ich habe mir ein weiteres Script für Nautilus gestrickt.
Ab- und zu braucht man mal die Namen einer Anzahl von Dateien, zur Weiterverwendung z.B. Dokumentation o.ä.
Das script macht das einfach, es kopiert die Dateinamen in das Clipboard und als Addon auch mit den Pfaden der Dateinamen.
Nach dem starten vom Script copy-filenames.sh
erscheint das Ergebnis augenblicklich im clipboard
Das Script:
#!/bin/bash
#
# Titel: copy_filenames.sh
# Autor: Bed [@] zockertown.de
# Web: zockertown.de/s9y/
# Version 0.4
# $Revision: 1.2 $
# Voraussetzung: Benötigt wird xsel
# Zweck: kopiert die Dateinamen als Liste zur weiteren Verarbeitung
# zum Clipboard
# eine weitere Variante enthält alle Fullpath namen in einem Rutsc
if [ ! -f /usr/bin/xsel ]
then
echo "Bitte xsel installieren."
exit 1
fi
TMP=/tmp/allin.txt
rm -f $TMP
for file in $NAUTILUS_SCRIPT_SELECTED_URIS
do
file_name=$(echo $file | sed -e 's/file:\/\///g' -e 's/\%20/\ /g' -e 's/.*\///g')
file_folder=$(echo $file | sed -e 's/file:\/\///g' -e 's/\%20/\ /g' -e "s/$file_name//g")
echo "$file_name"|xsel -ib
echo "$file_folder$file_name ">>$TMP
# sleep ist notwendig, weil ohne Verzögerung werden Einträge unterschöagen
sleep 0.1
done
cat $TMP|xsel -ib
rm $TMP
Dreh- und Angelpunkt ist das cmdline tool xsel. Es kann Einträge zum Clipboard hinzufügen.
Macht man zuviele Einträge hintereinander unterschlägt es einzelne Einträge, deshalb habe ich sleep 0.1 in der Schleife eingebaut.
Beim Ausführen von Skripten auf einer Linux Konsole, die apt install beinhalten, taucht folgende Meldung auf:
WARNING : apt does not have a stable CLI interface. Use with caution in scripts.
Doch warum wird eine Warnung angezeigt? Die Lösung ist relativ simpel.
Vor Jahren hatte ich mal eine Übersicht von apt vs. apt-get veröffentlicht. Ich habe sie euch unten noch einmal eingebunden.
Im Artikel ist zu lesen, dass apt unter anderem einen grafischen Fortschrittsbalken ausgibt.
Genau das ist einer der Gründe, warum das Kommandozeilentool bei der Verwendung in Scripten ein WARNING meldet. Denn diese Fortschritts-Ausgabe kann von Scripten fehlerhaft interpretiert werden und ist im Prinzip nur für Endnutzer gemacht, aber nicht wirklich für Skripte. Darum sollte hier eher auf apt-get zurückgegriffen werden.
Gleiches gilt übrigens auch für apt show programm-name. Hier sollte besser apt-cache show programm-name verwendet werden.
apt vs. apt-get
apt Kommando
apt-get Kommando
Funktion
apt install
apt-get install
Pakete installieren
apt remove
apt-get remove
Pakete deinstallieren
apt list --upgradable
--
Anstehende Updates anzeigen
apt list
dpkg list
Pakete auflisten
apt purge
apt-get purge
Pakete und Konfiguration entfernen
apt update
apt-get update
Repository aktualisieren
apt upgrade
apt-get upgrade
Anstehende Pakete aktualisieren
apt full-upgrade
apt-get dist-upgrade
Anstehende Pakete aktualisieren und deinstallieren
Bei Arch Linux ist Python 3 schon lange der Standard. Allerdings haben diverse Pakete in den offiziellen Paketquellen immer noch Python 2 verwendet. Kürzlich haben die Entwickler von Arch Linux nun Python 2 endgültig beerdigt. Dies habe ich zum Anlass genommen die bisher von mir veröffentlichten Artikel anzusehen.
Gefunden habe ich einen Artikel für ein Script von 2016. Den Artikel konnte ich dank des Tools 2to3 sehr leicht auf Python 3 aktualisieren.
Ich gehe allerdings davon aus, dass auch noch andere von meiner Artikel, die ich seit 2009 veröffentlicht habe, nicht mehr korrekt sind, da sich zwischenzeitlich einiges geändert hat. Selbst wenn ich nun alle Artikel selbst überprüfe, wäre ich mir nicht sicher, ob ich über jede nötige Änderung Bescheid wüsste.
Nun ist es so, dass es mich selbst nervt, wenn ich über die von mir bevorzugte Suchmaschine Artikel zur Lösung eines Problems finde, die veraltet sind. Was leider oft der Fall ist.
Daher habe ich mir überlegt, ob wir Betreiber diverse Blogs uns nicht gegenseitig unterstützen könnten, indem wir beispielsweise ab und zu eine “Bug Squashing Week” ins Leben rufen während dieser wir vorhandene Artikel anderer Blogs prüfen und bei Bedarf dem Betreiber entsprechend informieren oder, sofern möglich, Pull Requests erstellen.
Was ich damit erhoffe, zu erreichen ist, dass die Suchergebnisse bei den diversen Suchmaschinen möglichst aktuell sind. Denn leider ist es so, dass einmal veröffentlichte Artikel oft nie mehr aktualisiert werden. Wie man bei den genannten Artikel von 2016 sieht, bin ich leider keine Ausnahme.
Mozilla hat mit Firefox 105.0.1 ein Update außer der Reihe für seinen Desktop-Browser veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.
Mit dem Update auf Firefox 105 hatte Mozilla eine Änderung vorgenommen, so dass bei Verwendung einer benutzerdefinierten Startseite die Adressleiste anstelle der Website beim Öffnen eines neuen Fenster fokussiert worden war. Basierend auf dem Feedback der Nutzer hat Mozilla diese Änderung mit Firefox 105.0.1 wieder rückgängig gemacht.
Außerdem wurde mit Firefox 105.0.1 eine potentielle Absturzursache behoben, von der manche Linux-Nutzer betroffen waren.
Ich nutze quarto unter anderem dafür, meine Briefe als PDF zu rendern. Damit dies auch auf dem Handy oder Tablet funktioniert, baue ich mir einen kleinen Bot, der einen Nextcloud-Ordner per Webdav mountet, nachschaut, ob eine .qmd-Datei im Verzeichnis liegt, und auf diese dann das Kommando quarto render DATEI ausführt. Der Webdav-Mountpunkt sowie der Bot ansich werden mit systemd gestartet.
Microsoft machte vor einiger Zeit Furore, weil durch ein Windows Update UEFI Secure Boot Signaturen zurückgezogen wurden, was dazu führen konnte, dass einige ältere Linux-Distributionen nicht mehr starten.
Dieses sogenannte DBX (Secure Boot Forbidden Signature Database) Update steht nun auch für den Linux Vendor Firmware Service (LVFS) zur Verfügung.
Die mittels fwupd installierbare Aktualisierung, prüft allerdings, ob keinerlei betroffener Bootcode in einer ESP (EFI System Partition) liegt und führt die Aktualisierung nur dann aus, wenn dies der Fall ist.
So ist sichergestellt, dass ein Einspielen des Updates nicht zu einem nicht mehr startenden System führt. Darüber hinaus gewinnen Linux-Distributionen Zeit, ein entsprechendes Update bereitzustellen, sollte dies noch nicht der Fall sein.
Eigentlich wollte ich Kubuntu 22.04 dieses Frühjahr gegen openSUSE austauschen. Das habe ich dann doch nicht gemacht, weil ich die betroffenen Anwender nicht kurz vor einer größeren Transformation mit openSUSE vertraut machen wollte. Stattdessen bin ich sogar selbst zu Kubuntu zurück und ziemlich zufrieden.
Ich hatte mich wirklich auf openSUSE Leap 15.4 gefreut. Endlich Hardware-Unterstützung für mein Notebook und weg vom Rolling Release-Modell Tumbleweed. Leider gab es dann für mich persönlich ein paar zu viele Probleme, die teilweise erst rund um die Veröffentlichung auftraten. Bei Dracut hatten die openSUSE-Entwickler vergessen, dass der usr-merge bei Leap noch nicht vollzogen ist, weshalb wochenlang mein Bluetooth nicht ging, weil der Treiber nicht integriert wurde. Zudem harmoniert Vorta nicht mit der Python-Version (Bug #1199080) und das von mir gerne genutzt systemd-homed hat man auch nicht richtig integriert (Bug #1199804). Außerdem gibt es einen seltsamen Fehler im Autologin, der mich alle circa 10 Logins vor einem schwarzen Bildschirm sitzen ließ. Nein, das war dann doch ein bisschen viel des Guten. Ich brauche gerade wirklich ein System ohne Probleme und bin deshalb mit meinem Arbeitsgerät kurzerhand auf Kubuntu umgestiegen.
Das habe ich nicht bereut. Kubuntu 22.04 läuft sehr stabil. Das gilt natürlich auch für Ubuntu, da der Unterschied ja nur in der Desktopoberfläche liegt. Seit dem Jammertal 16.04 hat man sich konsequent verbessert und mit 22.04 ein wirkliches gutes Release herausgebracht. Das liegt natürlich auch daran, dass KDE Plasma am Ende des Qt5-Zyklus steht und die KDE-Entwickler deshalb ihr Lieblingshobby, Verschlimmbesserungen vorzunehmen, auf den Qt6/KF6-Zweig konzentrieren. Es gibt keine mich störenden Bugs – was natürlich nicht heißt, dass es keine Bugs gibt.
Kubuntu 22.04 wurde für mich persönlich eine Option als Canonical das bei Release fehlende systemd-cryptentoll nachträglich für die Ubuntu-Basis aktiviert hat (man ist dort halt nicht dogmatisch und korrigiert solche Sachen auch nach dem Release), wodurch ich mein System mit meinem Yubikey entsperren kann. Das war für mich bis dahin ein Grund an openSUSE Tumbleweed festzuhalten.
LTS-Distributionen sind für mich einfach die bessere Wahl. Die Basis mag von den Versionen her veralten, aber das tangiert meinen Arbeitsablauf nicht. Die wesentlichen Aktualisierungen meiner Arbeitsprogramme erhalte ich sowieso nicht aus den Paketquellen. SoftMaker Office, Zotero, Synology-Tools, Transkribus – alles Sachen, die per Drittanbieter eingebunden sein müssen, weil kaum eine Distribution sie in den Quellen hat. Hier bietet Ubuntu sogar richtige Vorteile, weil das alle Entwickler kennen und unterstützen wollen bzw. müssen. Andere Sachen wie KDE Plasma oder VirtualBox werden zumindest momentan ziemlich konsequent via SRU aktualisiert, was für mich eine wirklich positive Überraschung ist. Der Rest der Basis ist mir eigentlich egal: Welche Version Dolphin hat oder ob Okular in Version 21.12 oder 22.04 vorliegt – wen interessiert das schon? Ich verfolge die KDE-Updatemeldungen und sehe dort nichts, was den Arbeitsaufwand eines Rolling Release für mich rechtfertigen würde.
Kubuntu 22.04 ist wirklich eine gute Veröffentlichung geworden. Für mich genau zur richtigen Zeit. Mal sehen wo der Linux-Desktop 2024 steht.
Mozilla hat Firefox 105 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.
In Textfeldern, welche Formatierungen erlauben, gibt es im Kontextmenü neben der bisher bereits vorhandenen Option, kopierten Text einzufügen, ab sofort auch noch eine weitere Option, um kopierten Text ohne Formatierung einzufügen.
Verbesserte Stabilität bei wenig verfügbarem Arbeitsspeicher
Mozilla hat nach eigenen Angaben die Stabilität auf Windows in Situationen signifikant verbessert, in denen wenig Arbeitsspeicher zur Verfügung steht. Unabhängig davon gab es auch für Linux Verbesserungen, welche dafür sorgen sollen, dass Firefox seltener der Arbeitsspeicher ausgeht.
Service Workers mit Netzwerk-Partitionierung
Das Tracking von Internet-Nutzern erfolgt heute längst nicht mehr nur über Cookies. Auch eine Vielzahl anderer Technologien wird dazu missbraucht, um Nutzer seitenübergreifend zu verfolgen. Um dies zu erschweren und die Privatsphäre der Nutzer weiter zu verbessern, hatte Mozilla mit Firefox 85 die sogenannte Netzwerk-Partitionierung eingeführt. Dadurch werden Ressourcen, welche bislang in einem gemeinsamen Pool gespeichert worden sind, auf Website-Basis isoliert. Während diese bereits einige Bereiche abdeckte, galt dies für sogenannte Service Workers bislang nicht. Firefox 105 partitioniert Third-Party Service Workers unter der Top-Level-Domain.
Mehr Sicherheit für Firefox-Nutzer
Auch in Firefox 105 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 105 daher für alle Nutzer dringend empfohlen.
Verbesserungen der Webplattform
Die Implementierung von array.includes sowie array.indexOf ist nun doppelt so performant im Vergleich zu vorher.
Zusätzliche optionale Argumente wurden zu den performance.mark- und performance.measure-Methoden hinzufügt, um benutzerdefinierte Start- und Endzeiten, Dauer und angehängte Details bereitzustellen.
Weitere Neuerungen für Web- und Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.
Sonstige Neuerungen von Firefox 105
Auf Geräten mit Windows wird nun eine Zwei-Finger-Geste am Touchpad unterstützt, um zurück oder vorwärts zu navigieren.
Auf Apple macOS wurde das Scrollen mit dem Touchpad zugänglicher gemacht, indem das unbeabsichtigte diagonale Scrollen entgegen der beabsichtigten Scrollachse reduziert wurde.
Die Seiten-Auswahl in der Druckvorschau hat die Option erhalten, nur die aktuell ausgewählte Seite auszudrucken.
Bei Verwendung einer benutzerdefinierten Startseite wird beim Öffnen neuer Fenster ab sofort die Adressleiste fokussiert. Update 22.9.2022: Diese Änderung wurde mit Firefox 105.0.1 zurückgenommen.
Die Passwortverwaltung erlaubt jetzt auch wieder das Speichern von Proxy-Zugangsdaten (moz-proxy://-URIs).
Ein Fehler wurde behoben, der verursachte, dass bei Verwendung der separaten Suchleiste keine OpenSearch-Suchmaschine hinzugefügt werden konnte, wenn es nicht bereits mindestens eine aktivierte Suchmaschine gab.
Die Treiber-Version 22.2 oder höher vorausgesetzt, ist nun für alle Linux-Nutzer mit Mesa-Treiber das gegenüber der Software-Implementierung performantere Hardware-WebRender aktiv. Auf Linux-Systemen mit ARM-CPU wird außerdem nun GLES anstelle vom Desktop-GL als Grafik-Schnittstelle bevorzugt, da entsprechende Geräte häufig dafür besser optimiert sind.
Firefox auf Windows zeigt auf der Seite about:support jetzt die unterstützten Media-Codecs an und ob diese durch die Hardware beschleunigt wiedergegeben werden oder nicht.
Bei den Entwickler-Werkzeugen für den Browser handelt es sich ab sofort um die Multiprozess-Implementierung, welche die Inspektion sämtlicher Browser-Ressourcen erlaubt. Eine neue Modus-Auswahl ermöglicht außerdem den Wechsel zwischen dem performanteren Modus nur für den übergeordneten Firefox-Prozess und dem etwas langsameren Modus, der dafür alle Prozesse beinhaltet.
Die MZLA Technologies Corporation hat mit Thunderbird 102.3 ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht.
Neuerungen von Thunderbird 102.3
Mit dem Update auf Thunderbird 102.3 hat die MZLA Technologies Corporation ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht und behebt damit aktuelle Sicherheitslücken. Darüber hinaus bringt das Update diverse Fehlerbehebungen und Verbesserungen, welche sich in den Release Notes (engl.) nachlesen lassen.
Multipass ist eine von Canonical entwickelte Software, um Ubuntu als virtuelle Maschine unter Linux, Windows oder macOS auszuführen. Ich bin über Multipass gestolpert, weil ich eine unkomplizierte Möglichkeit suchte, Ubuntu unter macOS mit M1/M2-CPU auszuführen. Dieser Artikel stellt zuerst Multipass kurz vor. Es folgt eine persönliche (= subjektive) Wertung.
Linux: Für Linux steht leider nur ein Snap-Paket zur Verfügung: sudo snap install multipass
Arch Linux stellt Multipass als AUR-Paket zur Verfügung: https://aur.archlinux.org/packages/canonical-multipass (Paket wird lokal kompiliert, das dauert > 15 Minuten; bei mir gab es zuletzt einen Fehler, dem ich nicht auf den Grund gegangen bin)
Multipass Command Line Interface (CLI)
Multipass wird über Kommandos in der Konsole genutzt. Um zu überprüfen, dass die Installation geklappt hat, führen Sie multipass version aus:
multipass version
multipass 1.10.1+mac
multipassd 1.10.1+mac
Die zur Auswahl stehenden Multipass-Images ermittelt multipass find:
Um eine neue Instanz zu starten, führen Sie multipass launch aus. Beim ersten Start muss das betreffende Image heruntergeladen werden, hier für Ubuntu 22.04. Der Start weiterer Instanzen erfolgt wesentlich schneller.
Das folgende Kommando erzeugt eine Instanz von Ubuntu 22.04 und gibt dieser den Namen myinstance.
multipass launch -n myinstance 22.04
Standardmäßig erhält die neue VM eine CPU, 1 GB RAM und eine Disk mit 5 GB und NAT-Networking. Andere Eckdaten können Sie mit Parametern festlegen:
-c <n>: Anzahl der CPU-Cores
-d <n>G: Disk-Größe, -d 15G für 15 GB Disk
-m <n>M oder -m <n>G: RAM, z.B. -m 4G für 4 GB RAM
-n <name> oder -n primary: gibt der VM einen Namen bzw. macht sie zur primären Instanz
multipass launch startet die VM, führt sie aber im Hintergrund aus. Um die VM zu bedienen, führen Sie multipass shell <name> aus:
Als Standard-User ist ubuntu aktiv. Dieser Benutzer ist nicht mit einem Passwort abgesichert und hat sudo-Rechte. Auch wenn Multipass-VMs normalerweise nur in einem privaten Netzwerk zugänglich sind (192.168.*.*), sollten Sie den ubuntu-Account mit einem Passwort absichern: sudo passwd ubuntu.
multipass list listet die aktuell eingerichteten Instanzen auf und gibt an, welche IP-Adresse der Instanz zugeordnet ist.
multipass list
Name State IPv4 Image
primary Running 192.168.64.7 Ubuntu 22.04 LTS
myinstance Running 192.168.64.8 Ubuntu 22.04 LTS
Mit multipass info <name> können Sie mehr Details zu einer VM ermitteln.
multipass info myinstance
Name: myinstance
State: Running
IPv4: 192.168.64.8
Release: Ubuntu 22.04.1 LTS
Image hash: 9620f479bd5a (Ubuntu 22.04 LTS)
Load: 0.28 0.25 0.10
Disk usage: 1.4G out of 4.7G
Memory usage: 153.5M out of 961.9M
multipass start <name> oder multipass stop <name> startet bzw. beendet die Ausführung einer VM.
multipass delete <name> löscht die VM vorläufig. Der Vorgang kann mit multipass revover rückgängig gemacht werden.
Erst multipass purge entfernt die zuvor gelöschten VMs endgültig und gibt den Speicher frei.
Eine VM kann als »primär« gekennzeichnet werden (launch -n primary ...). Das hat zwei Konsequenzen:
An einige multipass-Kommando braucht kein Name als Parameter übergeben werden. Beispielsweise bezieht sich multipass shell automatisch auf die primäre Instanz.
Innerhalb der VM steht das lokale Heimatverzeichnis (also das des Host-Computers) unter /home/ubuntu/Home zur Verfügung. Das ermöglicht einen unkomplizierten, nahtlosen Zugriff auf Host-Dateien durch die VM.
Bridged Networking
Wenn Sie VMs in das lokale Netzwerk integrieren möchten, ermitteln Sie zuerst mit multipass networks die zur Auswahl stehenden Netzwerkschnittstellen und aktivieren dann eine davon für die Netzwerkbrücke:
multipass networks
Name Type Description
bridge0 bridge Network bridge with en2, en3
en0 ethernet Ethernet
en1 wifi Wi-Fi
en2 thunderbolt Thunderbolt 1
...
multipass set local.bridged-network=en1
In der Folge können Sie an multipass launch die Option --bridged übergeben.
Ubuntu samt Desktop installieren
Um Ubuntu samt Desktop zu installieren, müssen Sie die VM ausreichend groß dimensionieren:
Sie müssen wissen, welche IP-Adresse Ihre VM hat. Dazu führen Sie innerhalb der VM hostname -I aus, oder außerhalb multipass list.
ubuntu@primary:~$ hostname -I
192.168.64.10
Jetzt brauchen Sie einen RDP-Client. Unter Linux funktionieren die meisten VNC-Viewer. Unter macOS installieren Sie am einfachsten im App Store Microsoft Remote Desktop. Dort richten Sie eine neue Verbindung ein und verwenden die zuvor ermittelte IP-Adresse. In der Regel ist es sinnvoll, die Option Start session in full screen zu deaktivieren. Hingegen ist die Optionen Update the session resultion on resize zweckmäßig. Die Anpassung der virtuellen Bildschirmauflösung hat bei meinen Tests (macOS als Host-System) ausgezeichnet funktioniert. Außerdem sollten Sie als User accountubuntu angeben.
Beim ersten Start erscheint der Ubuntu-Setup-Assistent. Dort können Sie das deutsche Tastaturlayout hinzufügen. (Standardmäßig ist nur das englische Layout installiert.)
Der Desktop erscheint in englischer Sprache. Die Umstellung auf Deutsch können Sie im Programm Settings durchführen. Die Änderung wird nur wirksam, wenn Sie sich aus- und neu einloggen.
Grundsätzlich hat der Ubuntu-Desktop bei meinen Tests ausgezeichnet funktioniert — allerdings mit »Vanilla Gnome«, d.h. ohne die Ubuntu-spezifischen Erweiterungen wie dem verschiebbaren Dock. Auch die entsprechenden Optionen im Programm Einstellungen fehlen. (Die Optionen tauchen auf, wenn das Einstellungsprogramm mit XDG_CURRENT_DESKTOP=ubuntu:GNOME gnome-control-center gestartet wird. Aber die Ubuntu-spezifischen Einstellungen bleiben wirkungslos.)
Ubuntu wird auf einem Mac mit M1-CPU ausgeführt und über ein RDP-Fenster bedient.
Multipass versus herkömmliche Virtualisierungssysteme versus Container
Eigentlich möchte man meinen, es gäbe bereits genug Software zur Ausführung von virtuellen Maschinen und Containern. Was kann Multipass also bieten, was andere Programme nicht können? Und wo sind die Grenzen von Multipass?
Im Gegensatz zu Docker oder Podman findet bei Multipass eine echte Virtualisierung statt. Der Overhead einer Installation ist deswegen vergleichsweise groß. Andererseits steht Ubuntu »komplett« zur Verfügung, d.h. mit systemd, mit verschiedenen Benutzern etc.
Standardmäßig werden keine Desktop-Pakete installiert. Diese können nachinstalliert werden. Das setzt aber voraus, dass die VM ausreichend groß dimensioniert ist (RAM, Speicherplatz).
Im Vergleich zu Virtualisierungsprogrammen wie VirtualBox, VMware & Co. hat Multipass keine grafische Oberfläche. Für Profis ist das kein Nachteil, für Einsteiger schon. Es gibt auch keine Grafiktreiber etc. Die Desktop-Nutzung erfolgt über RDP (ein Netzwerkprotokoll) und ist vergleichsweise langsam. Ausreichend schnell für Entwickleraufgaben, aber nicht ideal, um Videos abzuspielen oder Spiele zu spielen.
Der größte Nachteil von Multipass im Vergleich zu Virtualisierungs- und Container-Software besteht darin, dass nur Ubuntu ausgeführt werden kann. Multipass ist also keine universelle Lösung, sondern ein Admin- und Developer-Tool für die Ubuntu-Gemeinde.
Positiv: Multipass ist Open-Source-Software, die Quellen sind auf GitHub zu finden.
Persönliche Bewertung
Meine Beweggründe, mich überhaupt mit Multipass auseinanderzusetzen, ist der Linux-Unterricht. 2/3 der Studentinnen arbeiten mit einem Windows-Notebook, 1/3 mit MacBooks, vielleicht halb/halb mit Intel/Apple-CPU. Jetzt sollen alle eine VM mit Ubuntu installieren. Früher war das einfach: Alle verwenden VirtualBox und richten damit eine VM mit Ubuntu ein (oder Fedora, oder Debian, egal, solange es für alle einheitlich ist).
Heute geht das nicht mehr:
Unter Windows zickt VirtualBox in einen unerträglichen Ausmaß. Ob Microsoft daran Schuld ist (ständige Änderungen an Hyper-V) oder Virtualbox (weil es Hyper-V nicht korrekt nutzt), kann ich nicht beurteile — es ist eigentlich egal. Fakt ist, dass in einer Gruppe von 20 Studierenden VirtualBox bei mindestens zwei nicht funktioniert und die Probleme sich nicht trivial lösen lassen.
Unter macOS läuft VirtualBox nur auf alten Geräten mit Intel-CPU. Auf modernen Geräten mit Apple Silicon (M1, M2 usw.) ist Virtualisierung zwar auch möglich, aber das ist entweder teuer (Parallels, VMware) oder wenig intuitiv (UTM, siehe https://mac.getutm.app/).
Unter Windows kann ich auf WSL ausweichen. Das funktioniert verblüffend gut, aber ist für den Unterricht kein vollwertiger Ersatz. Kein cron, kein systemd etc. Grafische Desktop-Oberflächen laufen auch nur über Umwegen.
Auf allen OS kann ich Docker verwenden. Aber ein Ubuntu-Container ist halt auch kein vollwertiger Ersatz, selbst wenn man vom fehlenden Desktop absieht. Docker hat eine ganz andere Zielsetzung (und da brilliert es).
Zurück zu Multipass: Der Charme besteht darin, dass es OS-übergreifend einen einheitlichen Weg bietet, um Ubuntu in einer virtuellen Maschine auszuführen. Der Desktop-Zugriff erfolgt über RDP, was für den Unterricht gut genug ist. Multipass greift auf das Virtualisierungsframework des jeweiligen Betriebssystem zurück, erfindet diesbezüglich das Rad also nicht neu.
Aber:
Das Einrichten einer Ubuntu-VM in Multipass ist nicht trivial. Für meinen spezifischen Einsatzzweck ist es jedenfalls ungeeignet. Multipass richtet sich an Profis, nicht an Einsteiger.
Ubuntu-only ist auch irgendwie sinnlos. Aus meiner Sicht ist Ubuntu für den Linux-Unterricht gut genug, aber vielleicht will ich Server-Administration unterrichten. Da wäre mir dann Rocky oder Alma Linux lieber. Oder ich bin mit Debian vertrauter als mit Ubuntu, will Snap aus dem Weg gehen usw.
Linux-hostseitig wird Multipass auch nur als Snap-Paket angeboten. In der engen Canonical-Welt mag das OK sein, aber nicht jeder ist ein Fan von Snap.
Langer Rede kurzer Sinn: Multipass richtet sich in erster Linie an Entwickler und Admins, die ausschließlich mit Ubuntu arbeiten. Für diese Zielgruppe ist Multipass durchaus interessant.
Multipass ist auch ein relativ einfacher Weg, um Ubuntu (samt Desktop) auf einem Mac mit M1/M2-CPU auszuführen.
Darüberhinaus ist es aber wohl doch nur eine weitere Insellösung/Eigenentwicklung von Canonical mit ungewisser Zukunft. Die Zielgruppe ist so eng, dass ein Durchbruch aus der Nische nicht zu erwarten ist. Das ist schade, weil Multipass durchaus vielversprechende Ansätze zeigt.
Cookie-Dialoge sind in der Theorie eine gute Sache, sollen sie dem Anwender doch mehr Kontrolle und Datenschutz geben. In der Praxis sind die meisten Anwender wohl doch eher genervt davon. Zwar gibt es Browser-Erweiterungen, welche einem die Cookie-Dialoge entfernen, doch bekommt das Thema in diesen Tagen eine besondere Brisanz durch den Verkauf der populären Erweiterung I don’t care about Cookies an Avast/NortonLifeLock – einem Hersteller, der vor allem für seine Sicherheits-Produkte bekannt ist und als solcher einen zweifelhaften Ruf genießt. Mozilla möchte hier einen Ausweg bieten: Zukünftig wird Firefox von Haus aus Cookie-Dialoge unterdrücken können.
Wieso gibt es Cookie-Dialoge?
Zunächst einmal: Cookies sind nichts Schlechtes. Im Gegenteil sind diese häufig sogar technisch notwendig. In Cookies werden Informationen gespeichert, die es einem beispielsweise ermöglichen, auf Websites eingeloggt zu bleiben.
Häufig werden Cookies mit Tracking in Verbindung gebracht, indem über Websites und Sitzungen hinweg Informationen gespeichert und zusammengeführt werden, was es Websites dann erlaubt, zum Beispiel personalisierte Werbung auszuspielen. An diesem Punkt bekommen Cookies eine Datenschutz-Relevanz. Firefox-Nutzer sind hier durch den vollständigen Cookie-Schutz geschützt, der seit Firefox 103 für alle Nutzer standardmäßig aktiv ist. Gleichwohl ist zu bedenken, dass seitenübergreifendes Tracking heutzutage auch über andere Mechanismen stattfinden kann.
Cookie-Dialoge sind keine Idee der Website-Betreiber, sondern eine Konsequenz der Gesetzgebung innerhalb der Europäischen Union. Diese sieht es vor, dass Nutzern die Kontrolle darüber gegeben wird, was mit ihren Daten geschieht. Auch wenn es namentlich eigentlich nur um Cookies geht, hängt da oft viel mehr als nur Cookies dran. So kann das Laden ganzer Scripts von fremden Servern von der Entscheidung abhängen, ob man über einen solchen Dialog seine Zustimmung erteilt oder nicht.
Ziel dieser Cookie-Dialoge ist eine Verbesserung des Datenschutzes der Nutzer, was ohne Frage ein nobles Ziel ist. In der praktischen Umsetzung zeigt sich jedoch, dass viele Nutzer nur noch davon genervt sind, auf jeder Website erst einmal einen Dialog bestätigen zu müssen, zumal eine begründete Entscheidung oft auch gar nicht möglich ist, sei es wegen fehlender oder im Gegenteil so vieler Informationen, dass man erschlagen wird und einfach nur noch bestätigt. Gerne wird auch mit Tricks gearbeitet, welche die Zustimmung visuell attraktiver machen als die Ablehnung.
Avast kauft I don’t care about Cookies
Mittlerweile gibt es einige Erweiterungen und Filterlisten für Content-Blocker, die das Ziel haben, solche Dialoge vom Nutzer fernzuhalten. Eine beliebte Lösung für Firefox sowie Chromium-basierte Browser ist die Erweiterung I don’t care about Cookies. Dessen Entwickler hat vor wenigen Tagen bekannt gegeben, seine Erweiterung an den Software-Hersteller Avast verkauft zu haben. Man kann nur erahnen, wie viel Geld hier geflossen sein muss, wenn er Entwickler dieses Unternehmen tatsächlich als vertrauenswürdig beschreibt.
Avast ist in der Vergangenheit bereits häufiger auffallend geworden, nicht zuletzt durch die Übermittlung besuchter Websites an Avast-Server sowie die unerlaubte Weitergabe von Nutzerdaten an sein eigenes Analyse-Tochterunternehmen Jumpshot, welches in Folge des Datenskandals geschlossen wurde. Neben der gleichnamigen Sicherheits-Software gehört unter anderem auch die Sicherheits-Software AVG zur Avast-Familie. Die Sicherheits-Softwares von Avast und AVG haben eine lange Tradition, was das Verursachen von Problemen für Firefox-Nutzer betrifft. So konnte das an sich schon fragwürdige Feature des HTTPS-Scannings den Aufruf von verschlüsselten Websites verhindern und sogar Update-Funktionen von Firefox außer Kraft setzen, so wurden eigenmächtig Sprachpakete von Firefox gelöscht, mit der Folge, dass Firefox nicht mehr gestartet werden konnte, man empfahl Firefox-Nutzern, Programm-Dateien von Firefox zu löschen, und auch die Passwort-Datenbank von Firefox hat man schon beschädigt, mit der Folge, dass Nutzer nicht mehr auf ihre gespeicherten Zugangsdaten zugreifen konnten. Auch das nicht minder fragwürdige Programm CCleaner gehört mittlerweile zu Avast. Avast wiederum befindet sich im Prozess der Übernahme durch NortonLifeLock, ehemals bekannt unter dem Namen Symantec, wo man sich nicht zuletzt auf Grund mehrerer Vorfälle im Zertifikatsgeschäft nach Druck der Aktionäre zu einer Umbenennung gezwungen sah, da der Name Symantec verbrannt war, während der Markenname Symantec verkauft wurde. Auch Avira gehört mittlerweile zum Sicherheits-Imperium NortonLifeLock.
Die Erweiterung I don’t care about Cookies sieht sich in Folge der Ankündigung aktuell einer großen Welle an Negativ-Bewertungen auf den Erweiterungs-Plattformen von Mozilla und Google ausgesetzt.
Firefox wird in Zukunft nativ Cookie-Dialoge blockieren
Während die aktuellen Meldungen rund um I don’t care about Cookies ein guter Anlass wären, arbeitet Mozilla tatsächlich schon ein bisschen länger an einem neuen Feature für Firefox, welches Erweiterungen dieser Art obsolet machen könnte. Wer in einer Nightly-Version von Firefox den Begriff cookiebanners in das Filterfeld von about:config eingibt, findet bereits eine Reihe von versteckten Einstellungen dazu. Die wichtigste Einstellung ist cookiebanners.service.mode mit einem derzeitigen Standardwert von noch 0, welcher das Feature deaktiviert. Die anderen möglichen Werte sind 1, womit alles abgelehnt wird, sofern möglich, ansonsten nichts getan wird, sowie 2, womit alles abgelehnt wird, sofern möglich, ansonsten alles akzeptiert wird.
Während das Feature teilweise sogar bereits funktioniert (so gibt es auf der Google-Suche nach Anpassung dieser Option beispielsweise keinen entsprechenden Dialog mehr), sei an dieser Stelle ausdrücklich darauf hingewiesen, dass sich das Feature noch in Entwicklung befindet und daher nicht repräsentativ für das fertige Feature ist, was zu diesem Zeitpunkt bereits blockiert wird und was nicht. Aus diesem Grund verzichte ich zu diesem Zeitpunkt auch darauf, auf alle übrigen Schalter einzugehen. Sobald das Feature für die Massen ausgerollt wird, werde ich näher auf die relevanten Einstellungen eingehen.
In welcher Firefox-Version mit dem fertigen Feature gerechnet werden kann, ist noch nicht bekannt. Es sieht allerdings so aus, als würde das Feature zunächst in privaten Fenstern standardmäßig aktiviert werden, ähnlich wie Mozilla bereits mit anderen Datenschutz-Features umgegangen ist. Neben Regeln für bestimmte Websites, die individuelle Lösungen nutzen, sollen auch Consent Management Plattformen unterstützt werden, wie sie als Fertiglösung für Websites existieren. Auch soll es später möglich sein, einzelne Seiten vom Mechanismus auszuschließen.
Open Source Apps von F-Droid oder anderen Repositorien sind meist vertrauenswürdig, aber die wenigsten kommen gänzlich ohne proprietäre Apps aus. Hier hat man gerne im Blick, was diese so tun. Ein gutes Werkzeug dafür ist TrackerControl.
Es gibt zwei unterschiedliche Methoden auf nicht-gerooteten Android-Systemen systemweit Tracker und Werbung auszuschalten. Entweder über die Verwendung eines individuellen DNS-Servers oder über ein virtuelles VPN. Global einfach einen DNS-Server mit entsprechend hinterlegter Blockliste zu hinterlegen ist niedrigschwellig und schnell erledigt, aber lässt sich überhaupt nicht individualisieren. Ein virtuelles VPN auf dem Gerät kann eine beliebige Blocking-App aufspannen, das dann alle Daten durch eben jenes lokale VPN leitet und dort filtert. Der Nachteil ist, dass kein zweites partielles VPN z. B. mit Mullvad betrieben werden kann.
Blocking-Apps gibt es ziemlich viele. Besonders beliebt war über viele Jahre Blokada, das aber schon seit längerem Gegenstand einer Kontroverse ist und zunehmend kostenpflichtige Bezahlfunktionen anbietet. Eine besonders gute Alternative ist TrackerControl.
TrackerControl ist gewissermaßen die Quintessenz von NetGuard in Bezug auf Tracking-Schutz. Ursprünglich war es wohl eine funktionsreduzierte Abspaltung von NetGuard und hat sich dann eigenständig in eine andere Richtung entwickelt. NetGuard ist sicherlich ein tolles Werkzeug, aber wie so viel von Marcel Bokhorst finde ich NetGuard ein wenig überladen. TrackerControl bietet dagegen nur die wesentlichen Funktionen, um die installierten Apps im Blick zu behalten. Wer aber schon NetGuard nutzt, muss nicht unbedingt zu TrackerControl wechseln.
Installation und Konfiguration
Die Installation kann über verschiedene Quellen erfolgen. Die meisten werden wohl auf F-Droid zurückgreifen. Nach dem Start fragt die App den gewünschten Betriebsmodus ab und richtet das notwendige virtuelle VPN ein. Für den reibungslosen Betrieb muss es noch die Erlaubnis für den reibungslosen Betrieb im Hintergrund erteilt werden.
TrackerControl überwacht die laufenden Apps im Hintergrund, weshalb man zunächst einige Apps nutzen muss, um Ergebnisse zu sehen. In der App-Übersicht werden die Apps angezeigt und die von ihnen kontaktierten „Unternehmen“.
In der Detailübersicht zeigt TrackerControl welche Tracker-Bibliotheken theoretisch in der App inkludiert sind (was nicht unbedingt heißt, dass sie aktiv sind). Das Monitoring und der Internetzugang lassen sich für jede App in der Detailansicht deaktivieren bzw. sperren. Zudem zeigt die Ansicht auf welche Art von Tracker zum Einsatz kommt. Also ob es sich um eine Analyse, eine Fingerabdruckerstellung oder nicht kategorisierte Tracker handelt. Einige Tracker gruppiert TrackerControl als notwendig ein, da sie für die Funktionsweise notwendig sind.
Im Großen und Ganzen funktioniert die Erkennung sehr gut. Manchmal muss man jedoch nachjustieren. So macht beispielsweise die App Twidere X keinen Sinn, wenn der Zugang zur Twitter-API gesperrt wird.
Limitationen
Die App ersetzt keinen Werbeblocker und das möchte sie auch nicht. Zwar kann man in den Einstellungen die System-Apps in die Analyse mit einbeziehen, aber wenn TrackerControl einen Browser erkennt, gibt es einen entsprechenden Hinweis, dass Browser nicht unterstützt werden. Das ist bei Konkurrenzanwendungen wie z. B. Blokada anders. Anwender müssen hier dann auf Browser mit integriertem Adblock-Support oder entsprechenden Extensions zurückgreifen.
Fazit
TrackerControl ist ein hervorragendes Tool, um proprietäre Apps mit entsprechenden Trackern im Blick zu behalten und den Datenfluss zu kontrollieren. Die App tut was sie soll und ist funktional nicht überladen, wodurch sie leicht zu bedienen ist. Grenzen setzt die Funktion über ein virtuelles lokales VPN auf nicht gerooteten Geräten und der Ausschluss von Browsern.
Der Vortrag beleuchtet den gesamten Prozess von der Idee bis zur Präsentation und ein wenig darüber hinaus. Es wird schwerpunktmäßig über Ideen und Konzepte gesprochen. Die entsprechende FLOSS Software wird genannt, aber es ist kein Software Workshop (Wie funktioniert eigentlich …?). Trotz der der einen Stunde konnte selbst der gesamte Vorgang nur als grober Überblick mit vereinzelten Themenschwerpunkten betrachtet werden, so dass manche Dinge einfach nur benannt oder aufgelistet (im Vortrag oder hier im Blog) sind, so dass für Interessierte der Anfang leichter ist.
Der Vortrag wurde audiomäßig live mit OBS Studio aufgenommen und später mit KDEnlive als Videopräsentation erstellt.
Sollte zu den einzelnen Softwaren vermehrt Anfragen eintreffen, besteht die Möglichkeit dass ich noch zusätzlich einzelne Tutorials produziere.
Vielen Dank an die OrganisatorInnen der Veranstaltung und die Einladung zu diesem wichtigen Tag. Und auch einen herzlichen Dank an die weiteren Vortragenden für ihre Präsentationen und interessanten Einblicke und Perspektiven in die jeweiligen Themen.
Die Präsentation ist übrigens auch sehr gut in 360p konsumierbar (Thema - Streaming, CO2 & Umweltschutz) ;)
Firefox Relay ist ein kostenloser Dienst von Mozilla, der die persönliche E-Mail-Adresse vor Spam und unerwünschter Offenlegung schützt. Neuerdings kann Firefox Relay sogar Tracker aus E-Mails entfernen. Die kostenpflichtige Premium-Version bietet zusätzliche Funktionen. Mit einer Maskierung der Telefonnummer, Firefox-Integration sowie einem gemeinsamen Paket mit dem Mozilla VPN stehen gleich mehrere große Neuerungen an. Außerdem endet die Einführungsphase in Kürze, womit sich der Preis für Firefox Relay Premium ändern wird.
Was ist Firefox Relay?
E-Mail-Adressen sind gleichzusetzen mit einer persönlichen Adresse. Sie sind einmalig und viele Nutzer besitzen nur eine einzige E-Mail-Adresse, die sie teilweise auf dutzenden, wenn nicht gar auf hunderten Websites verwenden. Findet auf einer Website, auf der man mit seiner E-Mail-Adresse registriert ist, ein Datendiebstahl statt, wird damit in vielen Fällen auch die persönliche E-Mail-Adresse offengelegt. Und haben Spammer erstmal eine E-Mail-Adresse in ihrem System, darf man sich auf viele unerwünschte E-Mails ohne realistische Hoffnung einstellen, dass der Spam abnehmen wird.
Mit Firefox Relay können sogenannte Masken als Alias-Adressen angelegt werden, die der Nutzer für Newsletter-Anmeldungen und Website-Registrierungen angeben kann. Firefox Relay leitet diese E-Mails dann an die persönliche E-Mail-Adresse weiter.
Firefox Relay ist kostenlos. Es gibt aber auch eine kostenpflichtige Premium-Version, welche unendlich viele Masken anstelle von nur fünf sowie eine eigene E-Mail-Domain erlaubt. Außerdem kann in Firefox Relay Premium auf weitergeleitete E-Mails geantwortet und Werbe-Mails automatisch blockiert werden.
Bereits verfügbar: Tracker-Entfernung
Firefox Relay wird auch in der kostenlosen Version stetig verbessert. So wurde im März beispielsweise das Limit pro E-Mail von 150 KB auf 10 MB erhöht. Die neueste Ergänzung ist das optionale Entfernen bekannter Tracker aus E-Mails zur Verbesserung des Datenschutzes. Dieses Feature kann in den Einstellungen aktiviert werden.
Telefonnummer-Maskierung
In Zukunft wird Firefox Relay nicht nur E-Mail-Adressen, sondern auch Telefonnummern maskieren können. So können Nachrichten und Anrufe am Telefon empfangen werden, ohne dass dafür die echte Telefonnummer preisgegeben werden muss.
Dieses Feature wird voraussichtlich ab dem 11. Oktober für Nutzer in den USA und Kanada zur Verfügung stehen. Zur Verfügbarkeit in anderen Ländern liegen aktuell noch keine Informationen vor.
Firefox-Integration
Es gibt bereits Browser-Erweiterungen für die Browser Firefox und Google Chrome, womit neue E-Mail-Masken direkt dort erstellt werden können, wo sie benötigt werden: auf Websites, welche die Eingabe einer E-Mail-Adresse erfordern. In Zukunft soll Firefox nativ Firefox Relay unterstützen. Nutzer, welche in Firefox mit ihrem Firefox Account angemeldet sind, erhalten dann bei E-Mail-Feldern automatisch ihre Masken vorgeschlagen und können neue Masken anlegen.
VPN-Paket
Mozilla plant außerdem die Einführung eines vermutlich zeitlich begrenzten Paketes, bestehend aus dem Mozilla VPN und Firefox Relay. Der Preis dafür steht noch nicht fest, gegenüber den Einzelprodukten wird man bei dieser Option aber definitiv etwas Geld sparen können.
Auch dieses Angebot wird am 11. Oktober erst einmal in den USA und Kanada starten.
Neuer Preis für Firefox Relay Premium
Wie Mozilla bereits seit Tag 1 der Einführung von Firefox Relay Premium kommuniziert hat, handelt es sich beim derzeitigen Preis von 0,99 Euro pro Monat um einen zeitlich begrenzten Einführungspreis. Die Einführungsphase wird am 27. September 2022 enden.
Danach wird Firefox Relay Premium 1,99 Euro pro Monat bei einem Monat Bindung kosten. Wer sich gleich für mindestens zwölf Monate bindet, zahlt auch in Zukunft nur 0,99 Euro pro Monat und spart damit die Hälfte. In der Schweiz sind 2,00 CHF respektive 1,00 CHF zu bezahlen.
Die Telefonnummer-Maskierung wird in diesem Preis nicht inbegriffen sein, sondern kann gegen einen Aufpreis optional dazu gebucht werden. Der Preis für die Telefonnummer-Maskierung steht noch nicht fest.
Wer postapokalyptische Szenarien mag, der dürfte an der neuen Beta-Version von Fedora 37 Gefallen finden. Zumindest suggeriert das gewählte Hintergrundbild, dass wir in Zukunft in steinartigen Hochhäusern leben werden, die natürliche Evolution des Höhlenmenschen sozusagen. Dabei ist anzumerken, dass sich das tatsächliche Hintergrundbild bis zur Veröffentlichung durchaus noch ändern kann. Dies war zumindest bei der Vorgängerversion der Fall, bei der das ursprüngliche Beta-Design von der gleichen Künstlerin stammte.
Fedora bleibt darüber hinaus seinen Grundsätzen treu und stimmt das Release auf die angekündigte GNOME 43 Version ab. So enthält auch die nun veröffentlichte Beta der Distribution eine Vorabversion der Desktopumgebung.
Der Raspberry Pi 4 wird offiziell unterstützt, wobei auch eine Grafikbeschleunigung mit Freien Treibern möglich ist. Mit Fedora Linux 37 Beta wird die Unterstützung für die ARMv7 abgekündigt.
Die Entwickler freuen sich über Fehlerberichte. Zur Kommunikation kann die entsprechende Mailingliste genutzt werden.
Unveränderliche („immutable“) Distributionen, Anwendungen über containerbasierte Formate wie Flatpaks und Snaps. Skeptiker dieser Entwickler verweisen immer wieder gerne auf die Bedeutung der Maintainer als wichtige Kontrollinstanz. Ein kleiner Blick auf die Fakten.
Paketmaintainer sollen dem Anspruch nach die Anwender vor dem Dschungel des Open Source-Ökosystems bewahren. Richtige Versionen finden, Quellcode prüfen, Fehler patchen, sicherheitsrelevante Probleme monitoren und beheben. Der Anforderungskatalog ist gewaltig.
In der Realität werden die Distributionen und ihre Maintainer dieser zugedachten Scharnierfunktion zwischen Entwicklung und Anwendern schon länger nicht mehr gerecht. Nicht weil sie nicht können oder wollen, sondern schlicht, weil Open Source sich weiterentwickelt hat. Programme bestehen heute nicht mehr aus ein paar hundert Zeilen Code und es gibt auch nicht mehr nur 5 Programme für jeden Zweck. Zum Glück für uns Anwender.
Nehmen wir Debian als Beispiel. Für ein Paket wie Dolphin ist laut Informationsseite die Gruppe der „Debian Qt/KDE Maintainers“ verantwortlich. Schon hier schwächt sich das Maintainerprinzip ab, da Außenstehende nicht sofort erkennen, wer verantwortlich zeichnet. Diese Gruppe ist für fast alle Pakete im KDE/Qt-Kontext verantwortlich. Wer jetzt denkt, das müssen bestimmt 10 Personen sein, der täuscht sich gewaltig. Seit dem Rückzug von Norbert Preining treten lediglich 2-3 Maintainer hier in Erscheinung durch Uploads. Das sind im Wesentlichen Pino Toscano und Aurélien Couderc, die für einen Großteil der Pakete verantwortlich zeichnen. Lediglich Qt hat nochmal separate Maintainer.
Debian hebt seine Entwickler und Maintainer besonders hervor und ist hier sehr transparent, aber das ist bei den meisten Distributionen nicht anders und die Personalstärke ist hier nirgendwo besser. Debian kann daher durchaus als Beispiel dienen.
Diese Maintainer leisten tolle Arbeit. Ohne sie gäbe es aktuell kaum ein Linux-System. Die sich rasch entwickelnde freie Softwarewelt in Pakete zu verpacken und an die Anwender auszuliefern, ist viel Arbeit. Arbeit, die für jede Distribution erneut durchgeführt werden muss (ja ja, die Vielfalt…). Arbeit, die immer noch nicht hinreichend automatisiert ist. Arbeit, die viele Maintainer in ihrer Freizeit erledigen.
Aber wer ernsthaft glaubt, dass bei dieser Arbeitsbelastung eine intensive und anlasslose Prüfung des Codes erfolgen kann, der redet sich etwas ein. Die Fähigkeit den Code der betreuten Pakete zu prüfen ist nicht mal eine Qualifikation, die ein Maintainer formal haben muss, weil es nicht seine Aufgabe ist. Solange beim Paketbau keine Probleme auftreten, schaut da niemand genauer hin. Viel bei Open Source basiert auf Vertrauen. Anwender vertrauen ihren Distributionen, die Projekte den Maintainern, diese Maintainer den Upstream-Entwicklern etc. pp. Man darf schon froh und dankbar sein, wenn die Maintainer den Upstreamdiskussionen engmaschig folgen und dort diskutierte Probleme schnell für die Distribution angehen und lösen.
Ein kleines Beispiel ist der KDE Partition Manager bzw. kpmcore. Bis bei SUSE ein (hauptamtlicher) Entwickler sich das mal genauer angesehen und umfangreiche Änderungen infolge erheblicher Sicherheitsbedenken angemahnt hat, haben das alle Distributionen klaglos durchgewunken und akzeptiert. Es fiel dann bei SUSE auf, obwohl die wohlgemerkt den KDE Partition Manager gar nicht standardmäßig verwenden, sondern eine eigene Lösung haben.
Das Maintainer-Prinzip auf einen Sockel zu stellen (z. B. hier und hier) und gegen die aktuelle Entwicklung ins Feld zu führen, wird der Realität somit nicht gerecht. Auch moderne Distributionen mit unveränderbaren Systemen und Anwendungen über Flatpak & Co brauchen Entwickler und entstehen nicht im luftleeren Raum. Hier wird ein bewusst ein Zerrbild zukünftiger Entwicklung gezeichnet und gegen ein idealisiertes Bild der Gegenwart ins Feld geführt.
Secure boot, TPM und alle diese schönen neuen Sicherheitsmaßnahmen. Alteingesessenen Linux-Veteranen sind sie ein Dorn im Auge, weil sie ihre gefühlte Kontrolle über das System beeinträchtigen. Da werden gerne mal die Fakten gebogen, um das eigene Weltbild zu pflegen.
Ich habe in der Vergangenheit hier so manche Lanze für die neuen Sicherheitsmaßnahmen in moderner Hardware gebrochen. Natürlich sind sie nicht perfekt und es gibt theoretische Risiken, aber sie bieten in bestimmten Szenarien substanzielle Vorteile. Wer es nicht nutzen möchte, kann alles abschalten. Das ist die volle Wahlfreiheit. Bereits im Februar hatte ich viel der angeblichen Kritik als FUD bezeichnet. Aus Angst und Unsicherheit geschürte Zweifel.
Es gibt bereits seit einigen Wochen Querelen zwischen Microsoft als Zertifizierungsstelle und den Entwicklern alternativer Betriebssysteme, was natürlich zuvorderst Linux betrifft. Microsoft möchte die Sicherheitsfunktionen mit seinem neuen Pluton-Chip stärken und hat in einer speziellen Einstellung die CA-Schlüssel Dritter gesperrt. Betroffen sind aktuell nur Kunden ganz neuer Lenovo-Notebooks, wobei dies es natürlich abstellen können. Das wird sich wie immer zurecht ruckeln und die Aufmerksamkeit kommt primär dadurch zustande, dass prominente Vertreter hier über Bande spielen und die Öffentlichkeit einbinden.
Den Vogel abgeschossen hat aber kürzlich Heise mit einem an Falschmeldung grenzenden Artikel „Bootloader-Signaturen per Update zurückgezogen: Microsoft bootet Linux aus„. Die Artikelüberschrift ist nicht nur völlig irreführend, sondern Heise mokiert sich über etwas, das eigentlich gut ist. Unsichere und veraltete Grub-Installationen werden von Secure Boot ausgeschlossen. Ein Problem haben nur Anwender völlig veralteter Linux-Installation. Mehr dazu kann man bei glasen nachlesen.
Warum das Heise macht, liegt meiner Meinung nach auf der Hand. Das Medium steigt schon länger ab und ist es längst nicht mehr „die“ IT-Zeitschrift von einst. Abozahlen kennen sie nur selbst, aber die c’t liegt längst nicht mehr in jeder IT-Abteilung als Dauerabo aus. Das hat natürlich etwas mit dem Medienwandel allgemein zu tun, aber Heise reagiert darauf – wie ich finde – mit einer speziellen Taktik. Klickzahlen verursachen nur noch kurze Aufreger und die Trollsportplattform – genannt Forum – auf der abgehängte Alleshasser ihren Frust über die Welt ablassen. Diese immer engere Zielgruppe bedient man mit solchen Artikeln. Gerne am Freitag vor dem Wochenende.
In der Linux-Blase wurde die Meldung natürlich gerne aufgegriffen und sogar noch irreführender verpackt. Plötzlich war ganz Ubuntu 20.04 betroffen und eine kleine Verschwörung zwischen Microsoft und den Hardwareherstellern konstruiert, bei denen sich Microsoft die „alleinstehend die Kontrolle über die Zertifizierungsstelle“ sicherte. Das muss derselbe böse Masterplan wie beim Microsoft-Novell-Deal gewesen sein… Der naheliegende Fall, dass es einfach gar keine Zertifizierungsstelle gab, Microsoft für seinen Secure Boot-Ansatz vorangehen musste und keine Lust auf langwierige und zu nichts führende Verhandlungen mit dem heterogenen Linux-Haufen und seinem Marktanteil von <5% hatte, schien wohl zu naheliegend. Die Ironie, Kunden von Lenovo 13z Notebooks auf eine Seite der FSFE zu verweisen, die T400 Notebooks führt, setzt dem ganzen die Krone auf. Wenn man andauernd um Reichweite und Spenden wirbt, sollte man auch um Qualität bemüht sein.
Die Berichterstattung und die Kommentare, auch hier im Blog, führen mich zu einem anderen Punkt: Die Linux-Community muss echt aufpassen, dass sie nicht in alternative Fakten abgleitet, weil ihr die Entwicklung in manchen Bereichen nicht passt. Unterschiedliche Perspektive einzunehmen bedeutet nicht, sich die Fakten zurecht zu schieben, wie sie im eigenen Weltbild Platz finden.
Darum nochmal kurz die Fakten zusammen gefasst:
Microsoft entwickelt Secure Boot weiter. Das reibt sich manchmal mit Linux-Interessen. Ein Ausschluss alternativer Systeme ist nicht angekündigt und nicht geplant. Daran hätten nicht zuletzt Hersteller wie Lenovo, HP oder Dell mit Business-Kunden auch gar kein Interesse.
Microsoft und die Linux-Distributionen arbeiten seit vielen Jahren zuverlässig zusammen und ermöglichen es auch Linux von Secure Boot profitieren zu lassen. Das betrifft auch Community-Distributionen wie z. B. Debian. Wenn eine Distribution kein Secure Boot unterstützt, dann weil sie es nicht will.
Microsoft hat als Zertifizierungsstelle Zertifikate für unsichere Systeme zurückgezogen und damit seine Funktion als Zertifizierungsstelle erfüllt.
Das openSUSE-Projekt gehört zu den bekanntesten in der GNU/Linux-Welt. Mit Plänen wie der "Adaptable Linux Platform" gehört openSUSE zu den Mutigsten, was die neuen Entwicklungen rund um immutable, zu deutsch unveränderliche Distributionen angeht.
Im Gegensatz zum bisherigen Distributionsansatz setzen Immutables wie Fedora Silverblue oder openSUSE ALP/MicroOS auf transaktionale Updates, die es ermöglichen, das Root-Verzeichnis und die Systemdateien weitgehend von den eigentlichen Endanwendern zu entkoppeln:
So wird ein grosser Teil der Installation als Read-Only eingehängt, "normale" Benutzer haben auf die entsprechenden Systemdateien dann keinen oder nur stark eingeschränkten Zugriff. Anwendungen sollen somit hauptsächlich über Containerlösungen wie Flatpak installiert werden.
Mit den verschiedenen MicroOS-Distributionen aus dem Hause openSUSE lässt sich die dortige Entwicklung rund um das Thema nachvollziehen. Das eigentliche MicroOS basiert dabei auf dem rollenden Tumbleweed-Zweig des Projekts, Leap Micro hingegen auf dem stabilen Zweig der Distribution mit dem Chamäleon. Am 9. September wurde die Version 5.3 Beta der Leap-Ausgabe zum Test freigegeben.
Im Gegensatz zu MicroOS bietet Leap Micro keine Desktop-Abbilder an, sondern fokussiert sich stark auf den Einsatz im Edge-Computing-, IoT- und Embedded-Umfeld. OpenSUSE selbst beschreibt die entsprechenden Veröffentlichungen als besonders zuverlässig, was durch den unveränderlichen Unterbau begründet wird.
Auf technischer Ebene sticht vor allem der NetworkManager als neuer Standard einhergehend mit Tools wie dem Cockpit-Plugin hervor. Ausserdem boote das System nun schneller aus der Kalten, so die Entwickler:innen in einem Blogpost.
Wichtig zu wissen ist, dass Leap Micro als unveränderliches System auf zypper als Paketmanager verzichtet und stattdessen auf transactional-update und automatisierte Aktualisierungen setzt.
Wie bereits erwähnt liegt das Hauptanwendungsfeld von Leap Micro im Edge.Comupting-Umfeld. Ähnlich wie die klassische Leap-Distribution ist mit SUSE SLE Micro auch bei der entsprechenden Immutable-Veröffentlichung ein kommerzielles Produkt der Firma SUSE verfügbar.
Zu beachten ist auch, dass Leap Micro im Gegensatz zur klassischen stabilen Leap-Distro einen wesentlich geringeren Lebenszyklus von lediglich sechs Monaten aufweist.
OpenSUSE Leap Micro kann momentan als Testversion von get.opensuse.org heruntergeladen werden, ein Bugtracker läuft über bugzilla.opensuse.org. In ihrem Blogpost geben die Entwickler:innen an, die Beta schnellstmöglich in einen Release Candidate umwandeln zu wollen.
Die Linux-Distribution Raspberry Pi OS basiert neu auf Debian 11 Bullseye und bietet neue Funktionen für den hauseigenen PIXEL-Desktop, der wiederum auf dem leichten LXDE basiert. Das Betriebssystem der Raspberry Pi Foundation, welches erst im April vom Linux 5.10 LTS auf Linux 5.15 LTS gewechselt ist, hat mit dem neuesten Release zahlreiche Verbesserungen für PIXEL, die Desktop-Umgebung des Open-Source-Projekts, sowie einen abermals auf Linux 5.15.61 LTS aktualisierten Betriebssystemkernel erhalten.
Im Mittelpunkt steht das neue Hauptmenü-Plugin, welches jetzt erstmals auch eine integrierte Texteingabe mit Suchfunktion sowie ein Netzwerk-Plugin bietet, das mit dem Paket NetworkManager, einer Anwendung zur Verwaltung von Netzwerkverbindungen unter Linux kompatibel ist, die ursprünglich von Red Hat entwickelt wurde.
Die Highlights
Aktualisierter Betriebssystemkernel Linux 5.15.61 LTS
Neues Hauptmenü-Plugin mit Texteingabe und einer integrierten Suchfunktion
Neues Netzwerk-Plugin für den NetworkManager
Neues Audio-Plugin für den Infobereich
Hinzu kommen das neue Kamera-Interface Picamera 2 und überarbeitete Kurzbefehle für die Tastatur, die das Öffnen des Wi-Fi- und Bluetooth-Plugins erleichtern. Zudem wird die initiale Unterstützung des nach wie vor noch experimentellen Display-Server-Protokoll Wayland, das Benutzer über die Befehlszeile und das Paket raspi-config in den erweiterten Optionen aktivieren können, weiter verbessert.
In vielen Artikeln zur neuen Version des Raspberry Pi Betriebssystems liest man diese Anleitung zum Upgrade:
sudo apt update
sudo apt full-upgrade
Anscheinend haben die Tech-Blogs voneinander abgeschrieben. Diese Anleitung ist falsch! Sie führt lediglich zu einem vollständigen Upgrade auf Basis von Debian 10 Buster, zieht die Installation aber nicht auf Debian 11 Bullseye hoch.
So kommt man von Buster auf Bullseye
Die beste Empfehlung, um von einer Debian-Hauptversion auf die nächste zu gehen, ist eine Neuinstallation mit vorheriger Sicherung (Backup) aller persönlichen Dateien. Es gibt aber auch einen Upgrad-Pfad, der ohne eine vollständige Neuinstallation auskommt. Und der geht so:
sudo apt update
sudo apt dist-upgrade -y
sudo rpi-update
sudo reboot
sudo nano /etc/apt/sources.list
Suche diese Zeile:
deb http://raspbian.raspberrypi.org/raspbian/ buster main contrib non-free rpi
.. und ersetze sie durch diese ('buster' durch 'bullseye' ersetzen):
deb http://raspbian.raspberrypi.org/raspbian/ bullseye main contrib non-free rpi
sudo apt update
sudo apt dist-upgrade
sudo apt autoclean
sudo reboot
Der oben beschriebene Vorgang kann steinig sein und muss nicht zwingend funktionieren. Ich hatte beim Upgrade meines Raspi3 einige Abhängigkeitsprobleme mit der gcclib. Wenn ihr diesen Weg gehen möchtet, solltet ihr mit Herausforderungen rechnen. Schlussendlich ist mein Upgrade von Buster auf Bullseye gelungen, wobei die Benutzeroberfläche danach keines der neuen Features zeigt und eher kaputt aussah:
Und so sollte es aussehen:
Ich habe versucht den Desktop mit dem Befehl sudo apt reinstall raspberrypi-ui-mods neu zu installieren, was aber keine Wirkung zeigte. Vielleicht kennen die Leser und Leserinnen hierfür einen funktionierenden Befehl.
Warnung: ein Upgrade kann funktionieren, muss es aber nicht. Der sichere Weg ist eine Neuinstallation. Vergesst nicht, ein Backup zu erstellen.
Das Kommando getent steht auf so gut wie jedem Linux- und UNIX-System zur Verfügung. Es steht für get entries und tut genau das. Es ruft Einträge aus Textdateien ab (in diesem Kontext auch Datenbanken genannt), die auf eurem System vorhanden sind. Genau genommen kann es alle Datenbanken abfragen, die in der Datei /etc/nsswitch.conf (siehe nsswitch.conf(5)) konfiguriert sind. Damit lässt sich auf reichhaltige Informationen zugreifen, ohne eine Internet-Suchmaschine zu bemühen. Es funktioniert sogar auf Systemen ohne Internetkonnektivität (ja auch heutzutage gibt es solche Systeme noch).
Ich möchte hier allerdings nicht die Manpage getent(1) widergeben, sondern euch ein paar Anwendungsbeispiele zeigen, bei denen ich getent hilfreich finde.
Informationen zu Ports, Services und Protokollnummern
Nehmen wir mal an, in einem Firewall-Log fallen uns die Ports 5432 und 11371auf und wir können uns gerade nicht daran erinnern, für welche Services diese üblicherweise verwendet werden. So hilft uns folgende Abfrage auf unserem Linux-/UNIX-System weiter:
Selbstverständlich kann man diese Informationen auch mit `grep <Suchmuster> /etc/{groups,passwd} erhalten. Es geht aber auch wie folgt:
$ getent passwd root
root:x:0:0:root:/root:/bin/bash
$ getent group root
root:x:0:
$ getent group sudo
sudo:x:27:alice
Ein Beispiel für Hostnamen findet sich bereits hier.
Fazit
Ich finde, getent ist ein einfach zu bedienendes und nützliches Programm. Seid ihr neugierig geworden? Dann schaut doch mal in die Manpage getent(1) für weitere Hinweise, wie und wofür ihr es nutzen könnt.
Meine Server überwache ich in der Regel mit checkmk (wenn dazu Posts interessant sind, lasst es mich gerne mal wissen). checkmk ist eine mächtige Alternative zu Icinga und Nagstamon, in manchen Fällen aber vielleicht zu mächtig. Hier ist Uptime Kuma durchaus eine geeignete Alternative.
Dashboard von Uptime Kuma
Je nach Anwendungsfall ist weniger bekanntlich manchmal mehr. Besonders, wenn es Projekte gibt, bei denen ich auch für einfache Nutzer, die mit einem checkmk komplett überfordert wären gerne Statistiken herausgeben möchte. Der Entwickler selbst vergleicht es mit Uptime Robot, dem ich durchaus zustimme. Uptime Kuma begrüßt angemeldete Benutzer mit einem aufgeräumten Dashboard, welches die wichtigsten Informationen bereithält, wie den aktueller Status, die Response-Zeit sowie die Laufzeit des Zertifikates.
Darunter kann man den vorherigen Verlauf einsehen (dessen Speicherdauer sich in den Einstellungen festlegen lässt) sowie eine History der vergangenen Events.
Uptime Kuma - Status Page Beispiel mit mailcow
Wer allerdings auch Daten nach außen herausgeben möchte, möchte es vielleicht noch aufgeräumter haben. Platzhirsch ist hier mit Sicherheit Statuspage von Atlassian, welches für einfache Projekte durchaus eine Nummer zu groß sein kann. Hier bietet Uptime Kuma die Option Statusseiten für Projekte anzulegen. Einzelne Checks können zu Gruppen zugeordnet, sowie das Erscheinungsbild der Status-Seite mittels CSS angepasst werden. Um keine kryptische oder lange URL aufrufen zu müssen, lassen sich Domains auf Status-Seiten festlegen.
Treten Fehler oder Vorfälle auf, können indiviuelle "Incidents" erstellt werden, die dann oben auf der Startseite dargestellt werden um Besucher über eben jenen zu informieren. Hier würde ich mir allerdings noch etwas mehr Anpassungsmöglichkeiten bzw. Optionen, wie fortführende Kommentare wünschen.
Uptime Kuma - Neuen Host anlegen
Es gibt mehrere Möglichkeiten einen Host zu überwachen. Neben der klassichen Abfrage wie HTTP(S) und Ports, können seit dem derzeit neusten Release 1.18 auch Docker Container abgefragt werden. Dazu muss Docker aber auf dem selben Host laufen oder aber über TCP mittels Docker Daemon abgefragt werden. Weitere Möglichkeiten zur Abfrage sind DNS, MySQL, PostgreSQL, Radius, MQTT und weitere. Auch an Optionen wie Basic Authentification wurde gedacht, wenn man z.B. eine DEV-Umgebung hinter einer .htaccess-Abfrage prüfen möchte.
Benachrichtungen sind ebenfalls möglich. Diese können mit einer vielzahl an Services ausgelöst werden. Von diversen SMS-Dienstleistern, über Webhooks, Pushover bis hin zu Telegram gibt es diverse Kanäle.
Die Installation ist schnell und unkompliziert mittels Docker erledigt. Möchte man kein Docker verwenden gibt es aber auch die Möglichkeit Uptime Kuma direkt zu installieren. Dafür müssen NodeJS, Git und PMM auf dem Server installiert sein.
Ich habe mich bei mir für den interaktiven Installer entschieden. Dieser lässt sich einfach wie folgt aufrufen:
Ihr werdet dort direkt gefragt ob ihr die Installation mittels Docker oder NodeJS vornehmen wollt. Kleiner Hinweis, wählt ihr Docker, muss dieses vorher installiert sein. Im Falle, dass ihr euch für die lokale Installation entscheidet, werden alle Abhängigkeiten automatisch installiert.
Anschließend lauscht Uptime Kuma unter http://localhost:3001, wofür ich mir noch mittels nginx als Reverse Proxy einen Vhost angelegt habe.
Abschließend beachten sollte man bei all solchen selbstgehosteten Lösungen jedoch immer, dass sie nur von einem Ort aus prüfen. Größere Dienste wie Uptime Robot, Statuspage und Co. haben den Vorteil, dass sie dies von mehreren Orten auf der Welt tun.
Meine Server überwache ich in der Regel mit checkmk (wenn dazu Posts interessant sind, lasst es mich gerne mal wissen). checkmk ist eine mächtige Alternative zu Icinga und Nagstamon, in manchen Fällen aber vielleicht zu mächtig. Hier ist Uptime Kuma durchaus eine geeignete Alternative.
Dashboard von Uptime Kuma
Je nach Anwendungsfall ist weniger bekanntlich manchmal mehr. Besonders, wenn es Projekte gibt, bei denen ich auch für einfache Nutzer, die mit einem checkmk komplett überfordert wären gerne Statistiken herausgeben möchte. Der Entwickler selbst vergleicht es mit Uptime Robot, dem ich durchaus zustimme. Uptime Kuma begrüßt angemeldete Benutzer mit einem aufgeräumten Dashboard, welches die wichtigsten Informationen bereithält, wie den aktueller Status, die Response-Zeit sowie die Laufzeit des Zertifikates.
Darunter kann man den vorherigen Verlauf einsehen (dessen Speicherdauer sich in den Einstellungen festlegen lässt) sowie eine History der vergangenen Events.
Uptime Kuma - Status Page Beispiel mit mailcow
Wer allerdings auch Daten nach außen herausgeben möchte, möchte es vielleicht noch aufgeräumter haben. Platzhirsch ist hier mit Sicherheit Statuspage von Atlassian, welches für einfache Projekte durchaus eine Nummer zu groß sein kann. Hier bietet Uptime Kuma die Option Statusseiten für Projekte anzulegen. Einzelne Checks können zu Gruppen zugeordnet, sowie das Erscheinungsbild der Status-Seite mittels CSS angepasst werden. Um keine kryptische oder lange URL aufrufen zu müssen, lassen sich Domains auf Status-Seiten festlegen.
Treten Fehler oder Vorfälle auf, können indiviuelle "Incidents" erstellt werden, die dann oben auf der Startseite dargestellt werden um Besucher über eben jenen zu informieren. Hier würde ich mir allerdings noch etwas mehr Anpassungsmöglichkeiten bzw. Optionen, wie fortführende Kommentare wünschen.
Uptime Kuma - Neuen Host anlegen
Es gibt mehrere Möglichkeiten einen Host zu überwachen. Neben der klassichen Abfrage wie HTTP(S) und Ports, können seit dem derzeit neusten Release 1.18 auch Docker Container abgefragt werden. Dazu muss Docker aber auf dem selben Host laufen oder aber über TCP mittels Docker Daemon abgefragt werden. Weitere Möglichkeiten zur Abfrage sind DNS, MySQL, PostgreSQL, Radius, MQTT und weitere. Auch an Optionen wie Basic Authentification wurde gedacht, wenn man z.B. eine DEV-Umgebung hinter einer .htaccess-Abfrage prüfen möchte.
Benachrichtungen sind ebenfalls möglich. Diese können mit einer vielzahl an Services ausgelöst werden. Von diversen SMS-Dienstleistern, über Webhooks, Pushover bis hin zu Telegram gibt es diverse Kanäle.
Die Installation ist schnell und unkompliziert mittels Docker erledigt. Möchte man kein Docker verwenden gibt es aber auch die Möglichkeit Uptime Kuma direkt zu installieren. Dafür müssen NodeJS, Git und PMM auf dem Server installiert sein.
Ich habe mich bei mir für den interaktiven Installer entschieden. Dieser lässt sich einfach wie folgt aufrufen:
Ihr werdet dort direkt gefragt ob ihr die Installation mittels Docker oder NodeJS vornehmen wollt. Kleiner Hinweis, wählt ihr Docker, muss dieses vorher installiert sein. Im Falle, dass ihr euch für die lokale Installation entscheidet, werden alle Abhängigkeiten automatisch installiert.
Anschließend lauscht Uptime Kuma unter http://localhost:3001, wofür ich mir noch mittels nginx als Reverse Proxy einen Vhost angelegt habe.
Abschließend beachten sollte man bei all solchen selbstgehosteten Lösungen jedoch immer, dass sie nur von einem Ort aus prüfen. Größere Dienste wie Uptime Robot, Statuspage und Co. haben den Vorteil, dass sie dies von mehreren Orten auf der Welt tun.
Das script macht das einfach, es kopiert die Dateinamen in das Clipboard und als Addon auch mit den Pfaden der Dateinamen.
