Shift OS-l, Reihenfolge einer sinnvollen Installation möglichst auf Datenschutz und Sicherheit bezogen.

[NoG....eFan]

Wie im Titel geschrieben. Ich komme immer wieder durcheinander wann man welche Apps oder wann man das Wlan aktiviert, oder wann man seine AKP´s installiert (Optainum) Ist F-Droid noch sinnvoll wenn es doch jetzt Droid-ify gibt. Wann installier ich mir Droid-ify? Wann MicroG? Wann Optainum (Dank an @Dwain Zwerg für die tolle Anleitung)? Wann VPN usw. Irgendeine Routine übersehe ich immer wieder. Gibt es denn überhaupt eine sinnvolle Routine für eine gute Installation?

 

[Dwain Zwerg]

1. Wenn man Obtainum nutzt, benötigt man keinen F-Droid-Client mehr. Obtanium ist dann dein F-Droid-Client („App hinzufügen“ > „Suche (nur für bestimmte Quellen)“ > „Suchen“ > „Offizielles F-Droid-Repo“ und/oder „F-Droid-Drittanbieter-Repo“ > „x wählen“ > App auswählen > „Auswählen“; es gibt auch ein Skript für Grase-/Violentmonkey, um sich auf der F-Droid-Website einen QR-Code anzuzeigen).
2. Ich würde nur Accrescent, Obtainium und den Aurora Store (weil es um das Projekt schlecht steht, wird laut einer Benachrichtigung auf der Website Werbung eingeblendet; ich habe davon aber auf einem Browser ohne Werbeblocker nichts gesehen) nutzen.
3. Ich persönlich mache es so:
   • Im Main-Profil sind Aegis (Zweifaktorauthentifizierung; habe ich für alles, wo es möglich ist), AppVerifier (um App-Signaturen bei der Erstinstallation zu überprüfen hilfreich; kompatibel mit Obtainium), Aurora Store, AusweisApp, Postbank BestSign, Brave (der Browser ist der sicherste und datenschutzfreundlichste Browser für OS-l; muss noch extrem nachgehärtet/umgestellt werden), Breezy Weather, FOSS-Warn, fWallet, K-9 Mail, Shift-Kamera, LoveLaceAV, MagicEarth v. 7.1.25.18.C9FB8CE8.6141AA41 (die neueren Versionen sind kostenpflichtig und es gibt noch keine datenschutzfreundliche Erwerbungsmethode), Molly FOSS, MyPhoneExplorer Client, ntfy (ich würde eher SunUp empfehlen, weil die Smartphone-Unterstützung von nfty eingestellt wurde), Obtainium, Öffi, PayPal, RethinkDNS, Sherpa TTS Engine, WhatsApp und viele weitere Apps installiert.
   • Im zweiten Profil sind Aurora Store, frænk, Google Play Spiele, microG Companion, microG Services Framework Proxy (für die Installation muss man per ADB bypassen), microG Dienste, Obtainium und TK installiert, weil sie allesamt Google benötigen. Das zweite Profil wird also nicht durch RethinkDNS gefiltert. Das wäre bestimmt auch keine schlechte Idee, aber dafür hatte ich bislang keinen Nerv.
4. Brave sollte man imho folgendermaßen härten (womöglich für deinen use-case nicht abschließend/vollständig oder zu einschränkend):
   1. Brave Datenschutz und Sicherheit
      1. Tracker & Werbung blockieren (aggressiv)
      2. AMP-Seiten automatisch umleiten
      3. Verbindungen auf HTTPS upgraden
      4. Cookies blockieren > Drittanbieter-Cookies blockieren
      5. Fingerprinting blockieren > an
      6. Fingerprinting über die Spracheinstellungen verhindern > an
      7. Kontaktinformationen für zukünftige Meldungen von defekten Websites speichern > aus
      8. Inhaltsfilter:
         1. Fanboy's Annoyances + uBo Annoyances
         2. Fanboy's Social
         3. Fanboy's Mobile Notifications
         4. YouTube Mobile Distractions
         5. YouTube Recommodations
         6. YouTube Anti-Shorts
         7. Bypass Paywalls Clean Filters
         8. AdGuard URL Tracking Protection Filters
         9. EasyList Germany
         10. Brave Twitch Adblock Rules
      9. Vergiss mich, wenn ich diese Seite schließe > an
      10. Daten beim Beenden löschen > an
      11. Facebook-Anmeldungen und eingebettete Posts erlauben > aus
      12. Eingebettete Twitter-Nachrichten erlauben > aus
      13. In LinkedIn eingebettete Beiträge erlauen > aus
      14. Safe Browsing > an (wenn möglich)
      15. Website die Abfrage gespeicherter Zahlungsmethoden erbauen > aus
      16. Unaufhaltsame Domains > Fragen
      17. Ethereum Name Service > alles aus
      18. Solana Name Service > alles aus
      19. Sicheres DNS > aus (weil bei mir über Rethink DNS gelöst (ansonsten gibt es auch noch die Systemeinstellungen)
      20. Java Script-Optimierungen und -Sicherheit > v8 engine aus
      21. Cookie-Einwilligungshinweise blockieren > aus
      22. „Do Not Track“-Anfrage senden > aus
      23. Erlaubt Produktanalyse, die den Datenschutz respektiert (P3A) > aus
      24. Automatisch Diagnoseberichte senden > aus
      25. Ping der täglichen Nutzung an Brave senden > aus
      26. Allow Brave surveys > aus
   2. Brave News: Überprüfen, ob alles deaktiviert ist
   3. Leo: Alles deaktivieren
   4. Suchmaschinen
      1. Andere Suchmaschinen indizieren
   5. Website-Einstellungen
      1. Standort> Zuerst fragen
      2. Kamera > Zuerst fragen (über die Android-Einstellungen blockiert)
      3. Mikrofon > Zuerst fragen (über die Android-Einstellungen blockiert)
      4. Benachrichtigungen > Alle Anfragen minimieren
      5. Bewegungssensoren > Blockiert
      6. NFC-Geräte > Blockiert
      7. USB > Blockiert
      8. Serieller Port > Blockiert
      9. Dateien berabeiten > Zuerst fragen
      10. Zwischenablage > Blockiert
      11. Virtual Reality > Blockiert
      12. Augmented Reality > Blockiert
      13. Drittanbieter Cookies blockieren
          1. Ähnliche Website dürfen meine Aktivitäten in der Gruppe sehen > aus
      14. Pop-ups und Weiterleitungen > Blockieren
      15. Geschützte Inhalte > Zuerst fragen
      16. Auto-Downloads > Zuerst fragen
      17. JavaScript-Optimierung und -Sicherheit > v8 engine aus
      18. Autoplay > Blockiert
      19. Google-Anmeldung > Blockiert
      20. Localhost-Zugriff > Blockiert
      21. Berechtigungn automatisch entfernen > ein
   6. Medien
      1. Empfohlene YouTube-Inhalte blockieren > ein
      2. Ablenkende YouTube-Elemente blockieren > ein
      3. YouTube Shorts blocken > ein
   7. Darstellung
      1. Brave Rewards-Symbol > aus
      2. Brave-Werbung > aus
   8. Neuer-Tab-Seite
      1. Show New Tab Page Ads > aus
   9. In die Adresszeile brave://flagseingeben
      1. Enable Brave Rewards verbose logging > Disabled
      2. Always show rave Rewards custodial connection options > Disabled
      3. Enable Brave Rewards self-custody connections options > Disabled
      4. Show an animated background on the Rewards UI > Disabled
      5. Enable Brave Wallet > Disabled
      6. Enable Brave ZCash support > Disabled
      7. Enable Brave Wallet Bitcoin support > Disabled
      8. Enable Ankr balances > Disabled
      9. Enable transactions simulations > Disabled
5. In RethinkDNS sind folgende geräteinterne Filterlisten eingeschaltet: https://max.rethinkdns.com/1:eH8zAAoMZ4qv_ag_AAUIQgAMCACAIAAQ. Als DNS-Server habe ich (in RethinkDNS) keweon eingerichtet, nicht den von Rethink (ansonten würde ich die Filter ja auch irgendwie zweimal anwenden und da ist mir der Sinn nicht ganz klar). Hier die RethinkDNS-Config.

 

[NoG....eFan]

@Dwain Zwerg , Wow, krass. Vielen Dank dafür. Dafür hätte ich eine Woche mit meinem 1 Finger Adlersuchsystem gebraucht, vorraus gesetzt ich hätte dein Wissen.. Jetzt fehlt mir nur noch "wann gebe ich meine Wlan Daten ein , wann lege ich meine Sim-Karten ein. Wie und wann kann ich verhindern das der Datendieb beim esten einschalten des Handy´s (online gehen) auf mein Handy zugreift. Ja ich weiss, Captive-Portal-Check (Kuketz), mit oder ohne Sim-Karte? Liege ich richtig wenn ich mir mit einem anderen Phone die Benötigten Aps als APK´s sicher und dann auf mein Smartphone lade und ohne Internetverbindung installiere? Ich möchte einfach versuchen den 1. Kontakt mit der Krake zu verhindern. Fragen über Fragen. Aber wer nicht fragt stirbt dumm hat man mir mal gesagt.

 

[Dwain Zwerg]

Ansonsten habe ich den Captive-Portal und den NTP-Server per ADB geändert. Ja, du hast Recht. Es macht Sinn erst, ohne Internet einzurichten und erst später (nach dem Umstellen) das Internet hinzuzufügen. Weil ich die Seedvault-Sicherung eingespielt hatte, und da die Internetkonfiguration mitgeliefert wurde, hatte ich die Möglichkeit nicht mehr.

Hm. Ich glaube nicht, dass es einen Unterschied macht, wenn du nachher anonym den Aurora Store startest, dass du vorher die APKs gesichert hast. Wenn du den Aurora Store von da an nicht mehr nutzen möchtest, wäre das was, ja. Allerdings werden die Apps dann auch nicht mehr aktualisiert → Sicherheitslücke.

 

[Umaro]

1. Ich persönlich mache es so:
   • Im Main-Profil sind Aegis (Zweifaktorauthentifizierung; habe ich für alles, wo es möglich ist),

Danke für die sehr ausführliche Beschreibung!

Mir ist das insgesamt viel zu viel an Details, aber ich habe mir ein paar Sachen rausgesucht, die für mich sinnvoll erscheinen. Vor allem benutze ich jetzt erstmals mit Android auch zwei Profile: eins nur mit freier Software und eins mit microG und ein paar Anwendungen, die das offenbar brauchen.

 

[NoG....eFan]

Ich habe heute mal meine installierten Apps (in Iode GSI) von Exodus auf Tracker prüfen lassen. Da bin ich aber richtig erschrocken weil in MicroG-Dienste doch tatsächlich 5 (fünf) Tracker von der Datenkrake G.... angezeigt werden. G-AdMob, - G-Analytics, - G- CrashLytics, G-Firebase Analytics und G- Tag Manager. Muss ich mir Sorgen machen? Zumal die Warnstufe rot angezeigt wird. F-Droid hat auch 1 Tracker (ACRA (Crash reporting)) aber der wird wenigstens in der Warnfarbe gelb angezeigt. Kann jemand zur Aufklärung beitragen?

 

[Revan335]

Vielleicht werden die wegen dem Nachbau als solches erkannt oder benötigt aber nicht aktiv

 

[Dwain Zwerg]

Genau. Der Nachbau trackt natürlich so wenig wie möglich, aber so viel wie nötig. Dafür gibt es ja die einzelnen Einstellungen, um in microG das richtige Trackinglevel einzustellen, dass alle Apps funktionieren, aber dennoch so wenig wie möglich an Google gesendet wird.
Der F-Droid-Tracker ist ein Open-Source-Crash-Reporting-Tracker, der nach einem Absturz fragt, ob das von ihm erzeugte Log per Mail an F-Droid gesendet werden soll.

 

[NoG....eFan]

Kann mir bitte jemand auf die Sprünge helfen? Ich bekomme das mit dem Captive Portal Controller irgendwie nicht gebacken. Ich will mir ein 8.1er möglichst G....e frei einrichten. Das 8.1 (genannt 1) ist ohne Sim-Karte und ohne SD-Karte eingeschalten worden. Dann habe ich mir den C P Controller von einem anderen 8.1 er als APK auf das erste Phone installiert (noch keine Verbindung ins Netz). Muss ich mich irgendwo anmelden? Was trage ich wie in diese 4 Zeilen ein? Muss ich die Anführungszeichen und Apostroph ebenfalls setzen? Im C P Controller ist ja schon etwas eingetragen. Muss/Kann ich das aktivieren. Da leider wieder auf Englisch fehlt mir trotz Übersetzer der Durchblick. Bei Kuketz ist das Thema leider sehr kurz gehalten. Was hat es mit dem dnsforge.de auf sich? Wann kann ich ins Netz und wann kann ich meine Sim-Karte einlegen ohne das G....e das sofort mitbekommt?

 

[Dwain Zwerg]

Ich würde NTP-Server (natürlich nicht asia.pool.ntp.org, sondern de.pool.ntp.org) und Captive Portal per ADB (die Anführungszeichen in der Anleitung von kuketz sind falsch; doppelte Anführungszeichen statt einfache verwenden). Das funktioniert reibungslos. Mit der App habe ich mich noch nie beschäftigt.

 

[NoG....eFan]

Ich kriegs einfach nicht hin! Muss ich das ganze im Bootloader (Grünes Start) oder in fastboot eingeben. Muss ich die kompletten Zeilen eingeben?
also: adb shell "settings put global captive_portal_http_url "http://captiveportal.kuketz.de""
Sorry für mein Unwissen.

 

[Dwain Zwerg]

Nein. Einfach ganz normal über ADB. Nicht über fastboot, nicht über fastbootd, nicht über Recovery.

 

[NoG....eFan]

Ich kriegs einfach nicht hin!

Ich finde den Fehler einfach nicht. ADB geöffnet. 8.1er im Bootloadermodus an den Win11 Rechner, die Zeile

adb shell "settings put global captive_portal_http_url "http://captiveportal.kuketz.de""

eingegeben, Resultat ist immer no devices/emulators found

 

[da_ni]

Nicht in den Bootloader-Modus, das Gerät ist für ADB ganz normal an, im regulären Betriebssystem.

 

[NoG....eFan]

@da_ni danke dir schonmal, immer wenn ich ADB lese, denke ich an ADB/Fastboot . Also dann auf ein neues .

 

[da_ni]

Ins normale OS booten und anmelden. In den Entwickleroptionen USB Debugging aktivieren, falls Du das noch nicht gemacht hast. Dann rufst Du in der Kommandozeile mal

> adb devices

auf. Wenn da ne Seriennummer SP8... und danach unauthorized steht. sollte spätestens jetzt das Phone was von wegen Autorisierung des PCs sagen, was Du bestätigst. Danach nochmal adb devices ausführen, dann sollte da wieder die Seriennummer SP8... und danach device stehen.

Jetzt kannst du Kram wie NTP-Server und Captive Portal URL setzen.

 

[NoG....eFan]

Oh mann, jetzt merke ich doch langsam meine fast 70 Jahre. Vielleicht sollte ich mir doch ein Hobby suchen das weniger anspruchsvoll ist. Katzensitter oder sowas in der Richtung. Aber im Ernst, es hat geklappt. In ADB wird mir das jetzt als Erfolg angezeigt. Kann man das auch im 8.1 Normalbetrieb nachschauen? Also ohne ADB.

 

[da_ni]

Kann man das auch im 8.1 Normalbetrieb nachschauen? Also ohne ADB.

Nö, höchstens indirekt indem man ne Firewall wie Rethink instaliert und sich die Netzwerkverbindungen anschaut.

Du kannst aber jederzeit mit ADB kontrollieren, z.B. mit

> adb shell settings get global ntp_server

für die NTP-Server Einstellung. Wenn man ADB ein-, zweimal genutzt hat, ist das nicht mehr so einschüchternd.

Neustart des Phones solltest Du nach den Änderungen übrigens noch machen.

 

[NoG....eFan]

Danke, letzte Frage. Bleiben die Einstellungen gespeichert, oder muss ich die (ausser bei einem Werksreset) erneuern (z.B. Bei einem Neustart)?

 

[da_ni]

Die bleiben erhalten. Überleben auch ein OTA-Update, habe ich nach dem August OS-L OTA extra überprüft.

 

[NoG....eFan]

Danke dir ganz herzlich.
Update: Jetzt komme ich allerdings garnicht mehr ins Netz, weder ins Internet noch kann ich telefonieren. In ADB werden mir alle Eingaben laut Kuketz als korrekt bestätigt. NTP und Captive Portal (kuketz.de) Wenn ich F-Droid Paketquellen aktualisieren will, kommt immer die Frage besteht eine Internetverbindung? In der Statusleiste ganz oben ist das Wlan symbol mit vollem Feld angezeigt. Klar, im zweifelsfall kann ich auf Werkseinstellungen zurücksetzen. Aber jetzt bin ich schon mal soweit gekommen ...... Aufgeben will ich noch nicht. Ich habe ja auch noch mein IODE GSI 8.1er. Jemand eine Idee?

 

[da_ni]

Kann mit den gemachten Änderungen eigentlich nix zu tun haben, habe die bei mir auch laufen (NTP ist auf de.pool.ntp.org umgebogen, Captive Portal auf die kuketz URL).

Haste nen VPN (WireGuard o.a.) eingerichtet, bist nicht verbunden, hast aber Block conections without VPN aktiviert? Oder ist was mit deinem DNS los? Was hast Du bei Private DNS eingestellt?

Im Zweifelsfall, geh mal in die Netzwerkdetails von Deinem W-LAN, lösch es (Netzwerk "vergessen"), und richte es nochmal neu ein.

 

[NoG....eFan]

Kann mit den gemachten Änderungen eigentlich nix zu tun haben, habe die bei mir auch laufen (NTP ist auf de.pool.ntp.org umgebogen, Captive Portal auf die kuketz URL).

Wird alles als korrekt in ADB angezeigt.

Haste nen VPN (WireGuard o.a.) eingerichtet, bist nicht verbunden, hast aber Block conections without VPN aktiviert?

Nein.

Oder ist was mit deinem DNS los? Was hast Du bei Private DNS eingestellt?

Hatte erst dnsforge.de eingetragen. Aber dann doch wieder auf Automatisch gestellt. In beiden Fällen kein Kontakt zum I-Net.
Deinen letzten Vorschlag werde ich noch erledigen.
Habe das W-Lan gelöscht und meine Zugangsdaten nach einem Neustart neu eingetragen. Übrigens, meine Sim wird auch erkannt.

 

[NoG....eFan]

Telefonie klappt jetzt. Nur ins Internet komme ich immer noch nicht nicht. F-Droid fragt mich immer "Besteht eine Internetverbindung"

 

[da_ni]

Klemm das Gerät nochmal an ADB und sag mir mal was der Output für

> adb shell settings get global captive_portal_https_url

und

> adb shell settings get global captive_portal_http_url

ist.

 

[NoG....eFan]

https://captiveportal.kuketz.de

http://captiveportal.kuketz.de

Natürlich ohne das W-Lan symbol

 

[da_ni]

Hrm. Mach die mal beide rückgängig per

> adb shell settings delete global captive_portal_http_url
und
> adb shell settings delete global captive_portal_https_url

Dann nen Neustart und schauen, ob Du dann wieder ins Internet kommst.

 

[Dwain Zwerg]

Wenn du jetzt schon RethinkDNS eingerichtet hast, kann die nicht vorhandene Konnektivität daher rühren, dass die neuen Beta-Versionen seit 08-2025 im Produktivbetrieb nicht einsetzar sind, weil sie arg instabil sind. Nutze am besten die Version n (45) (F-Droid).

 

[NoG....eFan]

Wenn du jetzt schon RethinkDNS eingerichtet hast, kann die nicht vorhandene Konnektivität daher rühren, dass die neuen Beta-Versionen seit 08-2025 im Produktivbetrieb nicht einsetzar sind, weil sie arg instabil sind. Nutze am besten die Version n (45) (F-Droid).

RethinkDNS habe ich nicht installiert (muss ich das ?) Ich komme ja nicht ins I-Net somit auch nicht zum F-Droid Store.

Hrm. Mach die mal beide rückgängig per

> adb shell settings delete global captive_portal_http_url
und
> adb shell settings delete global captive_portal_https_url

Dann nen Neustart und schauen, ob Du dann wieder ins Internet kommst.

Das versuche ich jetzt mal. Wenn das auch nicht klappt mache ich mal einen Full Wipe, und wenn das ebenfalls nicht klappt installiere ich mir mit UB-Ports Installer ShiftOS-L komplett neu.

 

[NoG....eFan]

Ergebniss des löschens in ADB = Deleted 1 rows .und das 2x hat auch nichts gebracht. Also setze ich erstmal das Smarty zurück.
Update: Mit zurücksetzen komme ich wieder ins I-Net