Es ist also nicht wirklich bedenklich/unsicher.

(Für die Neulinge: Stock-ROMs oder LineageOS & AFWall+ mit Datenleck-Fix ist einfacher, wenn man Chainfire's SuperSU zum Rooten benutzt, anstatt Magisk. - Die Scripte werden dann in /su/su.d/ verwaltet anstatt /system/etc/init.d/. - Unter AFWall+ gibt es dann auch eine Einstellung dafür.)

 

[rudolf]

Nutzt man dann die letzte Chainfire Version 2.79 oder die aktuelle?

 

[ooo]

SuperSU:

Immer erstmal die aktuellste stable.​

Changelog:

Changelogs - Post #3​

Aber:

https://plus.google.com/+Chainfire/posts/6Sp6t9LxtQZ​

___

Magisk:

[2018.3.18] Magisk v16.0 - Root & Universal Systemless Interface [Android 5.0+]​

___

ukanth kann auch nix machen, da die init-Scripte noch vor Android starten und bei so vielen verschiedenen ROMs keine Eingriffe in die SELinux-Kontexte wartbar wären ...

 

[Dr.No]

Wie macht man ein (gerootetes) Android-Smartphone sicherer, BEVOR man das erste Mal ins Internet geht?

Hier findet man eine detaillierte und vollständige Anleitung, die das Phone so absichert, dass man möglichst wenig Daten, Traffic-Volumen, Geld und Zeit verliert, bevor man das erste Mal in das Internet geht.

Vielen Dank für deinen ausführlichen und informativen Bericht. Hat mir sehr geholfen, auch wenn zu spät, da ich erst nach mehreren Versuchen die Firewall zu konfigurieren auf diesen Thread gestoßen bin. Soweit funktioniert jetzt auch alles, einzigst der Firmewar-Updater der aktuellen LineageOS 15.1 bekommt keine Verbindung. AKtiviert habe ich deine Grundkonfiguration und beim Updater alle Haken gesetzt, geholfen hat es nichts.Auch nicht unter einem anderen Profil.

 

[ooo]

Mit LineageOS 15.1 Oreo kann ich aktuell nicht dienen. - Allerdings sollte sich da ggü. 14.1 nicht viel geändert haben.

Absolutes Minimum für LineageOS-OTA-Updates über W-LAN (siehe Screenshots):
_

_
[doublepost=1521704402,1521703784][/doublepost]@Dr.Now - Wird dein Phone denn offiziell von LineageOS unterstützt oder ist da eine inoffizielle ROM am Laufen? (Nur offiziell unterstützte Devices erhalten die OTA-Updates.)

 

[Dr.No]

@ooo : Danke. Ist eine Inoffizielle, aber der eingebaute Updater funktierte vorgestern noch. Die Haken habe ich soweit gesetzt. Nun gut, dan halt über adb und Recovery.

 

[zcover]

@ooo Nun gut, dan halt über adb und Recovery.

Warum funktioniert es nicht mehr?
Liegt es an LOS oder an deinen weiteren Einstellungen?

 

[Dr.No]

Da alle anderen Sachen ja funktionieren, und ich alle Einstellungen (root, Updater, Medien) übernommen habe, gehe ich davon aus das es an LOS liegt. Mit dem vorherigen Build ging es noch, wenn ich auf die XDA-Seite gehe bekomme ich auch keine Verbindung zum Downloadserver, dann liegt es scheinbar also doch an der Gegenseite.

 

[ooo]

aber der eingebaute Updater funktierte vorgestern noch

Vielleicht ist der Update-Server gestört/down und es liegt nicht am Device?
___

Ah, ok, sehe gerade, dass du das bereits gecheckt hast ...
___
Edit:

Der Dev-Server von invisiblek @ xda ist schon da, aber das mata-Subdirectory für die Updates iwie nicht ...

Yay, updater.invisiblek.org is up. // isitup.org

 

[Mumford]

@Mumford


Ich lade meine Ergebnisse hier hoch zusammen mit dem Start- und Stop-Skript für AfWall+, das ich aktuell verwende. Ich habe es zusammengebaut auf Grundlage der Skripte von @ooo (dem OP dieses Threads) und den Skripten von Mike Kuketz von seiner Webseite sowie insbesondere auch den Anregungen von der AFWall+-Webseite (ukanth/afwall).
Wenn du die hier hochgeladenen Textdateien unter Windows bearbeiten möchtest, nimm einen Editor, der CR+LF wie unter Unix beherscht - oder gleich einen Editor unter Android oder eben Linux.

Bei AFWall+ musst du deine Skripte einbinden unter "Skript festlegen".

Benutzerdefiniertes Start-Skript:
. /data/local/afwall/iptables_on.sh
. /data/local/afwall/asn_block-rules.sh

Benutzerdefiniertes Shutdown-Skript:
. /data/local/afwall/iptables_off.sh

(Beachte jeweils den Blank zwischen . und /)!
Nach dem Download noch .txt entfernen vor dem Einsatz!

HTH!

Leider funktionieren diese Skripte bei mir nicht. Ich bekomme Fehlermeldungen bei jedes Skript. Bei iptables_on kommt er nicht weiter dann 32/96. Bei iptables_off funktioniert dass lehrmachen nicht. Ein oder zwei mal bekam Ich auch eine Meldung dass es kein Root Access gibt oder ähnliches. Aber AFwall hat Root Access. Wenn Ich die Skripte entferne funktioniert alles wieder ok.

 

[ooo]

@Mumford
Welches Phone (Brand/Model)?
Welche ROM genau (z. B. Screenshot von "Einstellungen > Über das Telefon")?
Welche Release von AFWall+?
Hast du IPv6 aktiviert oder nicht (evtl. machen die Scripte deswegen Probleme)?
Wo liegen deine iptables bzw. ip6tables binaries bzw. benutzt die AFWall+ in den Einstellungen die "eigenen"?
Hast du die Scripte evtl. vorher auf einer Windows Box geöffnet und dann versehentlich abgespeichert?
(Das ändert die Zeilenschaltung von UNIX/Linux auf Windows und macht Probleme ...)

(@Kyle Katarn wird dir zu seinen Scripten sicher noch etwas sagen ...)