Graphene OS

Nachdem ich schon seit 2012 auf meinen Mobilgeräten Android Custom ROMs (zuerst Cyanogen Mod auf Huawei Y300, später Lineage OS auf Motorola und Samsung) betreibe wird es nun langsam Zeit, hier etwas aufzurüsten .
Und nach einigen Recherchen fiel meine Wahl auf ein gebrauchtes (ca. 1,5 Jahre altes) Google Pixel 7, denn (nur) auf den Pixel Geräten ist Graphene OS verfügbar.
Ausgerechnet Google, wird sich mancher fragen, ein Produkt des Datenkraken für das sicherste OS ??
Ja, genau, denn es gibt dafür handfeste Gründe, siehe z.B. den Kuketz Blog .
Und ja, ich wollte den ‘Goldstandard’, also blieb nur diese Wahl.
Natürlich hätte ich auch ein anderes Modell wählen können, aber das Pixel 7 wird aktuell um die 250€ gehandelt (das ist so etwa das Limit dessen was ich für ein Handy auszugeben bereit bin) und es sollte in absehbarer Zeit für mich ausreichen, ausserdem ist es das erste Pixel das 7 Jahre Firmware-Updates erhält, ein wichtiger Punkt.
Zur Installation:
Entgegen meiner sonstigen Gewohnheiten (und auch weil es so etwas sonst nur noch für /e/" OS gibt) entschied ich mich diesmal für den Web Installer und nicht für die CLI Variante .
Warum ? - ich wollte einfach mal sehen, ob das wirklich n00b -tauglich ist, und ich hatte auch keine Lust, den ganzen Android Kram (SDK, TWRP, adb, fastboot..) zu installieren, von dem ich noch dazu die aktuellsten, nicht im PC OS (Debian 12) enthaltenen Versionen hätte verwenden (und nachher wieder deinstallieren) müssen.
Also gesagt, getan: vorab die Systemvoraussetzungen geprüft (vor allem schon beim Kauf gecheckt, ob der OEM Unlock funktioniert !) und dann los.
Und was soll ich sagen:

  • es ist wirklich easy, sofern alle Voraussetzungen gegeben sind, siehe Doku
  • fast ebenso wichtig ist m.E. die Möglichkeit der Rückkehr zum Factory OS, ohne TWRP Sicherung o.ä.

Nach der Installation wird man dann vom sozusagen nackten Graphene begrüsst, mit nur ganz wenigen essentiellen Apps.
Das ist aber nicht schlimm, sondern sogar gut, ich habe es immer gehasst, wenn da gleich alles mit irgendwelchen Schrott Apps (z.B. MS Office ! ) zugemüllt ist, die man teilweise sogar nur schwer oder gar nicht los bekommt .
Also ist der erste Schritt, via Browser das apk von F-Droid herunterzuladen und zu installieren (Installation aus Fremdquellen in den Einstellungen erlauben). Und dann von dort die wichtigsten Apps zu installieren.
Hier ist meine Liste:

Aurora Store - Play Store Apps ohne Play Store :-)
Cirrus Wetter
DAVx5 - CalDav / CardDav
Duorem - Wake on LAN
Element - Matrix Messenger
F-Droid - (Google-)freier App Store
Read You - RSS Reader
Fennec - mobiler Firefox
Ftp Server
Immich - private Bilder Cloud
K9 Mail - bester mobiler MUA :-)
Keepass DX - Passwort Store
Libreoffice Dokumentenbetrachter
simple Markdown - Markdown Editor /" Viewer
Mupdf Viewer - PDF Viewer
Newpipe - Youtube Frontend
Openkeychain - GPG /" PGP Frontend
Osmand - Open Street Map Navi
ownCloud - private Cloud
Qalculate - Rechner
QR & Barcode Scanner - incl. Link Weiterleitung
Radio Droid - Internet Radio
Screenshot Tile - Bildschirmfotos
Screenstream - Handy Display auf dem PC darstellen
Send Reduced - Bilder verkleinert senden
simple Filemanager Pro - Dateimanager
simple Text Editor
Syncthing Fork - wie rsync
Telegram FOSS - Telegram Messenger
Wireguard Tunnel - VPN Tunnel

Der nächste Schritt wird nun sein, das ausgefeilte Sandbox Profil System von Graphene OS zu nutzen, um z.B. die wenigen Apps aus dem Google Play Store, die via Aurora Store nicht richtig funktionieren (weil sie die Google Play Services benötigen), in einem eigenen Profil einzusperren, so dass sie keinen Zugriff auf das restliche System haben und damit nur sehr wenige Daten an Google oder andere Datenkraken weitergeben können.
Für meinen Bedarf sind das vorerst Google Maps und Google Docs (vor allem Sheets), evtl. noch Signal (da bin ich noch unschlüssig ob ich das aus dem Aurora Store oder von Google Play nehmen soll), als Beispiel werde ich mich an codingblatt.de orientieren - aktuell habe ich ein Admin-, ein Arbeits- und ein Google-Profil angelegt.

29.10.24: Inzwischen wurde dieses Setup durch ein privates Profil ersetzt, das ist einfacher zu handhaben .
Hierzu wird es ggf. später hier noch ein Update oder auch einen eigenen Blogpost geben.

Related Articles