Kære kunder og anvendere af OS2borgerPC

Her kommer en lang mail, så sæt vand over til te eller kaffe, snup en kiks eller en gulerod, og find en god stol...

Vi er nu klar med opgraderingen til Ubuntu 22.04.2 LTS. Så her er en lang og grundig mail til jer, der skal stå for opgraderingen. Heldigvis er langt det meste automatiseret, men læs gerne mailen for en sikkerheds skyld. Det er jo i store træk det, OS2borgerPC handler om: Sikkerhed.

Vi har både udviklet nye images og en række scripts til at opgradere de eksisterende maskiner.

Vi har også lavet et script, der kan bruges på de maskiner, hvor nogle af jer fik klikket ja til at opgradere, inden den ny version var klar. Dermed får PC’erne samme tilstand, som hvis de var blevet opgraderet via vores scripts.

Vi gennemgår først OS2borgerPC og derefter OS2borgerPC Kiosk.

OS2borgerPC

Det nye OS2borgerPC-image findes under “Versioner” på admin-sitet.

Bemærk desuden at vi har opdateret installationsguiden.

For at forbedre sikkerheden og oplevelsen på nyinstallerede maskiner har vi indbygget følgende ny funktionalitet og indstillinger i det nye image:

• Scriptet "Desktop - Aktiver genveje" er blevet indbygget i imaget. Det er således ikke nødvendigt at køre dette script på maskiner installeret ud fra det nye image for at aktivere skrivebordsgenveje.
• Scriptet "Desktop - Vis tilgængelighedsfunktioner" er blevet indbygget i imaget. Tilgængelighedsfunktionerne vil således være vist fra starten.
• Scriptet "Login - Sæt Borger som standard ved login" er blevet indbygget i imaget. Borger-kontoen vil således altid være forvalgt på login-skærmen.
• Scriptet "Login - Slå scriptkørsel ved login til/fra" er blevet indbygget i imaget. Det er således ikke nødvendigt at køre dette script på maskiner installeret ud fra det nye image for at slå scriptkørsel ved login til.
• Scriptet "OS2BorgerPC - Installer Okular som standard PDF-program" er blevet indbygget i imaget. Okular er blevet valgt som det nye standard PDF-program, fordi det har bedre funktioner til at udfylde PDF'er.
• Scriptet "Firefox - Kiosk & Sæt startsider(r)" er blevet indbygget i imaget med startsiden sat til borger.dk. Dette bevirker, at alle data, inklusive logins vil blive slettet, så snart browseren lukkes, hvilket forhindrer borgere i at ændre startsiden.
• Menuen er blevet låst, så borgere ikke kan lave ændringer i den. Eventuelle ændringer ville alligevel være blevet nulstillet ved logud, men det er sikrere at fjerne muligheden.
• Muligheden for at vælge "lås" eller "skift bruger" er blevet fjernet fra menuen, og de relaterede genveje er blevet blokeret. Disse muligheder er ikke relevante for borgere og skabte kun visuel støj.
• Borgeres skriverettigheder til skrivebordet er blevet fjernet. En borger kan stadig hente og åbne dokumenter fra internettet, men dette sker i mappen "Hentet". Borgere kan ikke længere lægge filer eller mapper på skrivebordet.
• Muligheden for at bruge "Kør"-prompten er blevet blokeret. Borgere har ikke behov for at bruge denne funktion, så det er sikrere at blokere den.
• Borgeres mulighed for at aktivere hviletilstand eller slukke/genstarte maskinen er blevet blokeret. Automatisk logud fungerer ikke, mens maskinen er i dvale/hviletilstand, og USB-overvågning fungerer ikke, mens maskinen er slukket eller i dvale.
• LibreOffices "Tip of the day" og frigivelsesnoter er slået fra. Dette skabte visuel støj.
• Det er ikke længere muligt at afbryde eller ændre netværksforbindelsen fra login-skærmen.

Hvis man ønsker at ændre nogle af de indbyggede indstillinger, kan det gøres ved hjælp af de relaterede scripts.

OS2borgerPC Kiosk

Det nye OS2borgerPC Kiosk-image findes under “Versioner” på admin-sitet.

Opgraderingen består af fire forskellige scripts, hvoraf de to sidste er forskellige for OS2borgerPC og OS2borgerPC Kiosk. Vær opmærksom på at maskinen ikke må slukkes eller sættes i dvale, mens trin 2 eller 3 kører. Det første trin i opgraderingsprocessen slår eventuelle planlagte nedlukninger fra, og det sidste trin genaktiverer dem, men det er vigtigt, at maskinen ikke slukkes på knappen eller får taget strømmen, mens trin 2 eller 3 kører. Undgå desuden at køre andre scripts på maskinen, før hele opgraderingsprocessen er færdig.

Vi har testet opgraderingen grundigt, men vi anbefaler alligevel at man starter med at teste opgraderingen på 1-2 maskiner og derefter opgraderer en gruppe ad gangen.

Sådan opgraderer du en almindelig OS2borgerPC

Herunder beskrives opgraderingsprocessen for almindelig OS2borgerPC:

1. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 1". Det skal stå som udført.

2. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 2". Det skal stå som udført. Dette script opdaterer computeren og kan tage op til 30-40 minutter, hvis computeren ikke er blevet opdateret i længere tid. Hvis det fejler med en besked ala “Unable to acquire dpkg frontend lock…” er det fordi computeren er ved at køre automatiske opdateringer. Vent 5 minutter og prøv at køre scriptet igen. Hvis det fejler med en besked om “uopfyldte afhængigheder”, kan det som regel løses ved at køre scriptet igen.

3. Genstart computeren fx via scriptet "System - Genstart computeren NU"

4. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 3". Det skal stå som udført. Dette script udfører selve opgraderingen og kan tage op til en time.

5. Genstart computeren fx via scriptet "System - Genstart computeren NU"

6. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 4". Dette script udfører de sidste justeringer. Det skal stå som udført.

7. Maskinen er nu opgraderet til Ubuntu 22.04

Opgraderingen vil generelt bevare de valgte indstillinger på maskinen, men af hensyn til sikkerheden og brugeroplevelsen har vi valgt at indbygge de samme indstillinger, som blev nævnt under image-beskrivelsen med følgende forskelle:

• Borgeres mulighed for at aktivere hviletilstand blokeres stadig, men muligheden for at slukke/genstarte maskinen ændres ikke. Automatisk logud og USB-overvågning fungerer ikke, mens maskinen er i dvale/hviletilstand.
• Hvis der tidligere er blevet valgt startsider for firefox via det gamle script “Firefox - Sæt startside(r)”, vil disse bevares, når det nye script "Firefox - Kiosk & Sæt startsider(r)" køres som en del af opgraderingen. Hvis der ikke tidligere er valgt startside for firefox, sættes startsiden til borger.dk.
• Scriptet "OS2BorgerPC - Installer Okular som standard PDF-program" køres ikke som en del af opgraderingen.

Hvis man ønsker at ændre nogle af disse indstillinger, kan det gøres ved hjælp af de relaterede scripts.

Sådan opgraderer du en OS2borgerPC Kiosk

Herunder beskrives opgraderingsprocessen for OS2borgerPC Kiosk:

1. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 1". Det skal stå som udført.

2. Kør scriptet "22.04 opgradering - Opgradering til Ubuntu 22.04 trin 2". Det skal stå som udført. Dette script opdaterer computeren og kan tage op til 30 minutter, hvis computeren ikke er blevet opdateret i længere tid. Hvis det fejler med en besked ala “Unable to acquire dpkg frontend lock…”, er det fordi computeren er ved at køre automatiske opdateringer. Vent 5 minutter og prøv at køre scriptet igen. Hvis det fejler med en besked om “uopfyldte afhængigheder” kan det ofte løses ved at køre scriptet igen.

3. Genstart computeren fx via scriptet "System - Genstart computeren NU"

4. Kør scriptet "22.04 opgradering - Kiosk Opgradering til Ubuntu 22.04 trin 3". Det skal stå som udført. Dette script udfører selve opgraderingen og kan tage op til en time.

5. Kør scriptet "22.04 opgradering - Kiosk Opgradering til Ubuntu 22.04 trin 4". Dette script udfører de sidste justeringer. Det skal stå som udført.

6. Maskinen er nu opgraderet til Ubuntu 22.04

Scriptet til "reparation" af de maskiner, hvor der blev klikket ja til opgraderingen, hedder “22.04 opgradering - Reparer tidlig opgradering”. Dette script indfører de samme indstillinger som den almindelige opgraderingsproces.

Hvis der blev klikket ja til opgraderingen, vil maskinen have mistet forbindelsen til admin-sitet som følge heraf, hvilket bl.a. forhindrer kørsel af scripts. Dette problem er blevet udbedret på de fleste påvirkede maskiner, men løses på følgende vis, hvis I stadig har påvirkede maskiner:

1. Log ind som superuser

2. Åbn en terminal (Ctrl-Alt-t)

3. Skriv “sudo pip install os2borgerpc-client” (uden citationstegn)

4. Tryk “Enter”

5. Indtast superuser-password (Det vil ikke blive vist). Hvis I ikke har sat egen adgangskode, kan I finde standard-adgangskoden i BorgerPC-installationsguiden.

6. Tryk “Enter”

Herefter vil maskinen igen have forbindelse til admin-sitet, og I vil kunne køre scriptet til “reparation”.

Skriv endelig til os, hvis I har spørgsmål til opgraderingen, eller hvis der mod forventning skulle opstå problemer som følge af opgraderingen.

Venlig hilsen
OS2borgerPC-teamet

Kære alle brugere af OS2borgerPC

Vi har netop frigivet en ny version af OS2borgerPC-adminsitet med nye funktioner:

• Det er blevet muligt at sætte totrinsbekræftelse (to-faktor login) op ved login til superuser på en OSBorgerPC eller en OS2borgerPC Kiosk. Tak til John og Hvidovre for at samfinansiere.

• Under "Computere" kan man nu klikke på en tilføjet "Gruppe" for at navigere derhen

• og under "Grupper" kan man nu tilsvarende klikke på en tilføjet "Computer" for at navigere derhen

• Siden "Versioner" er blevet en redesignet og skulle nu gerne være mere intuitiv.

• Når en fil er uploadet som parameter til et "Tilknyttet Script", kan man nu klikke på den for at downloade filen

Vi har desuden fra nogle brugere hørt om et problem i forbindelse med låsning af computeren (menupunktet over sluk/genstart øverst til højre), hvor mapper i hjemmemappen pludselig har manglet, eller genveje på skrivebordet ikke har virket efter computeren har været "låst". Oplever man dette, vil vi anbefale at køre scriptet "OS2borgerPC - Fjern lås fra menuen". Denne funktion indbygges i fremtidige images.

Totrins login
Lidt mere om totrins-login: Funktionen slår tidsbaseret totrinsbekræftelse til for superuser, ved login på en borgerPC.

Gå først ind på siden "Totrinsbekræftelse" i menuen til venstre på adminsitet for at se processen for at slå totrinsbekræftelse til.

Når du har genereret en sikkerhedsnøgle på ovenstående side, skal dette script køres med sikkerhedsnøgle som det andet parameter.

Fra næste login vil der nu for superuser være et ekstra skridt i loginprocessen efter koden, hvor der skal indtastes totrins-koden.

Tager det ikke effekt øjeblikkeligt efter logud, så genstart maskinen.

Inputparametre

1. Aktivér?: 'ja' slår totrinsbekræftelse til, 'nej' slår det fra.

2. Sikkerhedsnøgle: Sikkerhedsnøglen som totrinsbekræftelse-systemet internt har brug for.

Samme sikkerhedsnøgle for flere computere betyder, at du kan logge ind på flere computere med samme totrins-koder, fremfor at hver computer skal tilføjes individuelt til din totrinsbekræftelse-app.

Det kan også være relevant at køre scriptet "OS2borgerPC - Ændr login-timeout", da det kan være svært at nå at indtaste kode og totrinsbekræftelse på de 15 sekunder, der normalt går, før der logges automatisk ind på Borger-kontoen.

Har I spørgsmål eller kommentarer, så sig endelig til.

Venlig hilsen Morten

Kære kunder og brugere af OS2borgerPC

Sent mandag (7/3) blev en ny Linux-sårbarhed annonceret. Den fik det mundrette navn CVE-2022-0847 - og bliver derfor i stedet kaldt 'Dirty Pipe'. Sårbarheden giver lokale brugere mulighed for at opnå root-privilegier. Den nye Linux-sårbarhed minder meget om CVE-2016-5195, også kaldet 'Dirty Cow', fra kort før årsskiftet.

I morges kom Ubuntu med en opdatering, der giver jer følgende muligheder:

1. I kan vente på de automatiske sikkerhedsopdateringer fra Ubuntu.
   OS2borgerPC: Automatiske sikkerhedsopdateringer er konfigureret til at blive installeret som standard, og det vil ske inden for de kommende 24 timer.
   Kiosk: Automatiske sikkerhedsopdateringer kan slås til ved at køre scriptet " System - Aktivér automatiske opdateringer" med parametret "sikkerhed". Sårbarheden er ikke kritisk for Kiosk, som normalt kører låst i en browser og uden tastatur.

2. I kan køre scriptet "System - Opdater alt" på alle maskiner.

I begge tilfælde er det vigtigt, at I genstarter PC'erne, for eksempel ved at køre scriptet "System - Genstart computeren NU" eller i forbindelse med den daglige nedlukning.

Sig til, hvis I har spørgsmål.

Venlig hilsen Morten

Kære kunder på OS2borgerPC

Vi har netop frigivet nye versioner, som man via den hostede løsning har adgang til, hvis man abonnerer på 'Versioner' (niveau 2).

De nye versioner (images) er følgende:

• OS2borgerPC 3.1.1
• OS2borgerPC Kiosk 1.1.0

OS2borgerPC 3.1.1 Vi er blevet opmærksomme på en fejl i OS2borgerPC-imaget 3.1.0, som har resulteret i falske sikkerhedsadvarsler. Specifikt har nogle kunder oplevet at få kontinuerlige sudo-advarsler. Disse advarsler skyldes, at systemet identificerer sudo-kørsler under oprettelsen af imaget som nye hændelser. Og det var naturligvis en fejl.

Derfor har vi nu frigivet et nyt image - 3.1.1 - som ikke har det problem. I den nye version er der desuden en række smårettelser.

Det nye image har ikke ny funktionalitet ud over rettelsen ift. sikkerhedsadvarsler.

Derfor anbefales den til nyinstallation, men hvis I allerede har installeret maskiner fra 3.1.0, kan i køre scriptet "System - Fjern sudo fra auth.log", og så vil de falske sikkerhedshændelser stoppe.

OS2borgerPC Kiosk 1.1.0 Vi har omdøbt OS2displayPC til OS2borgerPC Kiosk for at fjerne eventuel sammenblanding med OS2display, der er en anden løsning.

Imaget har ikke ny funktionalitet, men alle pakkeversionerne er nye, så der vil være langt færre opdateringer at hente efter installationen.

Til de nørdede: Man kan følge med på GitHub, hvor der er teknisk information om nyeste releases, hvor man også kan få et indblik i noget af den kommende funktionalitet: https://github.com/OS2borgerPC/image/blob/master/NEWS.rst https://github.com/OS2borgerPC/server_image/blob/master/NEWS.rst

Det samme er gældende ift. scripts her: https://github.com/os2borgerPC/os2borgerpc-scripts

Har I spørgsmål, så tøv ikke med at tage fat i os

Venlig hilsen på vegne af OS2borgerPC-teamet Morten Kjærsgaard