Heute war mir Xubuntu 16.04.2 für meinen Gaming-Rechner dann doch zu alt, auch wenn es ein solides System ist. Also mal eben das Update auf Xubuntu 17.04 eingespielt. Wie gewohnt ist das schnell und problemlos durchgelaufen, nur war ich danach erstmal offline. Statt produktiv zu arbeiten also erstmal Troubleshooting.

NetworkManager wiederbeleben

Der NetworkManager verwaltet nach dem Upgrade die Netzwerkkarte nicht.

Auf meinem kurz zuvor ebenfalls von Xubuntu 16.04.2 auf 17.04 aktualisierten Notebook trat das Problem ebenfalls auf, allerdings hatte ich hier noch WLAN und war nicht auf das LAN angewiesen. Hier habe ich versucht, dem NetworkManager wieder auf die Sprünge zu helfen. Das Applet gibt bereits den entscheidenden Hinweis auf das Problem: „Gerät wird nicht verwaltet“.

Die Lösung ist recht einfach und stammt aus dem Wiki von Ubuntuusers.de: Man erzeuge mit root-Rechten eine Datei 10-globally-managed-devices.conf im Verzeichnis /etc/NetworkManager/conf.d/:

sudo touch /etc/NetworkManager/conf.d/10-globally-managed-devices.conf

Die Datei regelt systemweit, welche Geräte der NetworkManager verwaltet. Nach einem Neustart des NetworkManagers fühlt sich dieser dann auch wieder für die LAN-Schnittstelle zuständig:

sudo service network-manager restart

NetworkManager in Rente schicken

Alternativ kann man den NetworkManager auch gleich in Rente schicken, eine Lösung, die ich auf meinem Desktop-Rechner ausprobiert habe. Eine kleine Websuche hat dazu einen hilfreichen Beitrag von HerrTaschenbier bei askubuntu.com zutage gefördert, der den Wechsel von NetworkManager zu systemd-networkd beschreibt.

Die Anleitung funktionierte bei mir ganz prima, deshalb will ich sie hier nicht wiederholen. Zwei Dinge habe ich anders gemacht: Um alles jederzeit wieder rückgängig machen zu können, habe ich die Datei /etc/resolv.conf nicht gelöscht, sondern nur umbenannt. Und das Network-Manager-Applet in der Leiste verschwand bei mir erst, nachdem ich den NetworkManager mit

sudo systemctl stop NetworkManager.service

angehalten und den Dienst mit

sudo systemctl disable NetworkManager.service

deaktiviert habe. Die LAN-Verbindung steht jetzt wieder, allerdings habe ich kein Applet, das beruhigend zeigt, dass ich online bin. Weiß irgendjemand dafür eine Lösung?

Gnome ist wieder da. Nach vielen Querelen in Folge der Neuausrichtung, die viele Abspaltungen nach sich zog, hat die originale Gnome-Oberfläche wieder eine gute Balance gefunden. Die Gnome-Shell wirkt wieder attraktiv – und wird so auch immer öfter wieder zur ersten Wahl. Dass nun auch Ubuntu wieder auf originales Gnome setzen will, beweist es.

Das Gnome-Projekt ist seit der Einführung der Gnome-Shell viel gescholten worden. Das lag an zwei Dingen: einerseits am nahezu kompromisslosen Vereinfachungsparadigma, andererseits am davon beflügelten Über-Bord-Werfen von bewährten Konzepten.

Dafür merkt man an jeder Ecke, dass sich da jemand wirklich Gedanken gemacht hat. Die Gnome-Macher sind innovativ. Sie fragen sich in erster Linie, wie man die PC-Bedienung für den Nutzer optimieren kann, die tägliche Arbeit mit dem Computer so eingängig wie möglich gestaltet – und nicht nur, wie man Gewohntes auf moderne Weise umsetzt. Gewohntes, das zwar viele kennen, aber das vielleicht gar nicht das Optimum in der Computerbedienung darstellt, sondern einfach nur vertraut wirkt.

Mut zu eigenen Wegen

Gnome ist sichtbar etwas Eigenes, keine hundertste CDE-, Mac- oder Windows-Inkarnation. Wer zum Beispiel Schnellzugriff-Listen oder Favoriten-Ordner vermisst, wird schnell feststellen, dass er sie in Gnome eigentlich gar nicht braucht. Denn die Verzahnung der Desktop- bzw. Dateisuche ist deutlich komfortabler und intuitiver, als es manuelle Favoriten sein können.

Während andere Linux-Desktops die Windows-Taste, die heute faktisch auf jeder Tastatur zu finden ist, lange Zeit einfach ignorierten, wurde sie bei Gnome zum zentralen Bestandteil der Bedienung. Dass die „Windows“-Taste dann tatschlich (auch) die Fenster-Übersicht hervorzaubert, also das Windows-Logo für die Zwecke von Linux quasi umdeutet, macht die Angelegenheit nur noch sympathischer.

Den gesamten Bildschirm auch als eine Art Startmenü zu nutzen, statt es in ein kleines Feld an irgendeiner Leiste zu quetschen, gab es für den Desktop ebenfalls zuerst bei Gnome.

Fehlentwicklungen

Natürlich besteht dabei das Risiko, dass es auch mal zu Fehlentwicklungen kommt, die zwar in der Theorie sinnvoll erscheinen, von den Nutzern aber überhaupt nicht angenommen werden. Das birgt zugleich die Gefahr, dass viele, die dann anderes von einer Desktopumgebung erwarten, Gnome den Rücken kehren und zu anderen Oberflächen wechseln.

Von absoluter Kompromisslosigkeit kann aber auch längst nicht mehr die Rede sein. Was für gut erachtet wird, wird konsequent beibehalten, aber wenn sich Lösungen nicht bewähren, dann werden sie auch wieder abgeschafft und durch Alternativen ersetzt, der Desktop in dieser Hinsicht weiterentwickelt. Das war etwa beim standardmäßig ausgeblendeten Abschaltknopf der Fall oder bei der Umbelegung der Entfernen-Taste im Dateimanager.

Eine Spatial-Modus-Debatte (jeder Klick auf einen Unterordner öffnet ein neues Fenster), wie zu Gnome-2-Zeiten, die vorübergehend den Browser-Modus mit Vor- und Zurück-Pfeilen im Dateimanager ersetzte, muss man daher nicht mehr befürchten.

Zugehen auf Traditionalisten und Individualisten

Gnome hält im Grundsatz weiter stur an seinem aktuellen Konzept fest, ist mittlerweile aber doch flexibler geworden. Wer mit der Standardkonfiguration nicht zurechtkommt oder zurechtkommen will, wird nicht mehr zu seinem Glück gezwungen. Die Einstellungsmöglichkeiten sind umfangreicher geworden, die erweiterten Einstellungen im „Optimierungswerkzeug“ befriedigen Spezialwünsche – und wenn das immer noch nicht reicht, kann man das Erweiterungssystem nutzen, das Gnome wie keine andere Linuxoberfläche den eigenen Vorlieben anzupassen vermag.

Dabei sind einige nützliche Erweiterungen in Gnome sogar schon ab Werk integriert – vornehmlich jene, die es erlauben, die Gnome-Shell wieder wie frühere Versionen mit traditionellem Verhalten aussehen zu lassen und die auch für die Umsetzung des „Gnome Classic“-Modus benötigt werden. So lassen sich altbekannte Elemente auch in der modernen Shell schnell wiederherstellen, die Traditionalisten werden nicht im Regen stehen gelassen.

Wer also gar nicht mit der neuen Bedienphilosophie zurechtkommt, weil er z. B. auf windowsartige Bedienweisen konditioniert ist, der hat inzwischen die Möglichkeit, Gnome ein wenig mehr seinen Bedürfnissen anzupassen. Mit Bordmitteln, aber auch mit einer Vielzahl von internen und externen Erweiterungen.

Die Basics stimmen

Dabei ist die in den Anfängen kritisierte drastische Vereinfachung letztlich nicht so schlimm gekommen, wie es zunächst den Anschein hatte. Die „Basics“ stimmen bei Gnome, die Linux-typischen Eigenheiten sind vorhanden. Alt+F2 zaubert den Befehl-Ausführen-Dialog auf den Bildschirm, die virtuellen Arbeitsflächen sind sogar nicht nur Feature, sondern elementarer Bestandteil der Desktopumgebung. Einen „Systray“ gibt es ebenso weiterhin wie eine Art „Start“-Button. Desktop-Symbole lassen sich einschalten. Die gängigen Tastenkürzel sind ebenfalls da – und der Dateimanager reagiert so, wie man es von ihm erwartet. F2 benennt Dateien um, mit Strg plus Maus wird selektiert, der mittlere Tastenklick öffnet in neuen Tabs, Dateien können über das Kontextmenü sortiert werden usw. Gnome bricht also keineswegs willkürlich mit althergebrachten Lösungen und Vertrautem, sondern unterstützt die klassischen Bedienweisen weiter.

Reifeprozess

Bemerkenswert ist bei aller Innovation und Eigensinnigkeit jedoch auch, dass, wenn die Innovation erst einmal umgesetzt wurde, sie auch konsequent zu Ende entwickelt und weitergedacht wird. Radikal Neues wird bei Gnome nicht alle naselang eingeführt, sondern die neuen Konzepte werden behutsam fortentwickelt. Das war schon bei Gnome 2 zu beobachten, welches recht umfassend mit dem Vorgänger brach, und danach jahrelang stabilisiert und perfektioniert wurde. Gleiches lässt sich nun bei „Gnome 3“, der Gnome-Shell, beobachten – und den zu Gnome gehörenden Anwendungen. Das bringt eine gewisse Verlässlichkeit und auch Planbarkeit mit sich, die vor allem auch manche Distributoren schätzen.

Modernes Linux

Die Gnome-Entwickler waren mutig in jeder Hinsicht: Mutig genug, sich von veralteten Konzepten zu trennen, um etwas Neues auszuprobieren. Mutig genug, um neue Ideen dann auch konsequent umzusetzen. Und mutig genug, um gegen alle Widerstände und heftige Kritik an diesem Kurs weiter festzuhalten, obwohl die Akzeptanz zunächst rapide sank und zahlreiche Forks entstanden. Das hat letztlich zu einer modernen Oberfläche geführt, während die Forks nur Altes erhalten, nachgebaut oder bereits bestehende Konzepte kopiert haben.

Die Entwickler haben, obwohl die Gnome-Shell im Standardfunktionsumfang deutlich reduzierter als frühere oder vergleichbare Entwicklungen daherkommt, den wahrscheinlich visuell und funktional modernsten Desktop für Linux geschaffen, den es momentan gibt. Dass nun auch Ubuntu – selbst immer darum bemüht, Neues auszuprobieren, nach dem Abschied von der Eigenentwicklung Unity wieder auf Gnome setzt, dürfte nicht nur historische Gründe haben. Es ist die logische Wahl – und ein Eingeständnis, dass die Entwickler von Gnome einen exzellenten Job gemacht haben – und weiterhin machen.

Am 19. und 20. August findet in St. Augustin bei Bonn die FrOSCon statt. Für mich ist es mittlerweile eine der Open Source Veranstaltung neben der OpenRheinRuhr und der Ubucon, die ich möglichst nicht verpassen will. Dieses Jahr bin ich so da zum (erst) dritten Mal in Folge.

Das Programm der diesjährigen FrOSCon veröffentlicht. Ich selbst bin dieses Mal mit einem Vortrag und einem Workshop vertreten.

Nicht alltägliche Git-Funktionen

Im letzten Slot am Samstag um 17:45 findet mein Talk mit dem Titel „Nicht alltägliche Git-Funktionen – Committen, Pushen, Mergen kann jeder – aber was gibt es darüber hinaus?“ statt.

Wie der (Unter)Titel schon verrät, geht es hier eben nicht um die alltäglichen Funktionen von Git, sondern die Funktionen, die man eher nicht so oft nutzt und eben auch nicht jeden Tag braucht. Darunter fallen Funktionen wie die Fehlersuche mit Git, das Neuschreiben der kompletten Historie, Wiederherstellen von kaputten und „verlorenen“ Commits und noch einige weitere Funktionen.

Der Talk richtet sich an diejenigen, die Git schon kennen und neue nützliche Kenntnisse in der Nutzung gewinnen wollen. Der Link zum Programmpunkt findet sich an dieser Stelle.

Git-Workshop für Einsteiger

Für die Personen, die noch keine Erfahrung und Ahnung von Git haben, biete ich auch noch einen Einsteiger-Workshop an. Dieser findet am Sonntag von 14 bis 18 Uhr statt. In den vier Stunden wird es einen grundlegenden Einstieg in die Versionsverwaltung mit Git. Konkret fällt darunter: Was ist Git und worin unterscheidet es sich von anderen Versionsverwaltungssystemen? Wie erstelle ich ein Repository und füge Änderungen hinzu? Wie erstelle ich Branches und führe sie wieder zusammen?

Vier Stunden sind wahrlich nicht viel für einen Workshop. Je nach Zeit wird die Arbeit mit Remote-Repositorys auf das nötigste beschränkt. Der Workshop empfiehlt sich daher wirklich nur für die Leute, die wirklich noch nicht die wesentlichen Git Funktionen kennen. Der Link zum offiziellen Programmpunkt findet sich an dieser Stelle.

Der Workshop basiert auf mein Git-Buch. Eben dieses Buch wird auch – wenn nichts dazwischen kommt – nach dem Workshop und nach dem Talk verlost.

Unabhängig von meinen Talk und Workshop lohnt sich natürlich auch ein Blick auf die anderen Vorträge und Workshops im Programm der FrOSCon!

Auf der Suche nach einem Music-Player für Ubuntu? Keine Ahnung wo du suchen sollst? Ich habe euch die 10 besten Music-Player für Ubuntu zusammengestellt – die ich finden konnte. Mit dieser Auswahl könnt ihr loslegen und ausprobieren welcher Audio-Player euch unter Ubuntu am besten gefällt.

Als Unterstützung habe ich jeweils eine PPA und eine Installations-Anleitung angegeben. Damit könnte ihr bequem, die jeweils neueste Version installieren

Audacious

Vorteile

• leichtgewichtig
• sowohl GTK-Skin als auch klassisches Winamp-Skin
• sehr übersichtliche Benutzeroberfläche

Nachteile

• keine Musikbibliothek

Installieren

sudo apt-get install audacious audacious-plugins


Banshee

Vorteile

• guter Kompromis aus Funktionumfang und Benutzerfreundlichkeit

Nachteile

• benötigt das Mono-framework

Installieren

sudo apt-get install banshee


Clementine

Vorteile

• gute Performance, trotz hohen Funktionsumfangs
• Cross-Platform

Nachteile

• keine GTK-Anwendung

Installieren

sudo apt-get install clementine

Qmmp

Vorteile

• schnell
• unterstützt WinAmp-Skins

Nachteile

• häßlicher Standardskin
• keine GTK-Anwendung
• keine Musikbibliothek

Installieren

sudo apt-get install qmmp

Quod Libet

Vorteile

• leistungsfähige Bibliotheksfunktion

Nachteile

• unaufgeräumte Oberfläche

Installieren

sudo apt-get install quodlibet

Rhythmbox

Vorteile

• großer Funktionsumfang
• standard in Ubuntu

Nachteile

Installieren

sudo apt-get install rhythmbox

Lollypop

Vorteile

• großer Funktionsumfang
• moderne Umsetzung eines Audioplayers

Nachteile

• sehr auf Gnome zugeschnitten

Installieren

sudo add-apt-repository ppa:gnumdk/lollypop

sudo apt-get update

sudo apt-get install lollypop

Tomahawk

Vorteile

• unterstützt viele Musikdienste im Internet

Nachteile

• langsam

Installieren

sudo apt-get install tomahawk

Spotify

Vorteile

• einzige Möglichkeit mit einem kostenlosen Account Spotify zu hören

Nachteile

• langsam
• umständliche Installation
• basiert auf Webtechnologien

Installieren

echo deb http://repository.spotify.com stable non-free | sudo tee /etc/apt/sources.list.d/spotify.list

sudo apt-get update && sudo apt-get install spotify

Spotify

Vorteile

• ansprechendes Design
• leichtgewichtig

Nachteile

• ein wenig spartanisch in der Ausstattung

Installieren

sudo apt-get install musiqe

Diese Liste ist natürlich hoch subjektiv – also nicht gleich auf mich einschlagen. Ich persönlich nutze momentan entweder Audacious oder Spotify; Welchen Music-Player benutzt ihr?

Wer noch bessere Audio-Player kennt, ist natürlich aufgefordert, diesen in den Kommentaren zu vermerken.

The post Top 10 Ubuntu Linux Audio Player appeared first on Rockiger.

Bild von via IO-Images pixabay / Lizenz: CC0 Public Domain

Eine eigene Cloud ist abgesehen von gar keiner Cloud die sicherste Alternative. Vorbei sind aber die Zeiten, da man hier nur zu einem Anbieter greifen konnte. Neben Spezialisten wie Seafile oder Pydio dominieren hier vor allem die beiden Konkurrenten ownCloud und Nextcloud. Letzteres ist dabei das Ergebnis einer Abspaltung durch Teile der Community und des Gründerteams von ownCloud, weil man mit der Entwicklung unzufrieden war.

Im Zuge der Abspaltung wechselten große Teile der medial wahrnehmbaren Nutzerschaft zu Nextcloud. Das Projekt wirkte frischer, brachte neuen Wind und ownCloud sah ziemlich schnell wie einer toter Zweig der Entwicklung aus. Knapp ein Jahr nach dem Fork bin ich zurück bei ownCloud, weil Nextcloud inzwischen für mich sinnbildlich für all die kleinen Open Source-/Community-Probleme steht.

Natürlich gefiel allen erst einmal die Idee Funktionen, die bis dahin der kommerziellen Enterprise-Variante von ownCloud vorbehalten waren, in den Hauptzweig zu integrieren und für alle nutzbar zu machen. Freibier kommt immer gut an! Nextcloud legte auch ein ordentliches Tempo vor, während ownCloud mit der X genannten Version 10 gerade mal eine Veröffentlichung hervorbrachte, steht Nextcloud bereits bei 12. Ein Hoch auf die Versionitis! Für den Anwender hat sich jedoch kaum etwas getan. Während man bei ownCloud die Konfigurationsoberfläche mal ordentlich strukturiert hat, herrscht bei Nextcloud ein Wildwuchs, den man kaum noch durchblickt. Produktpflege ist ja auch tendenziell nicht so die Stärke von Communityprojekten, weil es oftmals attraktiver ist neue Funktionen zu implementieren. Was nutzt dem Anwender da die höhere Version?

Wo eine höhere Version allerdings mal nötig wäre tut sich nichts. Für macOS ist die aktuelle Client-Version immer noch bei 2.2 und die meisten Linux-Distributionen werden nur noch durch von Dritten gebaute Binaries bedient. Diese sind zudem ziemlich oft fehlerhaft, wie man in den entsprechenden Supportforen mehrfach feststellen musste. Hier kommt dann gerne der Hinweis, selber zu kompilieren, der Quellcode ist ja da. Der einfache Anwender ist da mal wieder aus den Augen verloren. Müßig zu erwähnen, dass bei ownCloud die Clientversionen für alle Betriebssysteme auf dem aktuellen Stand sind.

OwnCloud ist vielleicht nicht so angesagt, die Entwicklung bei Nextcloud eventuell auch viel agiler. Dafür schafft ownCloud ein gepflegtes Produkt und stellt für die Anwender leicht zu installierende Clients bereit - Dinge, auf die das agile Communityprojekt Nextcloud scheinbar nicht so viel wert legt. Ich bin vorerst zurück bei ownCloud und beobachte wohin sich beide gegabelten Zweige entwickeln.

Auf meinen Artikel “OPENSTREETMAPS PFLEGEN” hat sich ein Leser (Sven) bei mir gemeldet, und von der schönen App StreetComplete erzählt.

Installation

Diese App kann man über Google Play, F-Droid oder IzzyOnDroid F-Droid repository installieren.

Nutzung

Diese kleiner App ermöglicht dem Benutzer ohne großes Fachwissen, ein Teil der OSM Community zu werden. Durch das hinzufügen des persönlichen OSM Accounts in den Einstellungen, kann es auch schon direkt los gehen.

Beim starten der App, sucht die App den aktuellen Standort und prüft im Hintergrund, ob es unfertige Angaben gibt. Diese unfertigen Angaben können z.B. sein:

• Straßentyp (befestigt, unbefestigt)
• Hausnummern
• Straßennamen
• Öffnungszeiten
• Stockwerke
• Dachform
• etc.

Durch das klicken auf das entsprechende Icon:

öffnet sich im unteren Teil der App ein entsprechendes Bearbeitungsfenster. Nichts großes, Schlank und Rank, kurze Frage, wie z.B.

Wie ist der Name dieser Straße?

Schnell die Antwort eingetippt und fertig. In der Standardeinstellungen, werden die Änderungen Sofort hochgeladen.

Herzlichen Glückwunsch, ihr habt eure erste Änderungen im OSM Kartenwerk vorgenommen.

Fazit

Also noch leichter kann man es wirklich nicht mehr machen. Die App ist wirklich klasse um schnell kleine Änderungen einzupflegen. Ich nutze die App zur Zeit mehrmals am Tag und ich bin total begeistert.

Nutzt sie einfach.

Thunder Lotus Games verschenkt bei Steam den Titel Jotun: Valhalla Edition. Die Gratis-Aktion endet allerdings am 17.7. – Also Heute – um 18 Uhr. Linux und ein Steam-Account sind nötig, um das Spiel zu installieren. Das Spiel bleibt dauerhaft im Account.

Jotun ist ein Computerspiel aus dem Jahr 2016. In dem handgezeichneten Action-Adventure nach dem Vorbild nordischer Mythologie, spielst du Thora, eine Wikingerkriegerin, die einen ruhmlosen Tod starb und sich vor den Göttern beweisen muss, um Walhalla zu erreichen.

GameStar schreibt:

Zum Sterben schön. Jotun verzaubert mit wunderschöner Zeichentrickoptik, verbirgt hinter der zuckersüßen Fassade aber ein anderes Gesicht.

Siehe auch: http://store.steampowered.com/news/30750/, http://store.steampowered.com/app/323580/Jotun_Valhalla_Edition/, http://jotungame.com/, https://en.wikipedia.org/wiki/Jotun_(video_game)

Mit der üblichen Verspätung ist Fedora 26 vor einigen Tagen fertig geworden. Fedora zählt seit Jahren zu meinen Lieblingsdistributionen, vor allem deswegen, weil sich damit neue Linux-Features frühzeitig ausprobieren lassen. So hatte ich auch Fedora 26 schon seit der Alpha-Version im Einsatz — und das weitgehend ohne Probleme. Dieser Artikel gibt eine Kurzvorstellung von Fedora 26 und setzt den Schwerpunkt auf Wayland.

[Update 17.7.: Fedora verwendet Wayland schon seit Version 25 standardmäßig, wie ich ja schon selbst berichtet habe. In der ersten Version dieses Texts hatte ich geschrieben, dies sei erst mit Version 26 der Fall. Ich habe den Text nach einem Leserhinweis korrigiert.]

Installation

An der Installation hat sich grundsätzlich nichts geändert — bis auf ein Detail: Fedora stellt mit der »Blivet GUI« ein zweites Werkzeug zur Festplattenpartitionierung zur Auswahl. Das Installationsprogramm stellt es als Profi-Werkzeug vor und rät normalen Nutzern von seiner Anwendung ab. Persönlich sehe ich es eher umgekehrt: Selbst nach mehreren Jahren fällt es mir schwer, die Logik des »normalen« Partititionseditor zu durchblicken.

Die neue Blivet GUI funktioniert dagegen so wie die Partitionierungswerkzeuge vieler anderer Distributionen. In der linken Seitenleiste werden die auf dem Rechner vorgefundenen Festplatten, SSDs und LVM-Systeme angezeigt. Zum gerade ausgewählten Element zeigt der Hauptbereich des Editors dann die Liste der Partitionen bzw. Logical Volumes (LVs) an. Über Buttons und Kontextmenükommandos können Sie nun Partitionen und LVs ändern, neu einrichten oder löschen.

Der Goldstandard unter den Partitionierungswerkzeugen ist meiner Ansicht nach noch immer SUSE. Aber mit der Blivet GUI steht nun auch unter Fedora wieder ein in der Logik begreifbares Werkzeug zur Verfügung.

Versionsnummern

Basis           Desktop            Programmierung    Server
--------------  ------------------ --------------    --------------
Kernel    4.11  Gnome        3.24  bash       4.4    Apache     2.4
glibc     2.25  Firefox        54  gcc        7.1    CUPS       2.2
X-Server  1.19  Gimp          2.8  Java         8    MariaDB   10.1
Wayland   1.13  LibreOffice   5.3  PHP        7.1    OpenSSH    7.5
Mesa      17.1  Thunderbird    52  Python     3.6    qemu/KVM   2.9
Systemd    233                                       Postfix    3.2
NetworkMan 1.8                                       Samba      4.6
GRUB      2.02 

Eine bemerkenswerte Nebensächlichkeit: Nachdem die wichtigsten MP3-Patente ausgelaufen sind, enthält Fedora bereits seit Version 25 standardmäßig alle erforderlichen Bibliotheken zum Abspielen von MP3-Dateien. Selbst lame (ein MP3-Encoder) kann aus den offiziellen Paketquellen installiert werden. (Bisher standen diese Pakete in der rpmfusion-Paketquelle zur Verfügung. Diese Paketquelle brauchen Sie aber weiterhin, wenn Sie unter Fedora eine zeitgemäße Multimedia-Unterstützung wünschen oder andere, offiziell nicht unterstützte Pakete benötigen.)

Die Paketverwaltungs-Software DNF wurde auf Version 2 aktualisiert. Spürbare Änderungen gibt es keine, aber hinter den Kulissen hat sich offensichtlich einiges getan (Changes in DNF 2).

Der Touchpad-Treiber Synaptic wurde zugunsten von libinput in den Ruhestand geschickt (siehe die Release Notes). Zur Not steht aber das Paket xorg-x11-drv-synaptics-legacy zur Verfügung.

Wayland

Eines gleich vorweg: Wayland ist kein Programm, sondern »nur« ein Protokoll für die Kommunikation zwischen dem Wayland Compositor (einem Display-Server) und grafischen Anwendungsprogrammen (Clients). Das ist ein gravierender Unterschied zu X, wo es ein richtiges Client/Server-Modell gibt und der X-Server im Hintergrund läuft.

Wayland greift teilweise auf dieselben im Kernel verankerten Mechanismen bzw. Treiber zurück wie X. Dazu zählen die Verarbeitung von Eingaben (libinput), die Einstellung der Auflösung (Kernel Mode Setting = KMS) und der Zugriff auf den Video-Speicher (Direct Rendering Manager = DRM). Insofern erfindet Wayland das Rad nicht neu, sondern greift auf viele Bausteine zurück, die auch unter X eingesetzt werden. Grundlegend anders als unter X erfolgt die Kommunikation mit den 3D-Funktionen der Mesa-Bibliothek über die Schnittstelle EGL. Für die Kompatibilität zu alten X-Programmen ist Xwayland zuständig.

Während unter X ein eigener Window Manager für die Dekoration der Fenster zuständig ist, übernimmt diese Aufgabe der Wayland Compositor. Dieses Programm kümmert sich auch um Aufgaben, die unter X der Xorg-Server übernimmt
— z.B. um die Verarbeitung von Eingaben. Insofern gibt es eine Menge Details, die nicht davon abhängig sind, wie Wayland funktioniert, sondern wie der Wayland Compositor für das jeweilige Desktop-System implementiert ist.

Wenn Gnome unter Wayland läuft, dann fungiert Mutter als Wayland Compositor. Mutter wird nicht als eigenständiges Programm ausgeführt, sondern in Form von Bibliotheken, mit denen die Gnome Shell verlinkt ist. (Aktuell ist Gnome das einzige Desktop-System, dessen Wayland Compositor stabil funktioniert. Bei KDE sind die Arbeiten auch schon relativ weit fortgeschritten. Die Neon-Distribution experimentiert gegenwärtig mit Wayland, will Wayland aber frühestens 2018 standardmäßig aktivieren.)

Läuft Wayland oder X?

Ein Blick in die Prozessliste verrät, ob X (genau genommen der X-Server mit dem Programmnamen Xorg) oder Wayland läuft (genau genommen die Kompatibilitätsschicht zu X, weil es ja keinen eigenen Wayland-Prozess gibt):

ps ax | egrep -i "xorg|wayland"

    898 tty1     Ssl+   0:00 /usr/libexec/gdm-wayland-session ...
   1058 tty1     Sl+    0:00 /usr/bin/Xwayland :1024 -rootless ...

Bei der Interpretation des Ergebnisses müssen Sie aber aufpassen. Das Grafiksystem wird nämlich zweimal gestartet: einmal zur Anzeige der Login-Box (dafür ist der sogenannte Display Manager zuständig) und noch einmal nach dem Login für den Desktop des eingeloggten Benutzers. Fedora hat den Display Manager schon in Version 24 standardmäßig auf Wayland umgestellt, den Gnome-Desktop aber erst in Version 26.

Gewissheit gibt das Kommando loginctl, das alle Sessions unter der Kontrolle von systemd ausgibt:

loginctl

SESSION     UID   USER     SEAT   TTY             
     c1      42   gdm      seat0  /dev/tty1       
      2    1000   kofler   seat0  /dev/tty2       
      4    1000   kofler

Auf der Konsole 1 läuft also der Display Manager gdm. Auf Konsole 2 läuft ein Desktop-System, in dem der Benutzer kofler eingeloggt ist.

Im zweiten Schritt können Sie nun Details zu einer Session ermitteln und so unter anderem feststellen, ob die Session X, Wayland oder nur eine TTY-Schnittstelle verwendet, wie dies bei SSH-Logins oder beim Arbeiten in einer Textkonsole der Fall ist:

loginctl show-session -p Type 2

  Type=wayland

Wayland-Einschränkungen

Eigentlich sollten gewöhnliche Linux-Benutzer nicht merken, ob das Grafiksystem nun auf X oder auf Wayland basiert. Tatsächlich ist das auch schon weitestgehend der Fall — gäbe es nicht diverse Einschränkungen:

• Wayland ist aktuell nicht netzwerktauglich. Sie können also nicht wie unter X ein Grafikprogramm auf dem Host 1 ausführen, dieses aber z.B. via SSH auf dem Host 2 anzeigen und bedienen. Es ist unklar, ob Wayland diese Funktionalität später erhalten wird. Einen Implementierungsversuch hat es schon gegeben, aber er ist gescheitert.

• Remote-Desktop-Programme wie VNC- oder RDP-Server sind nicht Wayland-kompatibel. Sofern auf dem Rechner alle erforderlichen X-Pakete installiert sind, ist es aber möglich, parallel zu Wayland einen VNC- oder RDP-Server einzurichten. Lokales Arbeiten am Computer erfolgt dann via Wayland, der Netzwerkzugriff hingegen via X. Das erfordert zwangsläufig zwei getrennte Desktop-Sessions. Screen-Sharing ist aktuell mit Wayland nicht möglich. (Das gilt auch für das kommerzielle Programm TeamViewer.)

• Die meisten Tools zur Aufnahme von Screenshots und Screencasts funktionieren nicht. Das ist eigentlich ein Sicherheits-Feature (It’s not a bug, it’s a feature!): Es soll verhindern, dass ein Programm Informationen eines anderen Programms auslesen kann. Ausgenommen von dieser Einschränkung sind in das Desktop-System integrierte Werkzeuge, also z.B. die Screenshot-Tools von Gnome.

• Unter Wayland können Sie nicht einfach ein grafisches Programm mit root-Rechten ausführen (z.B. aus einem Terminal heraus, in dem Sie vorher sudo ausgeführt haben). Diese Einschränkung ist gerade für Power-User schwerwiegend und betrifft z.B. das grafische Partitionswerkzeug gparted, diverse Installations- und Setup-Programme, Backup-Tools etc. Selbst ein simpler Start eines Editors oder Dateimanagers mit root-Rechten ist unmöglich. Die Lösung zu diesem Problem soll so aussehen, dass grafische Programme, die root-Rechte benötigen, in zwei Teile getrennt werden: In die Oberfläche, die mit gewöhnlichen Rechten läuft, und in operative Module, die sich via PolicyKit root-Rechte erwerben. Teile der Gnome-Systemeinstellungen funktionieren so (z.B. die Benutzerverwaltung und Software).

• Diverse X-spezifische Werkzeuge wie xkill, xrandr oder xmodmap können nicht mehr verwendet werden. Nur fallweise gibt es dafür Wayland-spezfischen Ersatz. So kann die Auflösung im laufenden Betrieb durch die Gnome-Einstellungen verändert werden.

• Spiele können nicht die Auflösung des Grafiksystems ändern.

• Der proprietäre NVIDIA-Treiber und Wayland sind aktuell inkompatibel zueinander. Im Oktober 2016 gab es zwar Berichte darüber, dass an der Lösung des Problems gearbeitet würde, das Ergebnis steht aber noch aus.

• Erfreulicherweise funktioniert Wayland mittlerweile sogar unter VirtualBox. Allerdings hat bei meinen Tests dort ständig das Bild geflackert — sicher ein Problem, das Updates in Fedora oder in VirtualBox bald lösen werden.

• Da es unter Wayland anders als bei X keinen zentralen Server-Dienst gibt, fehlt auch ein entsprechendes Fehlerprotokoll (also ein Gegenstück zu /var/log/Xorg.0.log). Tipps zur Fehlersuche bei Wayland-Problemen gibt die folgende Seite: How to debug Wayland problems

Wenn Sie von einer der Wayland-Einschränkungen betroffen sind, ist es das einfachste, Gnome eben unter X auszuführen. Aber es ist jetzt leichter zu verstehen, warum Canonical davor zurückschreckt, Wayland in Version 18.04 per Default zu aktiveren. (Die Entscheidung ist noch nicht gefallen.)

Quellen und Links

• Fedora Download
• Release Notes
• Blivet GUI
• Kurztest bei heise.de
• Kurztest bei golem.de
• Fedora auf distrowatch.com

Wayland

• Wayland (offizielle Projektseite)
• Wayland (Wikipedia)
• How to debug Wayland problems (fedoraproject.org)
• Ubuntu Devs Uncertain about Using Wayland by Default in 17.10
  (omgubuntu)
• Linux-Team von Nvidia arbeitet an einheitlichem Speicher-API (golem.de)

Gefährlichere Zombies, elektrische Fallen, Wölfe, Zombie-Geier, Schlangen: Die Release Notes von 7 Days To Die Alpha 16 sind ziemlich lang. Das Entwicklerstudio The FunPimps bringt mit dem Release vor allem neue Herausforderungen ins Spiel. Aber auch praktische Features wie die Fernsicht, mit der rettende Häuser und Städte bereits von weitem zu erkennen sind. Auch in seiner neuesten Version läuft das Spiel unter Linux bereits rund, nur gelegentlich gab es noch Abstürze.

In den letzten Versionen des Zombie-Survival-Crafting-Games kamen Hunger und Durst, Kälte und Hitze und das Wetter als zusätzliche Widrigkeiten in den Alltag der Postapokalypse. In der Alpha 16 muss die Spielerin nicht nur vor Bären sondern auch Wölfen, Schlangen und Zombie-Geiern auf der Hut sein. Wer 7 Days To Die noch gar nicht kennt: Hier habe ich das Spiel zum ersten Mal vorgestellt.

Gefährlicher sind jetzt die Zombies: Zwar schlurfen die meisten Untoten tagsüber nach wie vor im Schneckentempo herum und sind nur in unaufmerksamen Momenten ein Problem. Wer Pech hat, stößt aber auf ein „Feral“-Exemplar. Das sieht zwar auf den ersten Blick genauso aus wie sein langsames Pendant, rennt aber auch tagsüber und kann deutlich mehr einstecken. Nur die glühenden Augen verraten, womit man es zu tun hat.

Sleeper-Zombies kann man sich schleichend nähern, bei Lärm wachen sie auf.

Erkundungstouren bieten mehr Nervenkitzel, da die Zombies nicht mehr einfach um ein Gebäude herumstreunen. Stattdessen lauern sie außerdem schlafend in dunklen Ecken und werden nur allzu leicht übersehen. Schleichen lohnt deshalb beim Betreten von Häusern aller Art, denn Lärm und Licht wecken die Sleeper-Zombies auf und womöglich wird man dann von hinten überrascht.

Langzeit-Spielspaß

Das Entwickler-Team der FunPimps hat einige Features eingebaut, die Langeweile bei Langzeit-SpielerInnen verhindern sollen. Bis man alle Teile und Fähigkeiten für den Bau von Bewegungssensoren, elektrische Fallen mit sich drehenden Klingen, automatische Schussanlagen und die dafür nötigen Generatoren und Solarbänke gesammelt hat, dürfte einige Spielzeit vergehen. In einer der nächsten Versionen wird dann ein riesiger Behemoth-Zombie hinzukommen, der auch Festungen klein kriegt und nicht so leicht zu erledigen ist. Man kann den Koloss bereits jetzt manuell spawnen lassen, allerdings hat er noch keine Hitboxen und ist deshalb ein vorerst unbesiegbarer Gegner.

Das Erkunden der zufallsgenerierten Welt oder der Standardmap Navezgane macht dank des besseren Ausblicks (Distant Terrain) noch mehr Spaß. Schon von weitem sind rettende Häuser und Beute versprechende Städte zu erkennen. Bislang musste man eher blind umherirren. Womit wir beim nächsten Highlight wären: Städte! In zufallsgenerierten Maps sehen diese deutlich realistischer aus und nicht länger rechteckig und immer gleich angeordnet. Sie zu erkunden, macht deutlich mehr Spaß. Die Map Navezgane ist allerdings wirklich schön und ausgewogen und läuft weitgehend stabil, bei zufallsgenerierten Maps kam es noch zu gelegentlichen Abstürzen.

Live-Streaming

Wer sich das erstmal aus sicherer Entfernung ansehen will: Am Donnerstag, 20. Juli 2017 streamen wir bei c’t ein Multiplayerspiel von 7 Days To Die Alpha 16.Vermutlich bis zur ersten großen Horde an Tag 7. Den Live-Stream gibt’s im Channel von heise online auf Youtube. Dabei nehmen wir im Live-Chat gern gute Ratschläge entgegen und beantworten soweit möglich auch Fragen.

Wer regelmäßig mittels mysqldump Backups von Datenbanken von MySQL oder MariaDB macht, kennt das Problem. Gerade die Storage-Engines MyISAM bzw. Aria und InnoDB können mit Default-Einstellungen recht langsam im Wiederherstellungsprozess sein. Was hilft? Das Deaktivieren einiger Prüfungen und die Erinnerung, dass SQL in Transaktionen „denkt“.

Das folgende Skript ergänzt in eurem Dump die entsprechenden Befehle und erzeugt eine Kopie.

echo "SET autocommit=0;
SET unique_checks=0;
SET foreign_key_checks=0;" > backup_loadMeFaster.sql
cat backup.sql >> backup_loadMeFaster.sql
echo "COMMIT;" >> backup_loadMeFaster.sql

Das wars schon.

Nachdem ich in den letzten Tagen, mal wieder festgestellt habe, das selbst in manchen Regionen solche Sachen, wie TÜV oder der dm Markt nicht gepflegt sind, habe ich mich mal wieder hingesetzt und mal wieder angefangen Dinge zu pflegen.

Leider nutzen sehr viele das Material von OSM, wie Navigation oder auch auf Webseiten, doch sehr wenig Leute pflegen wirklich das Material.

Dabei ist es so einfach, einfach einmal im halb Jahr oder von mir aus auch öfters, einfach mal bei OSM rein schauen, ob in der persönlichen Umgebung einfach alle Sachen passen, zum Beispiel alle Adressen gepflegt sind bzw. die wichtigsten POI’s gesetzt sind mit Adresse und Öffnungszeiten.

Dieser Dienst kommt allen zu Gute.

Also ran an die Karte und einfach mal pflegen. Danke.

Bild: © Scanrail / Fotolia.com

Passwortmanager sollten zur Grundausstattung jedes digital tätigen Menschen gehören. Das Prinzip der meisten Passwortmanager ist einfach. Mittels eines zentralen Passworts, das man sich merken muss, lässt sich eine Datenbank entschlüsseln, in der die individuellen Passwörter für zahllose Dienste hinterlegt sind. Dadurch kann man einerseits sehr komplexe Passwörter nutzen und andererseits für jeden Dienst ein eigenes anlegen. Hierdurch minimieren sich die Risiken, die entstehen, wenn ein einzelner Dienst geknackt wurde.

Passwortmanager schrecken auf den ersten Blick ab. Insbesondere die Vorstellung alle Passwörter gesammelt an einem Ort aufzubewahren behagt vielen erst einmal nicht. Zumal viele die Losung verinnerlicht haben, Passwörter niemals irgendwo zu notieren. Die Vorteile überwiegen jedoch definitiv die theoretischen Risiken. Kaum ein anderes System gewährleistet für jeden Dienst ein separates Passwort mit theoretisch unbegrenzter Länge unter Verwendung aller möglichen Zeichen. Dadurch schützt man sich erstens gegen Bruteforce-Angriffe und zweitens gegen Datendiebstähle, wie sie in der Vergangenheit bei vielen großen Dienstleistern vorgekommen sind. Schließlich gilt das entwendete Passwort nur für den gehackten Dienst.

Große Auswahl - viel Mist!

Weil Passwortmanager derart beliebt sind, gibt es unzählige verschiedene Anbieter auf den diversen Plattformen. Die einzelnen Programme werben mit unterschiedlichen Komfortfunktionen und diversen Preismodellen. Der letzte Schrei sind Abomodelle und Cloudsynchronisation. Zwei Funktionen von denen man tunlichst die Finger lassen sollte.

Eine Passwortdatenbank beinhaltet den Zugang zum kompletten digitalen Leben, man sollte sich also niemals an einen Anbieter ketten, schon gar nicht wenn dieser regelmäßige Zahlungen erfordert. Cloudsynchronisation ist zudem ein absolutes Unding. Verbunden mit dem Versprechen der sicheren Verschlüsselung will man die Faulheit des Anwenders bedienen. Der Anwender sollte jedoch bedenken, dass jede Verschlüsselung nur für den Moment sicher ist (und eventuell nicht mal das), aber zukünftig gebrochen werden könnte. Ist die Datenbank einmal in der Cloud, verliert man die Kontrolle darüber. Sollte die Verschlüsselung mal gebrochen werden verliert man die Kontrolle über sein digitales Ich. Denn kaum jemand ändert seine Passwörter mehrmals im Jahr. Selbst alte Datenbanken dürften noch einen Bestand aktiver Passwörter beinhalten. Der gleiche Vorbehalt gilt gegenüber Onlinediensten zur Passwortverwaltung, da man sich damit in die Hände eines Anbieters begibt und ihm unangebracht viel Vertrauen entgegen bringt. Wer so etwas nutzt kann auch gleich dem seriös wirkenden Anzugträger auf der Parkbank seine Geldbörse zur Aufbewahrung aushändigen. Es ist immer erstaunlich wie viel Quatsch Menschen tun, sobald sie vor einem Bildschirm sitzen. Dinge vor denen sie vor ihrer Haustür sofort zurückschrecken würden.

Open Source & Interoperabilität

Es gibt einige Nischenlösungen, die durchaus ihren Sinn haben (Passwörter mit QtPass / pass verwalten). Hierbei sollte man immer darauf achten, dass entweder Standards genutzt werden - pass verwendet OpenPGP - oder klare Spezifikationen vorliegen. Ansonsten läuft man Gefahr eine Insellösung zu nutzen, die sich zur Sackgasse entwickeln kann. Die meisten der zahllosen proprietären Lösungen entfallen dadurch oder fallen durch erzwungene Cloudbindung aus.

Die beste gegenwärtige verfügbare Lösung ist dabei KeePass. Die KBX-Datenbanken sind dokumentiert und erfreuen sich großer Beliebtheit. Die Community hat deshalb für jede verfügbare Plattform Anwendungen entwickelt und die Wahrscheinlichkeit, dass man seine Datenbank irgendwann nicht mehr öffnen kann ist somit gering. Die meisten Anwendungen kosten zudem nichts und erfordern auf jeden Fall kein Abosystem.

Die Windows-Anwendung basiert auf .NET und kommt direkt von den KeePass-Machern. Unter Linux dominierte lange das Qt-basierte KeePassX, dessen Entwicklung aber in den letzten Jahren vor allem durch Langsamkeit gekennzeichnet war. Mit KeePassXC steht nun ein aktiv entwickelter Fork zur Verfügung. Für MacOS gibt es mit Kypass sowohl eine Lösung im App Store, als auch mit MacPass eine Open Source-Lösung auf GitHub. Android und iOS werden mit zahllosen Apps bedient, wobei für iOS MiniKeePass heraussticht und für Android das etwas angestaubte KeePassDroid.

Der Funktionsumfang variierte je nach Plattform etwas, das kann z.B. Bereiche wie Autotype etc. umfassen. KeePass speichert die Passwörter in Datenbanken mit der Dateiendung .kbx. Diese Datenbanken können dann manuell auf die verschiedenen Systeme übertragen werden. Da man Passwörter meist nicht tagtäglich wechselt ist der Aufwand auch zu verschmerzen und man muss seine Daten nicht in die Cloud legen.

Grenzen des Systems

Das System stößt jedoch auch an Grenzen. Das Passwort für das System und das Hauptkenntwort für die KeePass-Datenbank muss man sich weiterhin merken. Hinzu kommen Dienste, die man oft von unterwegs aufruft, wenn man seine Passwortdatenbank nicht zur Hand hat. Hier ist man weiterhin auf ein gutes Gedächtnis angewiesen. Im Idealfall verfügen die Dienste jedoch über eine Zweifaktorauthentifizierung, die ein wenig die Risiken schwächerer Passwörter abfängt.

Nachdem ich Ubuntu und Windows auf dem TUXEDO InfinityBook Pro 13 getestet habe, wollte ich wissen, wie sich das frisch veröffentlichte Debian 9 Stretch auf diesem Gerät schlägt. Hatte man bei der Installation von Debian 8 noch arge Installationsprobleme mit dem Kernel 3.16, so verlief das EFI-Setup mit Stretch problemlos. Die Funktionstastenbelegung funktioniert nach dem Setup fast komplett. Der Flugmodus über die Taste F11 lässt sich mit einem kleinen Eingriff in die Konfiguration des Grub aktivieren. Die verbaute Hardware wird vollständig erkannt. Um allerdings das WLAN-Modul zu aktivieren, ist es nötig den unfreien Intel-Treiber iwlwifi (non-free) einzuspielen. Dieses Problem trat schon beim Vorgängermodell auf. Da das Pro 13 über eine LAN-Schnittstelle verfügt, kann das Paket aber problemlos aus den Quellen contrib non-free installiert werden. Die Webcam sowie der Card-Reader funktionierten auf Anhieb und die Grafik läuft einwandfrei.

Debian 9 verrichtet ansonsten seinen Dienst erwartungsgemäß stabil und zuverlässig. Das System startet einen Tick schneller als unter Ubuntu, in knapp 16 Sekunden. Allerdings muss man bei der Performance der Akkulaufzeit ein paar Abstriche machen. Nach 7:30h im üblichen Standby-Test geht dem Gerät die Puste aus. Allerdings kam ich beim Arbeiten mit dem InfinityBook auf eine ähnliche Laufleistung wie unter Ubuntu. Das Notebook quittierte seinen Dienst nach 5:10h. Verantwortlich hierfür ist der, wie unter der LTS, eingesetzte Kernel 4.9. Später sollte eine deutliche Verbesserung spürbar sein, wenn neuere Kernel über die Backports frei gegeben und auch eingespielt werden. Die CPU-Temperatur liegt im Normalbetrieb bei ca. 46°C. Dabei ist der Lüfter nicht zu hören. 

Natürlich habe ich auch wieder etwas „Duke Nukem 3D: Megaton Edition“ via Steam gezockt, um die CPU etwas an die Grenzen zu führen. Die Temperatur stieg in den Spitzen auf maximal 100°C. Der Lüfter machte dann natürlich ordentlich Geräusche. Das InfinityBook ist eben kein Gaming Notebook, sondern richtet sich eher an Entwickler, Reisende, Normalanwender, aber auch Blogger.

Fazit

Das TUXEDO InfinityBook Pro 13 kam im Test mit Debian 9 Stretch gut zurecht. Es wurden im Test mit dem Gerät normale Aufgaben mit LibreOffice, Gimp, Inkscape, Firefox etc. erledigt. Selbst nicht so anspruchsvolle Spiele laufen auf dem InfinityBook gut. Allerdings wirkt hier der Lüfter störend.

Die Akkulaufleistung ist mit Debian 9 vergleichbar wie unter Ubuntu 16.04 LTS. Mit dem Kernel 4.9 kommt dabei die getestete Linux-Distribution auch hier nicht ansatzweise an ein Windows heran. Die Problematik ist bekannt. Jedoch besteht im Hinblick auf neuere und aktuellere Kernel etwas Hoffnung.

Alles in Allem kann man aber sehr gut auf dem InfinityBook mit Debian 9 stable arbeiten. Das TUXEDO InfinityBook Pro 13 ist also auch für eingefleischte Debianer einen Blick wert. Wobei man beim WLAN-Modul zu einem unfreien Treiber greifen muss.

Vorschau

Im nächsten Artikel werde ich berichten, wie das TUXEDO InfinityBook Pro 13 von innen aussieht und wie es um die Erweiterbarkeit bestellt ist.

Gogs ist ein Git-Service welcher eine ähnliche Funktionalität wie der bekannte Dienst GitHub zur Verfügung stellt. Standardmäßig läuft der Dienst auf dem Port 3000. Möchte man ihn über die normalen Ports für HTTP (80) bzw. HTTPS (443) erreichbar machen, kann man hierfür einen Reverse Proxy nutzen. Dafür eignen würde sich zum Beispiel Nginx, der im ersten Schritt auf dem Server installiert werden muss:

apt-get install nginx

Anschließend wird die Konfiguration angelegt:

nano /etc/nginx/sites-available/example

In diesem Fall befasst sich die Konfiguration mit der verschlüsselten Kommunikation per HTTPS und der Weiterleitung von unverschlüsselten Verbindung in Richtung der verschlüsselten Verbindung.

server {
        listen 80;
        listen [::]:80;

        server_name example.com;

        return 301 https://$host$request_uri$is_args$args;
}

server {
    listen 443;
    listen [::]:443 default_server;

    ssl on;
    ssl_certificate        /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key    /etc/letsencrypt/live/example.com/privkey.pem;

    server_name example.com;

    client_max_body_size 500m;

    location / {
        proxy_pass https://localhost:3000;
    }
}

Nachdem die Konfiguration für Nginx hinterlegt ist, wird die Standardkonfiguration entfernt und ein symbolischer Link für die neue Konfiguration erstellt. Anschließend wird Nginx neugestartet, damit die geänderte Konfiguration wirksam wird:

rm /etc/nginx/sites-enabled/default
ln -s /etc/nginx/sites-available/example /etc/nginx/sites-enabled/example
service nginx restart

Nach der Anpassung der Nginx-Konfiguration, muss die app.ini (sie befindet sich im gogs/custom/conf/ Ordner) von Gogs angepasst werden und dort die neue ROOT_URL ohne zusätzlichen Port angegeben werden. Anschließend kann auf Wunsch, per Firewall, der Port 3000 für Zugriffe von außen gesperrt werden.

Einführung in die uncomplicated firewall

Unter dem Namen Test Pilot betreibt Mozilla eine Möglichkeit für Firefox-Nutzer, potentielle neue Funktionen vorab zu testen und Feedback zu geben. In Kürze wird Mozilla weitere Experimente starten. Vorher aber schafft Mozilla Platz und beendet vier Experimente.

Über testpilot.firefox.com können interessierte Firefox-Nutzer mögliche Neuerungen vorab testen, indem eine entsprechende Erweiterung installiert wird. Vier Experimente hat Mozilla nun beendet, welche ab sofort nicht länger installiert werden können. Für jedes dieser Experimente wird Mozilla in Kürze einen Bericht mit den gewonnenen Erkenntnissen und Informationen darüber veröffentlichen, wie es damit weitergeht. Doch an dieser Stelle soll schon einmal erwähnt werden, welche Experimente nicht länger verfügbar sind.

Page Shot

Page Shot ist ein Screenshot-Werkzeug, welches darüber hinaus geht, entweder nur den sichtbaren Bereich einer Webseite oder die komplette Webseite abzubilden. Stattdessen kann ein beliebiger Bereich der Webseite ganz einfach festgelegt werden, indem der gewünschte Bereich per Ziehen mit der Maus markiert wird. Page Shot wird unter dem Namen Firefox Screenshots direkt in Firefox integriert werden. Startschuss ist Firefox 55.

Activity Stream

Der Activity Stream ist ein Ersatz für die Seite, die beim Öffnen eines neuen Tabs erscheint. Gegenüber der bisherigen „about:newtab“-Seite bietet der Activity Stream zusätzliche Features. Auch der Activity Stream schafft den Sprung in Firefox. Eine Integration für alle Nutzer ist für Firefox 57 geplant. Eine ausführliche Vorschau gibt es hier.

Pulse

Pulse fügte ein Symbol in die Adressleiste von Firefox hinzu, über welches man seitenspezifisches Feedback an Mozilla übermitteln konnte. Dies sollte als zusätzlicher Feedback-Kanal dienen, um die Entwicklung der Verbesserungen auf dem Weg zu Firefox 57 zu unterstützen.

Tab Center

Tab Center war neben dem Activity Stream eines der drei ersten Experimente im Rahmen von Test Pilot. Es ersetzte die gewohnte horizontale Tab-Leiste durch eine vertikale Anordnung der Tabs. Tab Center ist mit Firefox 55 und höher nicht länger kompatibel, nun hat Mozilla das Experiment beendet.

In Kürze wird Mozilla neue Experimente starten. Natürlich wird es auch dazu auf diesem Blog wieder vorab Informationen geben. Spoiler: Mozilla wird dabei zum ersten Mal auch ein Web-Experiment starten, welches nicht als Erweiterung in Firefox installiert werden muss und mit jedem Browser genutzt werden kann.

Der Beitrag Firefox Test Pilot: Mozilla beendet vier Experimente erschien zuerst auf soeren-hentzschel.at.

Wenn man einen eigenen Server betreibt und die mail()-Funktion von PHP benutzen möchte, so benötigt man auf dem Server einen Mail Transfer Agent kurz MTA. Über diesen MTA versucht die mail()-Funktion ihre Mails zu versenden. Ist kein MTA auf dem System installiert, schlägt der Versand von Mails fehlt. Nun ist es bei vielen Servern nicht gewünscht, einen vollwertigen MTA zu installieren. Abhilfe schafft hier der Nullmailer welcher mittels:

apt get install nullmailer

installiert werden kann. Nullmailer leitet die Mails, an einen Mailserver der Wahl weiter. Dazu muss er konfiguriert werden:

nano /etc/nullmailer/remotes

In dieser Datei wird der Mailserver mit seiner Konfiguration eingestellt:

mail.example.com smtp --port=587 --starttls --user=nutzername --pass=geheim

Nutzt man einen Mailserver mit einem selbstsignierten Zertifikat benötigt eine weitere Option:

mail.example.com smtp --port=587 --starttls --user=nutzername --pass=geheim --insecure

Anschließend sollte der Mailversand ohne Probleme funktionieren. Schlägt er trotzdem fehl, findet man genauere Informationen im Syslog unter /var/log/syslog.

Wer meine Artikel verfolgt dürfte wissen, dass ich vor knapp einem Monat bereits einen ähnlichen Artikel veröffentlich habe: Nextcloud Teil 1: Setup mit Docker & Nginx. Zu damaliger Zeit dachte ich, dass eine Installation mit SQLite als Datenbank vollkommen ausreichen würde. Und das tat es auch, bis ich dann eines Tages beschloss tausende kleiner Dateien gleichzeitig hochzuladen, einen Feedreader zu installieren und auch sonst die Datenbank bis aufs Äußerste zu belasten. Kurzum: Die Schwuppdizität leidete massiv darunter, was wiederum zu, äh, interessantem Fehlverhalten von Nextcloud führe. Anders gesagt: Ich wusste, ich brauche jetzt doch einen Datenbankserver.

Zusammengefasst entspricht dieser Artikel also fast 1:1 meinem vorherigen Artikel zu diesem Thema, nur dass hier zusätzlich noch PostgreSQL mit aufgesetzt wird. Daher lasse ich auch großartige Erläuterungen weg, wer genaueres wissen will kann diese ja im obig verlinkten Artikel nachlesen.

Docker installieren

# apt-get install apt-transport-https ca-certificates curl software-properties-common
# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
# apt-key fingerprint 0EBFCD88
# add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
# apt-get update
# apt-get install docker

PostgreSQL herunterladen & instanziieren

# docker pull postgres:9.6-alpine
# docker volume create --name postgres-data
# docker create -v postgres-data:/var/lib/postgresql/data -e POSTGRES_USER=nextcloud -e POSTGRES_PASSWORD='Password' -e POSTGRES_DB=nextcloud -p 5432:5432 --name postgres-9_6 postgres:9.6-alpine

Nextcloud herunterladen & instanziieren

# docker pull nextcloud:12-apache
# docker volume create --name nextcloud-postgres-data
# docker create -v nextcloud-postgres-data:/var/www/html -p 32768:80 --name nextcloud-postgres-12 nextcloud:12-apache

Nginx als Proxy konfigurieren

server {
    listen      443 ssl http2; # IPv4, SSL/TLS, HTTP/2
    listen [::]:443 ssl http2; # IPv6, SSL/TLS, HTTP/2
    server_name example.org;
    root /var/www/nextcloud;
    index index.html;
    # Let's Encrypt on port 443
    location ^~ /.well-known {
        root /var/www/letsencrypt;
    }

    # Raise file upload size
    client_max_body_size 512m;

    # Limit download size
    proxy_max_temp_file_size 4096m;

    # Proxy for nextcloud docker
    location / {
        # Headers are already set via https://github.com/nextcloud/server under lib/private/legacy/response.php#L242 (addSecurityHeaders()) 
        # We only need to set headers that aren't already set via nextcloud's addSecurityHeaders()-function 
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
        add_header Referrer-Policy "same-origin";

        # Secure Cookie / Allow cookies only over https
        # https://en.wikipedia.org/wiki/Secure_cookies
        # https://maximilian-boehm.com/hp2134/NGINX-as-Proxy-Rewrite-Set-Cookie-to-Secure-and-HttpOnly.htm
        proxy_cookie_path / "/; secure; HttpOnly";

        # And don't forget to include our proxy parameters
        #include /etc/nginx/proxy_params;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Connect to local port
        proxy_pass http://127.0.0.1:32768; # Don't use http://localhost:32768, because we don't want a host lookup
    }
}

Systemd service erstellen

[Unit]
Description=Docker Container %I
Requires=docker.service
After=docker.service

[Service]
Restart=always
ExecStart=/usr/bin/docker start -a %i
ExecStop=/usr/bin/docker stop -t 2 %i

[Install]
WantedBy=default.target

PostgreSQL & Nextcloud via systemctl starten

# systemctl enable docker-container@postgres-9_6.service
# systemctl enable docker-container@nextcloud-postgres-12.service
# systemctl start docker-container@postgres-9_6.service
# systemctl start docker-container@nextcloud-postgres-12.service

Cron aktivieren

echo "*/15 *   * * *   root    /usr/bin/docker exec nextcloud-postgres-12 su - www-data -s /bin/bash -c 'php -f /var/www/html/cron.php'" >> /etc/crontab

Nextcloud konfigurieren

Nginx als Proxy eintragen

[…]
  'trusted_proxies'   => ['172.17.0.1'],
  'overwritehost'     => 'example.org',
  'overwriteprotocol' => 'https',
  'overwritewebroot'  => '/',
  'overwritecondaddr' => '^172\.17\.0\.1$',
[…]

Fertig.

Mein (zugegeben relativ günstiger) WLAN Router ist leider in der aktuellen Konfiguration nicht in der Lage mein komplettes Haus mit einer ausreichend schnellen WLAN-Verbindung zu versorgen, wodurch beim nächtlichen Streaming auf den Fernseher vor allem eines des Öfteren aufkommt: Frust. Und auch im Schlafzimmer ist die Abdeckung nicht optimal. Am besten wäre es natürlich den Router mittig im Gebäude zu platzieren (was momentan leider nicht geht), oder alternativ einen Router mit mehr Sendeleistung zu kaufen (was ich nicht will … weil Geld. Ihr kennt das Problem), weshalb mein Homeserver, der zufälligerweise genau zwischen Wohn- und Schlafzimmer in der Ecke steht und via Ethernet an den Router angeschlossen ist, nun als WLAN Access Point missbraucht wird.

Auf dem Server läuft Archlinux, und die Einrichtung ist – anders als befürchtet – sehr simpel. Im Prinzip braucht man nur zwei Dinge machen:

• WLAN Access Point aufsetzen
• Internetverbindung von Ethernet zum Access Point durchreichen

WLAN Access Point aufsetzen mittels hostapd

# pacman -S hostapd

# Interfaces
interface=wlp1s0
bridge=br0

# Log
logger_stdout=-1
logger_stdout_level=2

# Set and use country code
country_code=DE
ieee80211d=1

# SSID and password
ssid=KopfKrieg-AP
wpa_passphrase=SupergeheimesPasswort

# Driver
driver=nl80211
# Auto select channel
channel=0
# Maximum number of clients
max_num_sta=20
# Open System Authentication and Shared Key Authentication
auth_algs=3
# IEEE 802.11g; 2.4GHz
hw_mode=g
# IEEE 802.11n on top of IEEE 802.11g
ieee80211n=1
# Cipher mode
rsn_pairwise=CCMP
# WPA2 only
wpa=2
# Accepted key management algorithms
wpa_key_mgmt=WPA-PSK
# WPA1 and WPA2 cipher suites
wpa_pairwise=TKIP CCMP

# systemctl enable hostapd.service
# systemctl start hostapd.service

Ethernet-WLAN-Brücke mittels netctl realisieren

Description="Bridge enp1s0 to wlp1s0"
Interface=br0
Connection=bridge
BindsToInterfaces=(enp1s0)
IP=dhcp

# netctl enable bridge
# netctl start bridge

Done

Onionshare ist ein nützliches Tool um Dateien über Tor auszutauschen, aber leider nicht in Debian Stretch vorhanden. Ich beschreibe hier, wie ich mir meinen eigenen Backport aus den Testing-Quellen gebaut habe. Dieser Beitrag kann als grobe Richtschnur zum Bauen "eigener Backports" am Beispiel von Onionshare betrachtet werden.

Als erstes habe ich die Quell-Repositories von Stable und Testing in die Datei /etc/apt/sources.list eingefügt:

# Stretch Sources
deb-src https://ftp.de.debian.org/debian/ stretch main 

# Testing Sources
deb-src https://ftp.de.debian.org/debian/ testing main 

Anschließend habe ich die Paketlisten aktualisiert und alle Pakete installiert, die notwendig sind um Onionshare zu kompilieren:

# apt update
# apt --no-install-recommends build-dep onionshare/testing

Um Pakete als unprivilegierter Benutzer kompilieren zu können wird noch das Paket fakeroot benötigt:

# apt install fakeroot

Sind alle Abhängigkeiten für den Bau von Onionshare installiert, kann Onionshare aus dem Quellpaket von Testing gebaut werden:

$ apt source -b onionshare/testing

Wurde das Paket erfolgreich gebaut kann Onionshare jetzt installiert werden:

# dpkg -i onionshare_0.9.2-1_all.deb

Danach habe ich die beiden Einträge in der Datei /etc/apt/sources.list wieder auskommentiert:

# Stretch Sources
#deb-src https://ftp.de.debian.org/debian/ stretch main

# Testing Sources
#deb-src https://ftp.de.debian.org/debian/ testing main

WARNUNG: Ein selbst kompiliertes Paket wird nicht von der Distribution mit Sicherheitsupdates versorgt, d.h. man ist selbst dafür verantwortlich dieses aktuell zu halten!

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

In KMail gibt es zur Zeit eine ärgerliche Sicherheitslücke (Schwerer Bug in KMail - Test für die Distributionen). Sowas kommt vor, Code ist nie perfekt und mancher Fehler kann gravierende Auswirkungen haben. Die Sicherheitslücke gehört nicht zu den wirklich schwerwiegenden Fehlern, ist aber auch nicht ganz belanglos. Kurz gesagt kann es unter bestimmten Umständen dazu kommen, dass E-Mails - entgegen der Annahme des Verfassers - unverschlüsselt versendet werden.

Dafür muss es zwar zu einer ungünstigen Verkettung von Umständen kommen (Später versenden & OpenPGP-Verschlüsselung), aber viele Sicherheitslücken beruhen auf einem bestimmten Szenario. Die Ansiedlung im Bereich der Verschlüsselung macht hier aus einem lästigen Fehler eine Sicherheitslücke. Die Lücke ist also keineswegs auf einem Niveau mit Heartbleed oder anderen Katastrophen, aber sie ist eben auch nicht nur ein lästiger Fehler ohne Auswirkungen.

Im Grunde genommen stellt die Sicherheitslücke kein besonderes Problem dar. Nach ihrer Entdeckung schlossen die KDEPIM-Entwickler die Lücke am 02.06.2017. Anwender von Rolling Release-Distributionen erhielten im Rahmen der KDE Applications 17.04.2 ein Update, das den Fehler behob. Die Mehrheit der Linux-Distributionen und naturgemäß alle Enterprise/LTS-Varianten funktionieren aber nach dem stabilen Entwicklungsprinzip. Da alle KMail Versionen seit 4.11 betroffen sind müssen hier nun die beiden Patches zurück portiert und ausgerollt werden.

Diese Arbeit liegt in der Natur des stabilen Entwicklungsprinzips und die Distributionen garantieren durch ihre Supportversprechen, dass sie diese Arbeit leisten können und wollen. In den letzten Jahren gab es einen regelrechten Wettlauf um die höchsten Supportzeiten, wodurch auch Communitydistributionen wie Kubuntu Laufzeiten von 5 Jahren für ihre LTS-Versionen versprechen. Hier war schon immer fraglich ob diese Supportversprechen in der Praxis auch eingehalten werden würden.

Faktisch hatten ca. einen Monat nach dem Commit der KDEPIM-Entwickler nur openSUSE und Mageia eine Fehlerbehebung ausgerollt (Mageia zudem nur für Version 6, obwohl 5 auch noch supportet wird). Bei Kubuntu tut sich nichts im entsprechenden Bugreport, weder für die STS-Versionen, noch für die beiden aktiven LTS-Varianten 14.04 und 16.04. Debian hat beschlossen, dass die Lücke nicht gravierend ist und man entweder auf eine schlimme Lücke wartet um den Patch dann zusammen einzupflegen oder den nächsten Pointrelease.

Faktisch muss man daher festhalten, dass die Supportversprechungen der meisten Distributionen im Desktopbereich nur auf dem Papier existieren. Befinden sich Lücken im Kernel oder zentralen Bibliotheken, die auch den Serverbereich betreffen, erfolgen schnelle Behebungen. Hier sind schließlich zahlende Kunden betroffen und viele Distributionen setzen inzwischen auf zentral gepflegte LTS-Kernelversionen. Im Desktopbereich lässt man die Dinge hingegen laufen, obwohl man auch hier Unterstützung verspricht.

Kubuntu und Debian sind für KDE-Desktopanwender also keine vertrauenswürdige Basis - trotz 5 respektive 3 Jahren Supportversprechen. Im Grunde genommen kann man bei den LTS-Versionen hier nur noch zu openSUSE Leap raten.

Seit Jahren mokiert man sich über die Microsoft-Patchdays und die lange Dauer bis Sicherheitslücken behoben werden. Hier zeigt sich, dass viele Linux-Distributionen mindestens genau so lange brauchen und Sicherheitslücken längst nicht so hoch priorisieren wie man das gerne nach außen verkauft. Die theoretisch mögliche Sicherheitsaktualisierung einen Tag nach bekanntwerden des Problems ist also vor allem eines: Theorie!

Let’s Encrypt ist eine von unter anderem Mozilla, der Electronic Frontier Foundation (EFF), Cisco, Akamai und IdenTrust gegründete Certificate Authority (CA). Nun wurde angekündigt, dass man ab Januar 2018 auch Wildcard-Zertifikate ausstellen wird.

Ab Januar 2018 wird Let’s Encrypt auch sogenannte Wildcard-Zertifikate ausstellen und damit einem häufig formulierten Wunsch nachkommen. Bislang sind von Let’s Encrypt ausgestellte Zertifikate immer nur für die Subdomains gültig, welche explizit angegeben werden. Wildcard-Zertifikate gelten domainübergreifend für alle Subdomains, zum Beispiel gilt ein Zertifikat für *.example.com sowohl für foo.example.com als auch für bar.example.com.

Das ehrgeizige Ziel von Let’s Encrypt ist nichts Geringeres als eine hundertprozentige Verschlüsselung des Webs voranzutreiben. Seit dem Start von Let’s Encrypt im Dezember 2015 ist die Anzahl der verschlüsselten Anfragen gemäß Firefox-Telemetrie von 40 auf 58 Prozent angestiegen. Ohne Frage haben auch die kostenlosen Zertifikate von Let’s Encrypt zu diesem signifikanten Anstieg beigetragen. Let’s Encrypt glaubt, dass das Anbieten von Wildcard-Zertifikaten einen weiteren Teil dazu beitragen wird, dass mehr Webseiten HTTPS verwenden werden, weil diese in einigen Fällen die Bereitstellung von HTTPS vereinfachen. Auch die Wildcard-Zertifikate von Let’s Encrypt werden kostenlos sein.

Der Beitrag Let’s Encrypt: Wildcard-Zertifikate ab Januar 2018 erschien zuerst auf soeren-hentzschel.at.

Es sind manchmal viele Kleinigkeiten in einem Projekt in einer Gruppe, die Mitarbeiter ziemlich nerven können. Neben offensichtlichen Dingen wie Clean Code und einheitliche Bennung von Dateien, Klassen und Methoden, ist eine Sache die häufiger im Zusammenspiel zwischen Windows- und Linux-Nutzern stört: Der Zeilenumbruch.

Im Windows-Universum besitzen Zeilenumbrüche ein CR LF und unter Linux LF. Näheres zu Zeilenumbrüchen findet sich im entsprechenden Wikipedia-Artikel zu Zeilenumbrüchen.

Git Repositorys sollten immer nur LF als Zeilenendung enthalten, da gemischte Zeilenenden sich auf den Betriebssystemen unterschiedlich auswirken und einfach unschön in der Handhabung sind. Für Windows-Nutzer kann beim Auschecken automatisch LF durch CR LF ersetzt werden. Ebenso sollten immer die CR LF in LF umgewandelt werden, wenn man etwas in das Repository eincheckt. In der Git für Windows Standard-Installation wird nachgefragt, wie Zeilenumbrüche gehandhabt werden sollen. Im Standard wird die zuvor beschriebene automatische Umwandlung vorgeschlagen, die man akzeptieren sollte.

Nichtsdestotrotz schaffen es einige, solche Optionen abzuwählen und es landen am Ende Dateien mit gemischten Zeilenenden im Repository was ziemlich unschön ist. Am „schönsten“ ist es etwa dann, wenn Projekt-Mitarbeiter eine Zeile in einer Datei ändern, durch die Änderung aber jede Zeile der Datei anpassen und das ohne weitere Prüfung in das Repository schieben.

Das ganze lässt sich auf mehreren Weisen verhindern. Prinzipiell hilft es die Personen natürlich aufzuklären, warum man einheitliche Zeilenumbrüche verwenden sollte und wie man es konfiguriert. Die Konfiguration für jede Person ist prinzipiell recht simpel. Dazu muss lediglich der Konfigurationsschalter core.autocrlf auf input gesetzt werden, wenn man unter Linux oder macOS arbeitet. Unter Windows sollte jedenfalls core.autocrlf auf true gesetzt werden. In dem Fall wird dann die zuvor angesprochene automatische Umwandlung aktiviert. Die Konfiguration kann entweder in ~/.gitconfig händisch erfolgen oder man nutzt diesen Befehl:

$ git config --global core.autocrlf true

Dies führt allerdings noch nicht vollständig dazu, dass bestehende Zeilenumbrüche die in Dateien vorhanden sind, korrigiert werden. Dazu helfen Tools wie dos2unix, aber auch Git hilft dabei, wenn man geänderte Dateien neu eincheckt.

Damit nicht nur die lokale Konfiguration jedes Projekt-Mitarbeiters korrekt konfiguriert ist, kann man zusätzlich auf das Repository die Einstellungen durchsetzen. Dazu muss die Datei .gitattributes im Repository hinterlegt werden, in dem die Zeile * text=auto enthalten ist. Nachdem die Datei committet wurde und/oder die Änderung in der Config steht, meldet Git beim Commiten von Dateien mit CR LF folgende Meldung:

$ git add chapter02/
warning: CRLF wird in Projektdokumentation/chapter02/cryptdb/02_problem.tex durch LF ersetzt.
Die Datei wird ihre ursprünglichen Zeilenenden im Arbeitsverzeichnis behalten.

Anschließend lebt es sich angenehmer, wenn direkt alle Projekt-Mitarbeiter die korrekte Einstellung nutzen.

Auf meinem Netbook läuft Debian Stable, derzeit »Stretch«, da ich dort nicht unbedingt die neueste Software benötige und es häufig auf Reisen dabei habe, wo ich nur die nötigsten Sicherheitsupdates herunterladen möchte.

Nun möchte ich aber gerne den aktuellen Linux-Kernel 4.11 installieren, da dieser angeblich viele Verbesserungen bzgl. des Energieverbrauchs enthalten soll. Gerade bei einem Reisebegleiter wäre eine längere Akkulaufzeit natürlich sehr wünschenswert.

Da der Kernel noch nicht in den Backports enthalten ist werde ich ihn aus dem Quellpaket aus Debian Unstable »Sid« selbst bauen. Dieser Beitrag kann als grobe Richtschnur zum bauen "eigener Backports" am Beispiel des Kernels betrachtet werden.

Als erstes habe ich die Quell-Repositories von Stable und Unstable in die Datei /etc/apt/sources.list eingefügt:

deb-src https://ftp.de.debian.org/debian/ stretch main 
deb-src https://ftp.de.debian.org/debian/ unstable main 

Anschließend habe ich die Paketlisten aktualisiert und alle Pakete installiert, die notwendig sind um den Kernel zu kompilieren:

# apt --no-install-recommends build-dep linux-source-4.11

Um den Kernel als unprivilegierter Benutzer kompilieren zu können wird noch das Paket fakeroot benötigt:

# apt install fakeroot

Sind alle Abhängigkeiten für den Kernelbau installiert, kann der Kernel aus dem Quellpaket von Unstable gebaut werden:

$ apt source -b linux-source-4.11/unstable

Danach habe ich die beiden Einträge in der Datei /etc/apt/sources.list wieder auskommentiert:

#deb-src https://ftp.de.debian.org/debian/ stretch main
#deb-src https://ftp.de.debian.org/debian/ unstable main 

WARNUNG: Ein selbst kompilierter Kernel wird nicht von der Distribution mit Sicherheitsupdates versorgt, d.h. man ist selbst dafür verantwortlich diesen aktuell zu halten!

Raspberry Pi und Raspbian bieten viele Einsatzmöglichkeiten. Eine davon ist der Betrieb in einem Kiosk Modus, Voraussetzung dafür ist der Start im Vollbildmodus. Das Thema hatte ich bereits auf dem Blog (siehe unten), somit seht das als einen aktualisierten Artikel an. In diesem Beispiel soll ein Browser eine Webseite oder Webapp automatisch im Vollbildmodus aufrufen 

Die hier verwendeten Einstellungen wurden auf einem RaspberryPi 3 mit Raspbian (Debian Jessie) getestet.

Installation der benötigten Pakete

sudo apt-get install chromium-browser
sudo apt-get install unclutter

Letzteres Paket erlaubt es die Maus auzublenden.

Aktivieren des Vollbildmodus

Dieser lässt sich mit wenigen Anpassungen und einem Installalierten Chromium Browser realisieren.

sudo nano /home/pi/.config/lxsession/LXDE-pi/autostart

# Bildschirmschoner deaktivieren
#@xscreensaver -no-splash  
@xset s off
@xset -dpms
@xset s noblank

# lädt Chromium im Vollbild bei einem Neustart
@chromium-browser --incognito --kiosk https://itrig.de/kiosk  

Mauszeiger ausblenden

Die bestehende Datei muss lediglich um einen weiteren Befehl erweitert werden.

sudo nano /home/pi/.config/lxsession/LXDE-pi/autostart

@unclutter
@xset s off
@xset -dpms
@xset s noblank
@chromium-browser --incognito --kiosk https://itrig.de/kiosk 

Fazit

Die hier dargestellte Methode stellt eine von vielen dar, jedoch eine die relativ schnell zum Ziel führt. Weitere Methoden und Möglichkeiten hatte ich bereits im Artikel Kiosksysteme für Alle erwähnt.

DNSCrypt ist ein Tool, das einen Sicherheitsgewinn durch Verhinderung von Man-In-The-Middle-Angriffen bei DNS-Abfragen verspricht. Dieser Artikel, wenn auch schon älter, umreißt das Thema ganz gut.

Installation

DNSCrypt lässt sich unter Debian folgendermaßen installieren und aktivieren:

# apt install dnscrypt-proxy
# systemctl enable dnscrypt-proxy

Konfiguration

Nun kann man sich einen der, in der Datei /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv gelisteten, Server aussuchen und in die Datei /etc/dnscrypt-proxy/dnscrypt-proxy.conf eintragen, z.B.:

ResolverName ns0.dnscrypt.is

Damit auch der installierte Proxy zur Auflösung von DNS-Anfragen genutzt wird muss die Datei /etc/resolv.conf editiert werden:

# Use dnscrypt-proxy
nameserver 127.0.2.1

DNSCrypt starten

Nun kann kann der DNSCrypt-Proxy gestartet werden:

# systemctl start dnscrypt-proxy-resolvconf.service

Troubleshooting

Da der NetworkManager diese Datei bei Nutzung von DHCP überschreibt muss, wie im Arch-Wiki beschrieben, in der Datei /etc/NetworkManager/NetworkManager.conf die Zeile dns=none im Bereich [main] eingetragen werden.

Bei mir war die Datei /etc/resolv.conf ein Link auf /var/run/NetworkManager/resolv.conf und ich musste den Link entfernen damit DNSCrypt funktionierte:

# ll /etc/resolv.conf      
lrwxrwxrwx 1 root root 35 Jul  7 02:04 /etc/resolv.conf -> /var/run/NetworkManager/resolv.conf
# rm /etc/resolv.conf

Danach habe ich die Datei neu angelegt, den oben beschriebenen Eintrag eingefügt und die Datei für alle Nutzer lesbar gemacht:

# nano /etc/resolv.conf
# chmod 644 /etc/resolv.conf
# ll /etc/resolv.conf
-rw-r--r-- 1 root root 42 Jul  7 15:07 /etc/resolv.conf

Nach einem Neustart des NetworkManagers funktioniert auch die Namensauflösung mit selbigem.

Im verlinkten Beitrag aus dem Arch-Wiki ist auch erklärt, wie man dhcpcd und netctl davon abhält die Datei resolv.conf zu überschreiben.

Erfolg testen

Man kann lokal testen ob die Anfragen auch vom DNSCrypt-Proxy beantwortet werden:

$ dig debian.org txt

; <<>> DiG 9.10.3-P4-Debian <<>> debian.org txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44884
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org.            IN  TXT

;; AUTHORITY SECTION:
debian.org.     600 IN  SOA denis.debian.org. hostmaster.debian.org. 2017070811 1800 600 1814400 600

;; Query time: 192 msec
;; SERVER: 127.0.2.1#53(127.0.2.1)
;; WHEN: Sat Jul 08 09:32:22 CEST 2017
;; MSG SIZE  rcvd: 92

Die Zeile ;; SERVER: 127.0.2.1#53(127.0.2.1) zeigt, dass Anfragen durch DNSCrypt beantwortet werden.

Es gibt auch einen DNS Leak Test online.

[Update 2017-07-07]

Aufgrund dieses Kommentares habe ich den Server im Beispiel durch einen Server aus Island ersetzt, der DNSSEC unterstützt, nicht loggt und nicht zensiert:

ns0.dnscrypt.is,"ns0.dnscrypt.is in Reykjavík, Iceland","DNSSEC enabled, non-logging, uncensored. Sponsored by 1984 Hosting.","Reykjavík, Iceland",,https://dnscrypt.is,1,yes,yes,no,93.95.228.87,2.dnscrypt-cert.ns0.dnscrypt.is,EE41:6A83:451C:218F:37B2:B736:78C4:999F:7DE6:89D1:31D2:7866:7C8E:A8BB:1C95:B402,pubkey.ns0.dnscrypt.is

Ich habe auch die Konfiguration von DNSCrypt mit dem NetworkManager erweitern müssen.

[Update 2017-07-08]

Abschnitt "Erfolg testen" hinzugefügt.