Heise berichtete heute über eine Analyse zu OpenPGP, die im wesentlichen die Ersetzung von OpenPGP in allen Bereichen fordert. Sowas kommt natürlich am Freitag für die Klickzahlen, dennoch legt es den Finger in die Wunde. OpenPGP ist eine eierlegende Wollmilchsau mit Rückwärtskompatibilität bis in die 90er und in jedem Einsatzgebiet gäbe es bessere Alternativen.

Anlass der Debatte ist das aktuelle Problem der SKS Keyserver (siehe auch: Kommentar: OpenPGP Keyserver - Letzte Zuckungen), aber die Probleme mit OpenPGP sind nicht neu. EFAIL war ein ganz schöner GAU - sowohl hinsichtlich der technischen Probleme, als auch der Kommunikation - den die PGP-Anhänger schnell verdrängt haben (siehe: Kommentar: EFAIL - Nebelkerzen und was ist eigentliche eine Lücke?). Genau genommen ist der einzige Bereich, in dem PGP nicht zu ersetzen ist die E-Mail Verschlüsselung. Der Grund liegt hier aber weniger in den Qualitäten von OpenPGP, sondern schlicht darin, dass sich hier zwei uralte Protokolle treffen und ihre Goldene Hochzeit feiern.

Interessant an dem Artikel ist ein Blick in die Heise-Kommentare. Hier sieht man die übliche Abwehrstrategie der Befürworter dieser uralten Technologien. Auf Kritik kontert man mit Whataboutism und vor allem dem hochhalten des Open-Source- bzw. Community-Gedankens.

Merke: Mache etwas nur quelloffen, dezentralisiere es und bilde eine treue Community. Dann ist es auf jeden Fall sicher.

Vielleicht gibt es auch nur keine ernsthaften Angriffe auf PGP, weil es schlicht niemand nutzt und es deshalb uninteressant ist. Das wäre dann nicht Security through obscurity, sondern Security through insignificance. Nichts worauf man wirklich vertrauen sollte.

Bilder:
Einleitungs- und Beitragsbild von KRiemer via pixaybay

Mozilla hat mit Firefox 68.0.1 das erste Update für Firefox 68 veröffentlicht.

Mit dem Update auf Firefox 68.0.1 verbessert Mozilla die Kompatibilität seines Browsers mit der kommenden Version Catalina (10.15) des Betriebssysstems Apple macOS.

Mit Firefox 68.0 hatte Mozilla die mit Firefox ausgelieferten Suchmaschinen auf WebExtensions umgestellt. In diesem Zusammenhang gab es noch Probleme, die mit dem Update behoben worden sind. So gab es in manchen Sprachen Probleme mit der Zeichenkodierung. Außerdem konnte es für Nutzer in russischen Regionen vorkommen, dass sich die eingestellte Standard-Suchmaschine geändert hat.

Außerdem konnte es für Nutzer mancher Sprachen vorkommen, dass im Panel der Storage Access API ein falscher Text angezeigt wurde.

Schließlich wurde noch ein Problem behoben, welches sich unter anderem bei HBO GO zeigte, indem dort der Vollbild-Button in den Videos nicht zu sehen war.

Der Beitrag Mozilla veröffentlicht Firefox 68.0.1 erschien zuerst auf soeren-hentzschel.at.

Um ein PDF in Bilder (hier im PNG-Format) umzuwandeln, gibt es verschiedene Möglichkeiten. Ich selber habe bisher immer mit ImageMagick und dem Kommando convert gearbeitet.

Das Umwandeln geht dann über z.B.

convert -density 300 -quality 80 source.pdf destination.png

Besteht das PDF aus mehreren Seiten, werden die Zieldateien durch ensprechendes Suffix ergänzt.

Seit einigen Monaten geht dieses Kommando allerdings nicht mehr und folgende Fehlermeldung wird angezeigt:

convert: attempt to perform an operation not 
allowed by the security policy 
`PDF' @ error/constitute.c/IsCoderAuthorized/408.

Hintergrund ist, dass neuerdings mit den Security Policies ImageMagick besser kontrolliert werden kann bezüglich RAM-Nutzung, verwendeten Dateiformaten, etc.

Mit der Zeile

  <policy domain="coder" rights="read | write" pattern="PDF" />

in der Datei /etc/ImageMagick-7/policy.xml ist es möglich, diese Beschränkung manuell für das PDF-Format aufzuheben.

Alternativ kann auch von den Poppler-Utils das Programm pdftoppm verwendet werden:

pdftoppm -png source.png destination.png

Es geht ja momentan durch die News, google hat bald Stadia am Start. Das ist eine Plattform, die die Computerspiele als Streaming Dienst anbieten wird.

Vorteil für den User, die Hardware muss nur den Chrome Browser starten und betreiben können. Die normalen integrierten Grafikkerne in den CPUs werden reichen, wenn sie jetzt schon FullHD Videos darstellen können.

Das bedeutet also, jeder halbwegs aktuelle  Laptop ohne dedizierte Grafikkarte ist dafür geeignet.

Was mich dazu bewogen hat, schonmal das Starterpaket zu ordern. Es besteht im wesentlichen aus Controllpad und Chromecast Ultra.

"Warum das? Ist das nicht zu teuer?" Lieber Spiele kaufen und lokal Spiele installieren!

Naja, mein Gedanke ist: Der momentane Laptop ist der XC1506 von Tuxedo, rennt wie der Teufel, aber der kommt auch mal an sein Lebensende und dann?

Wieder einen Haufen Geld für einen Spiele tauglichen Laptop ausgeben, oder nicht doch lieber einen Laptop in Top Qualität ohne dedizierte Grafik und mit ordentlich Akkulaufzeit, der ganz nebenbei auch leichter und preiswerter ist?

Für mich mit meinen 2-3 Spielen, die ich gelegentlich in Wellen mal spiele doch die klügere Alternative.

Ok, Spielen geht dann natürlich nur Online und es fragt sich, ob es überhaupt meine Spielekategorien, also Singleplayer;Strategie; auf Stadia geben wird...

Hhm. was meint ihr?

In der jüngeren Vergangenheit berichteten verschiedene Online-Medien (siehe [0] und [1]) über eine neuartige sehr effiziente Zip-Bombe [2], welche der Entwickler David Fitfield entwickelt und zusammen mit einer detaillierten Beschreibung veröffentlicht [3] hat.

Es reizte mich, diese Zip-Bombe auszuprobieren. Im folgenden beschreibe ich, wie ich eine Disk-Image-Datei [4] und ein Loop-Device [5] verwendet habe, um dies gefahlos tun zu können, ohne mir mein komplettes Dateisystem vollzuschreiben.

Die Prozedur besteht aus den folgenden Schritten:

1. Disk-Image-Datei mit definierter Größe erzeugen
2. Dateisystem in erstellter Disk-Image-Datei erzeugen
3. Einhängepunkt erzeugen und Disk-Image-Datei einhängen

Die einzelnen Schritte werden im Detail im folgenden Code-Block dargestellt:

[root@example.com ~]# fallocate -l 1G /tmp/zipbomb.img
[root@example.com ~]# mkfs.ext4 -F /tmp/zipbomb.img
mke2fs 1.42.9 (28-Dec-2013)
Discarding device blocks: done                            
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
65536 inodes, 262144 blocks
13107 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=268435456
8 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks: 
	32768, 98304, 163840, 229376

Allocating group tables: done                            
Writing inode tables: done                            
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done

[root@example.com ~]# mount -o loop /tmp/zipbomb.img /mnt
[root@example.com ~]# mount | grep /mnt
/tmp/zipbomb.img on /mnt type ext4 (rw,relatime,seclabel,data=ordered)
[root@example.com ~]#

Nun hängt in /mnt ein Dateisytem von 1 GB Größe, welches von der Zip-Bombe vollgeschrieben werden kann. Viel Spaß beim Ausprobieren.

Und wie probiere ich nun die Zip-Bombe aus?

Na ganz einfach:

[root@example.com ~]# cd /mnt
[root@example.com ~]# wget https://www.bamsoftware.com/hacks/zipbomb/zbsm.zip
[root@example.com ~]# unzip zbsm.zip

Es dauert auch nicht lange, bis euer Dateisystem unter /mnt voll ist.

Quellen und weiterführende Links

[0] DerStandard: Verstopfte Festplatte: „ZIP-Bombe“ verwandelt 46 Megabyte in 4,5 Petabyte
[1] Golem.de: Malware: Zip-Bombe entpackt 46 MByte zu 4,5 Petabyte
[2] Wikipedia: Archivbombe
[3] David Filield: A better zip bomb
[4] Wikipedia (en): IMG (file format)
[5] Wikipedia: Loop device

Seit 2016 betreiben wir im BITS Red Hat Enterprise Linux als drittes Server-Betriebssystem neben Solaris und Microsoft Windows Server. Nachdem wir nun erste Betriebserfahrung mit der für uns neuen Distribution gesammelt haben, möchte ich in diesem Jahr unser Betriebskonzept überarbeiten, um die Erkenntnisse aus dem bisherigen Betrieb einfließen zu lassen und (hoffentlich) Verbesserungen für den zukünftigen Betrieb herbei zu führen.

Ansible wird in diesem Konzept eine wesentliche Rolle einnehmen. Als Konfigurations-Management-Werkzeug wird es für Teile des Betriebssystems und für das zentrale RHEL-Patchmanagement zum Einsatz kommen.

Die zu bewältigenden Konfigurationsaufgaben unterscheiden wir dabei in:

• Parameter die im Bereitstellungsprozess initialisiert werden und anschließend in der Hoheit des jeweiligen Systembetreibers liegen sowie
• Parameter welche dauerhaft durch das Konfigurations-Management verwaltet werden; diese gliedern sich wiederum in die
  • Zeilenbasierte Verwaltung von Konfigurationsdateien und
  • Dateibasierte Verwaltung von Konfigurationsdateien

In diesem Beitrag führe ich die einzelnen Parameter und Optionen auf, welche zukünftig von Ansible verwaltet werden. Von diesen wird zukünftig auf weitere Beiträge verlinkt, welche die konkrete Umsetzung mit Ansible beschreiben und dokumentieren. Es mag sich also lohnen von Zeit zu Zeit wieder hier vorbei zu schauen.

Initialisierte Parameter

Hierunter sind Parameter und Optionen zu verstehen, die zu Beginn im Bereitstellungsprozess konfiguriert werden, um sicherzustellen, dass sich das neue System optimal in unsere Infrastruktur einfügt. Diese werden initial und einmalig gesetzt und gehen nach der Übergabe des Systems in die Hoheit des jeweiligen Systembetreuers über. Der Systembetreuer ist bei uns die Person, welche den spezifischen Server administriert und Dienste auf diesem betreibt.

Zu den initial konfigurierten Parametern zählen im Einzelnen:

• DNS-Konfiguration
• Zeitserver-Konfiguration
• Postfix-Konfiguration zum Versand von System-Mails
• System-Registrierung und Verknüpfung mit einer Subskription
• Konfiguration der BITS-Standard-Repositories
• Konfiguration der Host-Firewall
• Konfiguration von SELinux
• Installation eines definierten Standardsatzes an Software-Paketen

Dauerhaft verwaltete Parameter

Diese Parameter/Optionen werden bei lokalen Änderungen auf dem System durch Ansible überschrieben. Dabei handelt es sich um

• Die Stage-Zuordnung über das Ansible-Inventory
• Das Anlegen und verwalten eines Benutzers zur Anbindung an das BMC-Monitoring
• Die Verwaltung spezifischer lokaler Benutzerkonten
• Die Steuerung des SSH-Servers, der authorized_keys Dateien und die Verwaltung der öffentlichen SSH-Schlüssel der Benutzer
• Steuerung des RHEL-Patchmanagements

Ich habe eine neue Erweiterung für Firefox entwickelt, welche auf spielerische Art dabei hilft, Ordnung in die Lesezeichen zu bringen – nämlich auf Tinder-Art.

Lesezeichen aufräumen ist langweilig. Daran ändert für viele auch die von mir entwickelte Lesezeichen-Erweiterung Bookmarks Organizer nichts, welche dabei hilft, nicht mehr funktionierende Lesezeichen, Weiterleitungen sowie Duplikate zu finden.

Einen anderen, dynamischeren Ansatz bietet meine neue Erweiterung Keep or Delete Bookmarks. Keep or Delete Bookmarks bringt etwas Spaß in die Aufgabe der Lesezeichen-Organisation, indem sie es erlaubt, die Lesezeichen wie auf „Tinder“ oder ähnlichen Diensten auszusortieren.

Doch was genau bedeutet das eigentlich?

Die Idee ist simpel: Die Erweiterung zeigt immer ein einzelnes Lesezeichen an, welches vollkommen zufällig ausgewählt wird, bestehend aus dem Titel, der URL sowie dem Ordner, in welchem sich das Lesezeichen befindet.

Der Nutzer hat hier nun verschiedene Möglichkeiten: Er kann das Lesezeichen entweder löschen, der Erweiterung sagen, dass das Lesezeichen behalten werden soll, oder das Lesezeichen überspringen, dann erscheint es irgendwann später wieder. Eine vierte Option ist es, das Lesezeichen in einem neuen Tab zu öffnen. Das hilft, wenn man sich bezüglich eines Lesezeichens noch nicht sicher ist und dieses erst überprüfen möchte.

Nach jeder Aktion erscheint umgehend das nächste Lesezeichen. Dabei stellt die Erweiterung sicher, dass niemals zweimal hintereinander das gleiche Lesezeichen angezeigt wird.

Vor dem Löschen eines Lesezeichens erscheint standardmäßig immer ein Bestätigungsdialog. Dieser kann aber ganz einfach über die Checkbox am Seitenanfang deaktiviert werden. Eine Änderung der Checkbox wirkt umgehend, ein Neuladen der Erweiterungs-Oberfläche ist also nicht notwendig.

Hat man sich entschieden, ein Lesezeichen zu behalten, merkt sich das die Erweiterung. Über den Whitelist-Button erhält man eine Übersicht aller dieser Lesezeichen und kann diese entweder einzeln oder alle zusammen wieder zurück in den „Pool“ werfen. Nachträglich gelöschte Lesezeichen, auch wenn diese nicht über diese Erweiterung gelöscht wurden, werden automatisch auch aus der Whitelist von Keep or Delete Bookmarks entfernt.

Download der Erweiterung

Wie alle meine Erweiterungen ist auch Keep or Delete Bookmarks über addons.mozilla.org zu beziehen:

Download Keep or Delete Bookmarks für Firefox

Quellcode, Fehler melden, Vorschläge

Keep or Delete Bookmark ist Open Source (MPL 2.0) und der Quellcode auf GitHub zu finden. Dies ist auch der Ort, an welchem Fehler gemeldet und Vorschläge gemacht werden können.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Keep or Delete Bookmarks erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Keep or Delete Bookmarks: Neue Lesezeichen-Erweiterung für Firefox erschien zuerst auf soeren-hentzschel.at.

linuxmuster.net ist eine Open Source Schulserverlösung für Schulen jeglicher Art und Größe. Aktuell ist die Version 7 in Entwicklung und der Start der Beta-Phase steht unmittelbar bevor. In den letzten Monaten ist einiges passiert und ich möchte in diesem Artikel kurz einen Überblick über die aktuellen Entwicklungen geben.

Neuigkeiten rund um linuxmuster.net

• linuxmuster.net hat in diesem Jahr bereits zwei Auszeichnungen erhalten. Die freie Schulserverlösung hat einen 2. Platz beim Thomas-Krenn Award gewonnen sowie die Auszeichnung mit dem „Comenius eduMedia Siegel“ erhalten.
• In Kürze findet eine Schulung zur neuen Version 7 für Dienstleister statt. Wer Interesse hat, findet hier weitere Informationen.
• Die Beta-Phase von linuxmuster.net v7 steht in den Startlöchern. Vieles ist schon fertig und einige Schulen setzen die neue Lösung bereits produktiv ein. Ganz fertig ist sie allerdings noch nicht und es fehlt v.a. noch einiges an Dokumentation.
• Auf den Chemnitzer Linuxtagen gab es einen Vortrag zu linuxmuster.net. Sehr zu empfehlen für alle, die einen kompakten Überblick über die Schulserverlösung erhalten wollen.

Mithelfen

Ein Open Source Projekt lebt von der Mitarbeit vieler – nicht anders ist das bei linuxmuster.net. Wenn du also mithelfen möchtest, findest du hier eine gute Übersicht, in welchen Bereichen, das Projekt noch Hilfe braucht. Egal ob Entwicklung, Dokumentation, Fehler finden, Support – in jedem Bereich gibt es die Möglichkeit sich einzubringen.

Fazit

Wir setzen linuxmuster.net seid 3 Jahren bei uns in der Schule ein und sind wirklich sehr zufrieden damit. Die vielen Möglichkeiten zur Erweiterung oder individuellen Anpassung sind großartig und mit LINBO gibt es ein sehr praktisches Tool, um viele Rechner mit wenig Aufwand in einer Schule zu verwalten. Aktuell planen wir den Umstieg auf linuxmuster.net v7. Dies wird ein größeres Update sein, da sich viele Dinge geändert haben.

Für jeden, der sich für die Schulserverlösung interessiert und vielleicht in den Sommerferien damit erste Erfahrungen sammeln möchte, empfehle ich die linuxmuster.net v7. Es gibt viele hilfsbereite Schuladmins und auch einen offiziellen Support von Seiten des Projekts, wo man seine Fragen loswerden und in jedem Fall eine Antwort bekommen kann (und dazu meist sehr schnell).

1 Kommentar

Der Beitrag linuxmuster.net – Neuigkeiten zur Schulserverlösung erschien zuerst auf .:zefanjas:..

Heute kam ich in die Situation auf einen Ubuntu Server in der SQL Datenbank mittels phpmyadmin in einem Feld ein Zeichen gegen ein anderes zu tauschen. Konkret ging es um Umlaute die ich in einer HTML Konformen weise speichern wollte.

Mit folgenden Befehl kann ich ein Zeiten in einem Feld tauschen:

UPDATE tabellenname SET feldname=REPLACE(feldname,'Ü','& Uuml;')
(Leerzeichen nach dem & entfernen…)

Debian 10 ist fertig! Neben den üblichen Software-Aktualisierungen zeichnet sich Debian 10 durch viele Neuerungen aus und ist deutlich moderner geworden. Für Einsteiger bietet Debian erstmals auf den Live-Images eine extrem einfache Installationsvariante an (den »Calamares Installer«). Für Profis funktioniert die traditionelle Installation wie eh und je: einerseits funktionell und variantenreich, andererseits aber umständlich und altmodisch.

Neuerungen

• Debian 10 unterstützt erstmals UEFI Secure Boot.
• Das Grafiksystem verwendet nun wie Fedora standardmäßig Wayland. Bei Bedarf kann im Login auch X.org ausgewählt werden.
• CUPS ermöglicht jetzt die Verwendung von AirPrint-Druckern ohne explizite Treiberinstallation.
• Das Firewall-Backend wurde auf nftables umgestellt. (Das traditionelle iptables-Kommando funktioniert weiterhin.)
• Die Verzeichnisstruktur wurde vereinfacht. Insbesondere sind /bin, /lib /sbin nun Unterverzeichnisse von /usr (also /usr/bin, /usr/lib und /usr/sbin).
• Die Live-Images enthalten einen neuen Installer Calamares (siehe unten).

In einem Punkt hat sich Debian an Ubuntu und (open)SUSE angeglichen: Das Sicherheitssystem AppArmor läuft jetzt standardmäßig. Im Vergleich zu Ubuntu gibt es aber deutlich weniger aktive Profile zur Überwachung von Software. (Weitere optionale Profile enthält das Paket apparmor-profiles-extra.)

aa-status

apparmor module is loaded.
15 profiles are loaded.
13 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
2 profiles are in complain mode.
   libreoffice-oopslash
   libreoffice-soffice
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Weitere Details über die Neuerungen in Debian 10 können Sie in den Release Notes nachlesen.

Versionsnummern

Basis             Desktop             Programmierung   Server
---------------   ------------------  --------------   --------------
Kernel     4.19   Gnome        3.30   bash       5.0   Apache     2.4
glibc      2.28   Firefox ESR    67   gcc        8.3   CUPS       2.2
X-Server   1.20   Gimp         2.10   Java        11   MariaDB   10.3
Wayland    1.16   LibreOffice   6.1   PHP        7.3   OpenSSH    7.9
Mesa       18.3   Thunderbird    60   Python     3.7   qemu/KVM   3.1
Systemd     241                                        Postfix    3.4
NetworkMan 1.14                                        Samba      4.9
GRUB       2.02 

Plattformen (Architekturen)

Debian 10 steht für die folgenden Plattformen zur Verfügung:

• Standard-PCs: i386 und amd64
• ARM: arm64, armhf, armel
• MIPS: mips, mipsel, mips64el
• PowerPC: ppc64el
• S390X: s390x

Weitere Details zur Hardware-Unterstützung können Sie hier nachlesen:

• Unterstützte Architekturen
• Ports

Herkömmliche Installation

Der übliche Installationsweg besteht darin, dass Sie Ihren Rechner von einem Installations-Image booten und das dort enthaltene Installationsprogramm ausführen. Die Bedienung hat sich im Vergleich zu früheren Debian-Versionen unverändert und wirkt zunehmend alt. Oft fragt man sich, warum mehrere zusammengehörende Einstellungen (z.B. Benutzername, Account-Name und Passwort) nicht in einem Dialog zusammengefasst werden. Positiv ist anzumerken, dass sich Debian auch bei komplizierten Setups (RAID, LVM, Verschlüsselung) nicht verschluckt. Was nützt das eleganteste Setup-Programm, das beim ersten Sonderwunsch überfordert ist (siehe Ubuntu …)?

Unbegreiflich ist auch, warum es immer noch notwendig ist, die DVD bzw. den USB-Stick nach der Installation explizit aus /etc/apt/sources.list zu entfernen. Ist doch eigentlich klar, dass nach der Installation die Paketquellen aus dem Internet für Updates usw. verwendet werden sollen.

Calamares Installer (Live Image)

Weil die Standard-Installation für Einsteiger zu abschreckend ist, bietet Debian 10 auf den Live-Images eine attraktive Alternative: Der auch von anderen Distributionen eingesetzte Calamares Installer erlaubt eine unkomplizierte Installation eines Debian-Grundsystems.

Der Live-Installer steht in diversen Varianten für alle erdenklichen Desktop-Systeme zur Auswahl. Der Platzbedarf des Basissystem mit Gnome beträgt ca. 7,2 GByte. Es gibt keine Auswahlmöglichkeiten, welche Pakete gegebenenfalls extra installiert werden sollen.

Standardmäßig wird kein SSH-Server installiert. Abhilfe nach der Installation:

apt update
apt install openssh-server
systemctl start sshd

Sicherheitsproblem bei der Verschlüsselung: Der Calamares Installer weist aktuell eine Sicherheitslücke auf: Wenn Sie bei der Installation angeben, dass das Dateisystem verschlüsselt werden soll, wird Ihr eigentlich geheimes Passwort in der Initrd-Datei im Klartext gespeichert. Abhilfe: Fügen Sie in die Datei /etc/initramfs-tools/conf.d/initramfs-permissions die Anweisung UMASK=0077 ein und erzeugen Sie die Initrd-Datei dann neu: update-initramfs -u Die Release Notes versprechen, dass es demnächst aktualisierte Installer-Images geben wird, in denen dieses Problem behoben ist.

sudo versus su

Ziemlich inkonsequent ist die Art und Weise, wie die beiden Installationsvarianten mit sudo und su umgehen:

• Herkömmliche Installation: Hier müssen Sie für root ein Passwort eingeben. Ein Wechsel in den Administratormodus gelingt nur mit su -l, wobei Sie das root-Passwort angeben müssen. sudo ist installiert, aber der vom Installationsprogramm eingerichtete Benutzer hat keine sudo-Rechte.

• Calamares-Installation: Hier gibt es keine Möglichkeit, ein root-Passwort festzulegen. (Das Passwort ist auf ungültig gestellt, ein root-Login daher unmöglich.) Dafür hat der Standardbenutzer sudo-Rechte und kann mit sudo -s und der Angabe seines Passworts in den root-Modus wechseln.

Wenn Sie den Calamares-Installer verwenden, verhält sich Debian also wie Ubuntu.

Update von Debian 9

Ich habe Debian Buster nur im Rahmen einer Neuinstallation getestet. Anweisungen zur Durchführung eines Updates von Debian 9 auf Debian 10 finden Sie hier in den Release Notes.

Quellen und Testberichte

• Release Notes (amd64)
• Offizielle Installationsanleitung (amd64)
• Test bei heise.de
• Test bei pro-linux.de
• distrowatch
• calamares installer

Download-Links (jeweils für AMD/Intel 64 Bit)

• Standard-ISO-Image (DVD-1 reicht)
• ISO-Image plus Firmware (empfehlenswert, enthält zusätzlich zum Standard-Image nicht-freie Firmware-Dateien für WLAN-Adapter & Co.)
• Live-Image (Live-Image mit Calamares-Installer)
• Live-Image plus Firmware

Laufende Angriffe auf SKS-Keyserver offenbaren schonungslos wie kaputt dieser zentrale Teil der PGP-Infrastruktur ist. Ein neuer Keyserver mit Verifizierungsfunktion soll abhilfe schaffen, verabschiedet sich aber vom Web of Trust. Nach vielen negativen Meldungen erleben wir gerade die letzten Zuckungen eines sterbenden Konzept. Zum Glück gibt es Alternativen.

Die zentralen Schlüsselserver gehörten mal zum Grundprinzip von PGP. Die zu Grunde liegende Idee war, dass jeder seinen öffentlichen Schlüssel hochladen und anderen zur Verfügung stellen kann. Die Keyserver waren miteinander vernetzt weshalb die Schlüssel sich auf die verschiedenen Keyserver verteilten. Die Echtheit des öffentlichen Schlüssels überprüfte man nie. Das hatte System, da man mittels des so genannten Web of Trust die Echtheit verifizieren sollte. Jeder konnte und sollte ihm bekannte Schlüssel signieren und damit die Echtheit bestätigen. Ein Konzept, das ganz offensichtlich aus den Kindertagen des Internets mit ein paar hundert Anwender stammte und nie wirklich funktioniert hat. Wie angreifbar dieses Konzept ist war seit längerem hinreichend bekannt.

Wie immer bei diesen uralten, nicht zentralisierten Protokollen, ist die Gemeinschaft unfähig zur Reform. Wir erleben das gleiche Problem bei XMPP und anderen Protokollen, wo man so lange am kaputten Kern rumpatcht bis es zig Inkompatibilitäten gibt und man nur noch in einer speziellen Server- und Clientversionskombination interagieren kann. Gepaart mit einer ordentlichen Portion Überheblichkeit, denn wer Kritik übt, hat einfach das System nicht verstanden. Bei EFAIL konnte man zuletzt diese Abwehrkommunikation beobachten (siehe: Kommentar: EFAIL - Nebelkerzen und was ist eigentliche eine Lücke?). Das wiederholt sich nun mit hoher Wahrscheinlichkeit.

Erste Ansätze kann man bereits beobachten. Einige OpenPGP-Entwickler raten davon ab die SKS-Keyserver weiter zu nutzen. Stattdessen soll man auf einen neuen Keyserver wechseln, der sich zwar durch eine Verifikation der E-Mail Adressen auszeichnet, aber nebenbei faktisch das Web of Trust abschafft. Durch die Dezentralisierung des Protokolls dauert es aber viel zu lange bis diese Entwicklungen beim Anwender ankommen. Alle Implementierungen müssen schließlich die voreingestellten Keyserver auswechseln. Selbst wenn die Entwickler das wirklich machen (was noch nicht gesichert ist) dauert es Jahre bis das alle Anwender erreicht - sofern diese überhaupt noch ihre Clients aktualisieren bzw. überhaupt noch aktiv gepflegte Programme nutzen.

Das Prinzip E-Mail Verschlüsselung mittels OpenPGP ist einfach am Ende. Ebenso wie die Verschlüsselung der E-Mail allgemein (siehe: Die E-Mail wird niemals sicher sein!). PGP ist in fast keinem E-Mail Programm mit nennenswerter Verbreitung implementiert - nicht mal im Vorzeige-Open-Source-Projekt Thunderbird. Man muss immer mehr oder minder umständlich mit Addons agieren. Es gibt zig ungelöste Probleme. Neben EFAIL kann man Signaturen optisch imitieren und die nachträglich zur Vereinfachung hinzugefügten Änderungen haben - siehe XMPP - es auch nicht besser gemacht. Würde die Community hier ähnlich strenge Kriterien anlegen wie sonst an die proprietären Marktführer, OpenPGP wäre schon lange erledigt. Scheinbar genießen diese uralten Protokolle aber einen gewissen Anciennitätsbonus.

OpenPGP hat immer noch seine Stärken. Insbesondere zur privaten Verschlüsselung auf Dateibasis oder auch zum verteilen von schützenswerten Dateien in einem kleinen Kreis ohne ein Passwort weiter geben zu müssen. Auch bei der Signierung von Paketen im Linux-Bereich ist es nach wie vor unverzichtbar.

Zur Verschlüsselung von E-Mail Nachrichten ist es aber endgültig gestorben - so es denn jemals gelebt hat. Außerhalb der Open Source-Gemeinde nutzt das sowieso niemand, da die meisten Firmen - so sie denn überhaupt ihre E-Mails absichern - auf S/MIME gesetzt haben.

Die gute Nachricht lautet: Es ist vollkommen egal. E-Mails haben das Sicherheitsniveau von Postkarten und das haben mittlerweile sehr viele Menschen begriffen. Niemand teilt sensible private Informationen noch per E-Mail, schon alleine weil die private E-Mail-Nutzung massiv rückläufig sind. Moderne Messenger haben ein viel höheres Sicherheitsniveau, selbst für WhatsApp gilt das (siehe auch: Sichere Messenger - Verschlüsselung und Metadaten).

Bilder:

Einleitungs- und Beitragsbild von ribkhan via pixaybay | Ampelchaos von Greg Montani via Pixabay | VW Bus von v2osk via Unsplash

Mozilla wird am Dienstag Firefox 68 veröffentlichen. Firefox 68 wird gleichzeitig die neue Basis für Firefox ESR sein, die Firefox-Version mit Langzeitunterstützung. Während Firefox 68 und Firefox ESR 68 grundsätzlich identisch sind, gibt es doch ein paar wichtige Unterschiede zwischen beiden Versionen. Auch sonst gibt es einiges Wissenswertes für System-Administratoren.

Mozilla wird am 9. Juli 2019 Firefox 68 und Firefox ESR 68 veröffentlichen. Nutzer von Firefox ESR 60 haben ab dann noch 15 Wochen Zeit, ehe sie mit Erscheinen von Firefox 70 und Firefox ESR 68.2 am 22. Oktober 2019 automatisch auf Firefox ESR 68 migriert werden. Wie schon Firefox ESR 60 unterscheidet sich auch Firefox ESR 68 in ein paar Aspekten von seinem Mainstream-Pendant.

Firefox ESR 68: Kein WebRender

WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.

Mit Firefox 67 hat es WebRender erstmals in eine finale Version von Firefox geschafft, allerdings erst für einen kleinen Teil der Nutzer. Während Mozilla WebRender weiter verbessert und für immer mehr Nutzer aktiviert, wird WebRender in Firefox ESR 68 für alle Nutzer komplett deaktiviert bleiben.

Firefox ESR 68: System-Zertifikate

Standardmäßig nutzt Firefox seinen eigenen Zertifikatsspeicher und bietet damit eine erhöhte Sicherheit gegenüber anderen Browsern. Im Unternehmensumfeld jedoch ist es häufig gewünscht, dass Zertifikate aus dem Zertifikatsspeicher des Betriebssystems genutzt werden. Darum ist dies in Firefox ESR 68 standardmäßig aktiviert.

Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:

security.enterprise_roots.enabled

Firefox ESR 68: Deaktivierte MITM-Erkennung

Nicht nur Schadsoftware, auch sogenannte „Sicherheits“-Software unterbricht verschlüsselte Verbindungen (das heißt Verbindungen über https://) immer wieder, um die Inhalte zu lesen, bevor diese den Browser erreichen, und verkauft dies dann auch noch als Feature. Man spricht dabei von einem sogenannten Man-in-the-Middle („MITM“). Die Folge für Firefox-Nutzer ist aufgrund der häufig mangelhaften Implementierung in einigen Fällen, dass Firefox keine Verbindungen über https:// mehr herstellen kann. Firefox 68 kann Verbindungsprobleme aufgrund von MITM erkennen. Dazu setzt Firefox im Problemfall die Option security.enterprise_roots.enabled auf true und versucht die Verbindung erneut. Funktioniert dies, lässt Firefox die Option auf true, ansonsten wird die Option auf false zurückgesetzt.

Da Firefox ESR 68 den Import von System-Zertifikaten standardmäßig zulässt, ist die MITM-Erkennung in Firefox ESR 68 standardmäßig deaktiviert.

Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:

security.certerrors.mitm.auto_enable_enterprise_roots

Firefox ESR 68: Keine Service Workers

Service Workers bezeichnen einen Webstandard, der praktische Anwendungsfälle für moderne Webapplikationen ermöglicht. Firefox unterstützt Service Workers bereits seit Version 44. Aber wie schon in Firefox ESR 45, Firefox ESR 52 und Firefox ESR 60 werden Service Workers auch in Firefox ESR 68 standardmäßig wieder deaktiviert sein.

Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:

dom.serviceWorkers.enabled

Firefox ESR 68: Keine Push-Benachrichtigungen

Ebenfalls werden Push-Benachrichtigungen in Firefox ESR 68 standardmäßig deaktiviert sein, da diese Service Workers als technische Voraussetzung haben.

Zur Aktivierung muss zusätzlich zum vorherigen Schalter der folgende Schalter über about:config auf true geschaltet werden:

dom.push.enabled

Nur in Firefox ESR 68: Deaktivierbare Signaturpflicht für Add-ons

Zum Schutz seiner Nutzer hat Mozilla eine Signaturpflicht für Add-ons in Firefox eingeführt, welche seit Firefox 43 standardmäßig aktiviert ist. Diese kann nur in Nightly-Builds sowie in der Developer Edition von Firefox deaktiviert werden, nicht in Beta- oder finalen Versionen. Die ESR-Version von Firefox 68 erlaubt auch in der finalen Ausführung die Deaktivierung der Signaturpflicht.

Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:

xpinstall.signatures.required

Achtung: Es ist aus Sicherheitsgründen nicht empfohlen, die Signaturpflicht für Erweiterungen zu deaktivieren. Wer seine Erweiterungen ausschließlich über addons.mozilla.org bezieht, findet außerdem in der Regel sowieso ausschließlich signierte Erweiterungen vor.

Nur in Firefox ESR 68: Zusätzliche Enterprise Policy

Seit Firefox 60 liefert Mozilla seine Enterprise Policy Engine aus. Damit ist es für Systemadministratoren möglich, Firefox für die Verteilung im Unternehmen vorzukonfigurieren, wofür bis einschließlich Firefox ESR 52 gerne der sogenannte CCK2 Wizard benutzt worden ist, der allerdings mit Firefox 57 und höher nicht kompatibel ist.

Die SearchEngines-Policy zum Konfigurieren der Suchmaschinen funktioniert ausschließlich in Firefox ESR.

Folgende Unterschiede aus Firefox ESR 60 existieren nicht mehr

Folgende Unterschiede existierten noch zwischen Firefox 60 und Firefox ESR 60, werden aber nicht mehr zwischen Firefox 68 und Firefox ESR 68 existieren:

Nicht mehr ESR-exklusive Enterprise Policies

In Firefox ESR 60 waren diverse Enterprise Policies ausschließlich Firefox ESR vorbehalten und konnten nicht in der Mainstream-Version von Firefox genutzt werden. Diese Einschränkung wurde für alle Enterprise Policies außer der SearchEngine-Policy (siehe oben) entfernt. Dies betrifft die Enterprise Policies zum Deaktivieren der Firefox-Updates, zum Deaktivieren der Updates für System-Erweiterungen, zum Deaktivieren von Telemetrie, zum Konfigurieren der Startseite, zum Konfigurieren der Suchleiste, zur Verwaltung von Erweiterungen, zum Blockieren von Websites, zur Konfiguration integrierter Authentifizierung, zum Überschreiben der Seite, welche beim ersten Firefox-Start erscheint, sowie zum Überschreiben der Seite, welche nach einem Firefox-Update erscheint.

Sonstiges Wissenswertes für Unternehmens-Administratoren

Zahlreiche neue Enterprise Policies und Enterprise Policy Generator

In Firefox 68 sind zahlreiche neue Einstellungen dazugekommen, welche via Enterprise Policy Engine konfiguriert werden können. Firefox 68 stellt das mit Abstand größte Update diesbezüglich seit Einführung der Enterprise Policy Engine dar.

Die von mir entwickelte Erweiterung Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Die Erweiterung bietet eine einfach verständliche Oberfläche, über welche alle verfügbaren Policies ganz einfach zusammengeklickt werden können, ohne dass Kenntnisse irgendeiner Art notwendig wären – inklusive Möglichkeit, Konfigurationen zu speichern oder für andere Systeme zu exportieren und zu importieren.

Download Enterprise Policy Generator für Firefox

Im Laufe der nächsten Wochen wird ein großes Update auf Enterprise Policy Generator 5.0 veröffentlicht werden, welches Unterstützung für alle neuen Enterprise Policies bringen wird. Dieses Update wird allerdings erst nach Veröffentlichung von Firefox 68 bereitstehen, aber in jedem Fall vor Ende der ESR-Übergangsphase mit Veröffentlichung von Firefox 70 und Firefox ESR 68.2.

Dokumentation für System-Administratoren

Der Enterprise Policy Generator macht die Konfiguration via policies.json plattformübergreifend zum Kinderspiel. Wer die Enterprise Policies aber lieber via Registry (Windows) oder .plist-Datei (Apple macOS) konfiguriert, findet hier die entsprechende Dokumentation.

Außerdem gibt es hier spezielle Hilfe-Seiten für die Administration von Firefox im Unternehmen.

MSI-Installer für Windows

Um System-Administratoren im Unternehmen das Anpassen und Verteilen von Firefox einfacher zu machen, bietet Mozilla jetzt auch anpassbare MSI-Installer für Firefox ESR auf Windows 7 und höher an.

MSI-Installer erlauben die Anpassung über eine MST-Datei und können über die auf Windows üblichen Deployment-Tools wie Active Directory oder Microsoft System Center Configuration Manager verteilt werden. Mozilla hat eine Dokumentation zu den MSI-Installern veröffentlicht.

Download MSI-Installer von Firefox ESR 68 (Link funktioniert ab Dienstag)

pkg-Installer für Apple macOS

Ähnlich zu den MSI-Installern für Windows arbeitet Mozilla an pkg-Installern für Apple macOS. Diese sind für Firefox ESR 68.0 noch nicht bereit, werden aber im Laufe der nächsten Monate folgen.

Dedizierte Profile pro Installation abschalten

Lesezeichen, Chronik, Erweiterungen, Passwörter, Einstellungen – diese und noch weitere Dinge werden in einem sogenannten Profil gespeichert. Verschiedene Firefox-Installationen nutzen bisher standardmäßig immer das gleiche Profil.

Seit Firefox 67 und damit auch ab Firefox ESR 68 nutzt der Mozilla-Browser dedizierte Profile pro Installation. Das heißt, dass wenn ein Nutzer mehrere Firefox-Installation hat, jede dieser Installationen ein eigenes Profil verwendet und damit standardmäßig nicht länger in allen Installationen automatisch die gleichen Lesezeichen, die gleiche Chronik etc. zur Verfügung stehen.

Gerade im Unternehmensumfeld kann dies unerwartet sein. Seit Firefox 68 kann dieses Feature über eine Umgebungsvariable abgeschaltet werden:

MOZ_LEGACY_PROFILES

Wie Umgebungsvariablen angelegt werden, ist der Dokumentation des jeweiligen Betriebssystems zu entnehmen.

Downgrade-Schutz abschalten

Ein anderes neues Feature von Firefox 67 und damit auch Firefox ESR 68 ist ein Downgrade-Schutz. Firefox verhindert, dass der Browser mit einem Profil gestartet wird, welches bereits mit einer neueren Firefox-Version genutzt worden ist. Auch dieses Feature kann seit Firefox 68 über eine Umgebungsvariable abgeschaltet werden:

MOZ_ALLOW_DOWNGRADE

Alternativ dazu kann Firefox mit dem folgenden Kommandozeilen-Argument gestartet werden:

--allow-downgrade

Der Beitrag Alles Wissenswerte zu Firefox ESR 68 inklusive Unterschiede zu Firefox 68 erschien zuerst auf soeren-hentzschel.at.

Ein Bekannter von mir nutzt für seine Internetseite ein selbst (schlecht) programmierte Lösung. Er hat sich nun selbst für eine Kombination aus Hugo und Isso entschieden. Allerdings stört es ihn, dass man die Kommentarfunktion nicht deaktivieren kann.

Daher hat er mich nach einer Alternative für Isso gefragt. Da ich aber keine Erfahrungen mit anderen Kommentarfunktionen habe, habe ich mir überlegt, wie man Isso trotzdem für einzelne Artikel deaktivieren kann. Was leichter als gedacht ist.

Isso bindet man normalerweise wie folgt ein.

<section id="isso-thread" data-title="Fryboyter.de um Suchfunktion erweitert"></section>
<noscript><p>Die Kommentarfunktion kann nur mit aktiviertem Javascript genutzt werden</p></noscript>

Damit wird die Eingabemaske aber immer angezeigt. Wie kann man also verhindern, dass diese bei bestimmten Artikeln nicht angezeigt wird? Die Lösung ist bei Hugo if else.

{{ if ne .Params.nocomments true }}
<section id="isso-thread" data-title="{{ .Title }}"></section>
<noscript><p>Die Kommentarfunktion kann nur mit aktiviertem Javascript genutzt werden</p></noscript>
{{ else }}
<p>Die Kommentarfunktion ist für diesen Artikel deaktiviert</p>
{{ end }}

Hiermit wird geprüft, ob nocomments nicht true ist. Wenn ja, wird die Eingabemaske von Isso angezeigt. Ist nocomments allerdings true, wird der Hinweis angezeigt, dass die Kommentarfunktion deaktiviert ist.

Soll nun bei einem bestimmten Artikel die Kommentarfunktion deaktiviert werden, erweitert man den Frontmatter-Bereich einfach entsprechend.

---
title: Kommentarfunktion Isso unter Hugo deaktivieren
date: 2019-07-06T20:12:06+0200
categories:
- OSBN
- Allgemein
tags:
- Hugo
- Isso
- Kommentarfunktion
nocomments: true
slug: kommentarfunktion-isso-unter-hugo-deaktivieren
---
Ein Bekannter von mir nutzt für seine Internetseite ein selbst (schlecht) programmierte Lösung. Er hat sich nun selbst...

Das war es auch schon. Was man auch noch machen könnte, wäre anhand von nocomments: true zu prüfen ob die Javascript-Datei von Isso überhaupt geladen werden soll oder nicht.

Von der Frage „Warum benutzt du Linux?“ wurde ich vor kurzem kalt erwischt. Und bei den Flurgesprächen geht es immer nur um „Windows oder Mac?“. Doch es gibt uns, die kleine Schar an glücklichen Linuxnutzern, die mit dem System wie selbstverständlich arbeitet, nichts vermisst oder Nachteile wegen diverser Vorteile in Kauf nimmt. Zeit für eine Antwort …

Auch im Jahr 2019 scheint man immer noch zu den Exoten zu gehören, wenn man auf PC oder Notebook ein Linux laufen hat. Trotz ehemaligem Ubuntu-Hype und dem so entstandenen leisen Gefühl, dass Linux zwischenzeitlich doch endlich mal im Mainstream angekommen war. Doch das scheint doch alles sehr subjektiv zu sein, denn im Real Life muss ich andere Linuxnutzer mit der Lupe suchen. Mit einer sehr großen. Mac und Windows, wohin man schaut. Auch viele Weggefährten von einst haben sich von Linux mittlerweile verabschiedet und sind mit Mac oder Windows glücklich geworden, sogar einige einst richtig eingefleischte Linux-Fans haben irgendwann die Segel gestrichen. Die Leute, die Wert auf Stil legen, haben ihren Mac – und die große Masse ist pragmatisch mit dem Arbeitstier Windows unterwegs, so mein Eindruck.

Der Exotenstatus wurde mir kürzlich einmal wieder so richtig bewusst, als es in einem Gespräch darum ging, dass Mac OS ja viel besser und nervenschonender wäre als Windows – Linux kam in dem Gespräch gar nicht vor. Mein Einwand, dass auch ein Blick auf Linux lohnen würde, wurde allseits mit einem Blick beantwortet, als hätte ein Obdachloser gerade von seinen vergoldeten Wasserhähnen im Badezimmer erzählt – eine Mischung aus überheblichem Mitleid, peinlicher Berührtheit und raschem Wegsehen schlug mir entgegen. „Den kann man doch nicht ernst nehmen“ oder einfach nur „Häh?“ schien in den Köpfen vorzugehen.

„Warum benutzt du eigentlich Linux?“

Neulich stellte mir ein Kollege dann die Frage: „Warum benutzt du eigentlich Linux?“ Ja, warum eigentlich? Ich hatte tatsächlich keine spontane Antwort parat. Das Pinguinbetriebssystem auf dem Desktop ist für mich so selbstverständlich und Normalität, dass ich über die Frage erst einmal nachdenken musste. Mit den Vor- und Nachteilen hatte ich mich gedanklich schon ewig nicht mehr befasst.

Die Frage stellt sich normalerweise einfach nicht. Als jahrelanger Linuxnutzer benutzt man eben Linux, um es einmal platt zu sagen. Dass das für das Umfeld befremdlich wirken kann und Stirnrunzeln auslöst, darauf ist man dann gar nicht mehr vorbereitet. Wahrscheinlich muss ich gewirkt haben, als würde ich darüber nachdenken, wie man dem Pöbel nun am besten erklärt, warum man auch in der Küche goldene Wasserhähne haben sollte.

Weil man sich nicht mit weniger zufriedengeben muss

Warum also tut sich ein Nichtprogrammierer dieses komplizierte, unübersichtliche Server- und Nerd-System auf dem Desktop an? Mittlerweile natürlich aus simpler Gewohnheit. Da sind all die kleinen Tricks und Helferlein, die genialen Dinge, aus denen man auch mit Bordmitteln richtig viel zaubern kann bei der alltäglichen Arbeit. Mit dem Mausrad die Arbeitsfläche wechseln. Programme automatisch auf unterschiedliche Desktops sortieren lassen. Dateisortierfunktionen individuell über Kontextmenüs organisieren. Fensterlisten, die jeden Übersichtsmodus schlagen. Verschlüsselte FTP-Verbindungen direkt in den normalen Dateimanager integrieren. Und so weiter und so fort. Wenn ich dann doch mal unter Windows oder Mac unterwegs bin, dann fehlen mir all die Handgriffe, die man sich mit den Linuxoberflächen einrichten kann, schmerzlich. Ja, man kann auch mit Windows und Mac angenehm arbeiten, aber persönlich fehlt mir dort immer der letzte Schliff. Es fühlt sich irgendwie immer etwas umständlicher an.

„Für Linuxnutzer ist die neueste Oberfläche immer nur ein Angebot“

Aber da muss es ja irgendwann auch mal Gründe gegeben haben, warum ich erstmals zu Linux gegriffen habe, bevor ich mich an all die Annehmlichkeiten gewöhnen konnte. Und die damaligen Gründe sind eigentlich immer noch dieselben, die mich auch heute noch von Linux überzeugen würden: Unabhängigkeit, Sicherheit und Sympathie.

Sicherheit meint dabei gar nicht mal so sehr die Sicherheit vor Viren und Verschlüsselungstrojanern, sondern vor allem die Sicherheit, dass ein Betriebsystemhersteller nicht einfach entscheiden kann, mit dem nächsten Update irgendwelche Funktionen zu streichen oder mir neue Arbeitsabläufe aufzuzwingen. Denn für einen Linuxnutzer ist die neueste Oberfläche immer nur ein Angebot. Wenn’s gefällt, wird es benutzt, und wenn es nicht passt, wird es passend gemacht oder einfach eine Alternative genommen – im Fall der Fälle sogar eine Weiterentwicklung einer schon aufgegebenen, veralteten Oberfläche. Wie das aktuelle Windows nach dem übernächsten Update aussieht, ist ungewiss, bei einer LTS-Linuxdistribution kann ich mich darauf verlassen, dass die Buttons und Knöpfe auch in den nächsten 5 Jahren noch an derselben Stelle sitzen.

Damit ist auch schon die Unabhängigkeit skizziert, die durch die Möglichkeit einer sehr individuellen Nutzung besteht: Im Gegensatz zu Mac und Windows bekomme ich nicht nur eine Oberfläche vorgesetzt, sondern kann die zu meinen Anforderungen passende wählen. Aber bereits beim Unterbau hat man die freie Wahl, man nimmt das für seine Zwecke geeignetste Linux: Soll der Rechner jahrelang einfach nur identisch funktionieren? Zack, ab zu Debian & Co. Darf’s der letzte Schrei sein? Ab zu Fedora oder einer Rolling-Release-Distribution. Will man was lernen und sein System wirklich verstehen? Arch & Co.sagen herzlich willkommen. Denn „das eine Linux“ gibt es gar nicht, es existieren viele Ausprägungen um den Betriebssystemkern herum. Wie bei einem Tuschkasten: blaue, rote, grüne, schwarze und violette Distributionen, ganz nach Geschmack und Einsatzgebiet.

Und dann gibt es da noch so Kleinigkeiten, die mich woanders einfach nerven. Windows knallt mir in schöner Regelmäßigkeit ein Fenster über den Workflow, um mir mitzuteilen, dass Updates bereitstehen. Das erfordert dann meistens einen Neustart, während dem ich „den Computer nicht ausschalten darf“. Bei meinem Linux blinkt ein kleines Symbol in der Leiste – und die Installation läuft im Hintergrund ohne Neustart im laufenden Betrieb. Und während ich bei Windows 10 die Privatsphäreeinstellungen durcharbeiten muss, gibt es so etwas bei Linux erst gar nicht – Ausnahmen bestätigen die Regel. Bei Linux habe ich das Gefühl, nicht belästigt zu werden und ein System zu benutzen, das in meinem Interesse arbeitet. Bei Windows habe ich oft das Gefühl, dass da noch andere Interessen eine Rolle spielen.

Wenn der WLAN-Drucker nicht will

Natürlich gibt es auch Dinge, die nicht so schön sind. Zum Beispiel dass man für manche Programme dann doch wieder ein Windows braucht, gerade im beruflichen Umfeld. Und manchmal gibt es auch Momente, in denen die Vielfalt nervt und man sich nicht schon wieder zwischen hundert Möglichkeiten entscheiden will. Manchmal will man sich einfach nicht zwischen 50 Desktopkonfigurationen entscheiden müssen, von denen doch keine alles richtig kann. Oder ganz banale Sachen wollen einfach nicht klappen, wie z. B. die Druckerverbindung über das WLAN. Und bei der Software kann man zwar aus einem riesigen Fundus wählen, doch bei kommerziellen Lösungen muss man auf Webanwendungen ausweichen oder letztlich eben doch Windows oder Mac OS booten. Warum dann nicht gleich komplett Windows oder Mac nehmen? Weil ich damit auch auf die Vorteile verzichten würde. Wenn Linux out of the box funktioniert (was es meistens tut), dann ist es simpler, als jeder Windows-Installer sein kann, intuitiv und aus einem Guss benutzbar, wie es Mac-OS-Nutzer gewohnt sind, aber ohne dabei auf bestimmte Hardware beschränkt zu sein. Wenn es mal nicht funktioniert, dann ist zugegebenermaßen Bastelei angesagt – doch entweder findet man die richtige Lösung schon um die Ecke oder kann in den vielen Foren den Quasi-Live-Support der versammelten Linuxnutzerschaft in Anspruch nehmen – oder probiert einfach eine andere Farbe aus dem Tuschkasten aus.

Linux ist Luxus

Ich gehöre sicher nicht zu den ideologischen Verfechtern freier Software, obwohl auch ich von ihr profitiere. Als Anwender gefallen mir auch Windows und Mac OS, und meine alltägliche Arbeit könnte ich auch damit gut erledigen. Insofern – und gerade weil ich manchmal auch zu anderen Systemen wechseln muss – ist Linux letztendlich ein Luxus, den ich mir bewusst leiste. Ein Luxus, der von dem Gefühl bestimmt wird, beim technisch richtigen System gelandet zu sein, das das Beste aus allen Welten nach Lust und Laune bietet … und das dabei nie langweilig wird und immer wieder Spaß macht, statt für Frust zu sorgen. Weil man auch als Anwender zu einem großen Teil Kontrolle über das System hat. Weil man damit viel mehr Individualität umsetzen kann. Dafür nimmt man dann gern in Kauf, argwöhnisch beäugt zu werden, wenn man den Pinguin auf dem Schirm hat, obwohl man weder Server aufsetzt noch Anwendungen entwickelt. Als Feld-Wald-und-Wiesen-Anwender bleibe ich wohl ein Exot. Aber das aus Überzeugung.

Seit einigen Jahren verwenden wir Zammad als Support- bzw. Helpdesk-Software in unserer Schule. Wir sind damit sehr zufrieden, denn Zammad bietet viele Features und ein angenehm zu bedienende Benutzeroberfläche. Vor einiger Zeit mussten wir unseren Server umziehen und somit auch unsere Zammad-Installation. In diesem Artikel möchte ich kurz zeigen, wie man Zammad sichern und wiederherstellen kann.

Zammad sichern

Zammad bietet von Haus aus ein Backup-Skript, welches aber standardmäßig deaktiviert ist. Man kann das Skript dazu benutzen, um regelmäßige Backups anzulegen. Es befindet sich unter /opt/zammad/contrib/backup/. Das Backup-Skript greift auf eine Konfigurationsdatei zu, in der alle wichtigen Einstellungen vorgenommen werden. Diese Datei muss man zuerst umbenennen:

$ mv /opt/zammad/contrib/backup/config.dist /opt/zammad/contrib/backup/config

Anschließend öffnet man die Datei und kann einige wenige Dinge einstellen:

$ nano /opt/zammad/contrib/backup/config 

...
BACKUP_DIR='/var/tmp/zammad_backup'
HOLD_DAYS='10'
DEBUG='no'

BACKUP_DIR legt fest, wohin die Backups gespeichert werden sollen. Das Verzeichnis muss existieren! HOLD_DAYS gibt an, wie lange ein bzw. wie viele Backup(s) aufbewahrt werden sollen.

Nun kann man das Backup-Skript ausführen:

$ cd /opt/zammad/contrib/backup
$ ./zammad_backup.sh

Das Skript legt zwei Archive an (Datenbanksicherung und Zammad-Ordner), die sich nun im konfigurieren Backup-Ordner befinden.

Hinweis: Wenn man eine Installation migrieren möchte, ist es sinnvoll, Zammad vorher anzuhalten und erst dann das Backup zu erstellen. Das spielt aber nur bei größeren Installationen eine Rolle.

Zammad wiederherstellen

Wenn man ein Backup auf dem gleichen Host wiederherstellen möchte, kann man das mit dem Wiederherstellungsskript erledigen:

$ cd /opt/zammad/contrib/backup
$ ./zammad_restore.sh

Fertig 🙂

Wenn man allerdings eine Zammad-Installation umziehen möchte (Migration, Neuinstallation), gibt es einige Dinge zu beachten:

• Zammad muss installiert sein (inklusive Elasticsearch)
• die Zammad-Version sollte gleich oder höher sein (als die vom Backup)
• es sollte die gleiche Datenbank verwendet werden (ein Wechsel ist wohl möglich, aber sehr aufwändig, da die Daten abgepasst werden müssen).
• Es sollte genügend freier Speicherplatz vorhanden sein (ca. 2x so viel wie die Größe des Backups)

Wenn alle Bedingungen erfüllt sind, muss man zuerst die Konfiguration auf dem Zielsystem aktivieren:

$ mv /opt/zammad/contrib/backup/config.dist /opt/zammad/contrib/backup/config

Danach die Backupdateien in den konfigurierten Backup-Ordner kopieren (mit cp oder wenn man LXD-Container verwendet mit lxc file push/pull) und letztendlich das Wiederherstellungsskript laufen lassen:

$ cd /opt/zammad/contrib/backup
$ ./zammad_restore.sh

Weitere Informationen finden sich in der offiziellen Dokumentation.

Fazit

Zammad bringt einen einfachen Sicherungs- und Wiederherstellungsmechanismus mit, der zuverlässig funktioniert. Wer seine Zammad-Installation nicht anderweitig sichert, kann für das Backup-Skript auch einen Cron-Job einrichten, um regelmäßig ein Backup zu erstellen.

Kommentar hinzufügen

Der Beitrag Zammad sichern und wiederherstellen erschien zuerst auf .:zefanjas:..

New Tab Override ist eine Erweiterung zum Ersetzen der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Die beliebte Erweiterung mit mehr als 100.000 aktiven Nutzern ist nun in Version 14.3 erschienen und erscheint ab sofort als Empfehlung von Mozilla.

Was ist New Tab Override?

Seit Firefox 41 ist es nicht länger möglich, die Seite anzupassen, welche beim Öffnen eines neuen Tabs erscheint, indem die Einstellung browser.newtab.url über about:config verändert wird. Da diese Einstellung – wie leider viele gute Dinge – in der Vergangenheit von Hijackern missbraucht worden ist, hatte sich Mozilla dazu entschieden, diese Einstellung aus dem Firefox-Core zu entfernen. Glücklicherweise hat Mozilla nicht einfach nur die Einstellung entfernt, sondern gleichzeitig auch eine neue API bereitgestellt, welche es Entwicklern von Add-ons erlaubt, diese Funktionalität in Form eines Add-ons zurück in Firefox zu bringen.

New Tab Override war das erste Add-on, welches diese Möglichkeit zurückgebracht hat, und ist damit das Original. Mittlerweile hat New Tab Override mehr als 100.000 aktive Nutzer, wurde im Dezember 2016 sogar auf dem offiziellen Mozilla-Blog vorgestellt und schon mehrfach im Add-on Manager von Firefox beworben.

Download New Tab Override (WebExtension) für Firefox

Die Neuerungen von New Tab Override 14.3

Wie schon beim letzten Update auf Version 14.2 handelt es sich auch bei New Tab Override 14.3 primär um ein Wartungsupdate, welches keine neuen Features bringt. Stattdessen wurde die Checkbox entfernt, um den Fokus bei neuen Tabs auf die Webseite statt die Adressleiste zu legen. Aufgrund einer Änderung in Firefox 61 war diese Option bereits seit einiger Zeit wirkungslos, der Fokus liegt seit Firefox 61 immer auf der Webseite.

New Tab Override 14.3 wurde mit web-ext 3.1.0 (vorher: 2.9.3) erstellt und ein Rechtschreibfehler in der deutschen Übersetzung wurde korrigiert.

Von Mozilla empfohlen

Mozilla wird in Kürze offiziell sein neues Programm empfohlener Erweiterungen starten. New Tab Override ist eine von ungefähr hundert Erweiterungen, welche Mozilla ausgewählt hat. Im neuen Add-on Manager, den Mozilla mit Firefox 68 ausliefert, erscheint ab dieser Version daher eine besondere Kennzeichnung für New Tab Override.

Der Beitrag New Tab Override 14.3 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update  ( thx @ aprilmpls )

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

• Apache
• Nginx
• Lighthttpd
• HAProxy
• AWS Elastic Load Balancer
• Caddy
• MySQL
• Oracle HTTP Server
• Postfix
• PostgreSQL 

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden. 

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

Zur Stromversorgung des Raspberry Pi 4 brauchen Sie ein USB-C-Kabel. Am anderen Ende muss sich (laut Raspberry-Pi-Foundation) ein Netzteil mit mind. 12,5 Watt befinden; empfohlen werden 15 W.

So weit, so gut. Nur: Nicht jede Kombination aus Netzteil und Kabel funktioniert, auch wenn am Anfang genug Leistung und am Ende USB-C ist …

Update 10.7.2019: Die Raspberry Pi Foundation hat den Fehler nun offiziell bestätigt. In ein paar Monaten soll es eine Revision der Platine geben. Quelle heise.de

Funktioniert gut: Notebook-Netzteil

Notebook-Netzteil 65 W, bei dem das USB-C-Kabel direkt mit dem Netzteil verbunden ist (d.h., beim Netzteil gibt es keine Buchsen).

(65 W sind überdimensioniert, ich weiß. Bei mir liegen aber gerade keine anderen USB-C-Netzteile herum, und die vielen Watt stören ja nicht. Der Raspberry Pi nimmt nur, was er braucht, typischerweise 4 bis 8 W. Dementsprechend wird das Netzteil nicht einmal warm.)

Funktioniert gut: Netzteil mit USB-A-Buchse, Kabel USB-A zu USB-C

• Smartphone-Netzteil 10 W mit USB-A-Buchse
• Kabel USB-A (Netzteil) zu USB-C (Raspberry Pi 4)

Funktioniert halbwegs: Netzteil mit USB-C-Buchse, Adapter zu USB-A, Kabel USB-A zu USB-C

• Netzteil 15 W mit USB-C-Buchse
• Adapter USB-C zu USB-A
• Kabel USB-A zu USB-C

Diese Kombination ist aus einer Notlösung heraus entstanden. Beim Ausprobieren habe ich kein USB-C-zu-USB-C-Kabel gefunden, also habe ich mich mit dem Adapter beholfen. Allerdings kommt beim Raspberry Pi zu wenig Leistung an (oder eine zu niedrige Spannung). Der Raspberry Pi bootet, zeigt aber undervolted-Nachrichten (dmesg) und am Bildschirm den gelben Blitz als Indikator für Probleme mit der Stromversorgung an.

Funktioniert gar nicht: Netzteil mit USB-C-Buchse, Kabel USB-C zu USB-C

• Netzteil 15 W mit USB-C-Buchse
• Kabel USB-C zu USB-C

Eigentlich hatte ich geplant, meinen Raspberry Pi so zu betreiben. Aber leider funktioniert das überhaupt nicht, beim Raspberry Pi leuchtet nicht einmal eine LED.

Die Ursache des Problems ist laut Tyler Ward, dass der USB-C-Anschluss des Raspberry Pi 4 nicht korrekt ausgeführt ist: Mit ‚dummen‘ (passiven) USB-C-Kabeln funktioniert das Laden. Mit ‚intelligenten‘ (aktiven) Kabeln glaubt das Netzteil hingegen, es wäre ein Audio-Device angeschlossen, und das Laden funktioniert nicht.

Quellen

• Blog von Tyler Ward
• Kurzfassung bei Reddit

Man möchte meinen, es sei eine triviale Aufgabe — aber ich habe gerade zwei Stunden damit vergeudet, den Let’s-Encrypt-Client certbot unter Red Hat Enterprise Linux 8 (RHEL8) zu installieren. Damit dieser kurze Blog-Beitrag einen Spannungsbogen hat, beginne ich damit, was nicht funktioniert:

EPEL: certbot befindet sich in der EPEL-Paketquelle. Allerdings gibt es aktuell noch keine EPEL-Paketquelle für RHEL 8. Ich habe stattdessen die EPEL-7-Quelle aktiviert, was grundsätzlich oft funktioniert. yum install python2-certbot-apache scheitert aber an nicht erfüllbaren Paketabhängigkeiten.

certbot-auto: https://certbot.eff.org/ listet RHEL 8 nicht unter den unterstützten Distributionen auf. Aber unter dem Punkt other Unix empfiehlt die Website, mit wget das Installations-Script certbot-auto herunterzuladen und auszuführen. Das funktioniert beinahe, endet aber beim Versuch, certbot in einem Python-Environment einzurichten, mit einer wenig hilfreichen Fehlermeldung:

certbot-auto --install-only

...
Creating virtual environment...
Traceback (most recent call last):
  File "<stdin>", line 27, in <module>
  File "<stdin>", line 19, in create_venv
  File "/usr/lib64/python2.7/subprocess.py", line 185, in check_call
    retcode = call(*popenargs, **kwargs)
  File "/usr/lib64/python2.7/subprocess.py", line 172, in call
    return Popen(*popenargs, **kwargs).wait()
  File "/usr/lib64/python2.7/subprocess.py", line 394, in __init__
    errread, errwrite)
  File "/usr/lib64/python2.7/subprocess.py", line 1047, in _execute_child
    raise child_exception
OSError: [Errno 2] No such file or directory

Lösung

pip3: Erfolg hatte ich letztlich mit dem Kommando pip3. Ich sage gleich dazu, dass das nicht die von Red Hat empfohlene Vorgehensweise ist (Quelle). Aber ich habe keinen besseren Weg gefunden, und im Gegensatz zu den bisher empfohlenen Lösungswege klappt es so wenigstens:

yum install python3-pip
pip3 install certbot
pip3 install certbot-apache
/usr/local/bin/certbot --version

  certbot 0.35.1

Beachten Sie, dass Sie beim Ausführen von certbot nun immer den kompletten Pfad angeben müssen, weil das von pip3 genutzte Verzeichnis /usr/local/bin standardmäßig nicht in der Variablen PATH enthalten ist.

Ein kleiner Tipp für alle vim-Nuzter, die oft mit YAML-Dateien wie z.B. Ansible-Playbooks arbeiten: in diesen Dateien ist es oft entscheidend, dass die Einrückung gleichmäßig ist. Durch die spezielle Syntax mit dem Auflistungszeichen „-“ ist es schnell möglich, durcheinander zu kommen.

Abhilfe schafft die Option cursorcolumn (Doku), die die aktuelle Spalte hervorhebt. Aktiviert werden kann dieser Modus durch

:set cursorcolumn

bzw. kürzer

:set cuc

Die Deaktiviertung erfolgt über

:set nocursorcolumn

bzw. analog :set nocuc.

Diese Woche wurde vollkommen überraschend der Raspberry Pi 4 vorgestellt. Mittlerweile hatte ich Gelegenheit, erste Tests durchzuführen (1-GByte-Modell).

Updates: Siehe die Überschrift »Updates« am Ende des Beitrags.

Eckdaten

Kurz zusammengefasst die Eckdaten:

• Neues System-on-a-Chip (SOC) BCM2711 auf Cortex-A72-Basis (4 Cores, 1,5 GHz)
• RAM: DDR4, Auswahl zwischen drei Modellen mit 1 GByte / 2 GByte / 4 GByte
• Grafik: zwei 4k-HDMI-Ausgänge (allerdings mit Micro-HDMI-Buchsen, entweder 1x4k@60Hz oder 2x4k@30Hz)
• USB: 2 x USB 3.0 plus 2 x USB 2.0
• Ethernet: direkter Controller, echtes GBit-Ethernet
• WLAN: 2.4 GHz and 5.0 GHz IEEE 802.11ac
• Bluetooth: Version 5, BLE
• GPIOs, Kamera- und Display-Anschluss: weitgehend unverändert und angeblich kompatibel
• Datenträger: weiterhin nur SD-Karte (eine externe Festplatte/SSD kann über USB 3 angeschlossen werden)
• Stromversorgung: jetzt über USB-C-Buchse, Leistungsaufnahme im Wesentlichen wie bisher, empfohlen wird ein 15-Watt-Netzteil
• Raspbian: aktualisiert, basiert nun auf Debian 10 (Buster)

Der Preis für das 1-GByte-Modell ist unverändert im Vergleich zum 3B+, die Modelle mit 2 und 4 GByte sind um ca. 10 bzw. 20 EUR teurer. Aktuell gibt es allerdings je nach Modell Lieferschwierigkeiten.

Die Raspberry Pi Foundation empfiehlt, ein Netzteil mit 15 W zu verwenden. Netzteile bis 12,5 sind auch OK, sofern der Strombedarf der angeschlossenen USB-Geräte in Summe weniger als 500mA (2,5 W) beträgt.

Inbetriebnahme

Erste Tests erfordern in der Regel neue Kabel oder Adapter. Statt den Minicomputer wie bisher mit einem normalen HDMI-Anschluss auszustatten, sind es nun zwei Micro-HDMI-Buchsen. Die Chance, dass Sie ein geeignetes Kabel oder einem Adapter im Keller finden, ist verschwindend … Ganz klar ist mir ehrlich gesagt auch nicht, wozu der Raspberry Pi zwei HDMI-Ausgänge braucht. Zum Basteln auf jeden Fall nicht. Eine normale HDMI-Buchse wäre sinnvoller.

Übrigens ist es nicht egal, an welcher Buchse Sie Ihren Monitor anschließen! Sie müssen die erste Buchse verwenden (die direkt neben dem USB-C-Stromanschluss), sonst bleibt Ihr Monitor schwarz.

Schon eher verständlich ist der Umstieg auf USB-C für die Stromversorgung. Erste Tests mit einem 15-W-Netzteil plus einem USB-C/USB-B-Adapter führten allerdings zu Undervolting-Fehlermeldungen und dem gelben Blitz auf dem Bildschirm. Da wird der nächste Kabelkauf fällig … Glücklicherweise hatte ich noch ein USB-C-Notebook-Netzteil zuhause: Mit seinen 65 W sollte es nicht nur für das aktuelle Modell, sondern auch für die nächsten Raspberry-Pi-Generationen ausreichen ;-) Auf jeden Fall läuft der Raspberry Pi damit stabil.

Geschwindigkeit

Der Raspberry Pi ist in jeder Hinsicht flotter geworden: Er bootet schneller als mein Notebook, fühlt sich beim Arbeiten geschmeidig an und überzeugt durch spürbar größere Übertragungsraten (SD-Karte, USB-C-Datenträger, Ethernet).

Die folgenden Kommandos ermitteln die Taktfrequenzen einiger Komponenten und führen einen simplen Benchmarktest durch. (Alle Vergleichsangaben beziehen sich auf den Raspberry Pi 3B+.)

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq
  600000
cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq
  1500000 (bisher 1400000)
vcgencmd get_config sdram_freq # RAM
  sdram_freq=0 (bisher 500)
vcgencmd get_config core_freq # Video Core
  core_freq=500 (bisher 400)
vcgencmd get_config gpu_freq # 3D-Core
  gpu_freq=500 (bisher 300)

sudo apt install sysbench

sysbench --test=cpu --cpu-max-prime=20000 --num-threads=4 run
  ...
  Test execution summary:
  total time: 63.1 s (bisher 79,7 s)

Auf weitere Benchmark-Tests habe ich verzichtet. Da haben sich andere Leute schon viel Mühe gegeben — siehe Tom’s Hardware oder medium.com.

Bei aller Begeisterung über die gesteigerte Geschwindigkeit kann freilich auch der Raspberry Pi 4 nicht mit modernen Notebooks oder PCs mithalten. Wenn keine hohen Ansprüche gestellt werden, kann der Pi 4 mit 4 GB RAM (4×4 würde sich als Bezeichnung anbieten) aber durchaus als Desktop-Ersatz durchgehen.

Hitzig

Laut diverser Tests ist die Leistungsaufnahme des Pi 4 nicht wesentlich höher als beim Vorgängermodell (ca. 3,5 W im Leerlauf, fast 8 W unter Last). Fakt ist aber, dass die CPU (genaugenommen ist es ein SOC, ein System-on-a-Chip) schon nach wenigen Minuten so heiß wird, dass man beim Angreifen des Geräts aufpassen muss, sich nicht die Finger zu verbrennen. Ein Kühlkörper ist definitiv kein Luxus mehr. Ein kompaktes Gehäuse ohne Luftzufuhr ist sicherlich keine gute Idee.

Dass die neue CPU wieder Overclocking erlaubt (siehe nochmals Tom’s Hardware), wird alle Benchmark-Fanatiker natürlich erfreuen. Ob das angesichts der schon im Normalzustand hohen Wärmeentwicklung der Lebensdauer förderlich ist, sei aber dahingestellt.

Raspbian Buster

Debian 10 alias Buster ist zwar noch nicht fertig, aber das hindert die Raspberry Pi Foundation nicht daran, eine auf Buster aktualisierte Raspbian-Version auszuliefern. Von der in der Ankündigung versprochenen Layout-Modernisierungen am Desktop ist nicht viel zu spüren — rein optisch sieht Raspbian im Prinzip unverändert aus.

Die folgende Tabelle fasst einige Versionsnummern zusammen:

Basis             Desktop              Programmierung   Server
---------------   ------------------   --------------   --------------
Kernel     4.19   Chromium        74   bash       5.0   Apache     2.4
glibc      2.28   Gimp          2.10   gcc        8.3   CUPS       2.2
X-Server   1.20   LibreOffice    6.1   Java        11   MariaDB   10.3
Mesa       19.1   LXDE            10   PHP        7.3   OpenSSH    7.9
Systemd     241   VLC             10   Python 2.7/3.7   Samba      4.9

Anmerkungen:

• Java 11 funktioniert offenbar auf den Zero-Modellen nicht mehr (Quelle).
• Mathematica steht aktuell noch nicht zur Verfügung.
• Raspbian läuft aus Kompatibilitätsgründen weiterhin im 32-Bit-Modus. Eine Umstellung auf 64-Bit-Code würde vermutlich noch ein wenig mehr Performance bringen.

Wie andere Tester bereits festgestellt haben (z.B. heise.de), gibt es bei der Wiedergabe von Videos noch arge Probleme. Der SoC einhält Hardware-Funktionen zur Decodierung von H264- und HEVC/H265-Videos. Für andere Formate ist aber die CPU zuständig, und die wirkt mit den aktuellen Treibern überfordert. Anders als für ältere Pi-Modelle gibt es keine Hardware-Decodierung für VC1 und MPEG2. Daher ist auch der zusätzliche Kauf der entsprechenden Schlüssel hinfällig (Quelle).

Auch die LibreELEC-Entwickler weisen darauf hin, dass die erste LibreELEC-Alphaversion für den Raspberry Pi 4 wirklich noch experimentellen Charakter hat. (Eigene Tests habe ich noch keine durchgeführt.)

Andere Raspberry-Pi-Distributionen sind aktuell noch gar nicht Pi-4-kompatibel. Das gilt unter anderem für Win 10 IoT, Rasplex, Ubuntu Mate, Volumio etc. Da sich die Hardware des Pi 4 radikal verändert hat, wird es wohl noch einige Zeit dauern, bis es entsprechende Aktualisierungen gibt.

Kurz zusammengefasst: So cool die neue Hardware ist — bei der Software gibt es noch starken Nachholbedarf.

GPIOs

Die 40-polige GPIO-Leiste ist grundsätzlich kompatibel zu den älteren Raspberry-Pi-Modellen. Allerdings haben einige Pins jetzt alternative Funktionen, können also je nach Programmierung bzw. Treiberkonfiguration für unterschiedliche Aufgaben verwendet werden. Ein gutes Diagramm über die vielen Doppelbelegungen der Pins hat Tom’s Hardware zusammengestellt.

Laut raspberrypi.org unterstützt der BCM2711 die folgenden Funktionen/Bus-Systeme:

        BCM2711     am Pi4B verfügbar
-----   ---------   -----------------
CSI     2x          1x
DSI     2x          1x
I2C     6x          6x
SPI     6x          5x (4x in der GPIO-Leiste)
UART    6x          6x

USB- und Network-Booting

Ältere Raspberry-Pi-Modelle konnten von USB-Datenträgern bzw. von über das Netzwerk zur Verfügung gestellten Images booten (PXE). Für den Pi 4 sind diese Funktionen ebenfalls geplant, aber noch nicht realisiert. Angesichts der USB-3-Schnittstelle erscheint die Verbindung des Raspberry Pi mit einer SSD als Datenträger und Boot-Device natürlich extrem spannend.

WLAN-Probleme

In meinem Büro sind zwei WLANs in Reichweite. Alle bisherigen Pi-Modelle konnten eine Verbindung zu beiden WLANs herstellen. Dem Raspberry Pi 4 gelingt dies hingegen nur zu einem der beiden WLANs. Es gibt keine Fehlermeldungen. Die WLAN-GUI sagt, das WLAN sei disassociated. Bisher habe ich auch keine Logging-Dateien gefunden, die Aufschluss über das Problem geben. Merkwürdig.

Quellen

• raspberrypi.org
• Test bei heise.de
• Test bei Tom’s Hardware
• Hardware-Infos vom libreelec-Team
• Raspbian Buster Bugs + Probleme
• Pi-4-Diskussion im Raspberry-Pi-Forum
• Video-Probleme im Raspberry-Pi-Forum

Benchmarks, Overclocking, Leistungsaufnahme

• Benchmark-Tests (Tom’s Hardware)
• Benchmark-Tests (medium.com)
• Overclocking (Tom’s Hardware)
• Overclocking-Diskussion im Raspberry-Pi-Forum
• Leistungsaufnahme (raspi.tv)

Hardware / BCM2711 / GPIOs

• Hardware-Überblick (raspberrypi.org)
• Hardware-Überblick (raspi.tv)
• Kurzbeschreibung des BCM2711 (raspberrypi.org)
• Vorläufiges BCM2711-Datasheet (PDF)
• GPIO-Infos (Tom’s Hardware)
• GPIO-Infos (elinux.org)
• Schematische Schaltpläne der Anschlüsse (PDF)

Updates (13.7.2019)

• Die WLAN-Probleme sind mittlerweile im Zuge eines Kernel- und Firmware-Updates verschwunden.
• Außerdem wird der Raspberry Pi 4 im Ruhezustand nun etwas weniger heiß.
• Aufgrund eines Fehlers auf der Platine gelingt die Stromversorgung mit manchen USB-C-Kabeln nicht (siehe USB-C-Ärger mit dem Raspberry Pi 4).
• Mathematica 12 steht nun zur Verfügung und kann mit apt install wolfram-engine installiert werden (siehe pi-buch.info).

Nachdem ich nun einige Wochen Ubuntu 18.04 mit der Oberfläche Gnome3 nutze wird es Zeit mal ein bisschen zu schauen…. wie fühlt es sich an, und wie sinvoll ist der Wechsel von Unity gewesen.

Die ersten Tage war das Erlebnis wirklich gut, es fühlte sich alles neu an, und hat Spaß gemacht es zu erkunden. Wenn ich mir bisher einen neuen PC gekauft habe, aber mit dem gleichen Betriebssystem wir vorher hat sich nie das Gefühl von “wirklich neu” eingestellt. Und auch wenn man bei dem Betriebssystem nur Modellpflege betreibt…. der Unterschied zwischen 14.04 und 16.04 ist eher im Unterbau als in der Oberfläche.
Aber wenn man ein System mit einer neuen Oberfläche installiert fühlt es sich an wie ein neuer PC.

Positiv an der neuen Oberfläche finde ich zunächst das die Benachrichtigungen gespeichert werden und man sie sich immer wieder ansehen kann. Und auch der Dateimanager wirkt etwas aufgeräumter. Wenn ich allerdings etwas kopiere oder packe, dann kommt statt eines Fortschrittsbalken ein kleines Kreisdiagramm in der Fensterleiste von Nautilus. Das fand ich etwas verwirrend und habe nicht sofort den Sinn begriffen. Ein Statusfenster was mehrerer Kopiervorgänge zusammenfasst und diese auch pausieren oder abbrechen lässt war in meinen Augen der Höhepunkt der Evolution. Nun handelt es sich um einen Rückschritt, nur damit es moderner wirkt.
Was mir noch gefällt ist das die Bedienung sich ein wenig an Smartphones und Tablets orientiert und man so mehr oder weniger intuitiv weiß wo man hinklicken muss und das sich z.b. hinter 3 Balken ein Menü versteckt.

Bei den Nachteilen gibt es aber einige Punkte die mich sehr stören. Zunächst finde ich die Anordnung der Symbole zum Speichern, Drucken etc ist völlig unübersichtlich geworden und selbst nach Wochen mit dem Desktop muss ich jedesmal aufs neue Suchen. Das erinnert mich an Windows 10 wo ich immer wieder aufs neue anfange zu Suchen wenn ich eine Funktion brauch. Das Design der Oberfläche hat sich von Gnome2 ins negative Entwickelt und ich denke hier hat eine federführende Hand gefehlt. Ein weiterer grosser Nachteil ist das ich mit Nautilus nicht mehr meine Samba Freigaben (auf Server 16.04) ohne Probleme öffnen kann. Alternativ bin ich im Moment auf SSH umgestiegen was aber sicher nicht im Sinn des Erfinders ist. Ich vermute das die Ursache eine technische in den verschiedenen Samba Protokollversionen liegt und sicher auch zu lösen ist. Von einem modernem Desktop System erwarte ich aber das die Netzwerkumgebung mir die SMB Shares sofort öffnet. Der Wegfall von Synaptic finde ich auch schade da man mit Ubuntu-Software nur grafische Programme installiert bekommt und alternativ auf die Shell-Ebene muss. Da war Synaptic einfach besser. Von vielen wurde als negativ angesehen das Canonical mit Unity eine weitere Fragmentierung bei den Benutzeroberflächen fördert und viele fanden gut das Ubuntu nun wieder auf Gnome setzt.
Finde ich ist Augenwischerei denn in anderen Ecken schreitet die Fragmentierung munter voran und das völlig unkoordiniert. Ich sage nur Cinnamon oder Mate Desktop oder Budgie.

Abschliessend kann ich sagen das es durchaus Gründe gibt Ubuntu 18.04 zu nutzen, vor allem da alle Programme wieder in aktuellen Versionen vorliegen.
Aber im direkten Vergleich Ubuntu 16.04 mit Unity die definitiv bessere Version ist.

Nicht nur ein neuer Raspberry Pi 4 hat vor kurzem das Licht der Welt erblickt, auch die bekannte Distribution Raspbian, welche auf den Minirechnern gerne läuft, wurde auf Debian Buster umgestellt.

Das neue Betriebssystem hat ein neues Theme erhalten und die üblichen Softwareaktualisierungen.
Nicht mehr dabei ist der Legacy Grafiktreiber Stack, dafür wurde auf Mesa V3 Treiber umgeschwenkt.
Ein Update auf die neue Version ist schnell gemacht, aber auch mir Vorsicht zu genießen, es wird eine Neuinstallation empfohlen.

Update auf Raspbian (Buster)

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
sudo sed -i 's/stretch/buster/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade

Ich empfehle dringend ein Backup der wichtigen Daten zu ziehen.
Nach einem Testupdate konnte ich das System zwar noch booten, hatte außer einem Mauszeiger kein Bild. SSH funktionierte. Ich habe es allerdings nicht weiterverfolgt, da ich die Anzeigeneinstellungen händisch gesetzt hatte.

Da Debian Buster Tools mitbringt, welche nicht unterstützt werden, könnt ihr diese wieder deinstallieren.

sudo apt purge timidity lxmusic gnome-disk-utility deluge-gtk evince wicd wicd-gtk clipit usermode gucharmap gnome-system-tools pavucontrol

Kioskmodus unter Raspbian 

Was nach dem Update schnell klar war. Der Kiosk Modus mit Chromium ist defekt und muss repariert werden. Das geht allerdings schnell, denn es haben sich nur Pfade geändert.

Anders als noch bei den alten Raspbian Systemen ist das Verzeichnis /home/pi/.config/lxsession/LXDE-pi/autostart des Pi Nutzers nicht mehr vorhanden.
Alternativ kann einfach die globale Konfiguration unter /etc/xdg/lxsession/LXDE-pi/autostart angepasst werden, um den Vollbildmodus von Chromium 74 automatisch zu starten.

sudo nano /etc/xdg/lxsession/LXDE-pi/autostart

@lxpanel --profile LXDE-pi
@pcmanfm --desktop --profile LXDE-pi
# Bildschirmschoner deaktivieren
#@xscreensaver -no-splash
@point-rpi

@xset s off
@xset -dpms
@xset s noblank
#Autostart Chromium Vollbild-Kiosk
@chromium-browser --noerrordialogs --incognito --kiosk https://kiosk.itrig.de

Mit Firefox 68 wird Mozilla eine vollständige Neu-Implementierung der Adresseleiste ausliefern, welche unter dem Namen QuantumBar entwickelt worden ist. Im nächsten Schritt wird die Adressleiste ein neues Design erhalten. Dieser Artikel gibt eine erste Vorschau.

Die Adressleiste, welche in Firefox auch Awesome Bar genannt wird, ist eine der wichtigsten Komponenten eines jeden Browsers. Und eben jene Komponente hat Mozilla von Grund auf neu und mit Webtechnologie anstelle von XUL und XBL entwickelt. Die Neu-Implementierung hört auf den Namen QuantumBar, passend zu Firefox Quantum, wie sich Firefox seit Firefox 57, dem größten Firefox-Release aller Zeiten, nennt, und ist ab Firefox 68 standardmäßig aktiviert.

Sowohl optisch als auch funktional ist die QuantumBar nur schwer von der alten Adressleiste zu unterscheiden, was in diesem Schritt auch ein ausdrückliches Ziel war. Der Nutzer wird in Firefox 68 vermutlich also trotz der großen Änderungen unter der Haube keinen Unterschied bemerken.

Darauf aufbauend plant Mozilla für ein späteres Update Änderungen der Adressleiste, welche auffallen werden. Zunächst sieht die Adressleiste dabei wie gewohnt aus. Beim Fokussieren der Adressleiste oder Öffnen eines neuen Tabs vergrößert sich diese jedoch.

Das Adressleisten-Popup geht nicht mehr über die gesamte Fensterbreite, sondern ist nur noch so breit wie die Adressleiste selbst. Auch die Darstellung der Suchmaschinen-Icons ist verändert und der neue Text an dieser Stelle macht deutlicher, dass ein Ändern der Suchmachine hier nur die Suchmaschine für die aktuelle Suche ändert.

Darüber hinaus sind weitere Verbesserungen geplant. So soll in den Adressleisten-Vorschlägen weiterhin der eingegebene Text in den Ergebnissen fett hervorgehoben werden, bei Vorschlägen von Suchmaschinen soll dies jedoch umgekehrt werden und in Zukunft der Teil hervorgehoben werden, der vorgeschlagen wird.

Außerdem plant Mozilla diverse Experimente auf Basis des neuen Designs. Das heißt, dass nicht zwangsläufig jede der weiteren Ideen für alle Nutzer umgesetzt werden wird, sondern dies vom Verlauf der jeweiligen Experimente abhängt.

Zu diesen Experimenten gehört unter anderem die Entfernung des Suchfelds auf der Firefox-Startseite, welches durch das neue Verhalten der Adressleiste redundant ist.

Ein anderes Experiment ist das Vorschlagen der meistbesuchten Webseiten, welche sonst auch auf der Firefox-Startseite erscheinen, wenn man in die Adressleiste klickt, statt gar nichts anzuzeigen, wie es aktuell der Fall ist.

Ein weiteres Experiment integriert die Such-Shortcuts besser in die Adressleiste.

Schließlich gibt es noch die Idee, neue Nutzer per Tipp auf die Suchfunktion in der Adressleiste hinzuweisen, oder auch, wenn der Nutzer die Suchmaschine per URL aufruft.

Der Beitrag Das neue Design der QuantumBar-Adressleiste von Firefox erschien zuerst auf soeren-hentzschel.at.

Mit Firefox 67 hat Mozilla den Content-Blocker von Firefox um ein optionales Blockieren von Cryptomining erweitert. Ab Firefox 69 ist der neue Schutz standardmäßig aktiviert.

In Firefox 67 hat Mozilla seinen integrierten Content-Blocker um die Möglichkeit erweitert, Cryptomining– sowie Fingerprinting-Scripts zu blockieren. Dazu muss entweder die Datenschutz-Voreinstellung „Streng“ oder „Benutzerdefiniert“ ausgewählt werden.

Während Mozilla im Hintergrund an größeren Privatsphäre-Verbesserungen wie Social Tracking als weitere Kategorie für den Content-Blocker, ein neues Tracking-Schutz-Panel, einen Schutz-Bericht sowie Firefox Proxy arbeitet, erweitert Mozilla zunächst einmal den Schutz, den standardmäßig jeder Nutzer erhält.

So werden seit Firefox 67.0.1 Tracking-Cookies von Drittanbietern standardmäßig blockiert und ab Firefox 69 wird der Cryptomining-Schutz auf die Standard-Liste gesetzt und ist damit für jeden Nutzer aktiv, ohne dass dieser erst durch den Nutzer aktiviert werden muss.

Der Beitrag Firefox 69: Cryptomining-Blocker wird standardmäßig aktiviert erschien zuerst auf soeren-hentzschel.at.