Linux-Magazin Mission fürs Web (Vorschau)

01/12
Anzeige:
STRATO Hosting
Power
Für Anwender mit hohen Ansprüchen
Hosting
strato.de/hosting siehe Seite 86/87
AKTION BIS
31.12.2011!
STR1211_TKS_PowerHosting_120x17 1
23.11.2011 10:40:28 Uhr
Härteste Linux-
Nuss der Welt
Der Winterrätsel-Knacker
gewinnt ein HTC Sensation XL S. 94
Bürger-Tools
Wofür Liquid-
Demo cracy-Programme
gut sind S. 68
Deployment
Fog verwaltet und verteilt
System-Images im eigenen
Rechnerpool S. 90
Mission
fürs Web
Bei welchen Techniken Programmierer
und Admins jetzt einsteigen sollten
■ Grafisch aufregende HTML-5-Anwendungen
mit Canvas, SVG und Websockets S. 28
■ Flow3, ein PHP-Framework mit zeitgemäßer
MVC-Architektur S. 34
■ Javascript-Webserver Node.js S. 40
■ Sicherheitspannen: Reinfall beim Zufall S. 48
■ Nginx & PHP-FPM beschleunigen Magento-Shop S. 54
■ Profi-Tipps für Panoramafotos S. 60
■ Google-Authenticator-Praxis S. 78
Datendiebstahl-sichere Programme schreiben mit der Java-SE-Security-Bibliothek S. 112
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 5,95 4 6,70 sfr 11,90 4 7,00 4 7,95 4 7,95
4 192587 305954 01

Managed
Hosting
sicher, flexibel und verfügbar
Profitieren Sie von:
aktueller Clustertechnologie
ISO 27001 zertifiziertem
Hochsicherheits-Datacenter
Hosting direkt am DE-CIX
IPv4 und IPv6 Anbindung
24/7 Service und Support
Entdecken Sie den Unterschied
Professionelles Hosting mit persönlichem
und kompetentem Support.
Individuelle Hostinglösungen vom Server
bis zum Clustersystem. Beratung, Planung
und Service 24/7.
Wir bieten über 10 Jahre Erfahrung in
Hosting und Systemadministration.
Für mehr Performance, Sicherheit und
Verfügbarkeit, jeden Tag, rund um die Uhr.
hostserver.de/hosting
Managed Hosting
zertifiziert nach
ISO 9001 : 2008
0 30 / 420 200 24 hostserver.de
Berlin Marburg Frankfurt am Main

Web der Besserung
Login 01/2011
Editorial
Der Linux-Kernel war in seiner Anfangszeit alles andere als vollkommen. Der
Stand der Wissenschaft hätte 1991 wirklich etwas anderes vorgesehen als einen
monolithischen Systemkern für den 386-Prozessor. Das prangerte der Betriebssystem-Professor
und Minix-Erfinder Andrew S. Tanenbaum auch bald öffentlich
an. 20 Jahre später aber findet sich das einst so mangelhafte Linux unter den
erfolgreichsten Betriebssystemen. Minix dagegen fristet sein Dasein nach wie vor
hauptsächlich in Gelehrtenstuben. Außerdem, so merkte der Kernelentwickler
Alan Cox auf der Linuxcon Europe im Oktober an, hat „sich in der Praxis der
Kernelprogrammierung einiges als falsch herausgestellt, was die akademische
Betriebssystemforschung lange behauptet hat“.
Etwa zur gleichen Zeit wie Linux nahm das World Wide Web seinen Anfang. Was
Mathias Huber, stellv. Chefredakteur der CERN-Informatiker Tim Berners-Lee vorstellte, war ebenfalls recht unvollkommen.
HTML und HTTP stellten eine wenig niveauvolle Implementierung eines
Hypertext-Systems dar, die viele Wünsche offen ließ. Wie so etwas richtig auszusehen hätte, darüber zerbrachen
sich Wissenschaftler schon seit Jahrzehnten den Kopf. Stellvertretend sei hier das Projekt Xanadu genannt,
das der US-amerikanische Gelehrte Theodor Holm Nelson in den 60er Jahren entwarf.
Während wir heute im WWW-Alltag veraltete Links resigniert akzeptieren, sollten in Xanadu Verweise nie ihre
Gültigkeit verlieren. Außerdem sind sie bidirektional angelegt, enthalten also nicht nur das Wohin, sondern auch
das Woher. Statt Zitate zu kopieren, sollten Xanadu-Anwender sie von der Original-Referenzstelle einbinden, was
sich Transklusion nannte. Mit einer solchen Einbindung geht auch die Vorstellung eines Trans-Copyright einher,
das den Urheber nennt und die Nutzung mit Kleinstbeträgen vergütet. Eine weitere spannende Idee Nelsons
war die Zuordnung der Inhalte in eine öffentliche und in eine private Domäne, die sich aber verknüpfen ließen:
Ein wissenschaftlicher Aufsatz etwa könnte öffentlich sein, die mit einzelnen Passagen verknüpften Notizen
und Aufgabenlisten des Autors dagegen privat.
Wer das WWW schon länger benutzt, der weiß, wie sehr vor allem am Anfang die Realität von einem solchen
Ideal abwich. Doch das einfach gestrickte Web lud zum Mitmachen ein, wuchs und entwickelte sich weiter. Bald
gab es Bilder, Formulare und Suchmaschinen. In den vergangenen Jahren haben viele fleißige Programmierer
weitere Mängel der Hypertext-Implementierung behoben: Wenigstens innerhalb eines Wikis verweisen Links
nun auch zurück und Mediendateien werden aus einem übergreifenden Archiv eingebunden. Zudem beschreiben
die Trackbacks der Blogs das Woher von Verweisen.
Die Schwerpunkt-Artikel dieses Linux-Magazins sind ein weiterer Beitrag zur Vervollkommnung des unvollkommenen
WWW: Websockets etwa führen bidirektionale Kommunikation zwischen Client und Server ein und
Frameworks wie Flow3 verlagern das Augenmerk des Entwicklers von der Kleinarbeit auf eine höhere Ebene
der Abstraktion. Die bodenständige Sorge um Performance bleibt allerdings weiterhin ein Thema. Doch mit
schlanken Webservern wie Node.js und Nginx sowie dem Prozessmanager PHP-FPM gibt es vielversprechende
neue Lösungsansätze. Die Website-Hacks von Tobias Eggendorfer zeigen schließlich, dass die Entwickler neben
aller Freude über neue Features die Sicherheit nicht vernachlässigen dürfen.
Was aus dem Projekt Xanadu wurde? Das komplexe, ehrgeizig konzipierte System hat bisher nur unvollständige
Implementierungen erfahren. Sie hießen daher auch nicht Xanadu, sondern Udanax, und haben keinen größeren
Anwenderkreis erreicht.
www.linux-magazin.de
3

Inhalt
www.linux-magazin.de 01/2012 01/2012
4
In diesen Tagen bricht das Web zu neuen Welten auf, die dessen Möglichkeiten sinnvoll erweitern.
Im Browser etwa geben HTML-5-Features wie Canvas und Websockets ihr Debüt. Die
Ausmaße des Flow3-Universums zeichnen sich jetzt ab, und Admins beschleunigen wahlweise
ihre Webserver mit Node.js oder ihren Webshop mit Nginx auf Lichtgeschwindigkeit.
Aktuell
Titelthema: Webentwicklung
6 N ew s
n Android 4 auf Pandaboard
n Visio-Import für Open Office
n Sugar CRM 6.3: Archiv und Admin-Tool
n Open Suse 12.1: Snapshots und Cloud
n Zarafa bringt Videokonferenzen
n Viel Neues bei Typo3 4.6
28 HTML-5-GUI-Programmierung
Titel
Client-Server-Anwendungen plus grafische
Oberfläche programmieren mit
HTML 5, Jquery, Visualize und Autobahn.
40 Schneller als Apache
Mit Ereignisorientierung überrascht der
Javascript-basierte Webserver Node.js
vor allem bei der Performance.
14 Zahlen & Trends
n 38 000 Stellen
für IT-Experten
n Mozilla verliert
Firefox-Designer
n Wirbel um UEFI
n Peter Ganten
neuer OSBA-Chef
n CCC fordert
Offenlegung des
Bundestrojaners
22 Zacks Kernel-News
Das Galaxy Note:
Samsungs Geräte
erobern den Markt.
n Kernel.org: Tross der Rückkehrer
n Virtualbox am Pranger
n Suspend-Daemon für Linux
n Akku-Patch für PCI-Karten mit ASPM
Aus den Daten der Webstatistiken erzeugt
Visualize ein anschauliches Balkendiagramm
mit stets aktuellen Werten.
34 Enterprise-Flow
Das PHP-Framework Flow, ursprünglich
als Typo3-Unterbau geplant, macht
Enterprise-Webanwen dungen Beine.
Die virtuelle Maschine zeigt die Beispielanwendung
zur Latenzmessung.
48 Websicherheit
Zufallsgeneratoren, Kreditkartennummern
und ein kleines Wunderland.
Zufall oder Hack? Gute Vorhersagbarkeit bedeutet
schlechte Sicherheit.
24 Linuxcon Europe 2011
Rund 900 Besucher drängten zu den
Vorträgen in Prag, um Linus Torvalds
persönlich zu sehen.
Hat die Installation geklappt, zeigt sich dem
Anwender die Startseite von Flow.
54 Schnelleres Shoppen
So geht’s: Nginx und PHP-FPM beschleunigen
Magento-Shops.
Linux-Prominenz in Prag: Kernelentwickler
Ted Ts’o (links) und Alan Cox bei einer informellen
Besprechung in der Sitzgruppe.
DELUG-DVD
TOOL
Doppelseitige DVD, Details auf S. 59
Open Suse 12.1
TOOL
TOOL
Das Nürnberger Linux in der
32-Bit-Version mit Kernel 3.1
Ubuntu 11.10 Server
TOOL
n Mit Google Authen ti cator und
Node.js als Virtual Appliance
TOOL
n 32- und 64-Bit-ISO-Dateien
TOOL
E-Book gratis.
Denny Carl, „Praxiswissen Ajax“
Mailserver-Konf.
Neues Video-Futter für Admins
Panoramafotos
500 MByte zum Experimentieren

01/2012 01/2012
Inhalt
60 Runde Sache
Wenn Motive oder Unterschiede zwischen
hell und dunkel zu groß sind,
helfen Profi-Linux-Tools dem Fotografen
beim Erstellen digitaler Panoramen.
78 Zweifach gesichert
Zwei-Faktor-Authentifizierung muss
nicht kompliziert und teuer sein. Googles
Tool nutzt das Android-Smartphone,
beispielsweise für den SSH-Login.
118 Zettels Trauma
Mike Schilli sagt der Zettelwirtschaft
den Kampf an. Sein virtueller Zettelkasten
synchronisiert automatisch
und funktioniert auch offline.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
59 Einführung
Auf der DELUG-DVD: Suse 12.1, Ubuntu
Server, Node.js, 500 MByte Panorama-
Fotos, ein O’Reilly-E-Book und Videos.
60 Linux-HDR-Panoramen
Titel
400 Fotos und ein selbst gebauter Panoramakopf:
Professionelles Stitching und
Rendering mit Hugin, Blender und Co.
77 Einführung
Aus dem Alltag eines Sysadmin: Charly
besucht die Open-Rhein-Ruhr-Konferenz.
78 Googles zwei Faktoren
Titel
Sichere Zwei-Wege-Authentifizierung mit
PAM-Lib und Android-Telefonen.
84 Suse Cloud
Auch die Nürnberger springen auf den
Cloud-Zug auf und bauen auf Open Stack.
104 Kern-Technik 60
Der Emulator Qemu ermöglicht plattformunabhängiges
Kernel- und Modul-
Debugging auf Hochsprachen-Niveau.
Programmieren
110 Bash Bashing – Folge 18
Diesmal: Bash Completion, die Auto vervollständigung
der interaktiven Shell.
112 Krypto mit Java
Titel
Die Java-SE-Security-Bibliothek gibt dem
Programmierer alles an die Hand, was er
für sichere Anwendungen braucht.
Simple Bedienung macht Hugin zum gelungenen
Tool für den ambitionierten Hobbyfotografen.
68 Bitparade
Titel
Adhocracy, Liquid Feedback, Liquidizer
und - außer Konkurrenz - Votorola. Was
taugen Liquid-Democracy-Tools?
Der Suse Manager kommt mit Android-App.
90 Deployment mit Fog
Titel
Das Admin-System verwaltet Unternehmens-PCs
und verteilt Software.
Forum
Die Java SE Library bringt Datenverschlüsselung,
Prüfsummen und Signaturen.
Liquidizer bietet dem Anwender sieben Möglichkeiten,
seine Präferenzen auszudrücken.
Immer im Blick: Das aktuelle Stimmungsbild.
74 Tooltipps
GUIs für eigene Skripte mit Gtkdialog. Procmeter
überwacht »/proc«, Fdupe doppelte
Dateien. Dazu RSS Tail, Snarsshe für den
Remote-Sync und der Webserver Monkey.
94 Winterrätsel
Titel
Das große
Linux-Magazin
Winterrätsel für
lange Abende.
96 Recht
Der BGH zu Hosting-Providern und Blogs.
100 Bücher
„Web-Sicherheit“ und
„Metasploit“.
102 Leserbriefe
Auf den Punkt gebracht.
Zu gewinnen: Ein HTC
Sensation XL
118 Perl-Snapshot
Mit Evernote, Facebooks Thrift-Library
und ein wenig Skripting verhindert
Perlmeister Schilli, dass ein Windstoß
seine Notizen durcheinander bringt.
Service
3 Editorial
124 IT-Profimarkt
. 128 Veranstaltungen
. 128 Inserenten
. 129 Impressum
130 Vorschau

Aktuell
www.linux-magazin.de News 01/2012
6
News
Transformer Prime mit Quadcore-Prozessor und Tegra 3
Mit optionaler Dockingtastatur mutiert das
Transformer zu einer Art Notebook.
Asus hat ein 10-Zoll-
Tablet auf Quadcore-
Basis mit Android als
Betriebssystem vorgestellt.
Der Hersteller
kann sich rühmen, das
erste Gerät mit Nvidias
Tegra-3-Quadcore-
Prozessor (je 1,5 GHz)
plus GPU ankündigen
zu können. Das Besondere
an den Transformer-Modellen
ist
die optionale Dockingstation,
die das Tablet
zum Notebook mit
Tastatur macht.
Der Verkaufsstart ist
laut Ankündigung
noch offen: Ein genaues
Verfügbarkeitsdatum
für Deutschland und Österreich
wird zu einem späteren
Zeitpunkt bekannt gegeben.
Preise stehen dagegen schon
fest: Das Eee Pad Transformer
Prime wird in Deutschland
als 64-GByte-Modell ohne Dockingstation
und als 32-GByte-
Bundle inklusive Dockingtastatur
zu einem empfohlenen
Preis von jeweils 600 Euro
erhältlich sein.
Das Display soll besonders
brillant sein und mit dem inzwischen
häufig eingesetzten
Gorilla-Glas auch bruchsicher.
Zur Ausstattung gehören eine
8-Megapixel-Kamera mit LED-
Blitz und auf der Vorderseite
eine 1,2-Megapixel-Kamera.
Die große Kamera kann Full-
HD-Videos mit 1080 p aufnehmen,
was laut Asus im
Tablet-Bereich ebenfalls ein
Novum ist. USB, ein Micro-
SD-Kartenleser und ein Micro-HDMI-Port
zählen zu den
Schnittstellen.
Die Akkulaufzeit soll im angedockten
Zustand 18 Stunden
betragen, ein bislang unerreichter
Wert bei Tablets, wie
Asus herausgefunden hat. Mit
knapp mehr als 8 Millimetern
Höhe und 586 Gramm ist das
Gerät ein dünnes Leichtgewicht.
Amethyst-Grau und
Champagner-Gold lautet die
Farbauswahl.
n
Fedora 16 mit Kernel 3.1 und Cloud-Tools
Red Hats Community-Linux
Fedora ist in Version 16 mit
dem Codenamen „Verne“ erschienen.
Während der Nickname
sich auf den französischen
Autor Jules Verne bezieht,
widmen die Entwickler
die Version ausdrücklich dem
kürzlich verstorbenen Unix-
Erfinder Dennis Ritchie.
Fedora 16 bringt mit Gnome
3.2 und KDE 4.7 frische Versionen
der Desktopumgebungen.
Im System stecken zudem
Kernel 3.1 und Grub 2.
Der Ext-4-Treiber ist im neuen
Fedora auch für die Dateisysteme
Ext 2 und 3 zuständig.
Daneben haben die Entwickler
Sys-V-Init-Skripte auf das
in Version 15 eingeführte Init-
System Systemd portiert.
Außerdem enthält die Distribution
noch einiges an
neuer Software fürs Cloud
Computing, unter anderem
die Oberfläche Aeolus Conductor,
die IaaS-Implementierung
Condor Cloud und das
verteilte Dateisystem Heka
FS. Software-Entwickler finden
beispielsweise Perl 5.14,
die GCC-Python-Plugins, die
Haskell-Plattform sowie D2,
die neueste Version der Programmiersprache
D.
Zum Herunterladen [http://​
​fedoraproject.​org/​get‐fedora] gibt
es Images für x86-/x86_64-
PCs. So genannte Spins sind
auch verfügbar, etwa Varianten
mit LXDE- und Xfce-Desktop.
Auch für Amazons Cloud
EC2 existieren Images. n
Fedora 16 verwendet als Standard-Desktopumgebung Gnome 3.2.

Vertrauen
Sie auf über
Android 4 ist auf dem Pandaboard heimisch
Googles neue Android-Version
4.0 („Ice Cream Sandwich“)
läuft auf dem Pandaboard von
Texas Instruments. Android 4
unterstützt das ARM-basierte
Entwicklerboard, auf dem
sich auch andere Linux-Distributionen
betreiben lassen,
Blockdiagramm für das Pandaboard mit 1-GHz-ARM-Cortex-Prozessor.
von Haus aus, wie Jay Goluguri
von Texas Instruments
in einem Youtube-Video demonstriert.
Das Pandaboard besitzt einen
OMAP-4430-Prozessor mit
zwei ARM-Cortex-9-Kernen,
die mit 1 GHz laufen. Daneben
bietet es Full-HD-Video
(1080 p), Open-GL-Unterstützung
sowie einen HD-
MI-Ausgang. 1 GByte RAM,
Ethernet, WLAN, USB- und
JTAG-Anschluss sowie Audio
komplettieren das System.
Weitere Informationen und
das Video mit Jay Goluguris
Demonstration gibt es auf
[http://​pandaboard.​org], den passenden
Quelltext dazu beim
Android-Open-Source-Projekt
[http://​source.​android.​com/​source/​
​building‐devices.​html]. n
Jahre
Erfahrung
SSL-Zertifikate
bereits ab 15 E pro Jahr
www.psw.net
Ihre Vorteile
Bis zu
90 Tage
längere Laufzeit*
Jederzeit
kostenloser
Austausch **
Visio-Import kommt in Libre Office 3.5
Der Import von Microsoft-
Visio-Diagrammen in Libre
Office Draw macht Fortschritte.
Er soll in Version 3.5 des
freien Büropakets einziehen,
die Anfang 2012 erscheint.
Das berichtet Libre-Office-
Entwickler Fridrich Strba in
seinem Blog. Nach seiner humorvollen
Einschätzung bleiben
nur noch jene 5 Prozent
der Features umzusetzen, die
„in der Regel 95 Prozent der
Zeit in Anspruch nehmen“.
Bisherige Resultate finden sich
in der Bibliothek Libvisio, die
unter LGPL lizenziert ist.
Innerhalb von nur drei Monaten
habe das Visio-Team einen
sehr originalgetreuen Import
realisiert, schreibt Strba weiter.
Zur Mannschaft gehören
Valek Filippov von Gnome,
der Gentoo-Entwickler Tomas
Chvatal sowie Eilidh McAdam ,
Stipendiatin des Google Summer
of Code. Für Fortschritte
sorgten Hacking Sessions
beim Hackfest in München
und auf der Libre Office Conference
2011 in Paris.
Im Blogeintrag [http://​fridrich.​
​blogspot.​com/​2011/​11/​it‐has‐been
‐long‐time‐since‐i‐last‐time.​html]
gibt es Screenshots von Dokumentenimporten.
Ungeduldige
können Daily Builds der
Entwickler ausprobieren. n
Libre Office 3.5 inbegriffen: Ein in Draw importiertes Visio-Diagramm.
Zusätzliche Lizenzen
ohne Aufpreis *
Unkomplizierte Lieferung
auf Rechnung ***
Persönlicher
Support
in deutsch, englisch,
spanisch und polnisch
Sonderkonditionen für
Reseller
sprechen Sie uns an
* in den Produktlinien
Lite, Silver und Gold
** während der Laufzeit
*** bei Pay-as-you-Go

Aktuell
www.linux-magazin.de News 01/2012
8
Colorhug: Open-Source-Kolorimeter
Der Entwickler Richard
Hughes hat ein preiswertes
Farbmessgerät entwickelt,
dessen Hard- und Software
unter freien Lizenzen stehen.
Das Colorhug genannte
Kästchen eignet sich zum Kalibrieren
von Computerbildschirmen.
Das Gerät misst 33
mal 43 mal 21 Millimeter und
besitzt einen USB-Anschluss.
Die Messwerte lasen sich in
ein ICC-Farbprofil umrechnen.
Fedora 16 etwa bringt die
erforderliche Software bereits
Colorhug heißt dieses Kolorimeter,
dessen Soft-, Firm- und Hardware
Open Source sind.
Bausatz: Linux from Scratch 7.0
mit, daneben steht sie zum
freien Download bereit.
Der Produktpreis von 60 britischen
Pfund (70 Euro) liegt
deutlich unter dem proprietärer
Produkte etwa von Pantone,
die jedoch einen größeren
Funktionsumfang bieten. Die
ersten Besteller erhalten das
Gerät zum ermäßigten Preis
von 48 GBP (56 EUR), da
Hughes noch mit Kinderkrankheiten
rechnet und sich
die Mitarbeit interessierter
Entwickler wünscht.
Weitere Informationen und
Bestellmöglichkeit gibt es auf
der Produktseite [http://​www.​
​hughski.​com]. Der freie Quelltext
für Client und Firmware
sowie Schaltpläne und Platinenlayout
für die Hardware
lagern auf dem Github-Konto
unter [https://​gitorious.​org/​
​colorhug]. Zum Download steht
außerdem eine Linux-Live-CD
mit der Software. Für Colorhug
existiert derzeit ausschließlich
Linux-Software. n
Das auf ein von Grund auf
selbst gebautes Linux spezialisierte
Projekt Linux from
Scratch (LFS) hat die Version
7.0 seiner Anleitung veröffentlicht.
In ihr sind diverse
Neuerungen enthalten. Ein
Teil davon betrifft die eingesetzten
Komponenten.
So setzt das Projekt nun auf
den aktuellen Kernel 3.1, die
GCC 4.6.1 und Glibc 2.14.1.
Zudem führt die Anleitung
das neue Verzeichnis »/run«
ein, das Programme wie Udev
zum Speichern von Runtime-
Informationen nutzen. Die
Bootskripte seien entsprechend
angepasst, heißt es
beim Projekt.
Außerdem dienen die neu
eingeführten MD5-Prüfsummen
dem Linux-Baumeister
zur Kontrolle der Integrität
aller heruntergeladenen
Komponenten. Neben technischen
Änderungen hat die
LFS-Anleitung redaktionelle
Pflege erfahren, was sich in
präziseren und besser verständlichen
Texten äußere, so
die LFS-Macher. LFS ist auf
den Projektseiten [http://​www.​
​linuxfromscratch.​org] aufrufbar
und dort auch in einer Download-Version
zu haben. n
Webframework Happstack leicht gemacht
Sugar CRM 6.3: Archiv und Admin-Tools
Sugar CRM, Hersteller der
gleichnamigen Software fürs
Customer-Relationship-Management,
hat die Version 6.3
veröffentlicht. Sie bringt Anwendern
E-Mail-Archivierung
sowie diverse neue Tools und
vereinfacht die Integration anderer
Anwendungen.
Die „engere Integration mit
Applikationen von Drittanbietern,
schnelleres Feedback
bei der Echtzeit-Kollaboration
und verbesserte Kontrollmechanismen“
nennt [http://​www.​
​sugarcrm.​com] als wichtigste
neue Errungenschaften.
Dazu zählen Massen-Updates,
Rollen- oder Richtlinien-basierte
Zugriffe, ein verbessertes
Lead-Management (vor
allem bei der Überführung
neuer Kontakte in Kunden)
und auch die neuen Funktionen
von Sugar Logic. Das
Administrationstool kann
jetzt beispielsweise Daten importieren,
Formeln erstellen,
Module umbenennen und
Massen-Updates managen.
Happstack, ein Framework
für Webanwendungen in der
Programmiersprache Haskell,
existiert jetzt auch in einer
vereinfachten Ausgabe für
Einsteiger. Für Happstack-
Lite haben die Entwickler die
wichtigsten Datentypen und
Funktionen in einem einzigen
Modul zusammengeführt. Zudem
vereinfachten sie die Typsignaturen
und verwendeten
weniger Typklassen.
Die Happstack-Lite-Anwendungen
sind laut den Machern
vollkommen kompatibel zur
großen Ausgabe des Frameworks.
Wer klein angefangen
hat, kann also später noch bedenkenlos
wachsen. Vor allem
aber soll das übersichtliche Tutorial
[http://​happstack.​com/​docs/​
​happstack‐lite/​happstack‐lite.​html]
Happstack-Einsteigern hilfreich
sein. Es behandelt unter
anderem das Routing innerhalb
der Applikation, HTML-
Templates, URL-Parameter,
Formulardaten, Cookies und
das Thema Datei-Uploads.
Das Dokument ist in Literate
Haskell geschrieben und lässt
sich deshalb als Programmcode
ausführen.
n
Der verbesserte Import-Wizard
erlaubt es dem Hersteller
zufolge jetzt auch, Daten
oder externe Mails aus Quellen
wie Google zu importieren
und zu archivieren. Eine
Quick-Edit-Funktion ermöglicht
es Anwendern, noch
mehr Änderungen direkt in
Listenfeldern, Subpanels oder
Berichten anzuwenden. Mehr
Details, etwa zum vielfach
nachgefragten „Import Duplicate
Fields checking“ beim
Datenimport, finden sich im
Entwicklerblog.
Sugar CRM gilt als Marktführer
bei Open-Source-CRM-Systemen,
die Macher verweisen
auf stattliche 10 Millionen
Downloads, 850 000 Anwender
und mehr als tausend Erweiterungsprojekte,
etwa auf
Sugarforge zu finden. Anfang
2012 soll Version 6.4 kommen.
Sugar CRM 6.3 steht als
Community Edition frei zur
Verfügung, die Enterprise-Variante
kostet ab 360 US-Dollar
pro User und Jahr. n

1&1 WEBHOSTING
INKLUSIVE
CLICK & BUILD APPS!
Bei 1&1 treffen über 20 Jahre Webhosting-Erfahrung auf modernste Technik
in deutschen Hochleistungs-Rechenzentren. Mehr als 1.000 IT-Profis entwickeln
unsere hochwertigen Lösungen permanent weiter. 1&1 bietet Ihnen alles, was Sie für
Ihren professionellen Internetauftritt brauchen:
✓
65 kostenlos installierbare
Click & Build Applikationen
Joomla, Wordpress, Gallery und viele Apps mehr!
Inklusive Software- und Sicherheits-Updates.
✓ Marken-Design-Software
z. B. Adobe Dreamweaver ® , NetObjects Fusion ® 1&1 Edition
✓
Doppelte Sicherheit
paralleles Hosting Ihrer Website in zwei Hightech-
Rechenzentren an verschiedenen Orten
&
✓ 24h-Profi-Hotline
und kostenloser E-Mail-Support.
1&1 DUAL HOSTING
*
AKTIONEN BIS 31.12.11
WEBSITE
1&1 DUAL PERFECT
■ 6 DOMAINS INKLUSIVE
■ 5 GB Webspace
■ UNLIMITED Tr a f fi c
■ UNLIMITED Click & Build Apps
6 MONATE FÜR
danach
9,99 €/Monat*
0,–€/Monat*
.DE UND .INFO DOMAIN
0, 29 €
im Monat,
danach ab 0,49 €/Monat.*
Weitere Spar-Aktionen im Internet.
0 26 02 / 96 91
0800 / 100 668
www.1und1.info
* 1&1 Dual Perfect, 6 Monate 0,– €/Monat, danach 9,99 €/Monat. Einmalige Einrichtungsgebühr 9,60 €. Software wird zum Download bereitgestellt.
.de und .info Domain 1 Jahr 0,29 €/Monat, danach .de 0,49 €/Monat und .info 1,99 €/Monat. Keine Einrichtungsgebühr. Alle Pakete 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

Aktuell
www.linux-magazin.de News 01/2012
10
Open Suse 12.1 mit Snapshots, Cloud und Go
Das Open-Suse-Projekt hat
Version 12.1 seiner Linux-
Distribution veröffentlicht.
Die neue Release verwendet
Kernel 3.1 mit Verbesserungen
an den Dateisystemen
Ext 4 und Btrfs sowie mit
Treibern für Hardware wie
Microsoft Kinect, die Apple
I-Sight-Webcam oder AMDs
Llano-Fusion-APUs. Um den
Start von Diensten kümmert
sich Systemd, um das Booten
Grub 2.
Auf dem Desktop findet der
Anwender Gnome 3.2 und
Das GUI-Programm Snapper ist in Open Suse 12.1 für Btrfs-Snapshots zuständig.
KDE Plasma Workspaces 4.7
inklusive des neuen Farbmanagements
Oyranos CMS. Alternativ
stehen LXDE 0.5 und
Xfce 4.8 als Desktopumgebungen
zur Auswahl. Unter den
Anwendungen finden sich
Fire fox 7, Chromium 17, Libre
Office 3.4.3 und Calligra 2.4
Beta 3 (vormals Koffice).
Sax, das Konfigurationstool
für den X-Server erlebt in
Form von Sax 3 ein Comeback.
Suses Admintool lässt
sich auch als Webyast per
Browser bedienen. Wer sich
für Btrfs als Dateisystem entscheidet,
findet außerdem das
grafische Snapshot-Tool Snapper
im Lieferumfang, das Rollbacks
ermöglicht.
Daneben bedient das neue
Open Suse auch den Cloud-
Trend, sei es mit Owncloud
zum Hosten von Multimediaund
Kalenderdateien oder mit
Tools wie Virt-Manager, Eucalyptus,
Open Nebula und
Open Stack.
Entwickler finden auf dem
System unter anderem GCC
4.6.2, LLVM 3 und Googles
Programmiersprache Go. Daneben
können sie ihren eigenen
Open Build Service aufsetzen
oder Tests mit Open
QA automatisieren.
Auf der Open-Suse-Site findet
sich die Produktbeschreibung
[http://​en.​opensuse.​org/​Product_
highlights], die weitere Details
auflistet. Die Download-Mirrors
[http://​software.​opensuse.​
​org/​121/​de] sind aktualisiert
und bieten DVD-Images für
Installation oder Live-Betrieb,
für Gnome und KDE sowie 32-
und 64-Bit-PCs.
n
Typo3 4.6 – viel Neues und weniger Altes
Toucan W – Settopbox mit Android
Mit Leistungsoptimierung zum
einen und Codebereinigung
zum anderen ist das freie CMS
Typo3 in Runde 4.6 gegangen.
Die Macher haben wie stets
auf Rückwärtskompatibilität
geachtet, in der neuen Version
wird aber der inzwischen
veraltete Internet Explorer 6
nicht mehr im Backend unterstützt,
was im Gegenzug den
Einsatz von modernerem CSSund
HTML-Code ermögliche.
PHP 5.3 ist zudem Grundlage
für die 4.6.
In puncto Sicherheit sind bei
Neuinstallationen die Erweiterungen
»saltedpasswords« und
»rsaauth« standardmäßig aktiviert.
Wenn die entsprechenden
Server-Voraussetzungen
vorhanden sind, kommen die
beiden Extensions auch zum
Einsatz. Die Entwickler empfehlen
Nutzern, die nur ein
Upgrade machen, diese Extensions
aus Sicherheitsgründen
manuell einzuschalten.
Saltedpasswords streut zufällige
Zeichen in Passwörter
und erschwert Angreifern so
das Knacken extrem. Rsaauth
nutzt Verschlüsselung bei der
Nutzeranmeldung.
Ein verbessertes Caching-
Framework, ein stark überarbeiteter
Extensions-Manager
und ein neues Formular-Element
zählen ebenfalls zu den
hinzugewonnenen Errungenschaften
des CMS.
Die Release Notes unter [http://​
​typo3.​org/​download/​release‐notes/​
​typo3‐46/] berichten detailliert
über weitere Änderungen und
Verbesserungen.
n
Der russische Hersteller Iconbit
hat einen Full-HD-Mediaplayer
auf Basis von Android
2.2 vorgestellt. Zielobjekte
des mit einer Fernbedienung
ausgelieferten Players sind
hochauflösende TV-Geräte,
denen er als netzwerktauglicher
Zuspieler via HDMI oder
Komponenten-Eingang dient.
Der Nutzer hat Zugriff auf den
Android-Market. Mit
der bewegungssensiblen
Fernbedienung
lässt sich ein Mauszeiger
auf dem TV-Gerät
steuern.
Soziale Netzwerke,
Browser-Anwendung
und Multimedia-Dateien
sind Spezialitäten
der Box. Filme
spielt sie aus dem
Speicher oder von Festplatten
und SD-Karten in 1080 p ab.
Hardware-seitig sind ein ARM-
Cortex-Prozessor mit 1 GHz
und 512 MByte RAM verbaut.
Als interner Speicher dienen
4 GByte NAND-Flash. Der
Hersteller empfiehlt 190 Euro
als Preis des Toucan [http://​de.​
​iconbit.​com/​catalog/​android/​iconbit
_toucan_w/].
n
Android-Box mit vielseitigen Einsatzmöglichkeiten
im Wohnzimmer – der Toucan W.

Richtig schreibt
man mit Duden
Ebenfalls erhältlich für Linux:
Die neue Rechtschreibprüfung
8.0 für Open-
Office und LibreOffice
Preis 19,95 J
Das große Wörterbuch
der deutschen Sprache
199,95 J
Richtiges und
gutes Deutsch
19,95 J
Ab sofort im Handel und im Internet unter www.duden.de

Aktuell
www.linux-magazin.de News 01/2012
12
Kurznachrichten
Tails 0.9: Das auf dem Debian-Live-Projekt fußende Amnesic Incognito
Live System (Tails) dient als Live-Distribution, um das Internet anonym
zu nutzen. Neu: Update auf Version 0.2.2.34 des Onion-Routers Tor, in
der einige Sicherheitsmängel behoben sind. Auch der auf Version 3.0.0
aktualisierte Kernel sowie der Browser Iceweasel 3.5.16 bügeln einige
Bugs aus. Als neues Paket dabei ist Metadata Anonymisation (MAT),
das verräterische Metadaten aus mehreren Dateitypen entfernt. Lizenz:
GPLv3 [https://​tails.​boum.​org]
Octopussy 1.0.0: Die in Perl und XML umgesetzte Open-Source-Anwendung
überwacht Logdateien und kann die Protokolle zahlreicher Dienste sammeln.
Neu: Insbesondere haben die Entwickler Funktionen für Dienste
auf Mac OS X überarbeitet und die Weboberfläche des Systems auf die
Javascript-Bibliothek Jquery umgestellt. Zum Empfang der eingehenden
Protokolldaten kann nun wahlweise Rsyslog oder Syslog-NG zum Einsatz
kommen. Lizenz: GPLv3 [http://​www.​8pussy.​org]
Samhain 3.0.0: Intrusion-Detection-Software für Linux, Free BSD, Solaris
und weitere Unix-artige Systeme, die als Daemon die Integrität von Dateien
mittels Prüfsummen überwacht. Neu: Unter Linux läuft das Inotify-
Feature des Kernels, das die Software auf veränderte Dateien hinweist.
Als angenehme Nebenwirkung reduziert dies die I/​O-Last. Daneben gibt
es ausführlichere Debugging-Informationen für IPv6-Probleme. Außerdem
haben die Entwickler einen Bug bei der Kombination von Prelink und SUID-
Prüfung behoben. Lizenz: GPL [http://​la‐samhna.​de/​samhain/]
Webyast 0.3: Eine Weboberfläche für Suses Setup- und Administrationstool,
das aus Zeitgründen den Einzug in die Open-Suse-Version 12.1
verpasst hat. Neu: Durch einen neuen Caching-Mechanismus haben die
Entwickler den Start der Administrationsmodule beschleunigt, die nun
nach ein, zwei Sekunden zur Verfügung stehen sollen. Daneben haben die
Webyast-Macher die Architektur der Anwendung vereinfacht. Statt je eines
Webservers für den Dienst und die Benutzeroberfläche ist jetzt nur noch
ein einziger im Einsatz. Das macht nicht nur das Leben aller Mitentwickler
einfacher, sondern halbiert auch den Speicherverbrauch. Lizenz: LGPLv2
[https://​github.​com/​webyast/​webyast]
Edit with Emacs 1.10: Eine Erweiterung für den Chrome-Browser, die Textfelder
zum Bearbeiten an den Unix-Editor schickt. Neu: Das Addon, das
auch in Chromium funktioniert, ignoriert nun schreibgeschützte Textfelder
und findet bearbeitbare Div-Elemente, wie sie Google+ verwendet. Zum
Auffinden der Elemente dient nun Jquery, daneben hat der Autor Alex
Bennée die Erkennung in dynamischen Seiten verbessert und die Einstellungsseite
erweitert. In der zugehörigen Emacs-Erweiterung »edit-server.
el« kann der Anwender nun einen Standardmodus konfigurieren sowie
Editor-Modi bestimmten URLs zuordnen. Lizenz: GPLv3 [https://​github.​
​com/​stsquad/​emacs_chrome]
Rippit 0.1.0: Der einfache CD-Ripper für die Kommandozeile richtet sich
an Anwender, die Audio-CDs in Dateien überführen möchten, ohne dabei
viel Hand anlegen zu müssen. Neu: Der erste Meilenstein des Tools nutzt
als Zielformat den freien und verlustfreie Codec Flac. Interpreten und
Titel holt sich die Software vom Dienst Musicbrainz und bildet daraus den
Dateinamen. Daneben kann Rippit Fehler ignorieren sowie einen einzelnen
Track rippen – damit sind die Optionen aber schon erschöpft. Lizenz:
GPLv2 [https://​fedorahosted.​org/​rippit/]
Taskjuggler 3.0.0: Das Rewrite der Projektmanagement-Software in Ruby
hat rund fünf Jahre in Anspruch genommen und liegt nun als erste stabile
Release vor. Neu: Zu den jüngsten Features gehören die Berechnung des
Vollzeitäquivalents (Full-time Equivalent, FTE) und verbesserte Stylesheets
für die HTML-Berichte. Daneben bietet Taskjuggler umfangreiche
Funktionen fürs Projektmanagement und verwaltet Aufgaben, Ressourcen
und Konten, kann Zuweisungskonflikte lösen und gibt den Status als Bericht
und in einem Dashboard aus. Die neue Version läuft auf Linux, Unix,
Windows und Mac OS X und lässt sich als Rubygem installieren. Lizenz:
GPLv2 [http://​www.​taskjuggler.​org]
Hiawatha 7.8: Ein freier Webserver, der sowohl als Quelltext-Tarball sowie
als Binärdatei für Mac OS X und Windows zur Verfügung steht. Neu: Der
Server kann nun die Ausgabe von CGI-Programmen im Cache zwischenspeichern,
um die Performance zu erhöhen. Dabei steuert die Anwendung
das Cache-Verhalten per CGI-Header. Zudem haben die Entwickler ein
Timeout-Problem beim Verarbeiten von großen POST-Anfragen mit SSL
behoben. Das Ereignis »BanOnWrongPassword« wird nun auch bei der
Eingabe eines falschen Passworts ausgelöst. Lizenz:GPLv2 [http://​www.​
​hiawatha‐webserver.​org]
Zarafas Groupware integriert Videokonferenzen
Der deutsch-holländische Hersteller
Organisatoren starten die Browser-Plugin verbinden,
der freien Collaborati-
on-Suite Zarafa hat ein neues
Plugin vorgestellt, das kostenlos
Videokonferenzen ins
Webfrontend der Groupware
integriert. Die neuen
Funktionen integrieren
zu diesem Zweck die
Dienste des Spezialisten
Spreed, laut Zarafa
„Technologieführer
für Web-Meeting Software“.
Video, Telefonie
und gemeinsame Präsentationen
seien damit
Webmeetings für Teilnehmer,
die einen Link per E-Mail
erhalten und so an der Konferenz
teilnehmen. Bis zu
drei Kontakte lassen sich per
kostenlos und auch ohne vorherige
Registrierung. Unter
Windows, Linux und auf Macs
stehen dabei auch zusätzliche
Werkzeuge wie Whiteboards
und Mindmaps zur
Verfügung.
Das Webmeeting-Plugin
steht bei Zarafa unter
[http://download.zarafa.com/community/final/
Plug​ins/Spreed/1.0/] zum
Download. Eine Demonstration
der Technologie
ist auf Zarafas
jetzt auf Mausklick
Webseiten ebenfalls
möglich.
Videokonferenzen mit Spreed in Zarafas Groupware. verfügbar.
n
Mercurial 2.0 für
große Dateimengen
Mercurial, das freie System
zur Versionskontrolle, bringt
in Ausgabe 2.0 Bugfixes und
neue Features mit. So bietet
die Standardextension „Largefiles“
die Möglichkeit, mit
großen Dateibeständen umzugehen,
die Rede ist von
mehreren Hundert MByte. Die
Daten sind außerhalb gespeichert
und werden bei Bedarf
heruntergeladen.
Den Download der Quellen
und Versionen für Mac OS X
und Windows gibt es beim
Projekt [http://​mercurial.​selenic.​
​com]. (ofr/mfe/mhu/uba) n

WEBHOSTING
Einfach. Günstig.
Webhosting-Pakete von netclusive unterstützen TYPO3, Joomla!, osCommerce,
Drupal, WordPress, MediaWiki und vieles mehr. Jeder Tarif verfügt über
unbegrenztes Transfervolumen und PHP5-Unterstützung.
Unser Helpdesk unterstützt Sie gerne bei der Einrichtung Ihrer Website.
Sind Sie mit unserem Service oder unseren Produkten unzufrieden,
erhalten Sie Ihr Geld in den ersten 30 Tagen zurück.
Bestellen Sie noch heute ohne Risiko und nutzen Sie Ihr netclusive
Webhosting-Paket für 3 Monate kostenlos.
Die Aktion „3 Monate kostenlos“ gilt nur für ausgesuchte
Tarife. Die Aktion endet voraussichtlich am 31.12.2011.
Unsere Tarife im Überblick:
ENTRY EASY USER ADVANCED PROFESSIONAL BUSINESS
Domains 1 1 2 3 5 10
Webspace 250 MB 500 MB 1000 MB 4000 MB 10.000 MB unbegrenzt
Traffic unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt
E-Mails 5 20 100 300 1000 2500
Spamfilter/Virenschutz
PHP 5.3 / PHP 5.2
MySQL 5-Datenbanken optional 1 2 5 10 unbegrenzt
Perl, Python - -
SSL-Proxy - - -
Garantierte Verfügbarkeit 99,9% 99,9% 99,9% 99,9% 99,9% 99,9%
Tägliche Datensicherung
Telefonsupport
Einrichtungsgebühr 0,- € 0,- € 0,- € 0,- € 0,- € 0,- €
Preis monatlich
3 MONATE
KOSTENLOS
DANACH 1,49 €
3 MONATE
KOSTENLOS
DANACH 2,49 €
3 MONATE
KOSTENLOS
DANACH 3,99 €
3 MONATE
KOSTENLOS
DANACH 6,99 €
3 MONATE
KOSTENLOS
DANACH 9,99 €
3 MONATE
KOSTENLOS
DANACH 19,99 €
Alle Preise verstehen sich monatlich inklusive der gesetzlichen Mehrwertsteuer. Die Zahlung erfolgt grundsätzlich per Bankeinzug. Auslandskunden zahlen per Vorkasse. Die aktuellen Domainpreise können Sie unter
http://www.netclusive.de/domainpreise einsehen. Die Vertragslaufzeit beträgt wahlweise 24 bzw. 12 Monate (zzgl. einmaliger Einrichtungsgebühr 9,99 EUR, Aktion 3 Monate kostenlos entfällt). Sie verlängert sich
automatisch um weitere 24 bzw. 12 Monate, wenn der Vertrag nicht mit einer Frist von 30 Tagen zum Ende der jeweiligen Laufzeit gekündigt wurde. Die Abrechnung erfolgt jeweils jährlich im Voraus.
0800 638 2587
www.netclusive.de

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2012
14
Zahlen & Trends
Bitkom: 38 000 offene Stellen für IT-Experten
Laut einer Umfrage des Branchenverbands
Bitkom unter
1500 Geschäftsführern und
Personalern gibt es in Deutschland
38 000 offene Stellen für
IT-Experten.
Die nach Angaben des Verbandes
repräsentative Umfrage
hat das Meinungsforschungsinstitut
Aris durchgeführt.
Konsultiert wurden
Manager aller Branchen. Im
Vergleich zu der Erhebung im
Vorjahr ist die Zahl der offenen
Stellen um 10 000 angestiegen.
Das zeigt sich auch
in den Statements der Befragten:
58 Prozent sagen, dass
ein Mangel an IT-Spezialisten
herrsche. Im Einzelnen sucht
die ITK-Branche rund 16 000
IT-Mitarbeiter, überwiegend
im Bereich Software und IT-
Dienstleistungen. Besonders
Software-Entwickler sind
Mangelware, 84 Prozent der
ITK-Firmen mit freien Plätzen
suchen Programmierer.
Offene Stellen und die gesuchten Bewerberprofile laut der Unfrage der Bitkom.
Anders sieht es in den übrigen
Branchen aus, dort sind
bei den darauf entfallenden
IT-Jobs insbesondere Admins
gefragt, 59 Prozent der befragten
Unternehmen suchen
einen.
Die Gehaltsstruktur hat der
Branchenverband [http://​www.​
​bitkom.org] von der Personalberatung
Kienbaum untersuchen
lassen. Resultat: Die Einkommen
von IT-Spezialisten
in der ITK-Branche stiegen im
laufenden Jahr im Schnitt um
4,7 Prozent. Auf die gesamte
Industrie ausgeweitet liege die
Gehaltssteigerung bei 2,7 Prozent,
haben die Personalberater
ermittelt.
n
Mozilla verliert Firefox-Designer
Skriptum zum Internetrecht
Skizzenhaft: Menüvorschlag vom scheidenden Firefox-
Designer Alex Faaborg.
Nach fünf Jahren als Designer
für den Mozilla-Browser
Firefox verlässt Alex Faaborg
das Team. Er wolle sich nun
neuen Design-Themen widmen,
erläutert er zu seinem
Wechsel und macht dem Mozilla-Team
ein Kompliment: Er
sei sehr herzlichen, freundlichen
und leidenschaft lichen
Menschen begegnet.
Faa borg bezeichnet
das Design
der Awesome-Bar
und der One-
Klick-Book marks
als Highlights in
Firefox 3, das
Noti fication-System
und die Sync-
Interfaces als
Schmuckstücke in
Firefox 4. n
Thomas Hoeren, Professor
am Institut für Informations-,
Telekommunikations- und
Medienrecht der Universität
Münster, hat das dort gepflegte
Kompendium zum Internetrecht
in einer aktuellen
Fassung veröffentlicht.
Mit dem Skript „Internetrecht“
versucht Jurist Hoeren die aktuelle
Rechtslage abzubilden,
ist sich, wie im Vorwort zu
lesen, aber selbst im Klaren
darüber, dass das Web und
die Rechtsprechung dazu eine
Dynamik aufweisen, mit der
schwer mitzuhalten ist. Schon
deshalb sei die Online-Ausgabe
die bessere Wahl, weil
das Kompendium als gedrucktes
Buch schon bei Erscheinen
überholt sei.
Eine Rechtsberatung ersetze
das Skript keinesfalls, heißt es
deshalb. Dennoch dient das
als PDF veröffentlichte Buch
als Überblick und Einblick in
die Rechte und Pflichten des
Internets. Fast 600 Seiten stark
ist das Skript für den kostenlosen
Download [http://​www.​
​uni‐muenster.​de/​Jura.​itm/​hoeren/​
​materialien/​Skript/​Skript_Internetrecht_Oktober_2011.​pdf]
bestimmt.
Das Urheberrecht und
sonstige Rechte an dem umfangreichen
Werk bleiben
aber beim Verfasser. n

Fedora-Fork Fuduntu hat sich abgenabelt
Nach einem Jahr Arbeit hat
sich die Linux-Distribution
Fuduntu mit Release 14.12 im
November auf eigene Beine
gestellt. Was als Fork von
Fedora 14 begann, ist nun in
der Lage, sein Linux mit einer
eigenen Toolchain zu bauen
(so genanntes Self-Hosting),
schreiben die Fuduntu-Macher
in ihren Erläuterungen
zur neuen Release.
Zu den wichtigsten Neuerungen
der Version 14.12 gehören
Kernel 3.0.7 und X.org 1.11.1,
die Unterstützung für neue
Hardware bringen. Daneben
bringt die Distribution lizenzierte
Pakete von Adobe Flash
und Fluendos MP3-Codec mit.
Neu dabei ist der Remote-
Desktop-Client Remmina, der
die bisherige Software Vinagre
ablöst und die Protokolle RDP,
VNC, NX und XDMCP unterstützt.
Außerdem weisen die Entwickler
darauf hin, dass sie
den Schlüssel zum Signieren
der Softwarepakete geändert
haben. Eine Anleitung zum
Update findet sich ebenso wie
weitere Informationen sowie
ISO-Images zum Download
auf der Fuduntu-Homepage
[http://​www.​fuduntu.​org]. n
Fuduntu besitzt nun eine eigene Toolchain.
Adobe: HTML 5 statt mobilem Flashplayer
Adobe hat in einem Blogpost
mitgeteilt, dass das Unternehmen
bei mobilen Geräten
auf den Flashplayer verzichtet
und stattdessen auf den
HTML-5-Standard setzt. Für
Adobe nimm Danny Winokur,
Vice President und General
Manager des Interactive Development,
Stellung. Er sieht die
HTML-5-Entwicklung so weit
fortgeschritten und vielseitig
unterstützt, dass es damit die
beste Lösung für mobile Geräte
sei, so Winokur. Zudem
schreibt der Manager, dass
HTML 5 teilweise exklusiv auf
Mobilgeräten vorzufinden sei.
Damit spielt er auf das weitverbreitete
iPhone von Apple
an, das keine Flash-Unterstützung
mitbringt.
Adobe will künftig zwar den
Flash-Entwicklern dabei helfen,
ihre Anwendungen via
Adobe Air für die jeweiligen
App-Stores zu packen, aber
keine weiteren Entwicklungen
am Flashplayer vornehmen
und nur noch pflichtgemäß
kritische Lücken in der Software
stopfen.
n

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2012
16
Windows only? Wirbel um Secure-Boot im UEFI-Bios
Red Hat und Canonical beleuchten
in einem gemeinsamen
White paper die Hintergründe
der Forderung
von Microsoft nach einer
Secure-Boot-Option im UEFI-
Bios. Dass Microsoft für sein
kommendes Windows 8 an
die Hardwarehersteller eine
Empfehlung für eine entsprechende
Option gegeben hat,
nährt besonders die Befürchtung,
dass der Konzern darin
auch einen Weg sehen könnte,
andere Betriebssysteme auszuschließen.
In ihrem Papier sehen beide
Unternehmen das UEFI-Bios
– Canonical sitzt auch als Mitglied
im UEFI-Forum – technologisch
als einen Schritt
in die richtige Richtung an,
von dem die Nutzer nicht nur
durch schnellere Bootzeiten,
längeren Akkulaufzeiten und
komfortablere Konfigurationsmöglichkeiten
profitieren
können.
Das in der jüngsten UEFI-
Spezifikation 2.3.1 in Kapitel
27 beschriebene Secure Boot
sei im Sinne des Erfinders
als Schutz vor Malware gedacht,
indem das Bios nur
signierte Software beim Booten
ausführt, so Canonical in
seinem Beitrag zum Thema.
Dem stimme Canonical zwar
zu, nicht jedoch der Art, wie
Microsoft das Feature für
Windows 8 als spezielle Implementation
für sich reservieren
will.
Die PC-Hersteller sollten
stattdessen tunlichst einen
Mechanismus einführen, mit
dem der Nutzer Secure Boot
nach eigenem Gusto mit vertrauenswürdiger
Software
bestücken kann, die Möglichkeit,
alternative Betriebssysteme
von USB-Sticks und
anderen Medien auszuführen,
inklusive. Um auch technisch
wenig versierten Nutzern die
Konfiguration von Secure
Boot zu erleichtern, sollte die
Option überdies auch ganz
abschaltbar sein.
Das Whitepaper [http://​blog.​
​canonical.​com/​2011/​10/​28/​white‐paper‐secure‐boot‐impact‐on‐linux/]
gibt einen tieferen Einblick in
die umstrittene Thematik. Die
Autoren sind Jeremy Kerr
(Technical Architect, Canonical),
James Bottomley (Kernelentwickler)
und Matthew Garrett
(Senior Software Engineer
bei Red Hat).
Neben den beiden Linux-Firmen
hat kurz darauf auch die
Linux Foundation ein Papier
mit ähnlich kritischen Ansichten
zum Thema UEFI-Bios
veröffentlicht.
n
Smartphone-Markt wächst – Samsung Nr. 1
Samsung erobert mit seinen Smartphones
und Android-Geräten den
Markt im Sturm, hier das Galaxy Note.
Der US-Marktforscher IDC hat
den weltweiten Smartphone-
Markt für das dritte Quartal
2011 analysiert und sieht ihn
im Jahresvergleich um rund
43 Prozent wachsen. Die Liste
der Top-5-Hersteller führt nun
Samsung an, der den Spitzenplatz
von Apple – nun
Zweiter – übernimmt. Noch
im vorangegangenen Quartal
war Nokia (jetzt Platz drei)
von Apple verdrängt worden.
HTC und RIM (Blackberry)
folgen auf den Plätzen vier
und fünf.
Weltweit seien 118 Millionen
Smartphones verkauft worden,
so IDC, im dritten Quartal
2010 waren es noch 83 Millionen.
Trotz steigender Nachfrage
hatte IDC mit einem
stärkeren Anstieg gerechnet,
nachdem im zweiten Quartal
der Smartphone-Markt noch
um fast 67 Prozent gewachsen
war.
Verantwortlich dafür sei wohl
der verzögerte Marktstart von
Apples iPhone, das in den Vorjahren
in seinen Kernmärkten
Westeuropa und USA jeweils
das dritte Quartal beflügelt
hatte. Der Spitzenplatz von
Samsung könnte im vierten
Quartal umkämpft sein. n
Firefox ist im
siebten Jahr
Zum siebenjährigen Bestehen
des Firefox hat die Mozilla-
Vorsitzende Mitchell Baker ein
kurzes Resümee gezogen und
in die Zukunft der Entwicklung
geschaut. Beim Start, so
Baker in ihrem Blogbeitrag,
seien Browser weder Nutzerorientiert
noch von besonderer
Qualität gewesen. Die damalige
Herausforderung habe
auch geheißen, den dominierenden
kommerziellen Herstellern
Paroli zu bieten und
deren kontrollierende Marktmacht
zu brechen. Browser,
das habe Mozilla damals erkannt,
seien ein wichtiges Instrument.
Den zukünftigen Anforderungen,
die Mobilität, Datentausch,
Privatsphäre und Datenschutz
heißen, werde sich
Mozilla ebenfalls stellen. „Das
ist unsere Zukunft“, so Baker.
Der Nutzer bleibe dabei immer
an erster Stelle. n
Kabinett für Libre
Office
Nach der Besetzung der Vorstandschaft
hat das freie Büropaket
Libre Office – oder
besser die dahinter stehende
Stiftung – das Membership
Committee (MC) eingeführt.
Die noch in der Gründungsphase
befindliche Document
Foundation (TDF) besetzt mit
dem Membership Committee
ein Gremium, zu dessen
Aufgaben die Verwaltung
von Mitgliedschaftsanträgen
und -änderungen sowie die
Überwachung der künftigen
Wahlen des Board of Directors
zählen.
Letzteres wählt seinerseits einige
Stiftungsmitglieder aus,
um damit das MC zu besetzen.
Die derzeitigen sieben Gremiumsmitglieder
heißen André
Schnabel, Fridrich Strba, Norbert
Thiebaud, Simon Phipps
und Sophie Gautier. Als deren
Stellvertreter fungieren Cor
Nouws und Drew Jensen. n

WEBHOSTING · SCHULUNGEN · SUPPORT
Professionelle Hostinglösungen
Performance & Verfügbarkeit
auf höchstem Niveau
Managed Server Lösungen vom Profi
„Ich setze auf Linux –
genau wie mein Webhoster!“
Der Open Source Gedanke ist mir wichtig
und ich finde es großartig, dass Mittwald
sich so aktiv für die Communitys einsetzt.
Hinzukommt, dass Performance und Verfügbarkeit
einfach stimmen und ich mich
auf das 24/7-Monitoring und den kompetenten
Service vollkommen verlassen kann.
Ich fühle mich rundum wohl!
Performance-Hungrige nutzen z. B.
Managed Server Lösungen 6.0
Hochwertige Server-Hardware
300 % Magento-Performance
Bis zu 24 Prozessorkerne
Bis zu 128 GB Arbeitsspeicher
Leistungsstarke Server-HDDs
Hardware-RAID 1/10 (optional)
Individuell konfigurierbar
Bereits ab monatlich:
€ 99,99*
Alle Angebote richten sich ausschließlich an Gewerbetreibende
Alle Hostinglösungen unter: www.mittwald.de
Rufen Sie uns kostenlos an: 0800 / 440 3000
* Alle genannten Preise verstehen sich monatlich zzgl. MwSt. Die einmalige Einrichtungsgebühr für die Managed Server
6.0 beträgt 149,- €. Die Vertragslaufzeiten und Abrechnungszeiträume betragen für die Managed Server 6.0 zwischen
12 und 36 Monate. Automatische Vertragsverlängerung um 12 Monate, wenn der Vertrag nicht mit einer Frist von
30 Tagen zum Ende der jeweiligen Vertragslaufzeit gekündigt wird.
www.mittwald.de

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2012
18
Peter Ganten neuer OSBA-Chef
Die Open Source Business
Alliance (OSBA), deren 235
Mitglieder sich aus dem Zusammenschluss
von Lisog
(128 Mitglieder) und dem
Linux-Verband Live (107 Mitglieder)
rekrutieren, hat auf
ihrer jüngsten Mitgliederversammlung
im Monat November
einen neuen Vorstand
gewählt.
Als neuer Vorsitzender folgt
Peter Ganten nun auf Karl-
Heinz Strassemeyer, der aus
Peter Ganten von Univention übernimmt
den Vorsitz bei der OSBA.
Altersgründen ausscheidet.
Ganten ist im Hauptberuf
Geschäftsführer der Bremer
Univention GmbH. Zu Stellvertretern
wurden Holger
Dyroff (Suse) und Thomas
Uhl (Topalis Holding) bestimmt.
Die OSBA [http://​www.​
​osb‐alliance.​com] betrachtet sich
als „führendes Netzwerk von
Organisationen, die Open
Source Software entwickeln,
darauf aufbauen und sie anwenden“.
Gegenwärtig arbeiten vier
Arbeitsgruppen schon an Vertragsbedingungen
für die Beschaffung
von IT-Leistungen,
die Open-Source-Anbieter
nicht mehr benachteiligen,
an einer Betriebssystemunabhängigen
Thin-Client-
Infrastruktur, an einem Open-
Source-Cloud-Stack sowie an
einer Verbesserung der Interoperabilität
des ODF-Formats
mit dem Microsoft-OOXML-
Format.
n
Apache gibt Java-Projekt Harmony auf
Die Apache Foundation hat
das Projekt Harmony aufs
Abstellgleis geschickt. Mit
einem eindeutigen Votum
stimmten die Mitglieder des
Project Management Comittee
im November dafür, Harmony
aufzugeben und in den
so genannten Attic-Bereich zu
verschieben. Damit scheiterte
der 2005 gestartete Versuch
von Apache, eine freie Java-
Umsetzung zu schaffen.
Das Projekt hatte von Beginn
an mit vielen Widrigkeiten zu
kämpfen, unter anderem mit
der hartnäckigen Weigerung
der Java-Besitzer Sun und
später Oracle, das für die Zertifizierung
nötige Technology
Compatibility Kit herauszugeben.
Apache hatte später
aus Protest dagegen sogar
OSBF gründet Cloud-Initiative
den Java-Community-Prozess
verlassen.
Dass IBM sich zudem für die
Weiterentwicklung des von
Oracle forcierten Open JDK
und eine Zusammenarbeit mit
Oracle aussprach, zählte zu
den weiteren Stolpersteinen
von Harmony. IBM zählte zu
den Gründern und Unterstützern.
Statt Harmony als inoffizielle
und nicht zertifizierte
Java-Entwicklung weiter zu
unterstützen, habe IBM nun
einen Richtungswechsel hin
zu Open JDK vollzogen, sagte
der IBM-Verantwortliche Bob
Sutor zur Entscheidung seines
Unternehmens. Daraufhin gab
auch der Harmony-Projektverantwortliche
Tim Ellison sein
Plazet zu der Entscheidung
von IBM.
n
Freshmeat heißt jetzt Freecode
Das bekannte Softwareverzeichnis
Fresh meat bekommt
einen neuen Namen und heißt
nun Freecode. Vor 14 Jahren
baute sich Patrick Lenz zur
besseren Übersicht über aktuelle
Versionen des Linux-
Kernels und zu weiterer Software
eine Website. Das daraus
entstandene Freshmeat-Verzeichnis
steht unter Leitung
des Unternehmens Geeknet
seit über zehn Jahren als Anlaufstelle
für Interessierte an
freier Software bereit.
Nun hat sich Betreiber Geeknet
(ehemals Sourceforge)
– wie Patrick Lenz schreibt
– aus Marketinggründen entschlossen
den Namen in Freecode
zu ändern [http://​freecode.​
​com/​articles/​whats‐in‐a‐name].
Insbesondere in den USA haben
sich die Marketingleute
wohl die Zähne daran ausgebissen,
Sponsoren für „Freshmeat“
zu finden. Der Name
habe bei potenziellen Kunden
zu allerlei Assoziationen geführt,
die allesamt wenig mit
freier Software zusammenhängen,
schreibt Lenz. Der
Namenswechsel soll dieses
Problem nun lösen. Eine entsprechende
Weiterleitung der
URL [http://freshmeat.​net] auf
[http://freecode.​com] ist schon
eingerichtet.
n
Der Open Source Business
Foundation e. V. hat eine
Open-Source-Cloud-Initiative
ins Leben gerufen. Taufpaten
der neuen Initiative sind die
OSBF-Mitgliedsunternehmen
Talend, Open-Xchange, Suse
Linux, Microsoft und Zimory.
Sie wollen dafür sorgen, das
das Prinzip Offenheit, das bereits
für den Erfolg der Open-
Source-Bewegung verantwortlich
sei, auch im Cloud-Umfeld
um sich greift.
Konkret soll es ein „Open
Cloud Zertifikat“ geben, dass
sich Anwender selbst verleihen
können, wenn sie meinen
mit den Leitlinien der
Initiative übereinzustimmen.
Die Initiative ihrerseits soll
dieses selbst verliehene Zertifikat
gegebenenfalls wieder
aberkennen können, wenn ihr
Verstöße gegen die Vorgaben
bekannt werden. Zum anderen
ist auch ein „Open Cloud
Award“ geplant, der bereits
im kommenden Jahr erstmals
vergeben werde.
Von den zahlreichen bereits
existierenden Gremien für
offenes Cloud Computing
oder die Standardisierung
im Cloud-Umfeld – etwa der
Open Cloud Initiative [http://​
​www.​opencloudinitiative.​org], dem
Open Cloud Manifesto oder
der IEEE Cloud Computing
Standards Study Group – will
sich die neue Initiative der
OSBF dadurch abheben, dass
sie sich nicht allein technischen
Fragen widmet, sondern
auch die rechtlichen und
sozialen Rahmenbedingungen
des Trendthemas Cloud in den
Fokus rückt.
n

NUR 3,56€ *
pro vServer in der Customer Cloud
NEU: AB 10. NOVEMBER 2011
Endlich mit der Cloud
mal richtig sparen!
Die Private Cloud, die sich jedes Unternehmen leisten kann. Sparen Sie Ressourcen,
Manpower und Budget: Ab 15,45 €* pro Monat können Sie sich Ihre eigene Virtual- Core®
Customer Cloud ins Unternehmen holen und Ihre IT-Kapazitäten durch Virtualisierung so
flexibel wie noch nie gestalten.
6 Monate kostenlos testen unter www.virtual-core.de
* Preise inkl. MwSt.
Virtual-Core® ist eine eingetragene Marke der Firma KAMP Netzwerkdienste GmbH – www.kamp.de

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2012
20
Firefox-Version mit Bing als Standardsuche
Mozilla gibt eine angepasste
Version seines Firefox-Browsers
heraus, die Microsofts
Suchmaschine Bing als
Standardsuche im Suchfeld
oben rechts und in der Schnellstartleiste
einsetzt. Zudem
ist Bing.com schon als Startseite
des Firefox eingetragen.
Linux-Nutzer, sie werden es
wohl verschmerzen können,
zählen nicht zur Zielgruppe
der Special-Edition, der angepasste
Firefox-Browser ist
ausschließlich für Mac OS X
und Windows gedacht.
Sorry, keine Linux-Unterstützung beim Firefox mit Bing.
Bereits im vergangenen Jahr
hatte Mozilla angekündigt,
Bing in seine Auswahl aufzunehmen.
Damals hieß die
Reihenfolge der angezeigten
Suchmaschinen und verwandter
Services Google (als
Default-Einstellung), Yahoo,
Bing, Amazon, E-Bay und
Wikipedia.
Mozilla finanziert sich zu
einem guten Teil über die
Gelder der Suchmaschinenbetreiber,
die großes Interesse
daran haben, sich im populären
Browser präsentieren zu
können. Der Firefox mit Bing,
für den es eine eigene Website
gibt [http://​www.​firefoxwithbing.​
​com], erweitert nach Mozillas
eigenen Angaben die Partnerschaft
mit Microsoft. n
CCC fordert Offenlegung des Bundestrojaners
Auch eine weitere Version
des so genannten Bundestrojaners,
die über Antiviren-
Spezialist Kaspersky an den
Chaos Computer Club gelangte,
genüge nicht den Ansprüchen
an Rechtsstaat und
IT-Sicherheit – zu diesem Ergebnis
kommt der CCC und
fordert, den Quelltext der
Software offenzulegen.
Eine „fabrikneue“ Version sei
es, die ihm zugetragen wurde,
glaubt der CCC und kommt
Linux New Media im Ubuntu Software Center
Das in den Ubuntu-Linux-Versionen
integrierte Softwaremanagement-System
[http://​www.​
​ubuntu.​com/​ubuntu/​features/​ubuntu‐software‐centre],
in dem auch
kommerzielle Anwendungen
zu haben sind, wird um Verlagsangebote
erweitert.
In eigener Sache: Eine Kooperation
mit der hinter Ubuntu
stehenden Firma Canonical
bringt die Linux-New-Media-Titel
„Linux Magazine“,
„Ubuntu User“ und „Admin“
in digitaler Form ins Ubuntu
Software Center.
Das Center ist ab sofort erst
mit den englischsprachigen
Ausgaben der genannten
Magazine bestückt. Die
deutschsprachigen Ausgaben
„Linux-Magazin“, „Ubuntu
zu dem Schluss: „Entgegen allen
Beteuerungen der Verantwortlichen
kann der Trojaner
weiterhin gekapert, beliebiger
Code nachgeladen und auch
die angeblich revisionssichere
Protokollierung manipuliert
werden.“
Der CCC stellt deshalb Forderungen
auf, die den sofortigen
Stopp jedes Trojaner-Einsatzes
und eine „Forbidden Tree“-Lösung
beinhalten. Bei der wäre
jede Verwertung in einem Verfahren
ausgeschlossen, wenn
Daten von einer infiltrierten
Festplatte stammen.
Zudem fordert der CCC angesichts
der als mangelhaft
eingeschätzten Qualität der
Software die Quelltexte und
Prüfprotokolle für alle bereits
vergangenen Einsätze offenzulegen.
Auch von künftigen
Einsätzen sollten jeweils
Quellcode, Binärdateien und
Protokolle öffentlich sein, so
der Computer-Club. n
User“ und „Admin“ folgen in
Kürze nach.
Käufer erhalten die Magazine
als hochwertige PDF-Dokumente.
„Der Vertrieb unserer
Magazine über das Ubuntu
Software Center eröffnet uns
einen neuen Weg, unsere
Kunden global zu erreichen“,
sagt Brian Osborn, CEO der
Linux New Media. n
Debconf 2012 in
Nicaragua
Die 12. Debian-Entwicklerkonferenz
findet vom 8. bis
14. Juli 2012 in Nicaraguas
Hauptstadt Managua statt.
Das hat das Debian-Projekt
nun mitgeteilt. Der Konferenz
mit Vorträgen und Birdsof-a-Feather-Runden
(BoF)
geht am 7. Juli ein Debian
Day voraus, auf dem sich die
freie Linux-Distribution der
Öffentlichkeit präsentiert. Bereits
eine Woche früher, am 1.
Juli, startet das Debcamp, zu
dem die Projektmitglieder anreisen,
um sich persönlich zu
besprechen und gemeinsam
zu programmieren.
Mit der Auswahl von Nicaragua
findet die internationale
Konferenz erstmals in
einem mittelamerikanischen
Land statt. Eine rudimentäre
Website für die Debconf 12 ist
bereits unter [http://​debconf12.​
​debconf.​org] online gegangen.
Derzeit suchen die Veranstalter
aber noch Sponsoren
sowie ehrenamtliche Helfer.
(jcb/mfe/mhu/uba) n

FÜR EIN SICHERES GEFÜHL!
Professionelle InterNetX Server-Lösungen.
Wir entwickeln mit Ihnen Ihr Sicherheitskonzept
und stellen individuell konfigurierte Server bereit.
24/7 Support durch geschulte Techniker
Zertifiziertes Tier 3 Data Center
1 GBit/s Uplink ohne Begrenzung
Nur Markenhardware von DELL ® , CISCO ® , AMD ®
Jetzt informieren:
www.internetx.eu
DOMAINS
GRATIS*
www.internetx.eu
*Das Angebot richtet sich nur an Gewerbetreibende und kann in der Zeit vom 1.10. bis 31.12.2011 über www.internetx.eu bestellt werden. Die Domain-Registrierung betrifft ausschließlich .EU-Neuregistrierungen
(bis zu 10 Domains gratis) für das 1. Jahr. Die Policies der Registry EURid sind maßgeblich. Weitere Informationen unter: www.internetx.eu

Aktuell
www.linux-magazin.de Kernel-News 01/2012
22
Zacks Kernel-News
Kernel.org: Tross der Rückkehrer
Noch immer sind die Scherben
des Einbruchs in die Kernel.
org-Server nicht ganz zusammengekehrt.
Die betroffenen
Maschinen sind zwar wieder
in Betrieb, doch die Dienste –
dazu gehört auch das Git-Hosting
– stehen erst nach und
nach wieder zur Verfügung,
und zwar nach Möglichkeit
besser abgesichert. Viele Entwickler
vertrauen den Kernel.
org-Servern nun wieder ihr
Repository an.
So teilt etwa Nicholas A. Bellinger
mit, dass das SCSI-Target-Modul
LIO wieder auf Git.
kernel.org verfügbar ist. Konrad
Wilk von Oracle schreibt,
sein Xen-Quelltext sei ebenfalls
dort zu finden, und der
Suse-Entwickler Takashi Iwai
betreibt sein Sound-Repository
auch auf dem Kernel-Server.
Weitere Rückkehrer sind Chris
Ball mit dem MMC-Code für
Multimediakarten, Roland
Dreier mit der Infiniband-Unterstützung
sowie Theodore Y.
Ts’o mit seinem Dateisystem
Ext 4.
Die Störungen durch den Einbruch
klingen ab, doch die
neuen Sicherheitsmaßnahmen
und Arbeitsabläufen nehmen
nur langsam Form an. Seiner
Mail zu Kernel 3.1 fügte Linus
Torvalds an: „Ich hätte gerne
eine Echtheitsbestätigung
für die Pull-Requests. Bei
den geringen Änderungen in
der vergangenen »‐rc«-Phase
hatte ich noch die Zeit, mir
einzelne Commits anzusehen
und sie zu prüfen. Im Merge-
Window mit rund 11 KByte
verändertem Code, die ich in
»linux‐next« sehe, ist das aber
nicht mehr machbar. Benutzt
also bitte Git.kernel.org oder
einen anderen vertrauenswürdigen
Host.“
Unterdessen wächst das Vertrauensnetzwerk,
das die Kernelprogrammierer
knüpfen.
Dazu treffen sie sich persönlich
mit anderen Entwicklern,
denen sie vertrauen, und signieren
deren öffentliche GPG-
Schlüssel. Im Oktober veranstaltete
Jonathan Cameron im
englischen Cambridge eine
Key-Signing-Party, H. Peter
Anvin eine im kalifornischen
Santa Clara. Von Peter stammt
auch eine Anleitung, nach der
Kernelentwickler ihre Benutzerkonten
wieder aktivieren
und mit ihrem kryptographischen
Schlüssel Teil des
neuen Web of Trust werden
können.
Greg Kroah-Hartman beschreibt,
wie Entwickler die
Sicherheit ihrer eigenen Rechner
überprüfen sollen. Dazu
meint er: „Der Einbruch auf
Kernel.org und damit verbundenen
Servern hat gezeigt,
dass die Rechner einiger
Kernelentwickler ebenfalls
kompromittiert waren.“ n
Wie einige andere Git-Repositories ist auch der Code für das Dateisystem Ext 4
auf die Kernel.org-Server zurückgekehrt.
Suspend-Daemon für Linux
Der Suse-Entwickler Neil
Brown arbeitet unter [http://​
​neil.​brown.​name/​git/​lsusd] an einem
Linux-Suspend-Daemon.
Der Dienst soll eine einfache
Schnittstelle bieten, die kontrolliert,
wann und wie Suspend
to Disk erfolgt. Laufende
Software kommuniziert über
Dateien in »/var/run/suspend/«
mit dem Daemon. Diese
Datei-basierte Schnittstelle
an einem ungewöhnlichen Ort
erntete Kritik.
Das ist wenig überraschend,
gibt es doch bereits eine verwirrende
Auswahl an Schnittstellen
zwischen Userspace
und Kernel, unter anderem
»/proc«, »/sys«, I/​O-Controls
und Systemaufrufe. Daneben
diskutierte die Mailingliste
weitere technische Probleme.
Dazu gehört, dass Neils Code
ursprünglich nur als Proof of
Concept gedacht war. Für den
Praxiseinsatz müsste er robuster
werden, mehr Features
aufweisen und mehr Fälle berücksichtigen.
Von diesem Punkt aus verzweigte
sich die Diskussion,
bis Rafael J. Wysocki bemerkte:
„Du ziehst immer mehr
Änderungen am Kernel in
Betracht, nur damit du etwas
im Userspace implementieren
kannst, das wiederum andere
Änderungen am Kernel ersparen
soll. Das hört sich total
verkehrt an.“ Trotz aller Kritik
lehnt aber niemand die grundlegende
Idee eines Suspend-
Daemon für Linux ab. n

Virtualbox am Pranger
Der Red-Hat-Entwickler Dave
Jones lässt kein gutes Haar an
Virtualbox. Er schreibt: „Die
Menge an Bugreports, die wir
von Virtualbox-Anwendern
bekommen, ist erstaunlich.
Die Software steht unter GPL,
aber das bedeutet leider nicht,
dass sie auch gut ist.“ Fast alle
Bugs sähen wie beschädigte
Speicherbereiche aus, fährt
Jones fort: kaputte Listen, kaputte
Page-Tabellen und unerklärliche
Abstürze.
Dave hat daher ein Patch
eingereicht, das den Kernel
als „tainted“ (beschmutzt)
markiert, wenn Virtualbox
geladen ist. Das Gleiche geschieht
auch bei unfertigen
Treibern aus dem »staging/«-
Verzeichnis. Ist der Kernel als
beschmutzt markiert, schicken
Bugreport-Tools nicht
automatisch einen Fehlerbericht.
Daves Patch besteht
aus wenigen Zeilen, in einem
Quelltext-Kommentar steht:
„Virtualbox ist Mist.“
Das Patch gefällt Greg Kroah-
Hartman so gut, dass er es
gerne in den Kernel von Open
Suse aufnehmen möchte. Der
Suse-Entwickler fügt an: „Wir
sollten eine Liste mit solchen
Modulen anlegen.“
Das führte zur Zuspitzung
der Diskussion, die in dem
Vorschlag gipfelte, alles außerhalb
des offiziellen Linux-
Quelltextes aus dem Kernel
auszusperren, was sich mittels
GPG-Signaturen machen
ließe. Das ging Alan Cox zu
weit, der ein intellektuelles
Wettrüsten befürchtete. Das
Tainting sei einfach nur dazu
da, das Debuggen von Kernelproblemen
einfacher zu
machen, meint er.
Frank Mehnert, der Virtualbox-Maintainer,
zeigt Verständnis
dafür, dass die Entwickler
Fehlermeldungen bei
geladenen externen Modulen
lieber ignorieren möchten. Er
wünscht sich aber, dass die
Markierung für seine Virtualisierungssoftware
nicht gerade
»TAINT_CRAP« bleibe. n
Akku-Patch
Das Active State Power Management
(ASPM) von PCI-
Express-Karten macht einigen
Laptop-Benutzern Ärger: Ihre
Akkulaufzeit unter Linux ist
kürzer als unter Windows.
Ein Patch des Red-Hat-Entwicklers
Matthew Garrett soll
nun Abhilfe schaffen.
Der Programmierer hat sich
angesehen, wie Windows mit
den Energiesparfunktionen
der Karten umgeht. Mit seinem
Code konnte Garrett ungefähr
5 Watt auf einem ruhenden
Thinkpad X220 einsparen. Die
Ubuntu-Entwickler wollen
den gepatchten Kernel einer
Testserie unterziehen. (Zack
Brown/​mhu)
n
Kernel-News 01/2012
Aktuell
www.linux-magazin.de
23
1. Lernen Sie!
Ja, „training-on-the-job“, oft praktiziert, aber nicht
überzeugend. Denn die Kollegen haben nie Zeit
für echte Erklärungen, außerdem werden „Neue“
sofort von dem vereinnahmt, was im Unternehmen
schon seit Ewigkeiten tradiert wird. Warum gibt's
seit 2000 Jahren Schulen und Universitäten?
„LERNEN“ ist eine vollwertige Tätigkeit, auf die
man sich konzentrieren muß, die man nicht 'mal
eben so nebenbei tun kann, und die immer auch
eine Prise „Erneuerung“ beinhalten sollte!
2. Ineffiziente Arbeit nicht akzeptieren!
Je spezialisierter Sie arbeiten, desto weniger
echte, fachliche Kollegen haben Sie in Ihrem eigenen
Unternehmen. Wir stellen deshalb Gruppen
zusammen, in denen Sie neben hilfsbereiten
Kollegen mit ähnlichen Kenntnissen an IHREM
Projekt arbeiten. Und ständig ist ein fachlicher Berater
anwesend.
„Guided Coworking“ nennen wir das, und es
könnte DIE Lösung für so manches Projekt sein,
das in Ihrer Firma „hakt“.
3. Hintergrund
Wer den riesigen OpenSource-Baukasten schnell
beherrschen muß, geht zu einer unserer über 100
Schulungen. Wer das bereits kann, aber schneller
mit seinen Projekten vorankommen will, der
kommt mit seiner Arbeit zum Guided Coworking.
Wir sind eine der erfolgreichsten Schulungseinrichtungen
im gesamten Bereich „OpenSource“
- sowohl für Admins, als auch für Entwickler.
Siehe www.linuxhotel.de

Aktuell
www.linux-magazin.de Linuxcon 01/2012
24
Die erste Linuxcon Europe
Gipfeltreffen in Europa
Die erste Linuxcon in Europa hat sich als Besuchermagnet herausgestellt. Im Oktober 2011 drängten sich rund
900 Besucher in den überfüllten Konferenzräumen des Clarion-Hotels in Prag, um Linus Torvalds zu sehen.
Daneben gab es eine Menge Vorträge von hohem fachlichen Niveau. Mathias Huber
Abbildung 1: Erstmals veranstaltete die Linux Foundation eine
Linuxcon in Europa. Auf dem Kernelentwickler-Podium ließ sich
ein gutgelaunter Linus Torvalds auf die Fragen des Publikums ein.
Linus Torvalds persönlich bekamen
Linux-Enthusiasten in
Europa bisher so gut wie nie
zu sehen. Das hat sich mit der
ersten Linuxcon Europe, die
vom 24. bis 28. Oktober 2011
in Prag stattfand, geändert.
Kernelentwickler
zum Anfassen
Die veranstaltende Linux
Foundation hatte den jährlichen
Kernel Summit auf die
Tage unmittelbar vor der Konferenz
an denselben Ort gelegt.
So blieben nicht nur Torvalds
(Abbildung 1), sondern auch
andere Kernelentwickler wie
Greg Kroah-Hartman, Alan
Cox oder Ted Ts’o zur Linuxcon
und waren in
den Gängen des Clarion-Kongresshotels
für ein Schwätzchen
zu haben (Abbildung
2).
Ein Kernel-Podium
bildete nach der Begrüßung
durch Jim
Zemlin, dem CEO der
Linux Foundation,
den Auftakt zum Vortragsprogramm.
Auf
der Bühne saßen Torvalds,
Cox sowie der
Embedded-Spezialist
Thomas Gleixner
und Paul McKenney
von IBM. Sie stellten
sich den Fragen, die
der moderierende
Entwickler Lennart
Poettering (Red Hat) gesammelt
hatte.
Dazu gehörte die Frage, wie
wichtig den Entwicklern die
Kompatibilität des Kernels
mit Userspace-Programmen
sei. „Den Benutzer zu stören
ist tabu“, betonte der Linux-
Erfinder. Zudem erklärte er:
„Beim Versionswechsel zu
Kernel 3.0 gab es Programme,
die einfach schon an der Versionsnummer
scheiterten.
So ein Programm ist einfach
schlecht geschrieben. Dennoch
haben wir ein Flag eingerichtet,
das auf Wunsch als
Version 2.6.40 angibt. Eigentlich
ein idiotisches Patch –
aber es zeigt, wie wichtig uns
der Userspace ist.“
Als künftige Aufgaben sehen
die Kernelentwickler die weitere
Verbesserung der Energie-
Effizienz und Skalierbarkeit
des freien Betriebssystems.
Vor allem aber wollen sie aufpassen,
dass ihnen die Komplexität
des Codes nicht über
den Kopf wächst. Torvalds:
„Das ist beispielsweise bei
den Treibern so, die ständig
viel neue Hardware unterstützen
müssen.“
Cloud-Zeitalter
Mit Skalierbarkeit beschäftigte
sich auch der Vortrag des Ext-
4-Entwicklers Theodore Ts’o,
der derzeit bei Google angestellt
ist. Dort arbeitet er daran,
das Linux-Dateisystem an
die Erfordernisse des Cloud
Computing anzupassen. Es
gehe dabei vor allem um Wirtschaftlichkeit,
betonte der
Programmierer: „Man nutzt
die Energie-Effizienz großer
Rechenzentren und sorgt dafür,
dass die Server gut ausgelastet
sind.“
Dabei liefen viele Jobs auf
einer einzigen Maschine, sodass
dem Dateisystem weniger
Arbeitsspeicher für die
Bitmaps zur Verfügung stehe,
die die Zuordnung der Blöcke
speichern. Landen diese Daten
folglich im Swap, kommt
es zu großen Verzögerungen
bei Systemaufrufen wie »fallocate()«
und »unlink()«. Hier
schafft das Ext-4-Feature Bigalloc
Abhilfe. Statt Blockgrößen
von 4 KByte verwendet
das Dateisystem so genannte
Cluster, die bei einer Größe
von 1 MByte besonders effizient
werden. Somit fallen
weniger Einträge in den Bitmaps
an, die zudem häufiger
aufgerufen werden und so im
Arbeitsspeicher bleiben.
Zu den ersten Wünschen seines
Arbeitgebers Google habe
jedoch gehört, Ext 4 auch
ohne Journaling zu betreiben,
erzählte Ted Ts’o. Der Suchmaschinenkonzern
stellt die
Konsistenz der Daten durch
das hauseigene Cluster-Dateisystem
sicher, das Journal ist
dabei überflüssig und führt
nur zu Performance-Einbußen.
Daher blieb Google auch
lange bei Ext 2, bis Ts’o die
Option zum Abschalten des
Journaling umsetzte.
Daneben hat der Dateisystem-Entwickler
ein Feature
namens Punch geschaffen,
das vor allem beim Einsatz
von Virtualisierung nützlich
ist. Es kann Speicherplatz innerhalb
einer Datei freigeben,
also sozusagen ein Loch hineinstanzen
(punch). Unter
Virtualisierungslösungen ist
jede Festplatte der Gastsysteme
als Datei implementiert.
Löscht der Gast Dateien auf
seiner virtuellen Platte, sorgt
Punch dafür, dass auch der
Host den Speicherplatz wiederverwenden
kann. Damit
lässt sich der Plattenplatz auf

Abbildung 2: Die Kernelentwickler Ted Ts’o (links) und Alan Cox bei einer informellen
Besprechung in der Sitzgruppe.
dem Gastgeber effizient nutzen,
sogar Überprovisionieren
ist möglich.
Chris Mason von Oracle (Abbildung
3) demonstrierte auf
seinem Laptop das Konkurrenz-Dateisystem
Btrfs. Das
Publikum im überfüllten Saal
staunte nicht schlecht, als
der Referent auf der Kommandozeile
ein Programm
namens »btrfs‐corrupt‐block«
aufrief, um eine Version der
Metadaten zu beschädigen.
Doch das diente lediglich zur
Demonstration eines neuen
Features namens Scrub, das
das Dateisystem im Hintergrund
wieder repariert.
Der Code stammt von Arne
Jansen, der beim Webhoster
Strato arbeitet.
Dateisystem-
Reparatur
Vom Red-Hat-Entwickler Josef
Bacik kommt ein Recovery-
Tool für Btrfs, das sich derzeit
im Betastadium befindet. Es
kümmert sich um den Root
Tree Block, die Wurzel einer
Btrfs-Partition. Ist diese beschädigt,
lässt sich das Dateisystem
nicht einmal einhängen.
Baciks Programm hilft,
indem es die nächstältere intakte
Kopie verwendet. Dank
der standardmäßigen Commit-
Frequenz von 30 Sekunden ist
diese nicht viel älter als das
zerstörte Original. Das Feature
ist rückwärtskompatibel
und soll in Kernel 3.2 Einzug
halten.
Embedded-
Konferenz
Gleichzeit zur Linuxcon fand
in den benachbarten Konferenzräumen
die Embedded
Linux Conference Europe
(ELCE) statt. Dort beschäftigte
sich beispielsweise Arnd
Bergmann vom Linaro-Projekt
mit USB-Sticks, CF- und SD-
Karten sowie SSDs preisgünstiger
Machart.
Er analysierte solchen Flashspeicher
anhand des Timings
verschiedener Schreib- und
Lesetests und identifizierte
zwei Typen: Der eine ist für
schnelle lineare Schreibvorgänge
optimiert, wie sie etwa
bei Video-Aufnahmen
die Regel sind.
Schreibzugriffe auf
beliebige logische
Blöcke (Random
Write) verlaufen dagegen
langsam. Der
andere Typ erlaubt
schnelleres Random
Write, muss aber
mit aufwändigem
Umsortieren neuen
Platz schaffen, wenn
die freien physikalischen
Blöcke ausgehen.
Seine Befunde
zu einzelnen Modellen und
Fabrikaten hält Bergmann im
Linaro-Wiki fest [1].
Eher einen Schnappschuss
aus seiner Arbeit als endgültige
Befunde zeigte Yoshitake
Kobayashi von Toshiba.
Er arbeitet an Produkten für
Aufzüge und Kraftwerke, die
Langzeitunterstützung von
mehr als zehn Jahren benötigen.
Nach einigen Jahren ist
die originale Hardware aber
nicht mehr verfügbar, also
muss er sich auf die Suche
nach einer Kernelversion machen,
die zwar neue Hardware
unterstützt, aber gleichzeitig
mit der bestehenden Software
zusammenarbeitet.
Doch was Kobayashi als „automatisierten
Regressionstest“
angekündigt hatte, stellte sich
eher als Sammlung handgestrickter
Skripte in Kombination
mit dem Linux Test Project
(LTP) heraus. Die Zuhörer
empfahlen dringend, die Auswertung
der Testprotokolle zu
automatisieren.
Wesentlich systematischer
geht das Linux Driver Verification
Project [2] vor, das
Alexei Choroschilow von der
Russischen Akademie der
Wissenschaften vorstellte.
Mit Hilfe statischer Code-
Analyse und geballter Cluster-Rechenleistung
sucht es in
Kerneltreibern nach typischen
Fehlern wie etwa Nullpointer-
Abbildung 3: Der Btrfs-Erfinder Chris Mason von
Oracle diskutiert künftige Features seines Linux-
Dateisystems.
Dereferenzierung. Das Projekt
hat bereits zahlreiche Patches
in den offiziellen Kernel eingebracht.
Es bleibe aber eine
Herausforderung, schloss
Choroschilow seine Ausführungen,
Suchkriterien für weitere
Fehler zu formulieren.
Positiv
In den Keynotes verbreiteten
die Größen der Linux-
Industrie gute Stimmung
und klopften der Entwicklergemeinde
und dem eigenen
Unternehmen auf die Schulter:
Der neue Suse-CEO Nils
Brauckmann zum Beispiel bat
Andreas Pöschl vom Automobilbauer
BMW auf die Bühne,
der vom erfolgreichen SLES-
Einsatz auf den Unternehmensservern
berichtete. Tim
Burke, Vater von Red Hats
Enterprise-Linux, stellte fest:
„Um eine Distribution groß
zu machen, braucht es eine
ganze Community.“
Positiv darf auch die Linux
Foundation auf ihre europäische
Konferenz zurückblicken:
Der Veranstalter konnte
mit 900 rund doppelt so viele
Besucher verzeichnen wie
prognostiziert. Neben zahlreichen
Besuchern aus Tschechien
und einigen aus Polen
zog offenbar vor allem die
Embedded-Konferenz auch
viele Teilnehmer aus Ostasien
an. Im Jahr 2012 soll die Konferenz
in Barcelona über die
Bühne gehen [3]. n
Infos
[1] Flash Card Survey:
[https:// wiki. linaro. org/​
WorkingGroups/ Kernel/​
Projects/ FlashCardSurvey]
[2] Linux Driver Verification Project:
[http:// linuxtesting. org/​
results/ ldv]
[3] Linuxcon Europe: [https://​
events. linuxfoundation. org/​
events/ linuxcon‐europe]
Linuxcon 01/2012
Aktuell
www.linux-magazin.de
25

Beherrschen Sie
Ihre Infrastruktur
Server innerhalb 1h verfügbar*
Cloud Ready (ESXI, Hyper-V, Virtuozzo)
Virtual Rack**
Support 6 Tage die Woche
Eingriffsgarantie innerhalb 1h***
SuperPlan 2011 BestOF EG 2011 BestOF MG Hybrid 2011
Intel Core i5-2400
4x3.1+ GHz
6 MB L2 - QPI 5 GT/sec
RAM 16 GB DDR3
Festplatte : 2x 2TB - SATA2
RAID SOFT 0/1
Anbindung : 100 Mbit/s
Bandbreite : 100 Mbit/s
IPv4 + IPv6
84, 99 €
inkl. MwSt./Monat 249,
Intel Xeon i7 W3520
4x2(HT)x2.66+ GHz
8 MB L2 - QPI 4.8 GT/sec
RAM 24 GB DDR3
Festplatte : 2x 2TB - SATA2
RAID SOFT 0/1
Anbindung : 1 Gbit/s Lossless
Bandbreite : 1 Gbit/s
IPv4 + IPv6
129, 98 €
inkl. MwSt./Monat
Intel Bi Xeon E5606
2x4x2.13+ GHz
2x8 MB L2 - QPI 2x 4.8 GT/sec
RAM 24 GB DDR3 ECC
Festplatten: 2x 40GB Intel SSD 2x 3TB SATA 2
RAID : HARD 0/1 MegaRAID 6 Gbit/s
Anbindung : 10 Gbit/s Lossless
Bandbreite : 10 Gbit/s
IPv4 + IPv6
98 €
inkl. MwSt./Monat
* : Verfügbarkeit unter Vorbehalt der Validierung Ihrer Bestellung und im Rahmen der verfügbaren Bestände
** : Optional
*** : Eingriffsgarantie innerhalb 1h auf nicht erreichbaren Server
Mehr Informationen: www.ovh.de/DS oder 0049 (0) 681 906730
Ortsnetznummer
Domains E-Mails Hosting

Testen Sie unsere
dedizierten Server
VPS
Server
Private
Cloud
OVH.DE
Cloud Telefonie SMS Europas Webhoster Nr. 1

Titelthema
www.linux-magazin.de HTML 5 01/2012
28
HTML-5-Anwendungen mit Canvas, SVG und Websockets
Blühende Oberflächen
Dank HTML 5 lassen sich Client-Server-Anwendungen mit grafischer Oberfläche programmieren, wie sie das
Web bisher nicht kannte. Dieser Artikel zeigt, wie das mit Canvas, SVG und Websockets geht. Die Bibliotheken
Jquery, Visualize und Autobahn helfen bei der Arbeit. Andreas Möller
© Elena Elisseeva, 123RF.com
Die neue Generation der Hypertext
Mark up Language heißt HTML 5 [1] und
ist mehr als nur eine Auszeichnungssprache.
Im Zuge ihrer Spezifikation ist eine
Reihe von Technologien entstanden, die
Webanwendungen einen Innovationsschub
bescheren. Besonders vielversprechend
sind das Element Canvas und das
Websocket-Protokoll.
Canvas eröffnet die Möglichkeit, Grafiken
mittels Javascript zu zeichnen – und
das Hardware-beschleunigt. So lassen
sich beispielsweise Diagramme aus Benutzereingaben
oder veränderlichen Daten
direkt im Browser generieren. Dank
Online PLUS
Einen Screencast zur Arbeit mit Websockets
finden Sie unter [http:// www.​
linux‐magazin. de/ plus/ 2012/ 01].
des Websocket-Protokolls können Server
und Browser sich unabhängig voneinander
Nachrichten schicken. Damit
lösen Websockets das einseitige Frageund-Antwort-Spiel
zwischen Client und
Server gemäß HTTP-Protokoll ab. Diese
Starrheit war bisher ein Hemmnis für alle
Anwendungsfälle, in denen der Client auf
eine Statusänderung der Servers wartet,
etwa bei einem Chat.
GUI mit Socket
Dieser Artikel demonstriert die Techniken
anhand eines Beispiels, das die Speicherauslastung
eines entfernten Servers grafisch
im Browser anzeigt. Dabei kommen
Canvas für die Grafik und Websockets als
Netzwerkprotokoll zum Einsatz. Außerdem
zeigen die praktischen Bibliotheken
Visualize und Autobahn, was sie können.
Das HTML-5-Element Canvas [2] liefert
eine bemalbare Leinwand, als Zeichenwerkzeug
dient Javascript. Dabei sind
verschiedene Maltechniken, Kontexte genannt,
im Angebot. Derzeit gibt es einen
Kontext zum Zeichnen in zwei Dimensionen
[3] sowie einen für drei Dimensionen:
Web GL [4].
Das Ergebnis ist eine rechteckige Leinwand
aus kleinen, eingefärbten Quadraten
– eine Bitmapgrafik. Sie ist allerdings
nicht skalierbar. Diesem Mangel begegnet
aber ein anderes HTML-5-Feature: Es besteht
die Möglichkeit, SVG-Grafiken in
Dokumente einzubetten. SVG, Scalable
Vector Graphics [5], ist ein XML-Vokabular
für die Beschreibung von Vektorgrafiken.
Canvas wie auch SVG nutzen ähnliche
Konzepte, um Grafiken aufzubauen. Sie
können beispielsweise Pfade mit geraden
oder gebogenen Begrenzungen anlegen,
schließen, füllen und umranden.
Das Bitmapverfahren überträgt das Bild
einmalig auf eine Leinwand mit einer
festen Anzahl von Quadraten (feste Auflösung).
Es färbt dabei durch Maloperationen
eingeschlossene oder überstrichene
Quadrate ein.
Abbildung 1: Vergleich zwischen Zeichnungen mittels
Canvas (oben, Bitmap mit fester Auflösung) und SVG
(unten, skalierbare Vektorgrafik).

Die Vektorgrafik dagegen wird auf eine
Leinwand mit einer variablen Anzahl von
Quadraten skalierbar gemalt. Listing 1
zeichnet zweimal den gleichen Kegel, per
Canvas und per SVG. Die Ausführung
der Canvas-Grafik geschieht im »script«-
Bereich des HTML-Dokuments. Nach
Auswahl des Canvas-Elements selektiert
der Javascript-Code den »2d«-Kontext
und zeichnet.
Die SVG-Grafik dagegen ist nach dem
Canvas-Element im Körper des HTML-
Dokuments eingebettet. Die Pfadbeschreibung
»d="M10,0 L0,20 Q10,25 20,20 Z"«
fällt im Vergleich zu den Canvas-Befehlen
äußerst kompakt aus. Die Buchstaben der
Maloperation entsprechen ungefähr den
Canvas-Funktionsaufrufen. Die Ausgabe
ist in Abbildung 1 zu sehen, die beim
genauen Hinsehen den Qualitätsunterschied
offenbart.
Obwohl die Spezifikation von HTML 5
noch nicht abgeschlossen ist, gibt es bereits
Anwendungen für das Canvas-Element.
Ein gutes Beispiel ist das Jquery-
Plugin Visualize [7], das aus HTML-Tabellen
automatisch Diagramme erzeugt.
Visualize ist ein Plugin für die Javascript-
Bibliothek Jquery [8]. Sie verdeckt viele
Schwächen von Javascript und unterstützt
neuere Versionen gängiger Webbrowser
wie Firefox 2.0+, Google Chrome, Opera
9.0+, Safari 3.0+ und Microsofts Internet
Explorer 6.0+.
Die Bibliothek adressiert die Elemente
eines HTML-Dokuments mittels der
kompakten CSS-Selektoren anstelle der
schwer handhabbaren DOM-Schnittstelle
und bietet für die so ausgewählten Elemente
eine Vielzahl praktischer Funktionen.
Unter anderem vereinfacht Jquery
die Ereignis-Behandlung, ermöglicht
Animationen und bietet Ajax-Methoden.
Beispielsweise kann der Programmierer
mit dem kompakten Ausdruck
$('.story').click(function() {U
alert($(this).text())})
für jedes HTML-Element mit der Eigenschaft
»class="story"« einen Eventhandler
vereinbaren. Klickt der Anwender
dann auf eines dieser Elemente, hebt
Javascript dessen Inhalt mit einer Meldung
hervor.
Getreu dem Motto „Write less, do more“
verwendet die Bibliothek für Methoden
einfache Bezeichner wie »each()«,
»map()«, »click()« oder »bind()«. Zusätzlich
ist Jquery durch eine Vielzahl
von Plug ins erweiterbar. Die Bibliothek
wurde für den Einsatz in der Produktion
bestmöglich komprimiert. Außerdem
unterstützt Jquery den Standard CSS 3.
HTML 5 01/2012
Titelthema
www.linux-magazin.de
29
Effekte
Neben Pfaden bieten der 2-D-Kontext
von Canvas und SVG noch viele weitere
Gestaltungsmöglichkeiten, beispielsweise
Farbverläufe, Schatten, Transparenzeffekte,
Gruppierungen, Transformationen
sowie einfache Formen wie Quadrate,
Kreisbögen, kubische und quadratische
Bézierkurven (Splines). Canvas-
2-D kann Grafiken zudem Pixel für Pixel
behandeln. Einen sehr guten Einblick in
die Verwendung des Canvas-Elements
und von SVG in HTML 5 gibt Peter
Kreußels Artikel „Malkasten“ aus dem
Linux-Magazin 11/​11 [6].
Dem sei noch hinzugefügt, dass beim
Canvas-Element in HTML 5 alle Browser
erstmals von Hardwarebeschleunigung
Gebrauch machen. Die Rechenoperationen
für Grafiken laufen dabei auf der
Grafikkarte statt auf der CPU ab. Zudem
referenziert die HTML-5-Spezifikation
SVG 1.2 (Tiny). Tiny ist eine Teilmenge
von SVG 1.1. Dieses Profil wurde mit
Rücksicht auf die einheitliche Verwendbarkeit
von SVG auf vielen Geräteklassen
zusammengestellt.
Abbildung 2: Die HTML-Tabelle aus Listing 3, wie sie
im Webbrowser aussieht.
Listing 1: Kegel-Grafik mittels Canvas und SVG
01
13 ctx.quadraticCurveTo(10,25,20,20)
02
14 ctx.closePath();
03
15 ctx.fill();
04
16 }
05 window.onload = function() {
17
06 var cv = document.
18
getElementsByTagName("canvas")[0];
19
07 cv.width = cv.height = 25;
08 var ctx = cv.getContext("2d");
20
09 ctx.beginPath();
21
11 ctx.moveTo(10, 0);
22
12 ctx.lineTo(0, 20);
23
Listing 2: Tortendiagramm mit Visualize
01 $('table.pie').visualize({type: 'pie', pieMargin: 10});
Listing 3: Visualize-Beispiel
01
02
03
04
17 Visits
05
18
06
19
20 Winter1100
07
21 Frühling1100
08 $(document).ready(function(){
09 $('table.pie').visualize({type: 'pie',
22 Sommer866
pieMargin: 10});
23 Herbst1000
10 });
24
11
12
13
25
26
27

Titelthema
www.linux-magazin.de HTML 5 01/2012
30
Abbildung 3: Das Tortendiagramm aus Listing 3 in der Browseransicht.
Abbildung 5: Aus den Daten in Abbildung 4 entsteht ein Balkendiagramm.
01 GET /chat HTTP/1.1
Jquery und Visualize sind unter MIT- sowie
GPL-Lizenz verfügbar.
Um ein Diagramm mittels Visualize darzustellen,
wendet der Webentwickler die
gleichnamige Methode auf eine Menge
von mit Jquery ausgewählten Tabellen
an. Für jede Tabelle liest Visualize
die Daten aus und erstellt daraus ein
Linien-, Torten-, Bereichs- oder Balken-
Diagramm. Dazu zeichnet Jquery das
Diagramm in ein Canvas-Element, das es
standardmäßig nach der Tabelle einfügt.
Die Form der Diagramme lässt sich durch
Parameter des Funktionsaufrufs sowie
durch CSS-Regeln beeinflussen.
Torten oder Balken
Die Listings 2 und 3 erzeugen für jede
Tabelle der Klasse »pie« ein Tortendiagramm.
Als ersten Parameter erwartet die
Funktion »visualize()« ein Objekt mit Konfigurationsparametern.
Den Diagramm-
02 Host: server.example.com
03 Upgrade: websocket
04 Connection: Upgrade
05 Sec‐WebSocket‐Key: dGhlIHNhbXBsZSBub25jZQ==
06 Origin: http://example.com
07 Sec‐WebSocket‐Protocol: chat, superchat
08 Sec‐WebSocket‐Version: 13
Listing 4: Websocket-Anfrage des
Clients
01 HTTP/1.1 101 Switching Protocols
02 Upgrade: websocket
03 Connection: Upgrade
Listing 5: Server bestätigt
Verbindung
04 Sec‐WebSocket‐Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
typ gibt »type« an (»pie«, »line«, »area«,
»bar«). Die Breite ist durch »width«, die
Höhe durch »height« definiert.
Der Parameter »parseDirection« legt fest,
wie Visualize die Werte in der Tabelle
interpretiert: In der Standardeinstellung
»parseDirection=x« entnimmt es die
Werte einer Datenreihe jeweils aus einer
Zeile, bei »y« aus einer Spalte. Die erste
Zelle bezeichnet die Datenreihe (etwa
»Winter« in Listing 3). Visualize bietet
noch eine Vielzahl weiterer Optionen [9].
Es kann auch Datenreihen filtern oder
das Diagramm auf einen Auslöser (Trigger)
hin aktualisieren. Wer sich ein Bild
vom Funktionsumfang machen möchte,
sollte die Beispiele aus der Distribution
und den Quellcode der Bibliothek »visualize.jQuery.js«
lesen.
In Listing 3 wartet die Jquery-Methode
»ready()« mit der Ausführung der übergebenen
Funktion, bis das HTML-Dokument
vollständig geladen ist. Abbildung
2 zeigt die HTML-Tabelle, Abbildung 3
das mit Visualize erzeugte Diagramm.
In Abbildung 4 ist eine weitere HTML-
Tabelle zu sehen, die Abbildungen 5 bis
7 zeigen die Visualisierung als Balken-,
Bereichs- und Liniendiagramm.
Um das Übermitteln von Webseiten
kümmert sich das HTTP-Protokoll: Der
Client stellt eine Anfrage (Request) an
Abbildung 4: Diese HTML-Tabelle dient als Datenbasis
für Visualize-Diagramme.
einen HTTP-Server und erhält eine Antwort
(Response). Deshalb blieben bisher
Zustandsänderungen eines Dienstes so
lange unbemerkt, bis der Client den Zustand
vom HTTP-Server abfragte.
Gute Unterhaltung
Websockets [10] verwandeln nun das
einseitige Frage-und-Antwort-Spiel zwischen
Client und Server in bidirektionale
Kommunikation. Zur Eröffnung eines
Websockets sendet der Client dem Server
eine Anfrage mittels HTTP (Listing
4). Erwidert der Server diese Anfrage
mit einem Handschlag (Listing 5), so
treten Client und Server in Verbindung –
falls der Server in seinem Handshake die
korrekte Antwort auf den mitgeschickten
Websocket-Key gegeben hat.
Dazu hängt der Server an den generierten
zufälligen Client-Key den Globally
Unique Identifier (GUID) »258EAFA5‐E91
4‐47DA‐95CA‐C5AB0DC85B11« an, bildet
den Hashwert des Resultats und schickt
ihn Base-64-kodiert zurück. So beweist er
dem Client, dass ein geeigneter Endpunkt
die Daten verarbeitet hat.
Die Kopfzeilen markieren außerdem das
letzte Paket einer Nachricht, übertragen
einen Schlüssel für die Maskierung der
Daten und geben die Länge an. Für Nachrichten
vom Typ Text wird eine Byte-Folge
gemäß dem UTF-8-Zeichensatz erwartet.
Wie bei HTTP lässt sich die Übertragung
per SSL schützen.
Nach dem Beenden der Verbindung
wird auch die TCP/​IP-Verbindung wieder
abgebaut. Abbildung 8 zeigt einen
Vergleich der Protokolle Websockets und
HTTP. Die Kommunikation des verbin-

HTML 5 01/2012
Titelthema
www.linux-magazin.de
31
Abbildung 6: Die Webstatistik als Bereichsdiagramm.
Abbildung 7: Auch das Liniendiagramm gehört zum Visualize-Repertoire.
dungslosen HTTP-Protokolls ist nach der
Antwort (Response) des HTTP-Servers
beendet. Das Websocket-Protokoll hingegen
durchläuft eine Serie von Zuständen,
in denen die zugrunde liegende TCP/​
IP-Verbindung bis zum Erreichen des
Zustands »closed« erhalten bleibt. Die
Festschreibung des Websocket-Protokolls
auf Basis eines RFC befindet sich derzeit
noch in der Entwurfsphase.
Sockets per Javascript
HTML-5-Dokumente bieten eine Schnittstelle
[11], um Websockets mit Javascript
zu nutzen. Um ein Websocket-Objekt in
Javascript zu initialisieren, muss der Programmierer
die Adresse des Websocket-
Servers angegeben. Websocket-Server
adressiert man mit URLs, anstelle des
»http« steht jedoch der Schemabezeichner
»ws« am Anfang, etwa in »ws://localhost:9000«
in Listing 6.
Ist die Websocket-Verbindung aufgebaut,
kann der Entwickler Eventhandler nutzen.
Der Javascript-Interpreter ruft sie
beim Eintreten bestimmter Ereignisse auf:
»onopen« nach eröffneter Verbindung,
»onerror« bei einem Fehler, »onmessage«,
wenn ein Nachricht eingetroffen ist, und
»onclose«, wenn die Verbindung erfolgreich
geschlossen wurde.
Zum Senden einer Nachricht dient die
Methode »send()«, die als Parameter die
Nachricht entgegennimmt. Die Methode
»close()« beendet die Verbindung. Sie
kann zwei optionale Parameter aufnehmen:
einen numerischen Code sowie einen
Text als Begründung für das Schließen
der Verbindung. Das Websocket-
Objekt besitzt zudem schreibgeschützte
Attribute. So speichert »readyState« den
aktuellen Status der Verbindung (»CON-
NECTION: 0«, »OPEN: 1«, »CLOSING:
2«, »CLOSED: 3«), »buffered Amount«
die Anzahl noch nicht versandter Bytes
und »protocol« die verwendete Version
des Protokolls. Das Attribut »extension«
informiert über die vom Server vorgegebenen
Erweiterungen.
Die Websockets sind in den Browsern
Chrome 14+, Firefox 7+ und MSIE 10
am besten implementiert [12]. Für die
Initialisierung eines Websocket-Objekts
01 // Initialisiere Websocket‐Objekt
02 var ws = new Websocket('ws://localhost:9000');
03 // Notiere Status des Websockets alle 5s
04 var oiv = setInterval(function() { console.
log(ws.readyState) }, 5000);
05 // Sende lokale Zeit zum Server
06 ws.onopen = function() {
07 ws.send(time.toLocaleTimeString());
08 }
09 // Notiere Fehler
10 ws.onerror = function() {
11 console.log('Error!');
im Mozilla-Browser 7 und 8 ist bisher
noch die Vorsilbe »Moz« erforderlich.
Die Funktion »websocket()« in Listing
7 gleicht diese Ausnahme aus, indem sie
im Fehlerfall die Initialisierung für den
Mozilla-Browser ausprobiert.
Autobahn
Listing 6: Nutzung von Websockets per Javascript
Listing 7: Funktion »websocket()«
01 function websocket(url) {
02 try {
03 return new WebSocket(url);
04 } catch (e) {
05 try {
06 return new MozWebSocket(url);
Listing 8: Installation von Autobahn
01 sudo apt‐get install python‐dev
02 sudo apt‐get install python‐setuptools
Das Open-Source-Projekt Autobahn [13]
bietet Bibliotheken zum Anlagen von
Websocket-Clients für Jquery, Python
und Android, daneben ein Python-Frame-
12 }
13 // Notiere eingehende Nachricht und schließe
Verbindung
14 ws.onmessage = function(e) {
15 console.log(e.data);
16 ws.close(99, 'First message closes
connection.');
17 }
18 // Beende Notation des Status
19 ws.onclose = function() {
20 clearInterval(oiv);
21 }
07 } catch(e) {
08 return null;
09 }
10 }
11 }
03 wget http://pypi.python.org/packages/2.7/a/autobahn/autobahn‐0.4.2‐py2.7.egg
04 sudo easy_install autobahn‐0.4.2‐py2.7.egg

Titelthema
www.linux-magazin.de HTML 5 01/2012
32
01 import sys, csv, json
work für Websocket-Server sowie eine
Protokoll-Testsuite, die auch einen detaillierten
Überblick über den Stand der
Implementierung [14] von Websockets
in Browsern gibt. Alle Quelltexte sind
unter der Apache-2-Lizenz veröffentlicht.
Das Server-Framework basiert auf
Twisted [15], einer ereignisgesteuerten
Netzwerkmaschine. Das Python-Framework
Twisted macht es einfach, robuste
Netzwerkanwendungen, beispielsweise
Server, zu implementieren, und ist unter
der MIT-Lizenz verfügbar.
Die Installation von Autobahn zusammen
mit Twisted unter Ubuntu Linux 11.04
zeigt Listing 8. Websockets eignen sich
gut für Serverdienste, auf die der Anwender
per Webbrowser zugreift. Im Folgenden
soll mit Hilfe von Autobahn und
HTML 5 ein Dienst im Stil der Standard-
Netzwerkdienste von Linux entstehen.
Meminfo-Dienst
Der zu erstellende Dienst Meminfo soll
periodisch Daten über die Speicherauslastung
des Hosts aus der Datei »/proc/
meminfo« auslesen und per Netzwerk
zur Verfügung stellen. Der Browser stellt
Listing 9: Meminfo-Server
02 from twisted.internet import reactor
03 from autobahn.websocket import
WebSocketServerFactory, WebSocketServerProtocol
04
05 class MeminfoServerProtocol(WebSocketServerProtocol):
06
07 def onOpen(self):
08 self.factory.meminfo(self)
09
10 class MeminfoServerFactory(WebSocketServerFactory):
11
12 protocol = MeminfoServerProtocol
13
14 def meminfo(self, client):
15 reader = csv.reader(open('/proc/meminfo'),
delimiter=':', skipinitialspace=True)
16 dic=dict()
17 for row in reader:
18 dic[row[0]] = row[1]
19 client.sendMessage(json.dumps(dic))
20 reactor.callLater(5, self.meminfo, client)
21
22 if __name__ == '__main__':
23
24 factory = MeminfoServerFactory()
25 reactor.listenTCP(9000, factory)
26 reactor.run()
Sekunden wird die Funktion erneut aufgerufen
(Zeile 20).
Die Klasse »MeminfoServerProtocol« ist
ebenfalls eine Ableitung einer Autobahn-
Klasse – von »WebSocketServerProtocol«.
Diese Klasse definiert Eventhandler
analog zur Websocket-Schnittstelle in
Javascript. Hier wird nach der Neueröffnung
einer Verbindung (»onOpen«)
die Methode »meminfo()« aus der Klasse
»MeminfoServerFactory« aufgerufen. Zusätzlich
ließen sich noch Eventhandler
für die Ereignisse »onMessage«, »onError«
oder »onClose« definieren. Die
Main-Methode des Python-Programms
(Zeile 22) bindet eine Instanz von »MeminfoServerFactory«
mit »reactor« an die
lokale Rechneraddresse sowie TCP-Port
9000 und startet sie.
Die HTML-Seite zum Abfragen des Dienstes
ist in Listing 10 zu sehen. Diese bindet
die notwendigen CSS- und Javascript-
Ressourcen ein. Im »script«-Bereich des
Dokuments startet die Funktion »memsie
mittels Visualize
C
grafisch dar.
Zur Datenübermittlung
kommt das Json-
Connecting
Format zum Einsatz.
Die Javascript Object
Notation (Json, [16]),
Open
ist eine der Sprache
Javascript entnommene
Beschreibung
Closing
von Objekten. Beispielsweise
beschreibt
Closed
»{"Jahreszeit":"Fr\​u0
0fchling",​"Monate":["
M\u00e4rz","April","
Mai"],"Durchschnitt":
8.6}« das Objekt
»Früh ling« bestehend
aus drei Schlüssel-Wert-Paaren. Der Wert
des Feldes »Jahreszeit« enthält die Zeichenkette
»Frühling«, »Monate« eine Liste
von Zeichenketten und der Wert des Feldes
»Durchschnitt« die Fließkommazahl
»8.6«. Json kodiert Sonderzeichen gemäß
Unicode als vierstellige hexadezimale
Zahl mit Präfix »\u«.
Beim Umsetzen des Meminfo-Servers
mit Autobahn (Listing 9) lassen sich
fehlende Funktionen durch den Import
von Python-Modulen nachrüsten. Der
Web socket-Server »MeminfoServerFactory«
leitet sich von der Klasse »WebSocketServerFactory«
ab. Diese Klasse
enthält die Methode »meminfo()«, die
Daten mit dem CSV-Reader aus der Datei
»/proc/meminfo« ausliest und in ein so
genanntes Dictonary überführt (Zeilen
14 bis 16). Das Programm übersetzt dieses
Dictonary in eine Json-formatierte
Zeichenkette (Zeilen 17 und 18) und
überträgt sie dann mit »sendMessage()«
an den verbundenen Client. Nach fünf
Handshake
Send
Handshake
Websockets
»ws://localhost:9000«
S
C
Request
Response
S
HTTP
»http://localhost:80«
Abbildung 8: Websockets (links) und HTTP (rechts) im Vergleich: Websockets
nutzen die bestehende TCP/​IP-Verbindung für die gesamte Sitzung.
Abbildung 9: Der Meminfo-Dienst zeichnet ein regelmäßig aktualisiertes Diagramm in den Browser.

info()« aus der Datei »js/meminfo.js« die
Abfrage. Die Funktion »meminfo()« ist in
Listing 11 zu sehen. Sie initialisiert eine
Verbindung durch Aufrufen der Funktion
»websocket()«.
Nach erfolgreicher Eröffnung (»onopen«)
hängt der Code dem HTML-Dokument
mit der Jquery-Methode »append()« eine
leere Tabelle sowie einen Bereich zur
Ausgabe des Diagramms an. Beim Eintreffen
einer Nachricht (»onmessage«)
übersetzt das Skript die Json-formatierte
Zeichenkette in ein Javascript-Objekt.
Falls dies gelingt, bekommt die Tabelle
eine weitere Zeile aus Werten der Nachricht
angehängt. Die Auswahl der Werte
aus dem Objekt geschieht durch das Auslesen
der Schlüssel aus dem Kopf der
Tabelle. Sobald die Tabelle mehr als 20
Zeilen enthält, löscht der Code die jeweils
erste Zeile.
Falls die Rückübersetzung der Json-formatierten
Zeichenkette fehlschlägt, wird
ein Fehler notiert. Abschließend löscht
Javascript das bestehende Diagramm und
erstellt es neu, indem es die Funktion
»visualize()« aufruft. Abbildung 9 zeigt
den Meminfo-Client bei der Arbeit.
Ausblick
HTML 5 beschert dem Web eine ganze
Reihe von Neuerungen, die es nachhaltig
verändern dürften. Das Canvas-Element
wird mehr kontextbezogene Grafiken
hervorbringen. Websockets bieten eine
Schnittstelle zu einer bisher unbekannten
Zahl von Diensten. Der in diesem Artikel
implementierte Meminfo-Dienst deutet
an, wie sich Daten verschiedener Dienste
im Web zusammenführen lassen.
Damit geht HTML 5 gut gerüstet in die
Zukunft, in der Herausforderungen wie
beispielsweise das „Web der Dinge“ warten.
Auch die weitere Entwicklung von
Javascript bleibt spannend. Mit der Ausweitung
seiner Schnittstellen auf lokale
Ressourcen des Clients entwickeln sich
HTML-5-Dokumente zu Bausteinen verteilter
Anwendungen weiter. (mhu) n
Infos
[1] HTML 5: [http:// www. w3. org/ TR/ html5/]
[2] Canvas: [http:// www. w3. org/ TR/​
html5/ the‐canvas‐element. html#​
the‐canvas‐element]
[3] 2-D-Kontext:
[http:// dev. w3. org/ html5/ 2dcontext/]
[4] Web GL: [http:// www. khronos. org/​
registry/ webgl/ specs/ latest/ # 2]
[5] SVG: [http:// www. w3. org/ TR/ SVGTiny12/]
[6] Peter Kreußel, „Malkasten“:
Linux-Magazin 11/​11, S. 46
[7] Visualize:
[https:// github. com/ filamentgroup/​
jQuery‐Visualize/ zipball/ master]
[8] Jquery: [http:// jquery. com]
[9] Weitere Visualize-Optionen: [http:// www.​
filamentgroup. com/ lab/ update_to_jquery_
visualize_accessible_charts_with_html5_
from_designing_with/]
[10] Websockets: [http:// tools. ietf. org/ html/
draft‐ietf‐hybi‐thewebsocketprotocol‐17]
[11] Websockets in HTML-5-Dokumenten:
[http:// dev. w3. org/ html5/ websockets/]
[12] Websocket-Unterstützung in Browsern:
[http:// en. wikipedia. org/ wiki/ WebSocket#​
Browser_support]
Listing 10: HTML-5-Seite als Speicher-Monitor
01
02
03
04
05
06
01 function meminfo(url, cont) {
02 url = url?url:"ws://localhost:9000";
03 var count = 0;
04 var ws = websocket(url);
05
06 if (ws === null) {
07 return null;
08 }
09
10 // Erstellen des Ausgabetabletts
11 ws.onopen = function(e) {
12 $(cont?cont:'body').append('Meminfo von
'+url+'\
14 MemFree
Shmem\
15 SwapFree
\
16 ');
17 }
18
19 // Empfangene Daten einfügen
[13] Autobahn:
[http:// www. tavendo. de/ autobahn/]
[14] Testergebnisse zu Websocket-
Implementierungen:
[http:// www. tavendo. de/ autobahn/​
testsuite/ report/ clients/ index. html]
[15] Python-Framework Twisted:
[http:// twistedmatrix. com/ trac/]
[16] Json: [http:// www. json. org]
[17] Quelltext zum Artikel: [http:// www.​
linux‐magazin. de/ static/ listings/ magazin/​
2012/ 01/ html‐5/]
Der Autor
Der Diplom-Physiker Andreas Möller [http://​
pamoller. com] beschäftigt sich seit zehn Jahren
mit der Entwicklung von Internetsoftware. Dazu
zählen Datenbank- und Webanwendungen sowie
Arbeiten im Bereich Single Source Publishing. Daneben
hat er an Büchern, Lernprogrammen und
E-Books mitgearbeitet. Zurzeit ist er als Berater
und freier Autor tätig.
07
08
Listing 11: Funktion »meminfo()« fragt Meminfo-Server ab
09 $(document).ready(function() { meminfo()
} )
10
11
12
13
20 ws.onmessage = function(e) {
21 count++; // closure
22 try {
23 var obj = jQuery.parseJSON(e.data);
24 $('#meminfo tbody').append
(''+count+''+
25 $('#meminfo thead th').map(function() {
return ''+
26 (Math.round(parseInt(obj[$(this).
text()])/1000))+'';}
27 ).get().join('')+'');
28 if (count > 20) {
29 $('#meminfo tr:eq(1)').remove();
30 }
31 } catch(e) {
32 console.log('Protokoll‐Fehler');
33 }
34 $('#meminfochart').empty()
35 $('#meminfo.line').visualize({type: 'line',
parseDirection: 'y',
36 'height':'200px', 'width':'500px'},
$('#meminfochart'));
37 }
38 }
HTML 5 01/2012
Titelthema
www.linux-magazin.de
33

Titelthema
www.linux-magazin.de Flow3 01/2012
34
Webanwendungen mit dem PHP-Framework Flow3
Starker PHP-Fluss
Eigentlich sollte Flow3 nur der Unterbau einer neuen Typo3-Version werden. Nach mehrjähriger Entwicklung
kam Ende Oktober 2011 jedoch ein modernes PHP-Framework heraus, in dessen Kielwasser Enterprise-Webanwendungen
rasch Fahrt aufnehmen. Tim Schürmann
© Vladimir D Ivanovic, 123RF.com
Im Jahr 2007 war das Contentmanagement-System
Typo3 in die Jahre gekommen.
Zwar erfreute sich die Open-
Source-Software anhaltender Beliebtheit,
ihr gewachsener Unterbau hatte jedoch
eine Generalüberholung nötig. Die dazu
erforderlichen umfangreichen Umbauarbeiten
hätten allerdings die Stabilität des
kompletten Systems gefährdet. Also entschlossen
sich die Typo3-Entwickler, die
Version 5 (Codename Phoenix) komplett
neu zu schreiben.
Im ersten Schritt sollte dazu ein moderner
Unterbau her, der aktuellen Entwicklungs-
und Programmierkonzepten
folgt. An diese Aufgabe wagten sich
Robert Lemke und Karsten Dambekalns
sowie zahlreiche freiwillige Helfer aus
der Typo3-Gemeinde. Fünf Jahre später
können die Entwickler ein interessantes
Framework vorweisen, das sich auch unabhängig
von Typo3 zum Schreiben großer
Webanwendungen eignet. Die erste
stabile Version des Flow3 [1] getauften
Systems erschien Ende Oktober 2011. Vorausgegangen
waren zahlreiche Vorabund
Testversionen, die Entwickler bauten
Flow3 im Laufe der Zeit sogar mehrfach
komplett um.
Das hielt jedoch ein großes Unternehmen
in Deutschland nicht davon ab, bereits
auf den Vorabversionen seine Kundendatenbank
aufzubauen [2]. Welches Unternehmen
das ist, mochten die Entwickler
bislang nicht verraten. Flow3 erscheint
jedenfalls so attraktiv, dass sich eine genauere
Inspektion lohnt.
Buzzword-Bingo
Im Kern ist Flow3 eine Sammlung von
PHP-Klassen, mit denen man schnell
eine eigene Webanwendung stricken
kann. So muss sich der Anwendungsentwickler
beispielsweise nicht mehr selbst
darum kümmern, einzelne PHP-Objekte
irgendwie in eine relationale Datenbank
zu pressen. Flow3 soll vor allem mittlere
und große Webanwendungen antreiben.
Deren Entwicklung erfordert eine gute
und geordnete Planung. Daher setzt
Flow3 auf Entwurfsmuster und moderne
Programmiertechniken. Dazu zählen
in erster Linie Model-View-Controller
(MVC), Dependency Injection, Domain-
Driven-Design und aspektorientierte Programmierung.
Hinzu kommt eine exzessive
Nutzung der in PHP 5.3 eingeführten
Namensräume (Namespaces) sowie der
eigentlich von PHP gar nicht unterstützten
Annotationen.
Wem jetzt ob der vielen Begriffe der Kopf
schwirrt, der sei beruhigt: Wer in Flow3
einsteigen möchte, muss lediglich mit
der objektorientierten Programmierung
und dem Model-View-Controller-Konzept
vertraut sein.
Model, View und Controller
Jede Flow3-Anwendung besteht aus mehreren
Teilen (Abbildung 1): Wann immer
der Benutzer eine Aktion auslöst, aktiviert
Flow3 einen so genannten Controller.
Der übernimmt die Kontrolle und
leitet alle weiteren Maßnahmen ein. Benötigt
er Informationen aus der Datenbank,
befragt er ein Repository. Dies zapft
die Datenbank an und verpackt das zurückgelieferte
Ergebnis in ein handliches
PHP-Objekt, das so genannte Model. Das
Repository spricht übrigens nicht direkt
mit der Datenbank, es greift im Hintergrund
auf das in Flow3 integrierte Framework
Doctrine 2 zurück [3].
Letzter Helfer im Bunde ist die View. Sie
bastelt aus den Informationen im Model
und einer Layout-Vorlage die fertige Webseite.
Dabei zur Hand geht ihr die eigens
für Flow3 entwickelte Template-Engine
namens Fluid. Dies ermöglicht es dem

Model
(z.B. eine Adresse)
3
Flow3 01/2012
Titelthema
Controller
1
Repository
2
Datenbank
View
Layout
4
5
Abbildung 1: Eine Webanwendung besteht in Flow3 mindestens aus vier
Klassen und der Layoutvorlage in Form einer HTML-Datei. Die Ziffern zeigen
die typische Reihenfolge der Aufrufe.
Abbildung 2: Diese Meldungen verraten, dass das Hilfsskript »flow3« die Dateirechte
erfolgreich setzen konnte. Die gezeigten Parameter für das Skript eignen sich für eine
Installation unter Ubuntu 11.10.
www.linux-magazin.de
35
Framework zugleich, Inhalte und Optik
geschickt zu trennen.
Das alles klingt ziemlich aufwändig. Für
eine komplette Adressen-Anwendung
oder eine kleine Filmdatenbank benötigt
man jedoch lediglich drei eigene PHP-
Klassen und eine mit Fluid-Befehlen
angereicherte HTML-Datei. Und selbst
diese vier generiert Flow3 auf Wunsch
halbautomatisch.
Für eine Flow3-Installation sind zunächst
ein Webserver und PHP ab Version 5.3.2
erforderlich. Diese im Vergleich zu anderen
Contentmanagement-Systemen recht
hohe PHP-Version ist unter anderem den
verwendeten Namespaces geschuldet.
Als Webserver empfehlen die Flow3-
Entwickler Apache 2 mit aktiviertem
»mod_rewrite«-Modul.
Wer Daten speichern möchte, braucht
noch eine Datenbank. Flow3 kommt mit
allen zurecht, für die ein PDO-Treiber
existiert, darunter natürlich die beliebte
MySQL [4]. Eine passende Laufzeitumgebung
stellt beispielsweise XAMPP
[5] dar, unter Ubuntu 11.10 installiert
man alternativ die Pakete »apache2«,
»mysql‐server«, »php5«, »php5‐cli« und
»php5‐mysql«.
Sind alle Voraussetzungen erfüllt, lädt
der Anwender das Flow3-Archiv herunter
und entpackt es im »DocumentRoot«-Verzeichnis
– unter Ubuntu wäre dies »/var/
Tabelle 1: Verzeichnisse einer Flow3-Installation
Verzeichnis
Configuration/​
Data/​
Packages/​Framework/​
Packages/​Application/​
Web/​
www«, bei XAMPP »/opt/lampp/htdocs«.
Dabei entsteht der Ordner »FLOW3‐1.0.0«
mit den Unterverzeichnissen aus Tabelle
1. Das »Web«-Verzeichnis beziehungsweise
die darin liegende Datei »index.
php« ist der zentrale Einsprungspunkt der
neuen Webanwendung – sie steuert der
Benutzer mit seinem Browser an. Flow3
selbst steckt vollständig in »Packages/
Framework«, bei einem Update ist folglich
nur diesen Ordner zu aktualisieren.
Rechtsschutz
Während des Betriebs schreibt Flow3
immer wieder in einige seiner Verzeichnisse.
Folglich muss der Admin dem Benutzer,
unter dem der Webserver läuft,
entsprechende Schreibrechte einräumen.
Das allein reicht aber noch nicht aus:
Über ein Hilfsskript lässt sich Flow3 auch
über die Kommandozeile starten. Der
Anwendungsentwickler benötigt somit
ebenfalls Schreibrechte. Um all dies sicherzustellen,
wechselt man im Terminal
ins Unterverzeichnis »FLOW3‐1.0.0« und
startet das dort lagernde Skript »flow3«:
sudo ./flow3 core:setfilepermissionsU
tim www‐data www‐data
Dabei ist das erste »www‐data« jener Benutzer,
unter dem der Webserver läuft,
das hinterste »www‐data« dessen Gruppe
Inhalt
Konfigurationsdateien der Anwendung
Persistente und temporäre Daten: Cache, Logs, Ressourcen und Datenbank
Flow3 selbst
PHP-Dateien/​Pakete der eigenen Anwendungen
Öffentliches Webverzeichnis und Einsprungspunkt
und »tim« schließlich der Benutzername
des Anwendungsentwicklers. Der obige
Befehl ist für Ubuntu gedacht (Abbildung
2), XAMPP-Nutzer verwenden:
sudo /opt/lampp/bin/php flow3 U
core:setfilepermissions tim nobody nogroup
Dieser Befehl setzt aber nur die Dateirechte.
Es ist zudem sicherzustellen, dass
der Anwendungsentwickler auch in der
Benutzergruppe des Webservers steht.
Kickstart
Nun lässt sich mit dem Browser die URL
»http:// localhost/ FLOW3‐1. 0. 0/ Web« ansteuern.
Es dauert ein paar Sekunden,
bis Flow3 seinen Initialisierungsvorgang
abgeschlossen hat. Zumindest während
der Entwicklung sollte allen PHP-Skripten
mindestens 250 MByte Hauptspeicher
zur Verfügung stehen. Gegebenenfalls
muss man dazu das »memory_limit« in
der »php.ini« heraufsetzen. Hat die Initialisierung
geklappt, erscheint die Seite
aus Abbildung 3.
Wer Apache 2 mit aktiviertem »mod_
rewrite« einsetzt, bekommt sie jedoch
sehr wahrscheinlich nicht zu Gesicht –
das ist etwa in einer XAMPP-Umgebung
der Fall. Abhilfe schafft ein virtueller
Host, der zur Flow3-Installation führt.
Unter XAMPP fügt der Benutzer dazu der
Konfigurationsdatei »/opt/lampp/etc/
httpd.conf« die Zeilen aus Listing 1 hinzu:
Listing 1: »httpd.conf« für XAMPP
01 NameVirtualHost *:80
02
03
04 DocumentRoot /opt/lampp/htdocs/FLOW3‐1.0.0/Web/
05 ServerName beispiel.local
06

Titelthema
www.linux-magazin.de Flow3 01/2012
36
01 TYPO3:
02 FLOW3:
03 persistence:
Die Datei »/etc/hosts« erhält zusätzlich
folgende Zeile:
127.0.0.1 beispiel.local
Danach ist ein Neustart des Webservers
erforderlich, bevor unter »http:// beispiel.​
local« die gewünschte Seite zu sehen ist.
Erscheint die Seite aus Abbildung 3, ist
Flow3 einsatzbereit.
Packstation
04 backendOptions:
Alle PHP-Dateien und Ressourcen einer
Anwendung fasst Flow3 in Paketen (Packages)
zusammen. Jedes Paket erhält einen
eindeutigen Namen, den so genannten
Package Key. Er setzt sich aus dem
Firmennamen des Entwicklers und einem
frei wählbaren Paketnamen zusammen.
Möchte beispielsweise die Roxy GmbH
eine Verwaltung für Kinofilme erstellen,
könnte sie alle dazu gehörenden PHP-
05 driver: 'pdo_mysql'
06 dbname: 'filme' # Name der Datenbank
07 user: 'root' # Benutzer der Datenbank
08 password: 'geheim' # Passwort der Datenbank
09 host: '127.0.0.1' # Datenbank‐Host
01

Abbildung 4: Der automatisch erzeugte Standardcontroller liefert nur eine schlichte Textmeldung.
deren CMS nicht selbst an. Der Anwender
muss das per Kommandozeile tun:
mysql ‐u root
CREATE DATABASE filme;
exit
Unter XAMPP steckt »mysql« im Unterverzeichnis
»/opt/lampp/bin«. Sobald
die Datenbank existiert, erzeugt
./flow3 doctrine:migrate
darin alle von Flow3 benötigten Datenbanktabellen.
Model-Bau
Als Nächstes teilt der Anwendungsentwickler
Flow3 mit, welche Daten es in
der Datenbank unterbringen soll. Dazu
legt er ein passendes Model an. In Flow3
sind Models nichts anderes als einfache
PHP-Objekte. Die Filmverwaltung
braucht also nur eine Klasse, die die Daten
eines Films kapselt. Der Einfachheit
halber sollen das hier nur der Filmname
und eine Kurzbeschreibung sein.
Eine passende PHP-Klasse erzeugt das
»flow3«-Skript:
Demnach soll das Framework eine Klasse
»Film« anlegen, die zum Paket »Roxy.
Filme« gehört. Sie kapselt zwei Member-
Variablen namens »titel« und »beschreibung«,
die Zeichenketten aufnehmen
(»string«). Die Klasse »Film« liegt in der
Datei »/FLOW3‐1.0.0/Packages/Application/Roxy.Filme/Classes/Domain/Model/
Film.php«. Wie Listing 3 zeigt, besteht
sie nur aus den zwei Variablen nebst
Getter- und Setter-Methoden.
Normalerweise würde ein PHP-Entwickler
jetzt Datenbanktabellen einrichten
und sich dann überlegen, wie er die Informationen
aus den Variablen dort hineinprügelt.
Um all das kümmert sich
netterweise Flow3 – vorausgesetzt man
greift dem System ein wenig unter die
Arme. Dies geschieht durch so genannte
Annotationen, die in Kommentaren versteckt
sind. Sie geben Flow3 Informationen
über eine Klasse, eine Methode oder
ein Attribut.
Da PHP von Haus aus keine Annotationen
beherrscht, verwendet Flow3 seine
eigene Syntax. Gemäß dieser beginnen
Annotationen immer mit einem »@«. Das
»@var string« in Listing 3 etwa weist darauf
hin, dass die Variable »$titel« einen
String aufnimmt. Diese Information hilft
dem Framework später, eine passende
Datenbanktabelle zu erstellen.
Als Nächstes benötigt die Webanwendung
ein Repository, das ein Film-Objekt entgegennimmt
und in die Datenbank steckt
beziehungsweise dort herausholt. Flow3
verlangt, dass für jedes zu speichernde
Model ein eigenes Repository existiert.
Um eines anzulegen, muss man einfach
eine neue Klasse von »Repository« ableiten.
Auch diese Aufgabe übernimmt
auf Wunsch das »flow3«-Skript. Ein zum
»Film« passendes Repository erzeugt:
./flow3 kickstart:model Roxy.Filme FilmU
titel:string beschreibung:string
./flow3 kickstart:repository Roxy.Filme Film
Die generierte Datei »/FLOW3‐1.0.0/
Packages/Application/Roxy.Filme/Clas-
Tabelle 2: Verzeichnisstruktur
eines Package
Verzeichnis Inhalt
Classes/​ Alle PHP-Klassen
Configuration/​ Konfigurationsdateien
Documentation/​ Dokumentation
Meta/​ Metadaten beziehungsweise
grundlegende Informationen
über das Package
Resources/​ Weitere Ressourcen wie
Bilder und (Fluid-)Templates
Tests/​ Unit-Tests

Titelthema
www.linux-magazin.de Flow3 01/2012
38
01

ces/Private/Layouts/Default.html«. Sie
enthält den Grundaufbau einer jeden
Webseite, das so genannte Layout. Darin
könnte man beispielsweise ein Firmenlogo
einbinden, das dann auf allen Seiten
der Anwendung zu sehen sein würde. In
diesem einfachen Beispiel besteht das
Layout nur aus einer einfachen HTML-
Seite (Listing 6).
Flutschende Vorlagen
Die merkwürdigen, mit einem »

Titelthema
www.linux-magazin.de Node.js 01/2012
40
Anfragen an Webserver schneller beantworten mit Node.js
Ereignisorientiert
Die Javascript-basierte Programmierumgebung für Webentwicklung Node.js bändigt den Ressourcen-Hunger
von Echtzeit-Webanwendungen wie Onlinespielen oder Chatservern. Dank eines ereignisorientierten Ansatzes
kommt Node.js dabei mit einem Webserver-Thread pro Instanz aus. Peter Kreußel
zu haben, der den Fokus zurückholt,
wenn das Dateisystem oder die Datenbank
ihren Beitrag geleistet haben.
Schnellimbiss oder
Restaurant?
© fl0wer, photocase.com
Ein Webserver in Javascript? Manch erfahrener
Webserver-Administrator oder
Webprogrammierer mag bei dieser Vorstellung
zunächst den Kopf schütteln.
Doch genau das bringt das auf Googles
V8-Javascript-Interpreter aufsetzende
Node.js-Projekt [1] und glänzt dabei mit
überraschend positiven Ergebnissen.
Schneller serviert
Seit der ersten Präsentation durch seinen
Initiator Ryan Dahl auf der Jsconf Ende
2009 [2] hat Node.js viel Aufmerksamkeit
auf sich gezogen. Das liegt primär
sicherlich daran, weil das Projekt mit
dem Anspruch antritt, den im flotten
C programmierten Apache und andere
Webserver bei der Performance zu schlagen.
Die Software ermuntert Webanwendungen
dazu, ihren Webserver einfach
selbst mitzubringen. Admins und Programmierer
können dann komplett auf
Apache & Co. verzichten.
Seinen Geschwindigkeitsvorsprung erringt
Node.js nicht etwa dadurch, dass
der Webserver-Code schneller wäre, sondern
weil es mit den Wartezeiten der CPU
auf das langsamere Dateisystem oder die
Datenbank anders umgeht als konventionelle
Serversoftware.
Apache arbeitet mit mehreren Threads
oder Prozessen. Braucht eine Instanz
Daten von der Festplatte, so dreht sie
Däumchen, bis diese vorliegen. Parallel
ablaufende Serverinstanzen und der
Scheduler des Kernels kompensieren
das wieder teilweise. Node.js dagegen
kümmert sich darum selbst: Es arbeitet
nach dem Prinzip der ereignisorientierten
Programmierung und benötigt nur einen
Thread pro CPU, um die Rechenleistung
des Servers voll auszunutzen.
Muss der Thread auf externe Daten warten,
legt er seinen bisherigen Auftrag
einfach beiseite und wendet sich neuen
Aufgaben zu. Das macht er jedoch nicht,
ohne vorher einen Eventhandler gesetzt
Die Vorteile dieser Arbeitsweise erklärt
am besten der Vergleich zwischen einem
Schnellimbiss und einem konventionellen
Restaurant. In der Burgerbude ist eine
Bedienung so lange für einen Gast zuständig,
bis dieser sein Essen erhalten hat.
Da sie die Fleischklopse mit Brötchen in
der Regel nur auf das Tablett legen muss,
kommt es auch nur selten zu Leerlauf. In
der konventionellen Gastronomie dagegen
würde es zu exorbitanten Lohnkosten
führen, bliebe jeder Kellner bis zum Eintreffen
des Essens beim Gast. Die Küchenlatenz
ist hier einfach zu groß.
Daher nimmt die Bedienung dort eine
Bestellung auf, übermittelt sie der Küche
und wendet sich dann dem nächsten Gast
zu, statt zu warten, bis das Essen zubereitet
ist. Sie arbeitet nach dem Prinzip
der Event-Warteschlange. In wohlorganisierten
Gaststätten schaut der Kellner
auch nicht laufend in der Küche vorbei.
Vielmehr macht ihn üblicherweise der
Koch mit einem kleinen Glöckchen darauf
aufmerksam, dass ein weiteres Gericht
zum Servieren am Tisch bereitsteht,
ähnlich einer Event-Notification.
DELUG-DVD
DELUG-DVD
Auf der DELUG-DVD finden
sich alle Beispiele aus diesem Artikel als Javascript-Dateien.
In einer virtuellen Maschine
ist Node.js auf Ubuntu 11.10 Server vorinstalliert.
Zwei Beispielanwendungen (der Latenztest
und ein einfacher Chatroom) stehen dort
zum Test bereit, sie liegen in »/srv/node«.

In Javascript übernehmen Callbackfunktionen
und Eventhandler die Rolle des
Glöckchens. Das Javascript-Eventsystem
funktioniert ohne Polling, also ohne ständiges
Nachfragen in der Küche, ob das
Essen vielleicht schon fertig sei. Im Betriebssystem
kümmern sich überdies auch
der Kernel und sein Scheduler um eine
sinnvolle Aufgabenverteilung.
Javascript ist seit seinen Anfangsversionen
dafür ausgelegt, auf Benutzereingaben
zu reagieren. Jeder Webentwickler
kennt auf Mausaktivitäten bezogene
Events wie »onClick()«, an die sich nicht
nur eine, sondern beliebig viele Aktionen
andocken lassen. Das Node-Modul
»Events« funktioniert ähnlich [3]. Auch
das Observer-Design-Pattern (Abbildung
1, [4]), mit dem sich zur Laufzeit beliebig
viele Funktionsaufrufe an ein Ereignis anbinden
lassen, ist bereits eingebaut.
Ein weiteres Verfahren, mit dem sich Ereignisabfolgen
verketten lassen, sind die
Callbackfunktionen. Dabei erhält eine
Funktion eine weitere
als Parameter,
die sie aufruft, sobald
ein bestimmter
Zustand erreicht
ist. Callback-
Methode
funktionen lassen
sich in der funktionalen
Sprache
Javascript elegant
Methode
umsetzen, da der
Entwickler Funktionen
an Variablen
binden oder Lambda-Funktionen
direkt
als Parameter
übergeben darf.
Umständliche Hilfskonstrukte
wie die
Funktions-Pointer in C/​C++ sind daher
nicht mehr erforderlich.
Ein Beispiel für den Einsatz eines Eventhandlers
zeigt der Code der Hello-World-
Anwendung auf Nodejs.org​ (Lis ting 1),
»emitter.on()«
»emitter.on()«
»emitter.on()«
Methode
Event
Methode
»emitter.on()«
»emitter.on()«
»emitter.on()«
Methode
Methode
Abbildung 1: Beim Observer-Design-Pattern subskribieren sich mehrere Methoden
für ein Event. Tritt es ein, dann ruft die Laufzeitumgebung sie auf, ohne dass
sich der Entwickler weiter darum kümmern muss.
der sich ähnlich auch als Start- oder Bootcode
in komplexen Node.js-Anwendungen
findet. Die erste Zeile bindet das im
Lieferumfang von Node. js enthaltene Modul
»http« an die Variable »http«. Selbst
Node.js 01/2012
Titelthema
www.linux-magazin.de
41
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
nUr
MiT dVd!
Coupon senden an: Linux-Magazin Leser-Service A.B.O.
Postfach 1165, 74001 Heilbronn
JA,
ich möchte die nächsten 3 Linux-Magazin-Ausgaben für nur E 3*, statt
E 17,40*, testen. Wenn mich das Linux-Magazin überzeugt und ich 14 Tage
nach Erhalt der dritten Ausgabe nicht schriftlich abbestelle, erhalte ich das Linux-Magazin jeden
Monat zum Vorzugspreis von nur E 5,13* statt E 5,80* im Einzelverkauf, bei jährlicher Verrechnung.
Ich gehe keine langfristige Verpflichtung ein. Möchte ich das Linux-Magazin nicht mehr beziehen,
kann ich jederzeit schriftlich kündigen. Mit der Geld-zurück-Garantie für bereits bezahlte,
aber nicht gelieferte Ausgaben.
Name, Vorname
Straße, Nr.
PLZ
Ort
Datum
Unterschrift
Gleich bestellen, am besten mit dem Coupon
oder per
• Telefon: 07131 / 2707 274 • Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
Mit großem Gewinnspiel (Infos unter: www.linux-magazin.de/probeabo)
*Preis gilt für Deutschland
Mein Zahlungswunsch: Bequem per Bankeinzug Gegen Rechnung
BLZ
Konto-Nr.
Bank
Beliefern Sie mich bitte ab der Ausgabe Nr.
LM1124M

Titelthema
www.linux-magazin.de Node.js 01/2012
42
geschriebene Module (einfache
Java script-Dateien)
bindet der »require()«-Befehl
ein. Der Aufruf von
»http.createServer()« reicht
bereits aus, um einen Webserver
zu erzeugen (Abbildung
2).
Der an das von »create-
Server()« zurückgegebene
Serverobjekt direkt angeschlossene
»listen()«-Aufruf
schaltet den Webserver
für den lokalen Rechner
und Port 1337 scharf. Damit
der Server bei einem
eingehenden Request weiß,
was er zu tun hat, erwartet
er eine Callbackfunktion
wie »handler(request, response)«,
die er bei jeder eingehenden
Anfrage aufruft.
Der Requesthandler erhält als Parameter
das Requestobjekt, das die URL der Anfrage
und vom Server gesendete (POST)-
Daten enthält. Den Umgang damit erleichtert
das Node.js-Modul »querystring«
[6]. Die einfache Beispielanwendung
ignoriert jedoch das Requestobjekt und
sendet unabhängig von der Anfrage den
01 var http = require('http');
02 var handler = function (request, response) {
03 response.writeHead(200, {'Content‐Type':
'text/plain'});
04 response.write('Hallo, Leser!');
05 response.end();
06 };
Listing 1: »helloworld.js«
07 http.createServer(handler).listen(1337, "127.0.0.1");
08 console.log('Server running at
http://127.0.0.1:1337/');
Abbildung 2: Die virtuelle Maschine auf der DELUG-DVD zeigt die simple Beispielanwendung zur Latenzmessung aus Listing 2.
Text »Hallo, Leser!«. Dazu benutzt sie
»response«, also das zweite dem Requesthandler
vom Server übergebene Objekt.
Die aufgerufenen Methoden »write-
Head()«, »write()« und »end()« erklären
sich von selbst.
Gezieltes Warten
Stünde an der Stelle des statischen Textes
»Hallo, Leser!« dynamisch aufbereiteter
HTML-Code, so läge schon eine vollwertige
Node.js-Webanwendung vor. Doch
das Besondere an Node.js zeigt eine um
einen Haltepunkt erweiterte Version des
Requesthandlers (Listing 2). Bei ihr endet
der Request in Zeile 13 erst einmal unverrichteter
Dinge und gibt die Kontrolle an
die Node-Laufzeitumgebung zurück, die
auf weitere Anfragen wartet. Unabhängig
davon ruft 1000 Millisekunden später der
in Zeile 13 gesetzte Javascript-Timer ihn
mit der Zahl der gerade aktiven Anfragen
und vor allem mit dem »response«-Objekt
als Parameter erneut auf.
Statt dieses Timeouts steht in einer realen
Node-Anwendung normalerweise eine
Datenbankabfrage oder ein Befehl, der
eine größere Menge Daten vom Dateisystem
einliest. Genau wie der Timer-Befehl
würde dieser jedoch den Code, der die
Daten weiterverarbeitet, per Callback
aufrufen. Dieses »response«-Objekt zeigt
immer noch auf die Anfrage zum Zeitpunkt
des Aufrufs von »handler()«, egal
wie viele weitere Requests inzwischen
eingegangen sind. Das »EndRequest«-
Callback gibt nun einen »Content‐Type«-
Header sowie einen kurzen Text aus und
schickt ihn durch Aufruf der Methode
»end()« an den richtigen Client.
Die Demoanwendung aus dem Listing 2
findet sich ebenfalls auf der DELUG-DVD
dieses Magazins und lässt sich mit »node
Listing 2: »haltepunkt.js«
01 var parallelRequests = 0; //globaler Zähler
02 var http = require("http"); //importiere Node‐Modul http
03
04 //Callback beim Eintreffen eines Requests
05 var handler = function(request, response){
06 //Ausgabe auf der Konsole bestätigt Request
07 console.log("Request eingegangen bei " + new Date().getTime()/1000);
08 //Parallel‐Request‐Zähler erhöhen
09 parallelRequests++;
10 console.log(parallelRequests + " parallele Requests");
11
12 //Request wird erst in 1 Sekunde ausgeliefert (simuliert
Datenbank‐Latenz o.ä.)
13 setTimeout(EndRequest, 1000, parallelRequests, response);
14 }
15
16 //Wartezeit vorbei, Request kann ausgeliefert werden
17 var EndRequest = function(RequestCount, response){
18 response.writeHead(200, {"Content‐Type": "text/plain"});
19 response.write("Parallele Requests: " + RequestCount );
20 response.end();
21 //fertig, ein laufender Request weniger
22 parallelRequests‐‐;
23 }
24
25 //Server starten und auf Port 1337 scharf schalten
26 http.createServer(handler).listen(1337);

srv/node/latency.js« starten. Ein Aufruf
von »IP_der_virtuellen_Maschine:1337«
im Browser zeigt die Anzahl der wartenden
Request beim Eingang der Anfrage
an (Abbildung 2). Dies werden pro
Aufruf je zwei Anfragen sein, denn der
Browser fordert vor der eigentlichen Seite
auch die Datei »favicon.ico« für das Icon
in der Adressenleiste an.
Last erzeugen mit Ab
Das wiederholte Betätigen der Taste [F5]
im Browser sorgt nun für etwas Last auf
dem Server. Bei jedem eingehenden Request
meldet er sich an der Konsole mit
Zeitstempel und der Anzahl der noch
nicht abgearbeiteten Requests. Browser
vermeiden es jedoch, zu viele Requests
gleichzeitig an einen Server zu senden.
Für ernsthafte Last sorgt erst ein Webserver-Benchmark
wie das in praktisch
jedem Indianerpaket enthaltene Apache-
Benchmark-Binary »ab« [7].
Der Aufruf von »ab ‐n 10000 ‐c 1000
http://127.0.0.1:1337/« auf der Servermaschine
sendet zehnmal nacheinander 1000
gleichzeitige Anfragen an die Node.js-
Anwendung. Für Überblick über den
Speicherbedarf von Node sorgt der Aufruf
von »watch ‐n1 "ps u ‐C node"« in einer
zweiten Konsole.
Abbildung 3 zeigt, wie spielend Node.js
die bis zu 1000 gleichzeitigen Anfragen
bewältigt. Der vom Node-Binary belegte
Speicher erhöht sich von etwa 9 MByte
auf maximal 52 MByte und geht nach
dem Abarbeiten des letzten Requests
wegen der Garbage Collection in der
Javascript-Engine schlagartig wieder annähernd
auf den Wert vor dem Bombardement
zurück.
Im Vergleich zu mit Threads oder Prozessen
arbeitenden Webservern sind die
etwas mehr als 50 MByte Speicherkosten
für 1000 aufgestaute Anfragen lächerlich
gering, vor allem dann, wenn man bedenkt,
dass es hier nicht um statische,
sondern um mit einer Server-seitigen
Skriptsprache erzeugte Seiten geht. Dass
die einfache Beispielanwendung keine
große CPU-Last erzeugt, liegt natürlich
daran, dass sie außer zu warten keinerlei
Arbeit verursacht. Muss ein konventioneller
Webserver aber bei einer Anfrageflut
viele neue Instanzen inklusive
Skriptinterpreter starten, kostet dies einige
Prozessorzeit.
Die Beispielanwendung demonstriert eindrucksvoll:
Obwohl Node.js konstant in
nur einem Thread abläuft, nimmt es dank
seiner Event-gesteuerten Architektur sehr
effizient neue Anfragen entgegen, bevor
die alten abgearbeitet sind.
Ajax-Anwendungen
Das macht Node.js auch für die Admins
von Ajax-Anwendungen interessant. Solche
vom Browser initiierten, asynchronen
Serveranfragen sorgen seit 2005 für
immer komfortablere Webanwendungen.
Node.js 01/2012
Titelthema
www.linux-magazin.de
43
www.android–user.de

Titelthema
www.linux-magazin.de Node.js 01/2012
44
Neben Vorbehalten gegen Event-gesteuerte
Programmierung treffen Node.js
auch die Vorurteile gegen die Programmiersprache
Javascript, vor allem in Sachen
Geschwindigkeit. Doch der Sprachen-Benchmark
auf Debian-Alioth.org
[13] beweist, dass Googles V8-Interpreter,
den auch Node.js nutzt, verbreitete
Server-seitige Skriptsprachen wie PHP,
Perl oder Python bei vielen Tests mit
Leichtigkeit in die Tasche steckt. Wenn
Skripte in aktuellen Browsern immer
noch langsam ablaufen, liegt dies daran,
dass sie Manipulationen an einer HTML-
Seite vornehmen. Auf das Konto des Javascript-Interpreters
geht dabei nur ein
geringer Bruchteil der Laufzeit, den Löwenanteil
verschlingt die Rendering-Engine
des Browsers.
Oft gilt Javascript auch als Sprache mit
geringen Ausdrucksmöglichkeiten und
schlechtem Design. Und tatsächlich begehaltene
Anfragen
eignet. Die Requests
sind nicht an Threads
oder Prozesse gebunden,
sondern lediglich
an ein Javascript-Objekt,
das wenig RAM
belegt.
Ein gangbarer Weg für
einen Long-Polling-
Server auf der Basis
von Node.js ist es, jedem
eingehenden Pol-
Abbildung 3: Mit 1000 Anfragen pro Sekunde feuert »ab« auf die Node.js-
Anwendung aus dem Listing 2. Dabei bleibt die Speicherbelegung erfreulich ling-Request zunächst
niedrig und geht dank Garbage Collection auch schnell wieder zurück. einen Timer zuzuweisen,
nach dessen Ablauf
die Anwendung dem Client mitteilt,
Die reagieren im Idealfall fast so flott
auf Benutzereingaben wie Deskopprogramme.
Schwieriger umzusetzen ist Arrays speichern sowohl die Request-
dass keine Statusänderungen vorliegen.
dagegen das Echtzeit-ähnliche Reagieren objekte als auch die Zeiger auf aktive
auf Server-seitige Statusänderungen, weil Timer. Tritt dann eine Statusänderung
HTTP nämlich nicht für Server-Push-Verfahren
taugt.
und nutzt die Requestobjekte, um alle
ein, löscht die Anwendung die Timer
Nur mit zwei Workarounds können Webentwickler
kontern: Entweder fragt der Weil in diesem Szenario typischerweise
wartenden Clients zu benachrichtigen.
Client den Zustand des Servers in regelmäßigen
Abständen ab oder der Server erhalten, weicht die Performance nicht
alle Pollingclients die gleiche Nachricht
lässt den einmal geöffneten Polling-Request
so lange unbeantwortet, bis eine aus dem Listing ab.
allzu sehr von der der einfachen Demo
Statusänderung oder ein Timeout eintritt Auch die offizielle Beispielanwendung
(Long Polling Requests, Abbildung 4). des Node.js-Projekts, ein Chatserver [9],
demonstriert den effizienten Einsatz von
Kometenhaft
Long Polling. Auch dieses Chatprogramm
ist auf der Linux-Magazin-DVD enthalten,
es startet mit »cd /srv/node; node
node_chat/server.js«.
Das C10K-Problem
Doch auch konventionelle Webserver bieten
inzwischen Lösungsansätze für das
so genannte C10k-Problem (C10k steht
für 10 000 gleichzeitige Verbindungen).
Seit Version 6 von Ende 2006 stellt Jetty
[10] Webanwendung Methoden zur Verfügung,
die Requests von Serverinstanzen
trennt und in einen Speicher sparenden
Schlafmodus versetzt. Für den ohnehin
ereignisorientierten Webserver Nginx gibt
es ein HTTP-Push-Modul, das Message-
Queues direkt im Webserver umsetzt [11].
Anwendungen, die das nutzen, funktionieren
allerdings nur in Nginx.
Auch der Platzhirsch Apache nimmt sich
der Comet-Anwendung an: Das Multi-
Processing Module »event« durchbricht
die bisherige Koppelung einer Anfrage
Nur das zweite Verfahren macht wirklich
Echtzeit-nahe Reaktionen möglich.
Das in Amerika nach Ajax am häufigsten
verkaufte Putzmittel Comet hat den
Autor eines Blogposts, der die Technik
schon 2006 ausführlich beschrieben hat
[8], zum Projektnamen Comet inspiriert.
Aber auch die technisch genauere Bezeichnung
Long polling requests findet
sich häufiger in der Literatur.
Zwar funktioniert das Verfahren aus Sicht
des Clients problemlos, doch es stellt den
Server vor eine große Herausforderung:
Jeder eingeloggte Benutzer hält eine
Webserver-Instanz dauerhaft im Speicher,
in der Regel inklusive Laufzeitumgebung
für eine Programmiersprache. Der Zahl
der Anwender, die ein Thread-basierter
Server bedienen kann, sind damit klare
Grenzen gesetzt.
Anders Node.js: Listing 2 zeigt nämlich
auch, dass die ereignisorientierte Architektur
sich gut für viele simul tane, offenan
einen Thread oder Prozess. Bisher
kennzeichnen es die Apache-Entwickler
noch als experimentell, doch offenbar
wird sich dies spätestens mit der künftigen
Apache-Version 2.3 ändern [12].
Spaghetticode?
Bei Event-gesteuerter Programmierung
fällt unter Entwicklern oft das Schimpfwort
„Spaghetticode“, das auf die oft
unübersichtlichen Relationen zwischen
Events und zugeordneten Handlern anspielt.
Es ist auch nicht von der Hand zu
weisen, dass das Auslagern von logisch
direkt an die Datenbankabfrage anschließendem
Code in eine Callbackfunktion
die Struktur verkompliziert und die Wartung
erschwert.
Zumindest wenn eine Comet-Anwendung
identische Nachrichten an viele Clients
versendet, gilt aber das Gegenteil: Beim
klassischen Apache-Setup ohne MPM-
Worker ist jedem wartenden Client ein
Prozess zugeordnet. Tritt ein Ereignis ein,
über das alle Clients zu benachrichtigen
sind, müssen alle Forks identische Nachrichten
absenden, was nur mit Hilfe der
Interprozess-Kommunikation gelingt. In
Node.js-Anwendung genügt dagegen eine
Schleife, die über die zwischengespeicherten
Anfrage-Objekte iteriert.
Unterschätzt: Javascript

lastet Javascript seine Entwickler mit
Schwächen, die noch aus den übereilten
Releases zu Beginn des Browser-Kriegs
zwischen Netscape und Microsoft herrühren.
Im Kern handelt es sich aber
um eine flexible und mächtige Sprache,
die für funktionale wie auch objektorientierte
Programmierung taugt. Wer sich
von ihrem Potenzial überzeuge möchte,
sollte das freie Onlinebuch „Eloquent
JavaScript“ [14] konsultieren.
Einer der Gründe, Javascript als Sprache
für Node.js zu wählen, war seinen Entwicklern
zufolge, dass Javascript – ursprünglich
aus Sicherheitsgründen – nie
auf das Dateisystem zugreift. So ließ sich
eine Laufzeitumgebung kreieren, deren
Performance nicht von der I/​O-Last des
Systems abhängt.
Dabei dürfen die mit Node umgesetzten
Anwendungen selbstverständlich
auch auf Dateien zugreifen: Das Modul
»file system« kapselt die üblichen Posix-
Funktion. Praktisch alle seine Methoden
akzeptieren eine Callbackfunktion als Parameter
und laufen asynchron im Hintergrund
ab. So erlauben sie die Umsetzung
des Node-Credos: Der Codefluss endet
an jeder Stelle, an der die Software auf
externe Daten wartet. Erst eine Callbackfunktion
holt den Fokus zurück, sobald
das Einlesen abgeschlossen ist.
Weitere Node-Kernmodule sind das
bereits vorgestellte Modul »Http«, das
auch in einer Spielart für sichere Verbindungen
vorliegt (»Https«). »Net« öffnet
TCP- oder Unix-Sockets, »TSL« Open-
SSL-Verbindungen. DNS-Lookups sind
mit »Dns« möglich. Es gibt einen Debugger,
der Breakpoints setzt oder einen
Einzelschritt-Modus aktiviert.
»Cluster« startet mehrere Node-Instanzen,
um von Multiprozessorsystemen
zu profitieren. Bisher ist dazu ein expliziter
Aufruf im Programmcode erforderlich.
Informationen über die Anzahl
der Prozessoren liefert das Modul »Os«.
Nach Aussage des Node.js-Initiators
ist für künftige Node-Version auch ein
Kommandozeilen-Parameter »‐‐balance«
geplant, der den Anwendungscode von
dieser Aufgabe entbindet.
Wo sind die Tools?
Die Node.js-Pakete der meisten Distributionen
bringen das grundlegende Handwerkszeug
für des Erstellen von Webanwendungen
inklusive Webserver mit.
Viele Hilfsmittel, die Java-, PHP- oder
Ruby-Entwickler als Selbstverständlichkeit
betrachten, fehlen jedoch noch, zum
Beispiel die Datenbankanbindung, ein
Modell-View-Controller-Framework, ein
Template-System oder eine Bibliothek für
Standardaufgaben.
Wer sich jedoch im Github-Wiki des
Node-Projekts die Liste der externen Module
ansieht [15], stellt fest, dass in der
kurzen Lebensdauer von Node.js bereits
ein reiches Ökosystem an Erweiterungen
herangewachsen ist. Dort sind meh-
Node.js 01/2012
Titelthema
www.linux-magazin.de
45
Alles zum ThemA Android
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
Neu!
Kennenlernangebot:
3 AusgAben
für nur 3 euro
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Titelthema
www.linux-magazin.de Node.js 01/2012
46
rere Hundert Module gelistet, die viele
Themenbereiche wie das Einbinden von
MySQL, PostgreSQL oder SQLite und vieler
No-SQL-Datenbanken, Erzeugen von
Grafik- oder PDF-Dateien, Internationalisierung
oder XML-Parsing abdecken.
Rails, Python, Ruby
Selbst größere Frameworks wie Railwayjs
[16] oder Express-On-Railway [17], die
beide einen Teil der Rails-Features nach
Node.js portieren, gibt es bereits. Dafür,
dass sich Module samt Abhängigkeiten
bequem installieren lassen, sorgt der Paketmanager
Npm [18], der sich als Quasi-
Standard für Node.js etablierte.
Node.js ist nicht das einzige Webframework,
das den so genannten Reactor-
Design-Pattern für die Server-seitige
Programmierung in einer Skriptsprache
nutzbar macht. Bereits seit 2002 existiert
das Python-Projekt Twisted [19], das wie
Node.js eine Event-orientierte Architektur
aufweist und wie dieses das Erstellen
eines Webservers mit wenigen Zeilen
Code erlaubt. Zu den Twisted-Nutzern
zählen Canonical, das die Software für
Launchpad und Ubuntu One einsetzt,
und Lucasfilm, das damit die firmeneigene
Render-Farm optimiert.
Auf Rubyforge gibt es seit April 2006 mit
Eventmachine [20] eine Bibliothekskomponente
mit ähnlicher Zielsetzung.
Sowohl Twisted als auch Eventmachine
eignen sich nicht nur für Server-, sondern
auch für Client-Komponenten, doch laufen
diese Python- oder Ruby-Anwendung
nicht in einem Webbrowser.
Anwendungsbeispiel
Ein Anwendungsfall, bei dem es auch
viel Arbeit spart, den gleichen Code auf
dem Server und im Browser nutzen zu
können, sind beispielsweise Client-seitige
Plausibilitätschecks für Benutzereingaben.
Hier prüft eine in Javascript
geschriebene Programmlogik die Werte,
die der Benutzer in ein Formular eingegeben
hat, ohne sie vorher zum Server
abzuschicken. So informiert sie den Anwender
bei ungültigen Eingaben in Sekundenbruchteilen,
ohne den Server zu
beanspruchen. Aus Sicherheitsgründen
muss der Server die Werte aber dennoch
ein zweites Mal überprüfen. Mit Node.js
ist es hier aber immerhin möglich, den
Prüfcode beim Client und auf dem Server
erneut zu verwenden.
Ein Nachteil von Node.js ist seine Jugend:
Die Software bringt ein API, das
sich nach Angaben der Entwickler „noch
stark im Fluss“ befindet. Dass im Moment
existierende Anwendungen oft
nicht mit der aktuellen Node.js-Version
funktionieren, bekam auch der Autor des
Linux-Magazins bei der Suche nach geeigneter
Testsoftware zu spüren.
Hohe Performance trotz
komplexer Struktur
Javascript und die hochperformante V8-
Engine eignen sich allen Vorurteilen zum
Trotz ausgezeichnet für die ereignisorientierte
Server-seitige Programmierung.
Bei Comet-Anwendungen bietet Node.js
überragende Performance. Da diese Technik
einen Echtzeit-nahen Server-Push erlaubt,
lassen sich mit ihr Anwendungen
für Online-Kooperation, ‐Kommunikation
und ‐Spiele effizient umsetzen.
Die schiere Zahl der Bibliotheken und
Frameworks, die seit 2009 aus dem Boden
geschossen sind, überrascht und
spiegelt das rege Interesse wieder, das
Webentwickler der interessanten neuen
Anfrage 1 Antwort 1
Anfrage 2 Antwort 2
Anfrage 3 Antwort 3
Anfrage an HD HD liefert Daten Anfrage an DB DB liefert Daten Timeout
Abbildung 4: Comet-Anwendungen reagieren dank Long-Polling-Requests in Echtzeit auf Server-Ereignisse.
Dabei beantwortet der Server die Polling-Anfrage des Clients so lange nicht, bis entweder eine bestimmte
Laufzeit überschritten ist oder eine Nachricht für die Clients vorliegt.
Technik entgegenbringen. Bausätze mit
einem Umfang wie Spring, Symfony,
Rails oder Django sind allerdings noch
nicht darunter.
Node.js wird es kaum gelingen, Platzhirsche
wie Java, PHP, Ruby, Python oder
Perl aus dem Feld zu schlagen, denn
als Manko bleibt die durch die Ereignisorientierung
verursachte komplizierte
Codestruktur. Dafür kann die junge, aufstrebende
Entwicklungsumgebung als Alleinstellungsmerkmal
für sich verbuchen,
dass sie viele Tausend Long-Polling-Requests
ohne großen Speicherverbrauch
verkraftet. (mfe)
n
Infos
[1] Node.js: [http:// nodejs. org]
[2] Ryan Dahls Node.js-Vortrag:
[http:// jsconf. eu/ 2009/ video_nodejs_by_
ryan_dahl. html]
[3] Events in Node.js: [http:// elegantcode.​
com/ 2011/ 02/ 21/ taking‐baby‐steps‐with
-node‐js‐implementing‐events/]
[4] Observer-Design-Pattern:
[http:// de. wikipedia. org/ wiki/​
Observer_%28Entwurfsmuster%29]
[5] Libevent: [http:// libevent. org]
[6] Node Modul Query Strings: [http:// nodejs.​
org/ docs/ v0. 6. 1/ api/ querystring. html]
[7] Apache-Benchmark AB: [http:// httpd.​
apache. org/ docs/ 2. 0/ programs/ ab. html]
[8] Blogpost, der den Begriff Comet prägte:
[http:// infrequently. org/ 2006/ 03/ comet
‐low‐latency‐data‐for‐the‐browser/]
[9] Chat-Demo des Node.js-Projekts:
[http:// chat. nodejs. org]
[10] Jetty: [http:// jetty. codehaus. org/ jetty/]
[11] Nginx-Push-Modul:
[http:// pushmodule. slact. net]
[12] Mod_event in Apache 2.3: [http:// httpd.​
apache. org/ docs/ trunk/ mod/ event. html]
[13] Programmiersprachen-Shootout:
[http:// shootout. alioth. debian. org]
[14] „Eloquent JavaScript“:
[http:// eloquentjavascript. net]
[15] Node-Module: [https://​ github. com/​
joyent/ node/ wiki/ modules]
[16] Railwayjs: [http:// railwayjs. com]
[17] Express-On-Railway: [https:// github. com/​
1602/ express‐on‐railway]
[18] Npm: [http:// npmjs. org]
[19] Twisted: [http:// twistedmatrix. com/ trac/​
wiki/ TwistedProject]
[20] Eventmachine:
[http:// rubyeventmachine. com]

„Engpässe
bei Festplatten?
Für uns
kein Thema!“
Thomas Wilhelm,
Purchasemanager
Thomas Krenn kann liefern!
Trotz Lieferengpässen haben wir uns umfassend mit Festplatten bevorratet und können bis Ende des Jahres liefern.*
* Nur in Verbindung mit dem Kauf eines Servers
Thomas Krenn steht für Server made in Germany. Wir
assemblieren und liefern europaweit innerhalb von 24
Stunden. Unter www.thomas-krenn.com können Sie
Ihre Server individuell konfi gurieren.
Unsere Experten sind rund um die Uhr für Sie unter
+49 (0) 8551 9150-0 erreichbar
(CH: +49 (0) 848207970, AT +43 (0) 7282 20797-3600)
Informieren Sie sich unter: www.thomas-krenn.com/festplatten_liefern
Made in Germany!
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung vorbehalten.
Unsere Versandkosten richten sich nach Gewicht und Versandart. Genaue Preisangaben finden Sie unter: www.thomas-krenn.com/versandkosten. Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung

Titelthema
www.linux-magazin.de Websicherheit 01/2012
48
Gute Vorhersagbarkeit bedeutet schlechte Sicherheit
Seltener Zufall
Während Linux-Magazin-Autor und Modellbahn-Fan Tobias Eggendorfer die Website eines Ausflugsziels hackt,
macht sich der Informatikprofessor Gedanken über die Vorhersagbarkeit von Zufällen, PHP-Funktionen und
Kreditkartennummern. Tobias Eggendorfer
© Chris Baker, 123RF.com
Die liebevoll gestaltete Modelleisenbahn-
Landschaft „Miniatur Wunderland“ [1] in
Hamburg erfreut ihre Besucher so sehr,
dass es Tage gibt, an denen diese stundenlang
auf Einlass warten müssen. Wer
das nicht riskieren will, reserviert vor her
über die Webseite eine Uhrzeit (Abbildung
1), zu der er über eine Fast-Lane
direkt zur Kasse vordringen darf. Klar,
dass gute Termine ruck, zuck ausgebucht
sind. Eines Abends überlegte ich mit einem
Gast, am nächsten Tag ins Miniatur
Wunderland zu gehen. Doch die Wartezeitprognose
betrug gruselige zwei Stunden,
und auf der Webseite waren die für
uns nützlichen Timeslots rot.
Ein paar Klicks auf Links mit grünen
Zeiten zeigten mir jedoch, dass die URL
neben dem Wunschdatum auch ein Feld
»time« übergibt, das augenscheinlich
keine Uhrzeit ist (Abbildung 2). Meine
erste Vermutung war, dass »time« einfach
ein Index in der Liste der Timeslots ist.
Also probiere ich einen nicht legitimen
Link für die Zeit 13 bis 14 Uhr zu erzeugen,
obwohl die Auswahlseite den Slot
rot und nicht mehr reservierungsfähig
anzeigt. Tatsächlich: Anders als die Auswahlseite
prüft die Reservierungsseite die
Verfügbarkeit eines Slots nicht. Errate ich
also den Index, kann ich für jede Zeit –
grüne wie rote – reservieren.
It’s »time« to say hello!
Am nächsten Tag, pünktlich 13 Uhr im
Miniatur Wunderland, durften mein Gast
und ich tatsächlich die Fast-Lane passieren
– freie Bahn im Hacker-Wunderland.
Nach unserer Rückkehr überkam mich
abermals die Neugier. Denn der Index
wies einen seltsamen Offset auf, außerdem
wollte ich das Error-Handling noch
etwas auf die Probe stellen. Also wählte
ich einen Index, der sicher nicht vorgesehen
ist: 100 (Abbildung 3).
Dabei zeigt sich, dass der Wert gar kein
Index ist, sondern einfach das Doppelte
der Anfangszeit des Timeslots. Für ungerade
Werte ergibt sich der Einlass zur
halben Stunde. Nach einem bisschen Experimentieren
erkenne ich, dass die Anwendung
»time« als Signed-64-Bit-Integer
ablegt. Denn bei „Zeiten“ größer als etwa
9 Trillionen (2 63 ) und für negative Werte
erscheint die kuriose Fehlermeldung »Hacking
attempt, script execution stoped!«.
Die Anwendung checkt offenbar auch
das Datum nicht, weil ich für längst vergangene
Tage reservieren darf.
Was haben die Programmierer falsch gemacht?
Wirksam wäre, wenn ihre Bestätigungsseite
den Timeslot und das Datum
abermals prüfen würde. Wenn sie das
nicht wollen oder können, müssten sie
zumindest verhindern, dass der Link für
Dritte vorhersagbar ist. Dafür sollten die
Entwickler jedem Zeitslot eine für die jeweilige
Sitzung zufällige, aber eindeutige
ID zuordnen. Der Aufwand, diese ID auf
der Zielseite zu überprüfen, gleicht aber
wohl dem, die Verfügbarkeit des Timeslots
erneut zu prüfen.
PHP-Session-ID
Apropos Sitzung: Das Miniatur Wunderland
vergibt eine PHP-Session-ID, wohl
um das Surfverhalten der Nutzer zu verstehen.
Im Hinblick auf den Datenschutz
darf man das kritisch sehen, aber auch
im Hinblick auf Vorhersagbarkeit liefern
Session-IDs ein Beispiel – zumindest bis
PHP 5.3.1, wie Samy Kamkar [2] auf der
Blackhat 2010 [3] zeigte.
Miniatur Wunderland nutzt PHP 5.2.6,
wie ich im HTTP-Header mit Firebug
[4] herausfinde (Abbildung 4). Damit
sind die Session-IDs vorhersagbar, auch

Abbildung 1: Wer vor dem Wunderland nicht warten will, reserviert sich seine Einlasszeit im Vorhinein.
wenn der dadurch anrichtbare Schaden
überschaubar bleibt. Zum Demonstrieren
des Angriffsprinzips eignet sich die
Site allerdings schön: Jede Session bekommt
eine zufällige, aber eindeutige ID
zugewiesen. Ein Blick in die Funktion
»php_session_create_id()« im PHP-API
zeigt, dass die ID als Ausgangswert den
aktuellen, Mikrosekunden-genauen Unix-
Zeitstempel, die IP des Clients und einen
Zufallswert beinhaltet. Das Konstrukt ist
148 Bit lang. Zum Tarnen wendet PHP
auf diese Bitfolge eine Hashfunktion an,
was auf die Zufälligkeit allerdings keine
Auswirkung hat.
Die IP des entfernten Rechners ist leicht
zu ermitteln, am einfachsten, indem man
das Opfer über einen Linkverkürzer wie
Tinyurl oder Bit.ly auf eine eigene Seite
lotst und in die Zugriffslogs des Webservers
schaut. Damit sind schon 4 Byte,
also 32 Bit der ID bekannt.
Samy Kamkar möchte die Session-IDs in
sozialen Netzen ausspähen. Er schlägt
NEU! AUCH IN
DER SCHWEIZ
Abbildung 2: Gute Zeiten, schlechte Zeiten: Wer sich an die Regeln hält, klickt in der PHP-Applikation einen
Link an und kann einen Platz für die Fast-Lane reservieren.

Titelthema
www.linux-magazin.de Websicherheit 01/2012
50
Abbildung 3: 50 bis 51 Uhr? Im Wunderland hat der Tag offenbar mehr als 24 Stunden.
vor, sich einfach mit dem Adressaten des
Angriffs virtuell zu befreunden, dann
sähe man die Einlogzeit – den zweiten
Bestandteil der Session-ID. Gangunterschiede
zur lokalen Uhr lassen sich anhand
des HTTP-Headers (Abbildung 4)
erkennen. Dank der Zeit sind weitere
4 Byte der Session-ID bekannt – fehlen
noch 84 Bit. Den größten Teil macht ein
64 Bit große Zufallswert aus, den die
Funktion »php_combined_lcg()« liefert.
Die prüft zunächst, ob der Zufallszahlengenerator
schon initialisiert ist.
Pseudo ist eben nicht echt
Pseudozufallszahlen werden durch ein
Berechnungsschema ermittelt, im Fall
des hier verwendeten LCG-Algorithmus
(linearer Kongruenzgenerator) handelt
es sich um eine rekursiv definierte Folge
X n+1 =(aX n +c) mod m. Jeder Zufallswert
X n+1 hängt also vom vorherigen
Zufallswert X n ab. Darum wird die Folge
vorhersagbar, sobald ihr Startwert bekannt
ist, denn die Parameter a (Faktor)
und m (Modul) sind konstant.
Die Kunst ist es, einen nicht vorhersagbaren
Startwert zu finden. In PHP erledigt
dies »lcg_seed()« (Listing 1). Die Funktion
setzt den 64 Bit langen Startwert aus zwei
gleich langen Teilwerten »s1« und »s2«
zusammen. »s2« bildet die Prozess-ID des
Webservers ab, deren Wertebereich in
der Praxis die theoretischen 32 Bit nicht
mal annähernd ausnutzt. Der Standard-
Linux-Kernel begrenzt ihn in »threads.h«
auf 16 Bit. Viele Systeme vergeben die
PIDs sogar aufsteigend, andere reservieren
einen relativ kleinen Bereich. Lässt
das Zielsystem gar eine PHP-Injection zu,
würde »getmypid()« die Webserver-PID
sogar genau ausgeben.
Auch »s1« nutzt nicht die vollen 32 Bit
aus: Listing 1 verknüpft die Unix-Epoche
(t1) mit den logisch negierten Mikrosekunden
(t2) per XOR, also s1=t1
XOR (NOT t2). Doch ist t2 stets kleiner
1000 000. Damit ändern sich nur die niederwertigsten
20 Bits von t2, die anderen
sind stets 0 (invertiert dann 1). Somit
lassen sich die oberen 12 Bits direkt aus
der Systemzeit ermitteln.
Der genaue Startzeitpunkt des Prozesses
ist in einem Zeitfenster von 2 20 Sekunden
(rund 12 Tage) unerheblich. Denn
praktischerweise startet Apache Instanzen
nach einer bestimmten Anzahl von
Anfragen neu. Das bedeutet, dass mit
einer ausreichend hohen Wahrscheinlichkeit
ein solcher Neustart innerhalb der
letzten zwölf Tage stattfand – t2 ist also
nicht mehr signifikant.
Die niederwertigen 20 Bits von »s1« verbleiben
als einzige Unbekannte. Das sind
ausreichend wenig Werte, um sie durch
einen Brute-Force-Angriff zu ermitteln.
Samy Kamkar hat dafür ein kleines Beispielprogramm
[5] geschrieben und ein
Patch für PHP 5.3.1 eingereicht, das dann
in PHP 5.3.2 eingeflossen ist und sogar
nach 5.2.13 zurückportiert wurde.
Die Alternative
Tatsächlich weist die neue Version in
Listing 2 eine höhere Entropie auf: Zum
einen verschiebt die Zeile 7 für »s1«
die gelieferten Mikrosekunden um 11
Listing 1: »lcd_seed()« von PHP 5.3.1
01 /* Auszug aus ext/standard/lg.cm, gekürzt um
einige IFDEFs */
02
03 static void lcg_seed(TSRMLS_D)
04 {
05 struct timeval tv;
06 if (gettimeofday(&tv, NULL) == 0) {
07 LCG(s1) = tv.tv_sec ^
(~tv.tv_usec);
08 } else {
09 LCG(s1) = 1;
10 }
11 LCG(s2) = (long) getpid();
12 LCG(seeded) = 1;
13 }
Listing 2: »lcd_seed()« von PHP 5.3.8
01 /* Auszug aus ext/standard/lg.c, gekürzt um
einige IFDEFs */
02
03 static void lcg_seed(TSRMLS_D)
04 {
05 struct timeval tv;
06 if (gettimeofday(&tv, NULL) == 0) {
07 LCG(s1) = tv.tv_sec ^
(tv.tv_usec

Bit nach links, was genau den Teil der
Epoche maskiert, der sich am wenigsten
stark ändert. Auf diese Weise schließt
sich das oben abgeschätzte Zwölf-Tage-
Fenster. Zum anderen fragt Zeile 14 die
Systemzeit ein zweites Mal ab, um die
Mikrosekunden als Verschiebungsparameter
für »s2« zu gewinnen.
Kreditkartennummer erraten
Laut einer Google-Suche, also der landläufigen
Meinung, lassen sich Kreditkartennummern
nicht erraten. Diner’s Club vergibt 14-stellige
Kartennummern, American Express 15-stellige
und Visa und Mastercard nur noch 16-stellige.
Damit ergeben sich 10 14 bis 10 16 Möglichkeiten
für Kartennummern – theoretisch.
In der Praxis schränkt die Anatomie der Nummernvergabe
den Wertebereich ein: Die erste
Ziffer gibt den Schwerpunkt der Industriebranche
an, der die Karte angehört. So sind Visa und
Mastercard echte Banken und starten mit den
Ziffern 4 und 5, während American Express aus
der Reisebranche stammt und die 3 trägt.
Die ersten sechs Stellen einer Kreditkartennummer
geben an, welche Bank die Karte ausgegeben
hat. Zudem enthalten sie oft einen
Hinweis auf die Kartenart. So lässt sich bei
American Express an den ersten Ziffern ablesen,
aus welcher Region die Karte stammt und
welcher Kartenlevel assoziiert ist. Eine deutsche
American Express beginnt mit 3750 [10],
eine Platinum mit 37508. Bei Lufthansa sind in
der Banknummer meinen Informationen zufolge
der Status des Kunden und die Art der Karte
(mit/​ohne Businesspaket) kodiert.
Die darauf folgenden Positionen, mit Ausnahme
der letzten, geben die bankinterne Kundennummer
wieder. Eine Besonderheit konnte ich bei
American Express beobachten: Dort markieren
die Stellen 12 bis 14, ob es sich um die Partneroder
Hauptkarte handelt. Hauptkarten scheinen,
sofern es Partnerkarten gibt, stets 300 als
Wert zu haben. Partnerkarten tragen den Wert
»10Fortlaufende_Nummer_der_Partnerkarte«.
Andere Banken vergeben die interne Kundennummer
offenbar auch nach einem Schema, das
einfachste dürften aufsteigende Nummern sein.
Die Prüfsumme
Die letzte Zahl der Kreditkartennummer ist eine
Prüfziffer, um Übertragungsfehler zu entdecken.
Sie errechnet sich nach dem sehr einfachen
Luhn-Algorithmus, der von rechts kommend jede
zweite Stelle mit 2 multipliziert. Sollte das
Ergebnis größer 9 sein, wird 9 subtrahiert. Aus
diesen Ziffern und den verbleibenden Stellen
entsteht die Summe. Ist sie durch 10 rest los
teilbar, ist die Kartennummer gültig.
Durch die Gewichtung der benachbarten Stellen
sind Zahlendreher sofort offensichtlich, die
Sicherheit einer kryptographischen Prüfsumme
Zugleich versuchen die PHP-Macher mit
dieser Maßnahme auch die Zufälligkeit
von »s2« zu erhöhen. Das erscheint allerdings
wenig weise, denn der Wert wird
sich zwischen den beiden kurz aufeinanderfolgenden
Aufrufen nicht wesentlich
ändern, vermutlich nur in den niederwertigsten
4 bis 5 Bit.
ist jedoch nicht zu erreichen. Die Prüfsumme
eignet sich für einen Schnellcheck, ob eine Kreditkartennummer
gültig ist. Darum überrascht
es nicht, dass es im Netz eine Vielzahl von Kreditkartengeneratoren
gibt, die für diesen ersten
Test plausible Nummern erzeugen.
Sternchen an verschiedenen Stellen
Onlineshops verkürzen eine Kreditkartennummer
bei der Ausgabe, um den Klau der Kartendaten
zu erschweren. Amazon gibt nur die
letzten vier Stellen und den Typ der Karte aus,
American Express nennt in Kunden-E-Mails und
beim Onlinebanking die letzten fünf. Samsonite
schreibt in die Bestellbestätigung die ersten
vier und letzten beiden Ziffern. Bei Sixt finden
sich die ersten vier und die letzten vier Stellen.
Auf Tankbelegen sehe ich eigentlich alle weiteren
Varianten. Einen Hochgenuss bereitete mir
neulich ein Onlineshop, der alle – bis auf die
letzte Stelle der Kartennummer – offen listet.
Aller Anfang ist leicht
Zwar shiftet Zeile 15 diese Mikrosekunden
wieder um 11 Bit nach links, der
Bereich ist aber maximal 16 Bit lang, auf
Standardsystemen ohne Randomisierung
der Prozess-ID eher 11 bis 12 Bit. Damit
wird nur das oberste Bit der PID maskiert.
»s2« ist nun immerhin nicht mehr
zur Hälfte mit Nullen gefüllt, ähnelt dafür
In Kenntnis dieser Umstände kommen Angreifer
wieder ein Stück weiter: Ist die letzte Ziffer
bekannt, begrenzt sie den Wertevorrat aller
anderen Stellen. Wäre nur eine Stelle unkenntlich,
so lässt sich die sofort herleiten. Bei zwei
versternten Stellen erwartet man 100 Ratemöglichkeiten,
tatsächlich sind es nur neun. Beispiel
American Express: Die Kartennummer hat 15
Stellen, die letzten fünf Stellen, verrät American
Express freiwillig, lauten 71047. Die ersten
vier sind auch bekannt: 3750. Damit bleiben
noch sechs zu ratende Stellen.
Wer den Kartennutzer mal beobachtet hat, kennt
die Farbe der Karte und damit deren Level. Alternativ
lässt sich an der 104 erkennen, dass
es sich um eine Partnerkarte handeln könnte
– und es gibt nur wenige Kartenlevel, die vier
Partnerkarten erlauben. Damit bleiben fünf offene
Stellen. Statt der spontan zu erwartenden
100 000 Möglichkeiten gibt es hier nur 5904
gültige Kartennummern. Das lässt sich logisch
herleiten oder auch empirisch bestimmen.
In einem Restaurant neulich tarnte der Beleg
des Bezahlterminals gerade mal die letzten drei
Stellen von American Express. Die viert letz te
macht klar, dass es sich um eine Partnerkar te
handelt. Damit sind die Werte der beiden vorletzten
Stellen begrenzt. Die letzte Stelle errechnet
sich nach Luhn. Damit sinken die Variationsmöglichkeiten
von den sowieso schon mageren
10 3 auf eine (Partnerkarten sind durchnummeriert).
Hier wird jeder Schuss ein Treffer.
Wer es selbst probieren möchte, findet in Listing
3 ein kleines Programm, das abhängig von den
bekannten, also fixierten Stellen (»1« im Array
»fixed«) einer beliebigen Kartennummer alle
möglichen gültigen Kartennummern mit der
gleichen Prüfsumme ermittelt. Der Algorithmus
ist bewusst simpel gestaltet und iteriert
rekursiv durch alle Kombinationen.
Etwas Mathematik
Mit mehr Energie lässt sich erkennen, dass aufgrund
der Struktur der Prüfsumme bestimmte
Permutationen über einen Treffer auch Treffer
sein müssen. Die Nummern darf ein weiterer
Durchlauf ausblenden. Außerdem lassen sich
zwei benachbarte Ziffern tauschen, wenn man
sie geeignet verdoppelt oder halbiert. Mathematisch
handelt es sich eigentlich um ein
(stark) unterbestimmtes, nicht homogenes lineares
Gleichungssystem. Darum lassen sich aus
einer Lösung weitere direkt herleiten.
Die Konsequenz
Gelingt es einem Angreifer, über mehrere Shops,
Belege oder E-Mails verschiedene Teile einer
Kreditkartennummer zu ermitteln, reduziert er
so die Anzahl der möglichen Varianten. Kennt
er zudem den Kartentyp (siehe oben), schränkt
das den Wertevorrat weiter ein. Besonders effektiv
sind die Akzeptanzstellen, die die letzte
Ziffer, die Prüfziffer, nicht ausblenden, was für
fast alle Onlineshops gilt.
Die beste Lösung wäre, wenn alle Shops die
Prüfziffern „versternen“ würden. Angreifern
macht es zudem das Leben schwer, wenn Zahlen
aus dem mittleren Bereich, also nach der sechsten
Ziffer, getarnt bleiben. Für weiter vorne
stehende Ziffern lohnt der Aufwand nicht, die
sind sowieso leicht ermittelbar.
Für einige Karten konnte ich schon Informationen
zum Aufbau ermitteln, doch ist das nur ein
überschaubarer Vorrat. Um weiter zu recherchieren,
würde ich mich freuen, wenn an dem
Thema Interessierte mir von eigenen Erkenntnissen
berichten. Insbesondere interessieren
mich bankinterne BIN-Konstruktionen analog zu
den Beispielen Lufthansa und American Express
sowie Besonderheiten innerhalb der Kundennummer,
wie bei Amex-Partnerkarten.
Websicherheit 01/2012
Titelthema
www.linux-magazin.de
51

Titelthema
www.linux-magazin.de Websicherheit 01/2012
52
01 #!/bin/perl
aber S1 ziemlich, was theoretisch Raum
für neue Abschätzungen gibt. Sinnvoller
wäre es, eine andere schwer vorhersagbare
Zufallsquelle für »s2« heranzuziehen,
statt ein zweites Mal die Systemzeit.
Auf Linux-Systemen steht mit »/dev/random«
bereits ein sehr guter Zufallsdatengenerator
zur Verfügung.
GCC macht’s jetzt besser
Zufällig war der Zufall gerade erst Ende
September 2011 bei GCC ein Thema, als
Andi Kleen ein Patch [6] für den Compiler
vorschlug, das das Seeding des GCC-
Zufallszahlengenerators verbessert. Denn
der initialisiert sich bis heute mit einer
Mischung aus Prozess-ID und Systemzeit.
Kleen fiel dieses Problem auf, als
er in einer massiv parallelen Umgebung
eine unzureichende Zufallszahlenqualität
diagnostizierte.
Er schlägt als Verbesserung vor, »/dev/
urandom« – sofern verfügbar – als Quelle
für den Seed zu verwenden. Dabei bleibt
jedoch ein kleines Zufalls-Restrisiko:
02 @cc = (3,7,5,0,8,1,2,3,4,5,7,1,0,0,7);
03 @fixed = (1,1,1,1,1,1,0,0,0,0,1,1,1,1,1);
04
05 sub test_rekursiv
06 { my ($stelle, @ccnum) = @_;
07 my ($val, $pos, $summe);
08 if ($stelle < $#ccnum)
09 { if ($fixed[$stelle] == 1)
10 { test_rekursiv($stelle + 1, @ccnum);
11 }
12 else
13 { for ($val = 0; $val < 9; $val++)
14 { $ccnum[$stelle]=$val;
15 test_rekursiv($stelle +1, @ccnum);
16 }
17 }
18 }
19 else
Listing 3: Kartennummer raten
20 { for ($summe=0, $pos=0; $pos 9) ? $ccnum[$pos]*2‐9 :
$ccnum[$pos]*2);
22 }
23 if (($summe % 10) == 0 )
24 { print "Gueltige Nr: @ccnum\n";
25 }
26 }
27 }
28
29 test_rekursiv(0, @cc);
Abbildung 4: Wer nicht an der Konsole per Telnet HTTP tippen will, nutzt zum Beispiel das Analysetool Firebug,
um dem fremden Server seine Versionsdaten abzuluchsen.
Während »/dev/random« nur Zahlen liefert,
solange sein Vorrat an durch Sys temereignisse
gefütterten Zufallsdaten ausreicht,
emittiert »/dev/urandom« immer
Zahlen. Deshalb könnte »/dev/random«
blockieren und so den zugehörigen Prozess
zum Stillstand bringen, bis wieder
zufällige Ereignisse anfallen. Das ist für
viele Anwendungen nicht tolerierbar,
weshalb sich ein Ausweichen auf »/dev/
urandom« empfiehlt. Damit sinkt zwar
geringfügig die Zufälligkeit, allerdings ist
das Eintreten des Effekts für den Angreifer
nicht vorhersagbar.
Bind und Open SSL binnen
eines Jahres im Visier
Ein Pseudozufallszahlen-Generator erwies
sich 2008 auch als Ursache für DNS-
Poisoning-Angriffe auf verschiedene
BSD-Unixe, darunter Open BSD und Mac
OS X [7]. Seit 1997 war bekannt, dass
vorhersagbare, aufsteigende DNS-Anfragen-IDs
ein Sicherheitsrisiko darstellen.
Open BSD hatte darum damals schon
einen Zufallszahlengenerator in seine
Bind-Variante integriert, dabei aber – neben
einem statischen UDP-Port – übersehen,
wie stark der LCG-Algorithmus vom
Startwert abhängt und wie wenig er sich
für sichere Anwendungen eignet. Es gibt
wesentlich bessere, kryptographisch sichere
Zufallszahlengeneratoren.
Ebenfalls 2008 erwischte es die Open-
SSL-Implementierung von Debian mit
einer auf Zufallszahlen zurückzuführende
Sicherheitslücke [8]. Durch ein
Patch reduzierte sich der Startwert des
Zufallszahlengenerators auf die Prozess-
ID. Die maximal 16 Bit große Nummer
vergab Debian aufsteigend. Ab dann war
es leicht, zum Beispiel alle möglichen
SSH-Keys einer Maschine vorauszuberechnen.
Die dafür notwendigen Tools
demonstriert [9].
Strategien für die Praxis
Sind trivialen Fälle wie beim Miniatur
Wunderland abgehakt, wird klar: Das
Hauptproblem fast aller digitaler Zufallszahlengeneratoren
ist ihre Pseudo-
Der Autor
Prof. Dr. Tobias Eggendorfer lehrt in Hamburg IT-
Forensik und ist freiberuflicher IT-Berater [http://​
www. eggendorfer. info]. Wenn die Arbeit und die
Länge der Warteschlange es zulassen, besucht
er auch gerne spontan das Miniatur Wunderland.
Dort bewundert er, wie Computer-gesteuert am
Knuffinger Airport Großeinsätze der Feuerwehr
realitätsnah stattfinden. Als häufiger Miniatur-
Wunderland-Besucher hofft Eggendorfer, dass die
Website die im Artikel beschriebenen Schwachstellen
nicht so bald ausrangiert, als Sicherheitsspezialist
allerdings schon.

zufälligkeit. Die Berechnung von Pseudozufallszahlen
zu verstehen setzt eine
Portion Neugier und mathematisches
Interesse voraus. Man muss aber nicht
Träger der Fields-Medaille sein, um zu
kapieren, dass eine 148-Bit-Zufallszahl
für eine Session-ID besser sein muss, als
eine mit 64 Bit, die aus vorhersagbaren
Werten kombiniert ist.
Beim verwendeten Seed lohnt es sich
zu überlegen, woher die Zufallsdaten
stammen. Folgt der Zufall einem Muster,
dann wiegt der Generator seine Anwender
in falscher Sicherheit. (Ein Beispiel
aus einem Gebiet beleuchtet der Kasten
„Kreditkartennummer erraten“.) Viele
Kryptoalgorithmen erzeugen aber ihre
Schlüssel mit Zufallszahlen. Sind die (in
Teilen) vorhersagbar, lässt sich die Verschlüsselung
leicht(er) knacken.
Für die Praxis heißt das: Wer seinen Zufallszahlengenerator
sicher seeden will,
der sollte auch echt zufällige Daten verwenden.
Bevor man jedoch selbst versucht
das Rad neu zu erfinden, lohnt
sich das Beschäftigen mit »/dev/random«.
Der erzeugt seine Zufallszahlen
aus dem „Rauschen“ des Systems und
ist so nicht vorhersagbar. Außerdem gibt
es nur so lange Daten, wie auch ausreichend
Umgebungsrauschen vorhanden
ist. Initialisiert man mit einem solchen
Zufallswert einen kryptographisch sicheren
Zufallszahlengenerator, ist es mit der
Vorhersagbarkeit vorbei.
Außerdem lohnt es sich, auf bessere Zufallszahlenalgorithmen
als LCG zurückzugreifen.
Neben »lcg_rand()« bietet PHP
die Funktionen »mt_rand()«, im Wesentlichen
eine schnellere LCG-Implementation,
und »rand()«, die sich auf den
Zufallszahlengenerator des verwendeten
C-Compilers stützt. (jk)
n
Infos
[1] Miniatur Wunderland:
[http:// www. miniatur‐wunderland. de]
[2] Seite von Samy Kamkar:
[http:// www. samy. pl]
[3] Samy Kamkar, „Phpwn: Attacking sessions
and pseudo-random numbers in PHP“:
Blackhat US 2010
[4] Firebug: [http:// www. getfirebug. com]
[5] Phpwn, „Attack on PHP sessions and random
numbers“: [Http:// samy. pl/ phpwn/]
[6] GCC-Patch „Use urandom to get random
seed“: [http:// gcc. gnu. org/ ml/​
gcc‐patches/ 2011‐09/ msg01769. html]
[7] Amit Klein, Open BSD DNS Cache Poisoning:
[http:// www. trusteer. com/ sites/​
default/ files/ OpenBSD_DNS_Cache_Poisoning_and_Multiple_OS_Predictable_IP_ID_
Vulnerability. pdf]
[8] Debian-Sicherheitsankündigung für Open
SSL: [http:// www. debian. org/ security/​
2008/ dsa‐1571]
[9] Debian-Open-SSL-Lücke: [http://​
digitaloffense. net/ tools/ debian‐openssl/]
[10] Bank-Identifikationsnummern:
[http:// en. wikipedia. org/ wiki/ List_of_
Bank_Identification_Numbers]
Websicherheit 01/2012
Titelthema
www.linux-magazin.de
53
ADMIN
Netzwerk & Security
Online-Archiv
Rund 2.000 Seiten Artikel,
Studien und Workshops aus
fünf Jahren Technical Review
+
nur
4,-e*
im Monat
Onlinezugriff auf alle
Heftartikel aus dem
ADMIN-Magazin
der Jahrgänge
2009 bis 2011!
Volltextsuche
Praxisrelevante Themen
für alle IT-Administratoren
* Angebot gültig nur
für Abonnenten eines
Print- oder vollen
digitalen ADMIN Abos
Bestellen Sie unter: www.admin-magazin.de/archiv

Titelthema
www.linux-magazin.de Magento-Hosting 01/2012
54
Magento-Shop mit Nginx und PHP-FPM
Schneller shoppen
Das freie Shopsystem Magento bietet viele Features und lässt sich mit eigenem PHP-Code erweitern. Wer zudem
Wert auf bestmögliche Performance legt, betreibt die Open-Source-Software mit dem kleinen Webserver
Nginx und dem schnellen Prozessmanager PHP-FPM. Jan Brinkmann
© Dmitriy Shironosov, 123RF.com
Der Open-Source-Webshop Magento [1]
ist aus gutem Grund beliebt: Die freie E-
Commerce-Software besitzt einen großen
Fundus an Plugins und lässt sich elegant
durch selbst geschriebene PHP-Klassen
anpassen und erweitern. Wer sie aber mit
dem weitverbreiteten Apache-Webserver
betreibt, holt aus seinem Shopsystem
nicht die optimale Performance heraus.
Dieser Webserver deckt mit seinen zahlreichen
Modulen zwar verschiedenste
Anforderungen an eine Webhosting-
Umgebung ab, entstand aber zu Beginn
der 90er Jahre mit wenig Augenmerk auf
seine Performance.
Der Bedarf an performanten und skalierbaren
Hostinglösungen ist mit zunehmender
Popularität des WWW immer
weiter gestiegen, was zur Entwicklung
schlanker Webserver wie Lighttpd und
Nginx [2] führte. Diese bieten ganz bewusst
nicht den großen Funktionsumfang
von Apache. Dafür sind die unterstützten
Features aber im Hinblick auf
Performance und optimale Ausnutzung
vorhandener Ressourcen implementiert.
Nginx-Freunde etwa sagen gerne, ihr
Lieblingsserver mache nur einen Bruchteil
dessen, was Apache kann – dafür
aber um ein Vielfaches schneller.
Klein und flink
Seine Stärken kann Nginx besonders
beim Verarbeiten vieler parallel eingehender
HTTP-Requests ausspielen. Das zeigt
unter anderem ein Benchmark, den der
Hoster Webfaction ausgeführt hat [3]. Er
kontrastiert die Performance von Nginx
mit einer Apache-Installation mit dem
Multi-Processing-Modul (MPM) Worker,
das am ehesten vergleichbar ist.
Während Nginx es auch noch bei knapp
4000 gleichzeitigen Verbindungen schafft,
eine kleine statische Datei etwa 10 000-
mal pro Sekunde auszuliefern, sinkt die
Apache-Performance bereits bei ungefähr
500 gleichzeitigen Verbindungen deutlich.
Der betagte Webserver schafft hier
nur noch 6000 Anfragen, mit zunehmender
Anzahl der parallelen HTTP-Requests
sinkt der Wert auf etwa 2500 Antworten
in der Sekunde. Zweifelsohne noch immer
ein beeindruckender Wert, aber doch
nur ein Viertel der von Nginx gezeigten
Leistung.
Daneben macht der konstante Speicherbedarf
Nginx als Server auch für kleine
Shops mit begrenzten Ressourcen interessant.
Er arbeitet – wie Node.js auch
– Event-basiert und startet für neue
Requests keine neuen Prozesse oder
Threa ds. Im zitierten Benchmark bleibt
sein Speicherbedarf bei etwa 2,5 MByte,
während Apache nahezu linear mit der
Anzahl gleichzeitiger Verbindungen immer
speicherhungriger wird und schließlich
mit 40 MByte ungefähr das 16-fache
belegt. Ein Test gegen Ende dieses Artikels
wird zeigen, dass sich Nginx auch
als Server für Magento bestens schlägt.
PHP-FPM
Die zweite wichtige Komponente für
Ressourcen-schonendes Magento-Hosting
heißt PHP-FPM [4]. Diese Abkürzung
bezeichnet einen „Fast CGI Process Manager“
für PHP. Es handelt sich um eine
PHP-spezifische Umsetzung des Fast-
CGI-Prinzips [5]. Um die Latenz bis zur
Beantwortung einer eingehenden HTTP-
Anfrage zu verkürzen, hält der Prozessmanager
persistente PHP-Interpreter-
Prozesse bereit.
Geht eine Anfrage bei Nginx ein, die ein
PHP-Skript bearbeiten muss, reicht PHP-
FPM sie an einen dieser bereits laufenden
Interpreter weiter. Da die Laufzeitum-

Browser
HTTP:80
Nginx
gebung bereits initialisiert ist, muss die
Anfrage nur noch die PHP-Anwendung
durchlaufen. Nginx erhält das Ergebnis
und sendet es an den Browser (siehe
Abbildung 1).
Da nicht immer wieder ein neuer PHP-
Interpreter startet, verringert dieses Verfahren
die Latenz gegenüber dem herkömmlichen
CGI-Ansatz deutlich. Ein
zusätzlicher Pluspunkt von PHP-FPM:
Die Trennung von Webserver und PHP-
Interpreter macht die Hostingumgebung
TCP:9000
Abbildung 1: Das Zusammenspiel von Nginx, PHP-FPM und PHP-Prozessen.
PHP-FPM
leichter skalierbar: Bei Bedarf lassen sich
PHP-FPM und Nginx einfach auf separaten
Systemen betreiben.
Grundinstallation
»magento«
PHP
PHP
PHP
PHP
PHP
PHP
Resource Pools
Die Installation von PHP-FPM hat sich
bedeutend vereinfacht, seit der Prozessmanager
in die PHP-Version 5.3.3 eingegangen
ist. Das Einspielen als separates
Patch gehört damit der Vergangenheit
an. Da die meisten Distributionen bereits
entsprechende Binärpakete bereithalten,
entfällt auch das Kompilieren von PHP.
Unter Debian oder Ubuntu installiert das
folgende Kommando die benötigten Komponenten:
sudo apt‐get install php5‐fpm nginxU
mysql‐server php5‐mysql php5‐gd php5‐curl
Debian und Ubuntu richten dabei bereits
passende Initskripte ein und starten die
Dienste. Wer sie von Hand neu hochfahren
muss, verwendet folgende Befehle:
sudo /etc/init.d/nginx restart
sudo /etc/init.d/php5‐fpm restart
sudo /etc/init.d/mysql restart
Empfehlenswert sind zudem das PHP-
Hardening-Patch Suhosin [6] und der
Cache APC [7].
Ob Nginx korrekt gestartet ist, lässt sich
mit einem Aufruf der Serveradresse im
Webbrowser testen. Erscheint dort die
Seite „Welcome to Nginx“, war die Installation
erfolgreich.
Magento-Hosting 01/2012
Titelthema
www.linux-magazin.de
55
MAGAZIN
ONLINE
Linux-Magazin newsLetter
Nachrichten rund um die Themen Linux und Open Source lesen Sie täglich
im Newsletter des Linux-Magazins.
Newsletter
informativ
kompakt
tagesaktuell
www.linux-magazin.de/newsletter

Titelthema
www.linux-magazin.de Magento-Hosting 01/2012
56
01 user www‐data;
02 worker_processes 2;
Die Basiskonfiguration unter Debian und
Ubuntu ist für den produktiven Magento-
Betrieb nicht optimal. Daher empfiehlt
es sich, die Konfiguration in der Datei
»/etc/nginx/nginx.conf« an die eigenen
Rahmenbedingungen anzupassen.
Nginx-Optimierung
Listing 1 zeigt einen Auszug aus der Konfigurationsdatei.
Von besonderem Interesse
ist die Option »worker_processes«.
Ein guter Richtwert für diese Prozesse
liegt zwischen 1 und der Anzahl der CPU-
Kerne des jeweiligen Systems. Wenn auf
dem System noch weitere Anwendungen
neben Nginx laufen, etwa PHP-FPM und
MySQL, sollte es weniger Worker-Prozesse
geben, als CPU-Kerne im System
vorhanden sind.
Die Direktive »worker_connections« legt
fest, wie viele parallele Verbindungen ein
Worker-Prozess annehmen darf. Im Beispiel
oben sind dies 48, was bei zwei
Worker-Prozessen insgesamt 96 gleichzeitige
Verbindungen ermöglicht. Das
sind relativ wenige im Vergleich zu der
03 pid /var/run/nginx.pid;
04
05 events {
06 worker_connections 48;
07 }
01 [magento]
Listing 1: Auszug aus »nginx.conf«
02 ; IP und Port für den Ressource Pool
03 listen = 127.0.0.1:9000
04
05 ; Systembenutzer und Gruppe
06 user = www‐data
07 group = www‐data
08
09 ; dynamische Prozessanzahl
10 pm = dynamic
11
12 ; maximale Anzahl PHP Interpreter
13 ; und maximale Anzahl gleichzeitiger Requests
14 pm.max_children = 96
15
16 ; initiale Anzahl der PHP Interpreter
17 pm.start_servers = 16
18 pm.min_spare_servers = 10
19 pm.max_spare_servers = 70
Listing 2: Ressource-Pool-
Konfiguration
Standardkonfiguration,
die 1024 Verbindungen
pro Worker-
Prozess erlaubt.
Das liegt daran, dass
Nginx in der Regel
nur statische Dateien
ausliefert oder als
Reverse Proxy und
Loadbalancer eingesetzt
wird. Der Engpass
ist hier nämlich
nicht Nginx, sondern
der Speicherbedarf
der PHP-Interpreter.
Magento benötigt
aufgrund seiner Komplexität
vergleichsweise
viel Speicher.
Die Limitierung der
Nginx-Verbindungen
orientiert sich daher
an den maximal verfügbaren
PHP-Ressourcen.
Die auf PHP bezogenen
Konfigurationsdateien
liegen unter Debian und Ubuntu
im Verzeichnis »/etc/php5/fpm«. Relevant
ist dort zunächst die Datei »php.ini«,
die Einstellungen für den PHP-Interpreter
enthält. Da Magento relativ hungrig nach
Arbeitsspeicher ist, sollte der Admin den
Wert für das »memory_limit« auf »128M«
erhöhen. Zusätzlich empfehlenswert ist
es, die Option »expose_php« auf »off« zu
setzen, damit die verwendete PHP-Version
nicht öffentlich gemacht wird.
Resource Pools
Danach gilt es, die PHP-FPM-Konfiguration
an die Hosting-Umgebung anzupassen.
Die PHP-Interpreter, die Nginx
zur Verfügung stehen, sind in einem
Ressource Pool zusammengefasst. Die
Konfiguration dieses Pools bestimmt
unter anderem, wie viele Prozesse starten
und auf welchem Port PHP-FPM auf
Verbindungen wartet. Je nachdem, über
welchen Port Nginx mit PHP-FPM kommuniziert,
lassen sich auf diese Weise
unterschiedliche Pools ansprechen. Das
spielt für diesen Artikel aber keine Rolle,
da nur ein Pool für den Magento-Shop
anzulegen ist. Wer mehrere Websites auf
demselben System betreibt, kann diesen
Abbildung 2: Systeminformation: Die »phpinfo()«-Ausgabe in einer Umgebung
mit Nginx und PHP-FPM.
aber jeweils einen eigenen Ressource
Pool zuweisen.
Debian und Ubuntu speichern die Konfigurationen
für Resource Pools im Verzeichnis
»/etc/php5/fpm/pool.d/«. PHP-
FPM liest bei einem Neustart alle Dateien
darin, die auf ».conf« enden, und stellt
die entsprechenden Ressourcen bereit.
Listing 2 zeigt die Konfiguration für den
Pool »magento«.
Dem Beispielserver für diesen Artikel
stehen 16 GByte Arbeitsspeicher zur Verfügung.
Die Angabe »pm.max_children«
definiert, wie viele PHP-Interpreter maximal
laufen dürfen (Zeile 14). Ähnlich
wie bei einem Apache-Webserver, der
mit Prefork-MPM arbeitet, ist dies auch
die maximal mögliche Anzahl gleichzeitiger
Verbindungen. Das auf 128 MByte
gesetzte »memory_limit« sorgt dafür, dass
PHP-Prozesse maximal 96 * 128 MByte
Arbeitsspeicher belegen, in Summe also
rund 12 GByte. Somit bleiben 4 GByte für
andere Prozesse auf dem System übrig.
Nginx-Host definieren
Die Konfigurationsdateien für Nginx-Sites
liegen bei Debian und Ubuntu im Verzeichnis
»/etc/nginx/sites‐available/«.

Dort befindet sich nach der Installation
bereits die Datei »default«, sie dient als
Grundlage für die Konfiguration des Magento-Shops.
Nach einigen Anpassungen
sieht sie aus wie in Listing 3, das die Einträge
in den Kommentarzeilen erläutert.
Dateien schützen
Von besonderer Relevanz ist der Abschnitt
für den Zugriffsschutz (Zeilen 22
bis 24). Nginx kennt im Unterschied zu
Apache keine ».htaccess«-Dateien. Die
vergleichbare Funktionalität steckt in der
Konfigurationsdatei der Site. Auch dies
ist das Ergebnis einer bewussten Designentscheidung
der Nginx-Entwickler: Die
Flexibilität einer Konfiguration on the
Fly mittels ».htaccess«-Dateien geht zu
Lasten der Performance, denn bei jeder
HTTP-Anfrage prüft der Server die Existenz
dieser Dateien und wertet sie gegebenenfalls
aus, bevor er die Anfrage
bearbeitet.
Die Konfiguration in Listing 3 stellt jedoch
sicher, dass spezielle Verzeichnisse
und Dateien, die Magento ansonsten
per ».htaccess«-Regeln vor dem Zugriff
schützt, nicht über das Web erreichbar
sind. Das sind zum Beispiel Konfigurationsdateien,
in denen das Passwort und
der Benutzername für die Datenbankverbindung
hinterlegt sind.
Nach einem Neustart der beteiligten
Dienste ist die neue Konfiguration aktiv.
Um die PHP-Abarbeitung zu testen, kann
der Admin eine PHP-Datei im Verzeichnis
»/var/www/html« ablegen und sie mit
dem Inhalt
füllen. Ruft er anschließend die Serveradresse
inklusive des Dateipfads im
Browser auf – etwa mit »http://localhost/
info.php« –, ist bei erfolgreicher Einrichtung
eine Infoseite mit allerhand Interessantem
über die Serverumgebung zu
sehen (Abbildung 2).
Als abschließender Schritt fehlt jetzt noch
die Magento-Installation selbst, die unter
anderem im Magento-Wiki beschrieben
ist. Hier muss der Anwender nichts gesondert
beachten, da mit Nginx und
PHP-FPM eine vollständige Hostingumgebung
für die Ansprüche der Software
bereitsteht. Danach ist der Shop bereit für
einen kleinen Benchmark, den der Kasten
„Performance-Zahlen“ beschreibt.
Im Vergleich zu Apache mit »mod_php«
schneidet die Nginx-Konfiguration aus
diesem Artikel blendend ab: Sie bedient
rund eineinhalbmal so viele Anfragen pro
Sekunde wie die Konkurrenz.
Ausblick
Eine sinnvolle Erweiterung der hier beschriebenen
Konfiguration für den produktiven
Betrieb ist SSL-Verschlüsselung,
um die Daten der Kunden zu schützen.
Das lässt sich aber ohne Schwierigkeiten
mit Hilfe der offiziellen Dokumenta-
Magento-Hosting 01/2012
Titelthema
www.linux-magazin.de
57
Alles zum ThemA Android
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
DigisuB: nur 34,90 € im Jahr (12 PDFs)
Neu!
+ Lesen Sie News und
Artikel fast 1 Woche
vor dem Kiosk!
Jetzt bestellen unter:
www.android–user.de/digisub
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Titelthema
www.linux-magazin.de Magento-Hosting 01/2012
58
beantwortete Anfragen/s
5
4
3
2
1
0
4,88
3,39
Nginx/PHP-FPM
4,76
150
200
gleichzeitige Anfragen
tion einrichten. Für stärker frequentierte
Magento-Installationen ist zudem das
Nginx-Modul »upstream« interessant. Da-
2,96
Apache/Mod_PHP
Abbildung 3: Die Konfiguration mit Nginx beantwortet rund eineinhalbmal
so viele Anfragen pro Sekunde wie Apache.
Der Autor
Jan Brinkmann arbeitet seit über zehn Jahren mit
Open-Source-Software und bloggt darüber unter
[http:// the‐luckyduck. de]. Er ist bei der Code-x
GmbH aus Paderborn im Bereich Magento angestellt
und arbeitet daneben als freiberuflicher
Webentwickler.
mit lassen sich Nginx und PHP
getrennt und auf unterschiedlichen
Systemen betreiben, was
die Skalierung von Webprojekten
sehr vereinfacht.
Der Autor dieses Beitrags hat in
mehreren Magento-Projekten,
bei denen er auch die Einrichtung
der Hostingumgebung betreut
hat, durchweg positive Erfahrungen
mit Nginx gemacht.
Speziell bei kleineren Shops,
denen nur begrenzte Ressourcen
zur Verfügung standen,
erzielte er dank des geringeren
Speicherbedarfs sehr gute Ergebnisse.
Wer derzeit noch einen Apache-Webserver
mit »mod_php«
betreibt, kann bei Interesse
Nginx und PHP-FPM parallel konfigurieren
und nach erfolgreicher Einrichtung
im produktiven Betrieb ausprobieren. Bei
Bedarf lässt sich dann jederzeit wieder
die bewährte Apache-Variante in Betrieb
nehmen. (mhu)
n
Infos
[1] Magento Commerce:
[http:// www. magentocommerce. com]
[2] Nginx: [http:// www. nginx. org]
[3] „10.000 Requests per Second with
Nginx“: [http:// blog. webfaction. com/​
a‐little‐holiday‐present]
[4] PHP-FPM: [http:// php‐fpm. org]
[5] Fast-CGI-Ansatz:
[http:// de. wikipedia. org/ wiki/ FastCGI]
[6] PHP-Hardening mit Suhosin: [http:// www.​
hardened‐php. net/ suhosin/]
[7] PHP-Accelerator APC:
[http:// pecl. php. net/ package/ APC]
[8] Apache-HTTP-Server-Benchmarking-
Tool: [http:// httpd. apache. org/ docs/ 2. 2/​
programs/ ab. html]
Performance-Zahlen
Ein einfacher Performance-Test vergleicht
eine Magento-Installation mit Nginx und PHP-
FPM mit der Kombination aus Apache und
»mod_php«. Als Testsystem dient ein Rechner
mit dem Quadcore-Prozessor Phenom II
von AMD mit 3,2 GHz sowie mit 8 GByte RAM.
Als Betriebssystem kommt Ubuntu 11.10 zum
Einsatz.
Das Apache-Benchmark-Tool »ab« [8] ruft
die Startseite des Magento-Shops auf. Das
geschieht einmal mit 150 gleichzeitigen Anfragen,
einmal mit 200. Abbildung 3 zeigt,
dass die Nginx-Konfiguration mit durchschnittlich
4,88 Anfragen pro Sekunde rund
eineinhalbmal so viele beantwortet wie
Apache (3,39). Bei 200 parallelen Requests
fällt der Unterschied mit 4,76 gegenüber 2,96
Anfragen sogar noch deutlicher aus.
Listing 3: Host-Konfiguration für Nginx
01 server {
02 listen 80;
03 server_name localhost;
04 root /var/www/html/;
05 autoindex off;
06
07 # Gzip‐Komprimierung
08 gzip on;
09 gzip_min_length 1100;
10 gzip_buffers 4 8k;
11 gzip_proxied any;
12 gzip_types text/plain text/css application/x‐javascript
text/javascript application/json;
13
14 location / {
15 index index.php;
16 try_files $uri $uri/ @handler;
17 expires 30d;
18 }
19
20
21 # .htaccess‐Schutz ersetzen
22 location ~ (/(app/|includes/|lib/|/pkginfo/|var/|
report/config.xml)|/\.svn/|/.hta.+) {
23 deny all;
24 }
25
26 # statische Dateien direkt ausliefern
27 location ~* ^.+.(jpg|jpeg|gif|css|png|js|ico|xml)$ {
28 access_log off;
29 expires 30d;
30 root /var/www/html/;
31 }
32
33 # / an den Magento‐Frontcontroller weiterleiten
34 location @handler {
35 rewrite / /index.php;
36 }
37
38 # PHP an PHP‐FPM weiterreichen
39 location ~ \.php$ {
40 if (!‐e $request_filename) { rewrite / /index.php last; }
41
42 expires off;
43 fastcgi_pass 127.0.0.1:9000;
44 fastcgi_param SCRIPT_FILENAME
$document_root$fastcgi_script_name;
45 include /etc/nginx/fastcgi_params;
46 }
47 }

In eigener Sache: DELUG-DVD
Suse 12.1, Ubuntu 11.10, Ajax
Einführung 01/2012 12/2010
Software
Auch diesen Monat bekommen die DELUG-Käufer die doppelte Datenmenge zum einfachen Preis: Auf der einen
Seite der DVD findet sich die neueste Suse-Version 12.1, auf der anderen liegt Ubuntu 11.10 Server in 32 und 64
Bit und als Appliance. Dazu gibt’s ein kostenloses Ajax-E-Book von O’Reilly, Videos und viel Software. Markus Feilner
www.linux-magazin.de
59
Inhalt
60 Pnorama-Fotos
Wenn Bildausschnitt und Belichtungsumfang
der Digitalkamera nicht reichen,
helfen Linux-Tools, überlappende Bilder
und Belichtungsreihen zu einem Panorama
zusammenzufügen.
68 Bitparade
Adhocracy, Liquid Feedback, Liquidizer
und – außer Konkurrenz – Votorola: Wofür
taugen aktuelle Liquid-Democrazy-Tools ?
74 Tooltipps
Gtkdialog, Monkey, RSS Tail, Procmeter,
Fdupe und Snarsshe im Kurztest.
Neben einem normalen Linux-Magazin
und dem Abonnement ohne Datenträger
gibt es die DELUG-Ausgabe mit Monats-
DVD, bei der die Redaktion den Datenträger
nach einem speziellen Konzept
zusammenstellt: In einer Art modularem
System enthält er Programme und Tools,
die in der jeweiligen Magazin-Ausgabe
getestet und besprochen werden. Zudem
gibt es nicht im Heft abgehandelte
Software, die die Redaktion besonders
empfiehlt, alles gebündelt unter einer
HTML-Oberfläche.
Open Suse 12.1
Von Seite B der DVD bootet das neueste
Produkt aus Nürnberg: Die eigentlich fällige
12.0 hat Suse elegant übersprungen,
die neue Version hört auf den Namen
12.1 und bringt eine lange Liste neuer
Software: Zu Kernel 3.1, Btrfs, Treiber
für Microsofts Kinect oder Apples I-Sight-
Webcam und AMD-Llano-Fusion-APUs
gesellen sich Gnome 3.2, KDE 4.7, Xfce
4.8, Firefox 7, Chromium 17, Libre Office
3.4.4 und jede Menge neuer Server- und
Desktopprogramme.
Wer die andere Seite der DVD
einlegt und per Browser die
Datei »index.html« öffnet, findet
gleich als Erstes den Menüpunkt
»Exklusiv«, der zu Denny
Carls O’Reilly-E-Book „Praxiswissen
Ajax“ (Abbildung 2)
führt. Das passt thematisch
zum Web-Schwerpunkt dieses
Magazins und unterstützt nicht
nur Einsteiger in die Advanced-
Javascript-And-XML-Programmierung.
Ubuntu-, Google- und
Node.js-Appliance
Unter dem Menüpunkt »Virtual
Appliance« liegen neben den ISO-Dateien
der neuesten Ubuntu-Server-Variante in
32 und 64 Bit, sondern auch eine handlich
verpackte virtuelle Oneiric-Maschine,
in der die Autoren der Artikel zu Googles
Authenticator (Sysadmin-Rubrik) und
Node.js (Titelthema) die im Artikel ver-
Abbildung 2: Kostenlos auf der DELUG-DVD:
„Praxiswissen Ajax“ aus dem Hause O’Reilly.
Abbildung 1: Unter Suse 12.1 (komplett auf Seite B der DVD) hat
Sax sein Comeback. Yast hat Webfähigkeiten und Backups gelernt.
wendeten Beispiele eingebaut haben. Zusammen
mit der Google-App (beispielsweise
für Android) testen DELUG-Leser so
schnell die Zwei-Faktor-Authentifizierung
am Linux-System oder die Performance
des Javascript-Webservers Node.js.
Software und Videos
Zu den Werkzeugen aus der Bitparade,
den Tooltipps, dem Artikel zu Fog und
Zarafas brandneuem Z-Admin 1.0 kommen
auf der DVD noch knapp 500 MByte
aus dem Panoramafoto-Artikel. Hier finden
Interessierte Hobby-Fotografen alle
Projektdateien, Skripte und die knapp
400 Originale der Bilder, mit denen sie
in Hugin, Blender und Luminance HDR
effektvolle Panoramen und HDR-Bilder
erzeugen. Wem das noch nicht reicht, der
bedient sich an den Videos von der Berliner
Mailserverkonferenz 2011 mit den
Entwicklern Timo Sirainen (Dovecot),
Wietse Venema (Postfix), Mark Martinec
(Amavis) und Gastgeber Peer Heinlein
(Revisionssichere Archivierung). n

Software
www.linux-magazin.de Panorama-Fotos 01/2012
60
Professionelles Stitching und Rendering von Digitalfotos mit Linux-Tools
Runde Sache
Manche Orte passen nicht auf ein Bild, manche Stimmungen verlangen nach einem größeren Belichtungsumfang,
als die Kamera hergibt. Eine ganze Reihe von Open-Source-Werkzeugen hilft dabei, überlappende Bilder
und Belichtungsreihen zu einem kompletten Bild zusammenzufügen. Text und Fotos: Fritz Reichmann, Markus Feilner
Abbildung 1: Das Bild vom Schrannenplatz in Erding zeigt: Oberbayern wirkt bisweilen wie ein anderer Planet.
n Dynamic Range Information: Von einem
Motiv erzeugt der Fotograf mehrere
Aufnahmen mit unterschiedlichen
Belichtungsstufen: unterbelichtete,
richtig belichtete und überbelichtete.
Auf den unterbelichteten sind die hellen
Stellen korrekt, auf dem überbelichteten
die dunklen, in der Mitte die
mittleren. Wer so eine Belichtungsreihe
miteinander verbindet, kommt
dem Ideal schon sehr viel näher.
Zusätzlich dazu bietet es sich an, die
erstellten Panoramafotos auf dreidimensional
wirkende Oberflächen zu rendern.
Abbildung 1 zeigt den Schrannenplatz
in Erding im Abendlicht als eine eigene
kleine Welt für sich. Dafür notwendig
sind nur ein wenig Begeisterung fürs
Fotografieren, eine Digitalkamera mit
manueller Belichtung, Fokussierung und
Weißabgleich – in der Regel ist das schon
bei Spiegelreflexkameras mittlerer Preisklasse
gegeben – und ein Linux-PC.
Das menschliche Sehvermögen ist ein
Wunderwerk der Natur. Zwar sind Linse
wie auch der Rest des Auges mit vielen
Fehlern behaftet, doch mit dem Sehzentrum
und der Rechenpower des Gehirns
dahinter ist der Mensch in der Lage, auch
schwierigste Lichtverhältnisse auszugleichen.
So entsteht fast immer ein Bild, auf
dem in den hellsten Lichtquellen und
den dunkelsten Schatten noch Konturen
erkennbar sind. Dazu kommt die annähernd
perfekte Rundumsicht, wenn der
Betrachter seinen Kopf bewegt.
Im Vergleich dazu tun sich auch modernste
Digitalkameras schwer. Doch mit
einigen freien Softwareprojekten und ein
wenig Experimentierfreudigkeit brauchen
auch Digitalfotografen nicht zu verzagen,
nur weil der Sensor mit den Lichtverhältnissen
überfordert ist oder wenn das
Weitwinkelobjektiv nicht ausreicht, um
das Urlaubspanorama einzufangen.
Panorama und DRI
Gerade bei digitalen Bildern bieten sich
zwei Vorgehensweisen an, die sich auch
noch vortrefflich kombinieren lassen, um
im Idealfall bessere Fotos zu erzeugen,
als die Kamera eigentlich hergibt.
n Panorama-Stitching: Das Zusammensetzen
mehrerer Bilder (nebeneinander
oder übereinander) zu einem größeren
Bild. Der Fotograf fertigt von seinem
Standort aus eine Bilderserie der Umgebung
an und fügt – von Software
unterstützt – das Ergebnis in einem
deutlich größeren Bild zusammen.
Motiv und Licht
Der im Artikel beschriebene Ablauf kann
sich durchaus als zeitaufwändig erweisen
und lohnt deshalb wahrscheinlich nur für
besondere Motive. Gut eignen sich Orte,
die in allen Blickrichtungen interessant
sind. Zum Beispiel Gartenanlagen neben
schönen Schlössern, öffentliche zentrale
Plätze, das Innere großer Gebäude wie
Bahnhöfe und Kirchen oder die freie Na-
DELUG-DVD
Auf der DELUG-DVD finden Sie
DELUG-DVD
die Original-JPGs aller im Artikel verwendeten
Panoramen sowie die im Artikel verwendeten
Skripte und Projektfiles zum Nachbauen der
Anleitung.

LINUX
Lassen Sie Ihre Linux-Projekte von einem
Team erledigen, das Sie GLÜCKLICH macht.
Abbildung 2: Übersichtlich zeigen Fotomanagement-Programme wie Digikam die einzelnen Bilder.
tur. Sollen die Bilder später zu einem kleinen
Planeten zusammengefügt werden,
also in einer Projektion, die der Spiegelung
auf einer über den Kopf gehaltenen
Christbaumkugel ähnelt (Abbildung 1),
sollte der Fotograf darauf achten, dass
Bebauung oder Bewuchs in der Umgebung
in jeder Richtung etwa gleich hoch
sind und idealerweise vom Standort aus
gesehen in einem vertikalen Winkel von
30 bis 45 Grad erscheinen.
Je höher der vertikale Winkel eines Objekts
ist, desto größer wird es in der Projektion
als Planetenbild verzerrt. Kirchturmspitzen,
Laternenlampen und hohe
Zweige von vielleicht sogar blühenden
Bäumen setzen spannende Akzente und
dürfen darum gerne in einem höherem
Winkel stehen. Es ist ein wenig Übung
erforderlich, um zu erkennen, was genau
wie wirken wird. Hilfreich als mobile
Vorschau ist stets der Blick auf eine spiegelnde
Christbaumkugel.
Belichtung und Zeitpunkt
Beim Aufnehmen eines Bildes lässt es sich
bei Panorama-Aufnahmen nicht vermeiden,
dass einige Bilder direkt in die Lichtquellen
zielen. Wegen der resultierenden
starken Kontraste ergibt eine Rundumaufnahme
nur als Belichtungsreihe wirklich
Sinn. Abbildung 2 zeigt die für den Mini-
Planeten aus Erding verwendeten Bilder
in der Digikam-Vorschau [1].
Die Aufnahme von teilweise einigen
Hundert Bildern wird aber einige Zeit
in Anspruch nehmen, deshalb sollte der
Ort möglichst statisch sein. Andernfalls
würden in der Zwischenzeit große Wolken,
Schiffe, Lastwagen und dergleichen
vorbeiziehen und das Zusammenfügen
der Bilder scheitern. Die sich ändernde
Helligkeit des Himmels gleicht die Software
Hugin [2] erstaunlich gut aus, sie
lässt sich aber notfalls auch noch später
in Gimp [3] korrigieren.
Den besten Aufnahmezeitpunkt bei einer
Mischbeleuchtung aus natürlichem
und künstlichem Licht, zum Beispiel bei
Gebäuden in einer Stadt, gibt die so genannte
blaue Stunde, wenn die künstlichen
und natürlichen Lichter etwa gleich
hell sind. Das ist meistens etwa 30 bis 45
Minuten vor und nach Sonnenauf- und
-untergang der Fall. Findet die Aufnahme
zu einer normalen Tageszeit statt, hilft es,
die Sonne hinter einem Busch oder Haus
zu verstecken, sodass zwar klar ist, wo
sie sich befindet, sie aber das Bild nicht
unnötig stört.
Standort
Den richtigen Standort zu finden kann
durchaus einige Zeit und vergebliche Versuche
in Anspruch nehmen. Vor allem
der Untergrund macht dem Fotografen
zu schaffen: Direkt unter der Kamera befindet
sich schließlich das Stativ. Um es
FACHLICH GUT.
... unterstützt uns seit einigen
Jahren fachkundig und rund um die
Uhr bei Betrieb und Troubleshooting
unserer für den Flugbetrieb wichtigen
Linux-Cluster.
Markus Haake, Head of IT-Infrastructure
EFFIZIENT.
...lange Diskussionen und Planungen
waren unnötig. Die Heinleins haben
mit ihrer Erfahrung ein überzeugendes
Konzept fertig auf den Tisch gelegt.
Marcus Lindner, Head of Corporate Network/Office-IT
FERTIG.
... innerhalb der recht sportlichen
Vorgabe von zwei Wochen wurden
alle Punkte umgesetzt.
Holger Bürger, Director Site Operations
http://www.heinlein-support.de

Software
www.linux-magazin.de Panorama-Fotos 01/2012
62
Abbildung 3: Ein selbst gebauter Panoramakopf [5]
vermindert die Parallaxe.
später leichter wegretuschieren zu können,
sollte der Boden direkt unter der
Kamera leicht kopierbar sein. Ideal sind
kleine zufällige Strukturen wie zum Beispiel
Gras oder feiner Kies. Tendenziell
schlecht sind Kacheln oder Mosaikbilder,
weil sich die entstehenden gebogenen
Abbildungen davon nur mit viel Zeitaufwand
nachzeichnen lassen.
Unabdingbar ist eine Kamera, die über
ein manuelles Programm verfügt, das es
gestattet, Blende, Belichtungsdauer, Fo-
kussierung und Weißabgleich fest einzustellen.
Außerdem bedarf es eines Stativs,
eines kabelgebundenen Auslösers, frisch
geladener leistungsfähiger Batterien –
und viel Platz auf der Speicherkarte ist
erforderlich. Das Objektiv sollte so viel
Weitwinkel aufweisen, dass es im Hochformat
den Bereich der Wipfel bis hin
zum Zenit auf einem Bild erfasst. Hilfreich
sind eine Kamera, die die Bilder im
Rohformat (Raw) speichert, damit sich
Belichtung und Weißabgleich auch noch
nachträglich korrigieren lassen, ein gegebenenfalls
selbst gebauter Panoramakopf
(Abbildung 3) und eine Graukarte für
den korrekten Weißabgleich.
USB-Steuerung
Luxuriöse Profikameras glänzen mit besonders
weiten Belichtungsreihen oder
lassen sich über USB vom Laptop aus
steuern. Dann löst Gphoto2 [4] die Belichtung
berührungsfrei aus, der Anwender
steuert Blende und Verschlusszeit an
der Kommandozeile (Tabelle 1). Unbedingt
zu vermeiden sind Polarisationsfilter
und Blitzgeräte, weil sie Lichtverhältnisse
negativ verändern. Für den Anfang
mag es auch ausreichen, ohne Stativ aus
der Hand zu fotografieren (Abbildungen
4 und 5). Doch führt die dabei entstehende
Parallaxe zu Bildfehlern, die nur
mit viel Zeitaufwand oder auch gar nicht
korrigierbar sind (Abbildung 6). Mit professionellen
Ansprüchen sind Aufnahmen
„aus der Hand“ daher nicht vereinbar.
Outdoor-Ausrüstung
Für diesen Artikel verwendeten die Autoren
ein solides Manfrotto-Stativ, eine
Canon EOS 400 D und eine EOS 30 D,
das 18-55-Millimeter-Standard- und ein
15-80-Millimeter-EFS-Objektiv, einen BG-
E3-Batteriegriff, einen RC-1-Kabelauslöser,
einen selbst gebastelten Panoramakopf
[5], ein über USB-Kabel angeschlossenes
Netbook mit Gphoto2, zahllose
aufgeladene Batterien, ein Ladegerät fürs
Auto und eine 16-GByte-Speicherkarte –
eine etwas gehobene, aber noch typische
Hobbyausrüstung.
Die Auflösung der Kamera allein ist auch
nicht unbedingt entscheidend. Beim Stitching
ergibt sie sich viel mehr aus Objektivwinkel
und Kamera-Auflösung. Auch
mit einem Teleobjektiv lassen sich Bilder
in nahezu beliebiger Auflösung erzeugen,
derartige Gigapixel-Fotografie ist heutzutage
ein populäres Hobby. Für diesen Artikel
ist die Auflösung gängiger Kameras
voll ausreichend, jedes Megapixel mehr
erhöht nur den Rechenaufwand.
Abbildung 4: Das Weltkulturerbe Kloster Melk, ohne Stativ geschossen. Die sieben Einzelbilder kombiniert Hugin problemlos, aber mit perspektivischer Verzerrung.

Tabelle 1: Kamerasteuerung mit Gphoto2
Funktion
Möglichkeiten der Kamera auflisten
Auf der Speicherkarte speichern
ISO-Empfindlichkeit 100 einstellen
Rohdatenformat Raw setzen
Weißabgleich für Kunstlicht einstellen
Manueller Belichtungsmodus
Blende 8 auswählen
For-Schleife für Belichtungsreihe
Befehl
Fotos herunterladen gphoto2 ‐P
Fotoverzeichnisse ansehen gphoto2 ‐L
Fotos löschen
gphoto2 --list-config
gphoto2 --set-config /main/​settings/​capturetarget=1
gphoto2 --set-config-index /main/​imgsettings/​iso=0
gphoto2 --set-config-index /main/​imgsettings/​imageformat=6
gphoto2 --set-config-index /main/​imgsettings/​whitebalance=3
gphoto2 --set-config-index /main/​capturesettings/​autoexposuremode=3
gphoto2 --set-config-index /main/​capturesettings/​aperture=9
for i in $(seq 2 6 50); do gphoto2 --set-config-index /main/​capturesettings/​shutterspeed=$i; gphoto2
--capture-image; done
gphoto2 ‐D ‐f /store_00000001/​DCIM/​105CANON
Diese Befehle funktionierten im Test mit einer Canon EOS 400 D. Die EOS 30 D konnte keine Blenden- und Belichtungswerte via Gphoto2 entgegennehmen.
Panorama-Fotos 01/2012
Software
www.linux-magazin.de
63
Die Bilder für den Erding-Planeten sind in
fünf horizontalen Reihen aufgenommen.
Nachbarbilder überlappen einander horizontal
und vertikal bis zur Mitte der Aufnahmen.
So ist jeder Punkt mindestens
viermal abgelichtet. Bei diesem Vorgehen
entstehen bei einer Belichtungsreihe von
drei Bildern (Blenden: ‐2, 0,+2) schnell
über 200 Einzelaufnahmen. Der Aufwand
lohnt sich allerdings, denn so bilden die
Fotos die großen Helligkeitsunterschiede
im Gegenlicht noch ab und eignen sich
als HDR-Bild [6]. Das Hochformat deckt
den naturgemäß strukturarmen Himmel
am angenehmsten ab.
In der Dämmerung steigen die Belichtungszeiten
leicht auf einige Sekunden,
der Kabelauslöser schützt vor dem Verwackeln.
Alle Fotos aufzunehmen kann
länger als eine halbe Stunde dauern. Zügiges
und sauberes Arbeiten ist gefragt,
auch weil sich die Lichtverhältnisse binnen
30 Minuten doch stark ändern. Außerdem
erweist sich die Übertragung der
Fotos im Rohformat auf die Speicherkarte
oft als Engpass. Dazu kommen etwaige
Batteriewechsel. Je nach Kamera ist hier
die richtige Vorgehensweise das Ergebnis
vieler Versuche.
Wer die Aufnahme als HDR-Lichtquelle
in Blender einsetzen will, sollte eine Belichtungsreihe
mit mehr als vier Blendenstufen
erstellen, weil sich erfahrungsgemäß
nur dann harte Schlagschatten in
Blender erreichen lassen. Im Extremfall
sollte sich die hellste Belichtung an der
Sonnenoberfläche, die dunkelste an den
schwärzesten Schatten orientieren.
Gphoto2 und die Kamera
Für Situationen, in denen die in der Kamera
verfügbare Belichtungsreihe nicht
ausreicht, lässt sich die Belichtung über
ein USB-Kabel mit Gphoto2 steuern. Der
Aufwand lohnt besonders, wenn das Bild
später als so genannte HDR-Lichtquelle
für Raytracing [7] dienen soll. Programme
wie Blender können den hohen
Dynamikumfang einer solchen zusammengesetzten
Aufnahme verarbeiten,
und die korrekte Belichtung der Lichtquelle
führt im Raytracing am Ende zu
jener Lichtsituation, die eben genau so
ist wie bei der Aufnahme.
Die Kommandos aus Tabelle 1 sind auf
eine Canon EOS 400 D zugeschnitten,
würden mit etwas Anpassung aber auch
mit anderen Kameramodellen funktionieren.
Eine solche Belichtungsreihe würde
sich nebenbei auch ausgezeichnet mit
Luminance-HDR [8] zu einem HDR-Bild
zusammensetzen lassen. Auf der ebenfalls
getesteten Canon EOS 30 D stehen
leider nicht alle dieser Funktionen zur
Verfügung.
Eine Belichtungsreihe über 18 Blendenstufen
verlangt sehr viel Zeit. Mit einem
Fischauge-Objektiv, das einen extremen
Weitwinkel bietet, reduziert sich immerhin
die Anzahl der Bilder drastisch, allerdings
auch die Auflösung der zusammengesetzten
Aufnahme. Als Lichtquelle für
eine Raytracing-Szene reicht eine geringe
Auflösung jedoch völlig.
Abbildung 5: Die Donauschleife mit Weinbergen und Bahnstrecke in der Wachau in einer gut 240 Grad breiten Aufnahme (Canon EOS 30 D, kein Stativ, sechs Bilder).

Software
www.linux-magazin.de Panorama-Fotos 01/2012
64
01 for i in $(ls raw/*.CR2);
Weil das Raytracing-Verfahren annimmt,
das dunkelste Bild stelle die korrekt belichtete
Aufnahme der Lichtquellen dar,
fließt dessen Bildrauschen am stärksten
ins Raytracing ein. Deshalb sollte der Fotograf
für diese Aufnahmen unbedingt
eine niedrige ISO-Zahl einstellen, um das
Rauschen möglichst bereits bei der Aufnahme
unter Kontrolle zu bringen.
Digitale Nachbearbeitung
02 # Dateinamen sind nummeriert wie raw/_MG_1234.CR2
03 do j=$(echo $i | cut ‐d\/ ‐f 2 | cut ‐d\. ‐f 1);
04 # In $j steht jetzt _MG_1234
Listing 1: Raw-Entwicklung
05 nice ufraw‐batch ‐‐overwrite raw/$j.CR2
-‐compression=90 ‐‐out‐type=jpeg ‐‐output jpg/$j.JPG;
07 done
rapee [9] oder – unter Windows – Adobes
Lightroom oder Photoshop sind hier
die Werkzeuge der Wahl für den ambitionierten
Hobbyfotografen. Gimp greift
wie andere Linux-Raw-Programme auch
entweder auf die Bibliothek Dcraw oder
das handlichere Ufraw [10] zurück, die
beide in allen gängigen Distributionen
enthalten sind.
Das beste Bild der gesamten Fotoreihe,
also jenes Foto, auf dem das Motiv am
besten getroffen und ideal belichtet ist,
liefert die richtigen Einstellungen für den
Raw-Import. Die liest das Ufraw-Plugin
von Gimp komfortabel ein und korrigiert
soweit nötig die Belichtung und den
Weißabgleich automatisch. Das satte Blau
des Himmels aus Abbildung 1 macht erst
der an der relativ warmen künstlichen
Belichtung ausgerichtete Weißabgleich
möglich. Ganz nebenbei erhalten die Motive
so auch recht knackige Farben.
Das Speichern dieses Bildes aus Ufraw
heraus erzeugt im Heimatverzeichnis des
Anwenders eine Datei ».ufrawrc«, die als
Vorlage für die nun folgende Massenverarbeitung
der restlichen Bilder dient.
Die Rohdaten liegen dabei im Verzeichnis
»raw«, auf der gleichen Ebene existiert
Nach all dem Fotografieren geht es endlich
an den Computer. Das „Entwickeln“
digitaler Bilder umfasst die Belichtungskorrektur,
den Weißabgleich und andere
Feineinstellungen an den Bilddaten im
Rohformat – so wie der Sensor sie empfangen
hat – und den Export in gängige
JPG-Dateien. Tools wie Gimp, Rawtheein
Verzeichnis »jpg«. Die For-Schleife
aus Listing 1 erledigt jetzt die Entwicklung
vom Rohformat nach JPG.
Stitching, Bewegung und
Rauschen
Je nach Kamera lauten die Dateinamen
anders, die Cut-Kommandos muss der
Anwender entsprechend anpassen. Nach
dieser Schleife liegen im »jpg«-Verzeichnis
die entwickelten Bilddateien, alle korrigiert
um die Belichtungseinstellungen
und den Weißabgleich des optimalen Fotos.
Jetzt geht es ans Zusammenfügen der
großen Anzahl von Bildern, was natürlich
möglichst automatisch ablaufen soll.
Die optimale Lösung ist eine Mischung
aus Kommandozeile und Hugin-GUI (Abbildung
7).
Die besten Ergebnisse erreicht, wer die
Bilder um jeweils etwa die Hälfte überlappen
lässt. Bei wenigen Bildern (Abbildungen
4 bis 6) reicht das Hugin-GUI
vollkommen. Im Test erwies es sich aber
oberhalb von 200 Bildern als instabil,
mindestens das erste Zusammenfügen
sollte dann von der Kommandozeile aus
stattfinden. Im Paket »hugin« sind dafür
Abbildung 6: Auch in alten Gebäuden wie der historischen Schnupftabakfabrik in Regensburg lassen sich gute Ergebnisse erzielen. Wer wie hier jedoch nur vier Bilder
als Basis nimmt und ohne Stativ arbeitet, stellt Hugin bisweilen vor Probleme, zum Beispiel bei der schiefen Oberkante der Truhe rechts unten im Bild.

einige CLI-Tools enthalten. So ist zum
Beispiel »Autopano‐sift‐c« in der Lage,
markante Stellen in Bildern zu erkennen,
die auch auf mehreren Fotos vorkommen.
Passen sie zusammen, setzt das
Programm dort einen Kontrollpunkt, der
es ermöglicht, die Bilder wie ein Mosaik
aneinanderzufügen. Dieser Schritt ist
aber sehr rechenaufwändig und enthält
systematische Fehlerquellen.
Bei sich bewegenden Gegenständen wie
Fahrzeugen oder auch bei Menschen erkennt
das Programm zwar die Zugehörigkeit.
Hat sich das Objekt in der Zwischenzeit
jedoch bewegt, stimmt seine Position
nicht mehr. Auch das Bildrauschen in
kontrastarmen Bildern stellt ein Problem
dar, das sich jedoch schon bei der Aufnahme
durch die Wahl einer niedrigen
ISO-Empfindlichkeit vermeiden lässt. Die
Fotos, die trotzdem noch Fehler verursachen,
löscht der Anwender am besten
manuell, sie sind über ihre allzu großen
Fehlerabstände leicht zu finden.
Zu guter Letzt steht der Algorithmus
teils vor den gleichen Aufgaben wie das
menschliche Auge, vor allem bei sich
streng wiederholenden Mustern. Dann
landet ein Referenzpunkt leicht mal
fälschlicherweise bei der Kachel nebenan.
Trotzdem lohnt es sich, immer
hoffnungsvoll mit der Automatik anzufangen.
Auf der Kommandozeile lautet
der Befehl:
autopano‐sift‐c ‐‐maxmatches 15 ‐‐maxdim U
2000 J1.pto _MG_*JPG
Die Berechnung dauert bei 200 Bildern
schon mal eine halbe Stunde und liefert
eine Datei »J1.pto«, die alle Kontrollpunkte
auflistet. Die Beschränkung auf
nur 15 Punkte (»maxmatches 15«) ist
sinnvoll, damit Autopano bei Bildern,
die besonders günstige Bedingungen
haben, nicht so viele Punkte hinzufügt.
Das würde die anderen Bilder dominieren
und das spätere manuelle Eingreifen
komplizieren.
Ist das Panorama als Belichtungsreihe
aufgenommen, die üblicherweise aus
drei jeweils gleich ausgerichteten Bildern
besteht, fügt der Anwender noch weitere
Punkte hinzu. Zwar ist klar, dass sich
jeweils drei Bilder exakt überlappen, aber
wegen der Unter- und Überbelichtung
erarbeitet der Algorithmus ausgerechnet
in diesem Fall ungenauere Ergebnisse.
Abhilfe schafft, in die Datei »J1.pto« noch
fünf gleichmäßig übers Bild verteilte
Punkte einzufügen, die jeweils identische
Bilder mit unterschiedlicher Belichtung
sauber miteinander verbinden. Auch das
geht automatisch, Listing 2 zeigt die entsprechende
Schleife.
Kontrollpunkte entfernen
Das Kommando »celeste_standalone ‐i
J1.pto ‐o J2.pto« entfernt aus der Liste
der Kontrollpunkte jene, die unsinnig
erscheinen, weil sie zum Beispiel auf
sich bewegenden Gegenständen im Bild
liegen. Dabei entsteht eine neue Datei
Kennen Sie
den schon?
Stefan Kania schwört auf die
Kombination Samba + LDAP als
preiswerten, vor allem aber flexiblen
Ersatz für MS ActiveDirectory.
Seit 1995 nutzt er Linux und
betreut mit seinem Know-how
mittelständische Firmen. Als Trainer schafft
er es, seit über 10 Jahren die graue Theorie
mit seiner umfangreichen Praxiserfahrung zu
verbinden.
Seine nächsten Kurse:
Samba und LDAP
LDAP-Server
WIR KÖNNEN NOCH MEHR...
Hochperformante Webcluster
DNS und DNSsec
04.06.
23.04.
14.03.
PHP- / Webserversicherheit
Linux Admin Fortgeschrittene
HA-Virtualisierungscluster m. KVM
14.03.
19.03.
19.03.
19.03.
Abbildung 7: Kamera-Einstellungen und Belichtungsreihen kombiniert Hugin zu einem Panoramafoto.
http://www.heinlein-support.de/kurse

Software
www.linux-magazin.de Panorama-Fotos 01/2012
66
Abbildung 8: Die Belichtungsreihen aus jeweils drei Bildern fügt Luminance HDR
zu einem Belichtungsstapel zusammen.
Abbildung 9: Tux mit Glaskugel im Licht des Schrannenplatzes in Erding. HDR und
DRI erzeugen hier die extremen Falschfarben.
»J2.pto«. Unterschiedliche Dateinamen
erleichtern den Schritt zurück.
Jetzt stellt der Auto-Optimiser die Anordnung
der Bilder her und optimiert diese
mit »autooptimiser ‐a ‐p ‐l ‐s ‐o J3.pto
J2.pto«. Nun wartet die Datei »J3.pto«
aufs Laden in Hugins GUI. Dort klickt der
Hobby-Stitcher auf die Liste der Kontrollpunkte
und sortiert sie nach Abständen.
Die am weitesten auseinanderdriftenden
Kontrollpunkte sind normalerweise
falsch, die sollte er gleich löschen. Hier
sind Augenmaß und Erfahrung gefragt,
erst mit der Zeit stellt sich beim Anwender
ein sicheres Gefühl für die maximal
akzeptable Entfernung unter verschiedenen
Umständen ein.
Eher unkompliziert ist der nächste
Schritt: zwei Mausklicks, erst auf »Optimieren«
und dann »Alles«. Je mehr gute
und sinnvoll verteilte Kontrollpunkte
Listing 2: Kontrollpunkte in
Belichtungsreihen
01 s=$(echo $(ls *JPG | wc ‐l) ‐3 | bc);
02 for i in $(seq 0 3 $s); do j=$(echo "$i+1" | bc);
k=$(echo "$i+2" | bc);
03 echo "c n$i N$j x492.08 y584.21 X492.08 Y584.21 t0
04 c n$i N$j x2181.18 y620.08 X2181.18 Y620.08 t0
05 c n$i N$j x396 y3585 X396 Y3585 t0
06 c n$i N$j x2333.13 y3437.67 X2333.13 Y3437.67 t0
07 c n$i N$j x1196.26 y1935.27 X1196.26 Y1935.27 t0
08 c n$i N$k x492.08 y584.21 X492.08 Y584.21 t0
09 c n$i N$k x2181.18 y620.08 X2181.18 Y620.08 t0
10 c n$i N$k x396 y3585 X396 Y3585 t0
11 c n$i N$k x2333.13 y3437.67 X2333.13 Y3437.67 t0
12 c n$i N$k x1196.26 y1935.27 X1196.26 Y1935.27 t0" >>
J1.pto;
13 done
Hugin vorfindet, desto besser wird jetzt
das Ergebnis ausfallen. Dieser Schritt ist
bei der Erstellung eines Panoramas mit
Abstand der arbeitsaufwändigste, weil es
notwendig werden kann, manuell zusätzliche
Referenzpunkte hinzuzufügen.
Störer ausfindig machen
Die schlechtesten, störenden Kontrollpunkte
finden sich durch Drehen an der
Schraube der Bildvariablen: Der Reiter
»Optimieren« im Hugin-GUI hilft dabei
– vor allem durch den Eintrag »Alles«.
Danach liegen die schlechten Kontrollpunkte
(meist die mit den größten Distanzen)
leicht erkennbar oben in der
Kontrollpunkteliste, sofern diese nach
den Abständen sortiert ist.
Leider bleiben immer wieder richtig gesetzte
Kontrollpunkte übrig, die nach der
Optimierung weit auseinander liegen.
Meist gehen diese Punkte auf unsauberes
Arbeiten während der Aufnahme
zurück, zum Beispiel wenn der Hobbyfotograf
freihändig ohne Panoramakopf
fotografiert hat und so eine Parallaxe in
den Bildern vorliegt. In einem gewissen
Rahmen lassen sich solche Fehler nachträglich
beheben, indem der Anwender
Online PLUS
Auf Linux-Magazin Online PLUS finden
Sie alle Projektdateien der Huginund
Blender-Arbeitsschritte und die Skripte
aus diesem Artikel unter [http:// www.​
linux‐magazin. de/ plus/ 2012/ 01/].
an den wichtigen Stellen, also solchen
mit viel Struktur, viele Kontrollpunkte
von Hand setzt und an den Stellen, an
denen Fehler beim Zusammenfügen weniger
auffallen würden (zum Beispiel Rasenflächen),
löscht.
Hier gibt es keine allgemeingültigen
Tipps, zu unterschiedlich sind Motive
und potenzielle Fehlerquellen. Doch Parallaxen
lassen sich auch künstlerisch
einsetzen: So wie die Parallaxe zwischen
dem linken und rechten Auge das räumliche
Sehen erst ermöglicht oder Astronomen
in verschiedenen Jahreszeiten die
Entfernung zu Sternen berechnen lässt
(dank der unterschiedlichen Position der
Erde auf ihrer Bahn um die Sonne), erlaubt
sie es auch, die dreidimensionale
Struktur von Objekten zu berechen. In
Grenzen funktioniert das recht gut, ein
guter Einstieg für die Technik ist die Software
Bundler, die es unter [11] zu laden
gibt. Ob einem Abbildung 4 gefällt, ist
wohl Geschmackssache.
Zu guter Letzt: Planeten-
Projektion mit Blender
Um einen kleinen Planeten zu erzeugen,
etwa den von Abbildung 1, wählt
der Anwender in Hugin die Projektion
»Stereographisch«. Die Blickrichtung der
stereographischen Projektion muss ungefähr
senkrecht nach unten zeigen, damit
sich die Umgebung automatisch als Kugel
abbildet. Wer die Fotoreihe mit horizontaler
Blickrichtung beginnt und Hugin
das erste Bild als Blickrichtung für die

Projektion reicht, braucht den Blick nur
um 90 Grad nach unten zu drehen, indem
er dies entweder mit der Maus in der
Vorschau des Reiters »Move and Drag«
bewerkstelligt oder hier als »Nickwinkel«
90 Grad eingibt.
Das Hugin-GUI bietet an, die Bilder als
HDR zu speichern. Leider führten die
so erzeugten Dateien im Test zu seltsamen
Ergebnissen in Luminance HDR
oder Blender [12]: Die Bilder sehen sehr
unnatürlich aus. Besser ist es, den Menüpunkt
»Einzelne Belichtungsebenen zusammenfügen«
zu wählen. Der erzeugt
pro Belichtungsreihe ein Bild, das sich
mit Luminance HDR zu einem Belichtungsstapel
zusammenfügen lässt.
Dieser Stapel liefert dann sowohl in der
HDR-Entwicklung als auch als Lichtquelle
in Blender natürlicher wirkende Farben.
Wegen der vielen vollständig überlappenden
Bilder tritt häufig der Fehler »mask
is entirely black« auf. Wer das vermeiden
will, gibt als Option für »enblend« vorbeugend
»‐‐fine‐mask« ein.
Damit die Aufnahmen als Lichtquellen
in Blender dienen können, wählt der Anwender
als Projektion »Fischauge« und
einen Bildwinkel von 360 Grad, speichert
die einzelnen Belichtungsebenen einzeln
und fügt sie mit Hilfe von Luminance
HDR zu einem HDR-Stack zusammen,
wie es Abbildung 8 zeigt.
Im Open-EXR-Format gespeichert lässt
diese aus zahlreiche Einzelfotos gewonnene
Lichtumgebung die Szene in sehr
natürlichem Licht erscheinen. In Blender
lädt man sie über den »World«-Button
und »Real Sky«, wählt bei »Environment
Lightning« die »Sky Texture«, als »World
Texture« den Eintrag »Image or Movie«,
als Bild die vorher erzeugte EXR-Datei
und als Mapping »Angular Map«.
Untergrund
Damit ein in die Szene gesetztes Objekt
nicht aussieht, als schwebe es in der Luft,
bietet es sich an, direkt unter dem Objekt
eine durchsichtige Ebene (»Plane«)
hinzuzufügen, die den Schatten des Objekts
aufnimmt. So entsteht die Illusion,
das Objekt stünde direkt auf dem Boden.
Abbildung 9 zeigt Tux [13] mit einer
Glaskugel und Erding-Rendering. n
Sicheres und komfortables Login mit Chipkarte statt Benutzername/Passwort.
Sie möchten den neuen Personalausweis für
das Login in Ihrer Webanwendung nutzen?
OWOK hilft Ihnen bei der Realisierung.
Panorama-Fotos 01/2012
Software
www.linux-magazin.de
67
Infos
[1] Digikam: [http:// www. digikam. org]
[2] Hugin: [http:// hugin. sourceforge. net]
[3] Gimp: [http:// www. gimp. org]
[4] Gphoto2: [http:// www. gphoto. org]
[5] Bauanleitung für einen Panoramakopf:
[http:// www. dslr‐forum. de/ showthread.​
php? t=435827]
[6] Peter Kreußel, „Foto-Mix“: Linux-Magazin
05/​08, S. 48
[7] Raytracing: [http:// en. wikipedia. org/ wiki/​
Ray_tracing_(graphics)]
[8] Luminance HDR
[http:// qtpfsgui. sourceforge. net]
[9] Thomas Leichtenstern, „Alles unter einem
Dach: Linux-User 09/​10, S. 32
[10] Ufraw: [http:// ufraw. sourceforge. net]
[11] Bundler: [http:// phototour. cs. washington.​
edu/ bundler/]
[12] Blender: [http:// www. blender. org]
[13] Tux als Blender-Mesh: [http:// kde‐look.​
org/ content/ show. php/ ? content=57336]
Der Autor
Fritz Reichmann arbeitet als Software Development
Engineer bei der Amadeus Data Processing GmbH.
Der leidenschaftliche Hobbyfotograf nutzt beruflich
und privat Linux seit Kernel 1.2.12.
Mit OWOK steht eine nutzerfreundliche
Komplettlösung für das Login per Chipkarte
zur Verfügung, die mit geringem Aufwand
schnell in beliebige Web-Applikationen eingebunden
werden kann.
Freeware Softwarekomponenten
Authentifizierung durch Smartcard
und PIN
Maximaler Datenschutz
Hochsichere Verschlüsselung
Sichere Authentifizierung für Web-Applikationen
mit neuem Personalausweis und/oder OWOK-Karte.
Jetzt informieren:
www.reiner-sct.com/owok
powered by

Software
www.linux-magazin.de Bitparade 01/2012
68
Vier Liquid-Democracy-Tools im Test
Alle Macht dem Volke
Das Tauziehen um „Stuttgart 21“ und die explodierende Zahl an Online-Petitionen machen klar, dass die Bürger
nach mehr Mitbestimmung und Demokratie rufen. Sie wollen nicht mehr nur als Wahlvieh alle vier Jahre an die
Urnen gebeten werden, sondern direkten Einfluss nehmen – Liquid Democracy soll es möglich machen. Mela Eckenfels
Skalierbarkeit steht. Darüber hinaus prüft
der Test, wie die Systeme Abstimmungen
steuern, beeinflussen und auswerten, ob
die Tools Diskussionen möglich machen
und Stimmen an andere Personen abgeben
können. Last but not least, stehen
die Privatsphäre der Anwender und die
Usability auf dem Prüfstand.
E Adhocracy
© BlauSicht, photocase.com
Es war eine Premiere mit Hindernissen:
Die Enquetekommission „Internet und
digitale Gesellschaft“ des Deutschen Bundestages,
die unter dem Eindruck der
Petition gegen die „Zensursula“-Netzsperren
mit über 130 000 Teilnehmern
gegründet wurde, wollte einen 18. Sachverständigen
zu Wort kommen lassen:
das Volk. Eine Instanz der Liquid-Democracy-Software
Adhocracy [1] sollte das
möglich machen.
Als es Zeit wurde, die Pläne umzusetzen,
waren den CDU-Mitgliedern der Kommission
die Kosten zu hoch. Die Netzgemeinde
lästerte, dass wohl eher die Angst
vor dem Ungeheuer „direkte Bürgerbeteiligung“
den Ausschlag gegeben habe.
Erst im September letzten Jahres konnte
man sich einigen – die Obleute-Runde beschloss,
die Bürgerinnen und Bürger zur
Mitarbeit einzuladen ([2], [3]).
Andere Parteien taten sich da leichter. Sie
erkannten Liquid Democracy als Strategie
gegen die zunehmende Politikverdrossenheit
und als Mittel, um die eigene
Basis besser in die Entscheidungsfindung
einzubinden. Die Parteien Bündnis 90/
Die Grünen, Die Linke, SPD und FDP
experimentieren seit einiger Zeit mit Adhocracy,
die Piratenpartei mit Liquidizer
[4] und Liquid Feedback [5]. Ein viertes
Tool namens Votorola [6] macht von sich
Reden, steckt aber noch in der Entstehungsphase
(siehe Kasten „Votorola“).
Es tritt daher im folgenden Vergleichstest
außer Konkurrenz an.
Liquid-Democracy-Tools helfen überall
dort, wo es unterschiedliche Strömungen
und Meinungen gibt, einen gemeinsamen
Weg zu finden. So spricht nichts dagegen,
eine solche Software für Abstimmungen
bei Open-Source-Projekten einzusetzen
und Kompromisse zu erarbeiten, etwa
welche Features kommende Programmversionen
haben sollen.
Diese Bitparade untersucht, welche Anforderungen
die Tools an Server und
Webbrowser stellen und wie es um die
Adhocracy ist ein Projekt des seit 2009
bestehenden Vereins Liquid Democracy
e. V. und der Kandidat mit der größten
Einsatzerfahrung. Nicht nur die zuvor genannten
Parteien, auch die Stadt München
setzte für den „Münchner Tag der Offenen
Verwaltung“ (Munich Open Government
Day, „Mogdy“, [7]) auf Adhocracy (siehe
Abbildung 1). Derzeit ist meist Version 1.1
im Einsatz, aber die Entwickler arbeiten
bereits am Sprung auf 1.2. Interessierte
Nutzer können unter [8] eine kostenlose
Instanz testen.
Für den Betrieb auf einem eigenen Server
benötigt die Python-Software eine Skriptumgebung
der Version 2.5 oder höher,
PostgreSQL, den Suchserver Solr [9],
die Messaging-Anwendung Rabbit MQ
[10] und den Cacheserver Memcached
[11]. Für den Standard-Mietwebspace ist
Adhocracy damit zu anspruchsvoll, ein
Rootserver ist die Minimalvoraussetzung
für eine eigene Installation.
Im Adhocracy-Paradebeispiel, der Installation
der Internet-Enquete, verwaltet das
Tool derzeit um die 2000 Anwender mit
zirka je 300 Papieren und Vorschlägen,
fast 20 000 Ereignisse und 12 000 Stimmen.
Die Solr-Suche hat insgesamt über
5000 Dokumente indiziert.
Bei diesem Liquid-Democracy-Tool beginnt
der Weg einer neuen Abstimmung

®
opensourcepress.de
SOFTWARE
mit einem Vorschlag und einer Diskussion:
Ritas Kommune betreibt eine Adhocracy-Instanz.
Dort legt sie einen Account
an, meldet sich an und bringt ihren Antrag
ein. Rita möchte weniger Verkehrslärm
in ihrer Straße. Helmut, Willy und alle
anderen Mitglieder der Instanz können
ihre Meinung dazu im Diskussionsbereich
äußern. Mit einem kleinen Pfeil-Tool in
der oberen linken Ecke stimmen sie dem
Vorschlag zu oder lehnen ihn ab. So entsteht
ein erstes Meinungsbild.
Rita muss aber auch die Umsetzung
selbst ausarbeiten, denn ohne die gibt es
keine Abstimmung. Da sie sich eine Umgehungsstraße
als Lösung des Problems
gut vorstellen kann, beschreibt sie in der
Umsetzung die Trasse. Willy wiederum
findet eine Umgehungsstraße mit Trasse
durch das Naturschutzgebiet des keuchenden
Buntmarders völlig überflüssig
und schlägt daher eine Alternative vor.
Virtuelle Debatte
Die Diskussion geht hoch her. Alle Mitglieder
können nicht nur die Vorschläge bewerten,
sondern auch jeden Diskussionsbeitrag.
Margarete hat dafür aber einfach
keine Zeit. Auch wenn ihr der keuchende
Buntmarder ziemlich egal ist, Naturschutz
ist eines ihrer Lieblingsthemen und sie
weiß, dass sie meist der gleichen Meinung
wie Willy ist. Deswegen delegiert sie ihre
Stimme an Willy, der nun für zwei abstimmen
kann.
Nicht alle Vorschläge kommen bis zur
Abstimmungsphase, sondern nur solche,
die ein gewisses Quorum erreicht
haben. Eine Benachrichtigung, dass die
Abstimmung beginnt, gibt es nicht. Hier
hilft nur, das Thema aktiv zu beobachten.
Adhocracy zeigt dann einen weiteren
Frame mit »Dafür«-, »Dagegen«- und
»Enthalten«-Schaltflächen.
Das Benutzerinterface ist aufgeräumt und
deutlich übersichtlicher als bei den anderen
Kandidaten. Geübten Foren- oder
Social-Media-Nutzern gibt es keinerlei
Rätsel auf, sie dürften sich schnell
zurechtfinden. Wer solche Plattformen
im Internet bisher gemieden hat, der
benötigt sicherlich ein bisschen mehr
Einarbeitungszeit.
Jede Abstimmung und jeder Beitrag ist in
Adhocracy immer einsehbar und Daten
überträgt das Tool unverschlüsselt. Privatsphäre
ist nur in Form von Pseudonymen
gewährleistet, und die sind einigen
Nutzern ein Dorn im Auge. So sprach
sich der Vorsitzende der Enquetekommission
Axel E. Fischer vehement gegen
openSUSE 12.1
umfassend · einfach · stabil
2 DVDs (Installations- und Live-Systeme für 32- und 64-Bit)
+ gedrucktes Handbuch 352 Seiten
+ E-Book „Root-Server einrichten und absichern“
+ zahlreiche weitere AddOns
ISBN 978-3-941841-66-6 · 59,95 [D]
opensourceschool.de
Abbildung 1: Das Projekt Mogdy setzt auf Adhocracy. Mit der Kampagne „Fixmystreet für München“ wollen
Bürger den Zustand der Straßen verbessern.
TRAINING
Nagios
C++
SUSE
Git
Apache LPI 301
JavaScript
Novell
TYPO3
Inhouse-Schulungen
Android
Metasploit
Asterisk
Kerberos
CSS3
Samba
PostgreSQL
Hadoop
Lua
ExtJS
Nmap
HTML5
OTRS Bacula
LPIC-2
LPIC-1
UML
PHP
Perl
Qt
KVM Magento
Mainframe
IPv6
OpenLayers
jQuery
Anfragen unter:

Software
www.linux-magazin.de Bitparade 01/2012
70
Pseudonyme aus. Um mit Liquid Democracy
aber nicht den gläsernen Bürger zu
schaffen, arbeitet der Entwicklerverein
an Reputationssystemen. Die Implementierung
eines Karma-Systems haben die
Macher aber vorerst gestoppt.
E Liquid Feedback
Liquid Feedback ist ein Kind des Public
Software Group e. V. und entstand 2009.
Das Tool steht unter der MIT-Lizenz. Der
Entwicklerverein arbeitet zwar unabhängig
von der Piratenpartei, Entstehung und
Entwicklung der Software sind aber eng
mit ihr verknüpft.
Liquid Feedback ist in Lua [12] implementiert,
arbeitet mit einem PostgreSQL-
Backend und benötigt einen CGI-fähigen
Webserver. Außerdem verlangt das Tool
nach Web MCP [13] und Rocketwiki
[14] – beide stammen ebenfalls aus der
Schmiede der Public Software Group. Mit
gemietetem Webspace spielt Liquid Feedback
zusammen, wenn ein Shellzugang
und damit auch Zugriff auf den Cron-
Dienst zur Verfügung steht. Wer einen
Rootserver hat, ist auf der sicheren Seite.
Eine öffentliche Testinstanz steht unter
[15] bereit, sie eignet sich aber nicht für
den produktiven Einsatz.
Auf die Flaggschiff-Installation der Piratenpartei
greifen gegenwärtig mehr als
5000 Mitglieder zu, die 2000 Initiativen
und 1000 Themen eingestellt haben. Die
zugehörige Datenbank ist knapp 600
MByte groß.
Liquid Feedback ist hierarchischer strukturiert
als Adhocracy. Jede Instanz besitzt
Bereiche, in denen sich die Themen befinden.
Diese entsprechen den Vorschlägen
in Adhocracy. Wäre Rita ein Mitglied
der Piratenpartei, müsste sie ihre Idee für
die Umgehungsstraße im Themenbereich
„Umwelt, Verkehr, Energie“ einordnen
(siehe Abbildung 2). Ihre Idee durchläuft
dann mehrere Phasen: Zuerst muss
sie das Quorum bestehen, in dem zehn
Prozent aller angemeldeten Benutzer ihre
Idee zumindest als diskussionswürdig
befinden müssen. Kommt das Quorum
nicht zustande, beendet das System die
Initiative automatisch.
Diskussionskultur
Abbildung 2: Liquid Feedback ordnet Themen in bestimmte Bereiche ein. Diese müssen zunächst Stimmen
sammeln, bevor ein Vorschlag in die Diskussionsphase gelangt.
Erreicht Ritas Vorschlag das Quorum, beginnt
die Diskussion. Helmut und Willy
können nun Gegeninitiativen entwerfen.
Ein handliches Diskussionstool bietet Liquid
Feedback in der derzeitigen Version
nicht. Je nach Instanz generiert das System
stattdessen automatisierte Links in
angeschlossene Forensysteme. Ist auch
die Diskussionsphase beendet, gilt die
Initiative als eingefroren, was kurzfristige
Änderungen am Abstimmungstext verhindern
soll. Hat sich die zwischenzeitliche
Diskussion als unfruchtbar erwiesen
und ist damit die Unterstützerzahl unter
die zehn Prozent des ersten Quorums
abgesunken, scheitert der Vorschlag und
eine Abstimmung findet nicht statt. Blieb
das Interesse erhalten, dürfen Rita, Helmut,
Willy und Margarete endlich zur
virtuellen Urne schreiten.
Hier nehmen sie Ideen an oder lehnen sie
ab oder sortieren Konkurrenzideen, die
sich eventuell in der Diskussionsphase
herausgebildet haben, nach ihren Präferenzen.
Willy würde die Umgehungsstraße
durchs Naturschutzgebiet wahrscheinlich
ganz ans Ende seiner Liste
einfügen, eine Straße durch ein weniger
problematisches Gebiet an die erste Stelle
setzen und Tempo 30 im besagten Wohngebiet
als akzeptable Alternative und somit
an Position zwei sehen.
Delegationen spielen in Liquid Feedback
eine wichtige Rolle. Der Wert einer Delegation
beträgt immer genau eine Stimme.
Bekommt Willy die Delegationen von 134
Mitgliedern seines Naturschutzvereins
übertragen, wiegt seine Stimme für die
Alternative zur Umgehungsstraße genau
135 Stimmen. Während bei Adhocracy
Delegationen derzeit unbegrenzt bestehen
bleiben, hat die Liquid-Feedback-
Refe renz installation der Piraten kürzlich
ein Verfallsdatum implementiert. So muss
sich beispielsweise Margarete nun in regelmäßigen
Abständen Gedanken machen,
ob sie ihre Delegation weiterhin
auf Willy überträgt oder ob sie inzwischen
nicht mehr so ganz von dessen
Kompetenz überzeugt ist. Zeigt sie kein
Interesse an einer direkten Teilnahme und
kümmert sich auch nicht um eine neue
Delegation, verfällt die Stimme.
So durchdacht das Wahlsystem und die
Abstimmungsphasen bei diesem Tool
auch sind, in puncto Usability müssen
Anwender deutliche Abstriche machen.
Derzeit erfordert die Software genügend
Zeit und Willen, sich einzuarbeiten. Ein
kleines Entwicklerteam namens Saftige
Kumquat ist daher angetreten, um eine
Lösung zu finden, und arbeitet an einer
alternativen Oberfläche mit Codenamen
Bombay Crushed [16].
Ursprünglich bestand Liquid Feedback
auf Klarnamen, welche die Betreiber eindeutig
den Parteimitgliedern zuordnen
konnten. Damit war das Abstimmungsverhalten
jedes einzelnen Mitglieds glä-

sern und alle mit Zugang zum System
konnten es nachvollziehen. Nach einigen
Diskussionen erweiterten die Entwickler
das Tool, es lässt inzwischen Pseudonyme
zu. Die sind jedoch vom System weiterhin
verifizierbar, um Abstimmungsbetrug
zu verhindern.
E Liquidizer
Der Informatiker Stefan Dirnstorfer rief
Liquidizer 2011 ins Leben. Er hat die Software
in Scala implementiert und verwendet
das Liftweb Framework [17], Graphviz
[18] und Gnuplot [19] sowie Apache
Maven [20]. Der Code ist über Github
verfügbar und steht unter der MIT-Lizenz.
Für den Hausgebrauch geht Liquidizer
mit dem Jetty-Webserver [21] und einer
H2-Datenbank [22] über Port 8080 in
Betrieb. Ein Rootzugang ist nicht nötig,
der Einsatz auf einem üblichen Webhosting-Paket
könnte aber an Apache Maven
scheitern. Alternativ arbeitet Liquidizer
mit einem Apache Webserver und einem
SQL-Backend zusammen – eine Variante,
die bessere Backup- und Replikationsmöglichkeiten
bietet.
Ihre Feuertaufe erlebte die Software im
Mai 2011 zum Bundesparteitag der Piratenpartei.
Um die 1000 Benutzer wählten
die bevorzugte Reihenfolge der zur
Abstimmung stehenden Anträge. Den
Nutzeransturm meisterte Liquidizer problemlos;
ein Manipulationsversuch über
eine angebliche Sicherheitslücke verhinderte
aber den Einsatz der gewonnenen
Ergebnisse [23].
Abbildung 3: Liquidizer-Anwender haben insgesamt sieben Möglichkeiten, ihre Präferenzen auszudrücken.
Direkt darüber ist das aktuelle Stimmungsbild eingeblendet.
Liquidizer setzt auf ein komplexes mathematisches
Verfahren, das sich vom
binären Ja/​Nein verabschiedet. Stattdessen
verleiht die Software den Stimmen
auf einer Skala von ‐3 bis +3 ein Gewicht
(siehe Abbildung 3). Stehen beispielsweise
drei Anträge zur Wahl, in denen
der beste Editor der Welt zu küren ist,
muss sich der Wähler nicht endgültig für
Emacs, Vi oder Joe entscheiden. Stattdessen
kann er mit seiner Wertung festlegen,
dass er den Joe eigentlich ganz gerne
mag, den Vi aber ein bisschen mehr und
den Emacs doch nicht so richtig.
Auch Liquidizer kennt Delegationen, nutzt
hier aber ebenfalls mathematische Abhängigkeiten,
die den Wert der Stimme und
der Delegationen beeinflussen. So ist nicht
jede Delegation zwingend eine Stimme.
Der Mediator
Dieser Testkandidat eignet sich nicht dazu,
absolute Antworten zu finden, fängt aber
Stimmungsbilder ein und bildet Kompromisse
ab, mit denen die Mehrzahl der
Teilnehmer leben könnte. Auch zur Meinungsbildung
taugt Liquidizer weniger.
Bitparade 01/2012
Software
www.linux-magazin.de
71
Votorola
Dieses Projekt stammt von einer kleinen Entwicklergruppe,
die weitgehend unabhängig von
Vereinen oder Parteien agiert. Die Software
befindet sich im Prototyp-Stadium, sieht aber
bereits jetzt recht vielversprechend aus. Das
Tool steht unter der MIT-Lizenz. Es benötigt
Open JDK oder die Java-Laufzeitumgebung
von Sun in Version 1.6. Darüber hinaus sind
Semantic Mediawiki 1.5.5 und PostgreSQL ab
Version 8.4 sowie eine Reihe gängiger Mediawiki-Erweiterungen
[25] und die Eigenproduktion
der Votorola-Macher namens Mailish
Username [26] erforderlich. Momentan testet
Metagovernment [27] die Anwendung,
weitere Alphatester sind laut Aussagen der
Macher aber erwünscht.
Was Votorola vor allem von den anderen Kandidaten
unterscheidet, sind die offenen Strukturen
und das Konzept der kommunikativen Delegationen.
Während Letztere bei Adhocracy,
Liquidizer und Liquid Feedback eher ein zusätzliches
Feature sind, spielen sie bei Votorola eine
zentrale Rolle. Das Konzept ist schnell erklärt:
Ein Anwender veröffentlicht nicht etwa eine
Idee und sammelt dann Stimmen für diese, sondern
sucht bei Votorola andere Wähler, die ihre
Stimmen auf seine Version der Idee delegieren.
Ein Wähler, der 100 Stimmen auf sich versammelt
hat, kann nun mit einem anderen Wähler
in Verhandlung treten.
War Anna beispielsweise sehr überzeugend
und hat 500 Delegationen für ihre Umgehungsstraße
auf sich versammelt und Chris
400 Delegationen, die den keuchenden Buntmarder
retten möchten, kann er versuchen,
mit Anna ein Übereinkommen zu treffen. Sie
erhält dann auch seine 400 Stimmen, wenn sie
einer alternativen Trasse zustimmt. Mit nun
900 Stimmen haben sie ganz gute Chancen
gegen Bens 600 Stimmen, die er sammeln
konnte, weil er die Umgehungsstraße viel zu
teuer und eine Tempo-30-Zone völlig ausreichend
findet.
Delegationen und Diskussionen befinden sich
bei Votorola wahrlich beständig im Fluss. Die
Benutzeroberfläche erinnert in der aktuellen
Version stark an ein Mediawiki (siehe Abbildung
4). Was aber auf den ersten Blick vertraut wirkt,
verwirrt bei genauem Hinschauen. Die Navigation
ist zu unübersichtlich und eher etwas für
gestandene Techies als für politisch interessierte
Normaluser. Noch gibt es also viel zu tun,
wollen die Entwickler das flexible und komplexe
System selbsterklärend abbilden.

Software
www.linux-magazin.de Bitparade 01/2012
72
Abbildung 4: Votorola basiert auf Mediawiki, was bei der Benutzeroberfläche noch deutlich zu sehen ist (hier
ein Abstimmungsvorschlag zur Veröffentlichung von Lehrmaterial).
Die Diskussionsseiten der Anträge haben
nicht viel mehr zu bieten als die Kommentarfunktionen
eines Blogs. Das reicht
aber, um dem Wähler die Möglichkeit
zu geben, sein Abstimmungsverhalten zu
begründen, echte Diskussionswerkzeuge
fehlen jedoch.
Liquidizer empfängt seine Nutzer auf den
ersten Blick mit einem freundlichen und
aufgeräumten Interface. Es verschleiert
geschickt die Lernkurve und den benötigten
Aufwand, wenn der Politikinteressierte
wirklich verstehen will, wie das
genaue Gewicht seiner Stimme zustande
kommt. Die Visualisierung der Delegationen
oder des Abstimmungsverlaufs schaffen
zwar Transparenz, erschlagen aber
den technisch unbedarften Benutzer mit
einem Riesenpaket Information.
Auch in Bezug auf ihre Privatsphäre
müssen Wähler Zugeständnisse machen.
Zwar können sie alle ihre Informationen
jederzeit rückstandsfrei aus dem System
entfernen, bleiben sie aber dabei, ist ihr
gesamtes Abstimmungsverhalten inklusive
ein- und ausgehender Delegationen
für jeden einsehbar.
Wahlfieber
Bei der Installation und Wartung unterscheiden
sich die Kandidaten kaum –
alle benötigen mindestens einen Rootserver
mit Shellzugriff, ein einfaches
Hosting paket reicht nicht aus. Bei der
Wahrung der Privatsphäre hat Liquid
Feedback leicht die Nase vorn. Dieses
Tool punktet ebenfalls mit einem wohlgeordneten
Wahlvorgang. Liquidizer wartet
mit einem durchdachten Konzept und
mathematischen Feinheiten auf. Sieger
im Test ist jedoch eindeutig Adhocracy.
Die Software überzeugt am Ende durch
ihre Benutzerfreundlichkeit. Ohne lange
Einarbeitungszeit kann auch der technisch
unbewanderte Politikfan schnell im
Abstimmungs- und Wahlkampf mitmischen,
und darum geht es letztendlich
bei Liquid Democracy.
Es bleibt die Frage, ob dieses Konzept am
Ende eine Zukunft hat. Wenn Bündnis
90/Die Grünen laut ihrem Impulspapier
„Keine Angst vor Piraten – keine Angst
vor den BürgerInnen“ [24] Liquid-Democracy-Werkzeuge
einsetzen wollen,
damit Delegierte an Delegierte delegieren
können, sind diese nur noch Hilfsmittel
für den reibungslosen politischen
Arbeitsablauf ohne jede basisdemokratische
Komponente.
Noch pessimistischer drückte es der Politikwissenschaftler
Tilman Mayer von der
Universität Bonn aus. Zu einer Pressekonferenz
der Piratenpartei befragt, äußerte er
die Vermutung: „Sie [die Bürger] wollen
nicht so eine starke Partizipation.“ Ob er
angesichts des um sich greifenden Massenprotestes
und einer um Antworten in
sozialen und ökonomischen Fragen verlegenen
politischen Kaste recht behält, wird
sich zeigen. (hej)
n
Infos
[1] Adhocracy: [http:// code. adhocracy. de]
[2] Bürgerbeteiligung mit Adhocracy:
[http:// www. bundestag. de/​
internetenquete/ Adhocracy/ index. jsp]
[3] Adhocracy im Bundestag:
[http:// www. bundestag. de/​
internetenquete/ Online‐
Buergerbeteiligung_Uebersicht/ index. jsp]
[4] Liquidizer: [http:// liquidizer. github. com]
[5] Liquid Feedback:
[http:// liquidfeedback. org]
[6] Votorola: [http:// zelea. com/ project/​
votorola/ home. xht]
[7] Munich Open Government Day:
[http:// www. muenchen. de/ Rathaus/ dir/​
limux/ mogdy/ index. html]
[8] Adhocracy-Testzugang:
[http:// adhocracy. de]
[9] Apache Solr:
[http:// lucene. apache. org/ solr]
[10] Rabbit MQ: [http:// www. rabbitmq. com]
[11] Memcached: [http:// memcached. org]
[12] Lua: [http:// www. lua. org]
[13] Web MCP: [http:// www.​
public‐software‐group. org/ webmcp]
[14] Rocketwiki: [http:// www.​
public‐software‐group. org/ rocketwiki]
[15] Liquid-Feedback-Testsystem:
[http:// lqfb. de/ testlogin]
[16] Alternative Liquid-Feedback-Oberfläche:
[http:// saftigekumquat. wordpress. com]
[17] Liftweb: [http:// liftweb. net]
[18] Graphviz: [http:// www. graphviz. org]
[19] Gnuplot: [http:// www. gnuplot. info]
[20] Apache Maven:
[http:// maven. apache. org]
[21] Jetty: [http:// www. eclipse. org/ jetty]
[22] H2-Datenbank:
[http:// www. h2database. com]
[23] Analyse des Liquidizer-Manipulationsversuchs:
[http:// wiki. piratenpartei. de/​
Liquidizer/ BPT11. 1/ Attacke]
[24] Impulspapier: [http:// gruene‐beta. de/​
offenes‐impulspapier]
[25] Zusätzliche Mediawiki-Module:
[http:// u. zelea. com/ w/ Special:Version]
[26] Malish Username:
[http:// zelea. com/ project/​
MailishUsername/ MailishUsername. xht]
[27] Metagovernment:
[http:// metagovernment. org]

Unsere Besten 2011
neu
neu
ISBN 978-3-89721-319-7, 34,90 €
ISBN 978-3-86899-139-0, 29,90 €
neu
ISBN 978-3-89721-601-3, 34,90 €
neu
ISBN 978-3-86899-119-2, 24,90 € ISBN 978-3-86899-125-3, 24,90 €
ISBN 978-3-86899-145-1, 34,90 €
neu
ISBN 978-3-89721-316-6 34,90 €
ISBN 978-3-86899-114-7, 29,90 €
ISBN 978-3-86899-114-7, 29,90 €
Blog:
community.oreilly.de/blog
Google+:
http://bit.ly/googleplus_oreillyverlag
Facebook:
facebook.com/oreilly.de
Twitter:
twitter.com/OReilly_Verlag
O’REILLY ®
www.oreilly.de

Software
www.linux-magazin.de Tooltipps 01/2012
74
Werkzeuge im Kurztest
Tooltipps
Gtkdialog 0.8.0
GUIs für eigene Skripte basteln
Quelle: [http:// code. google. com/ p/​
gtkdialog]
Lizenz: GPLv2
Alternativen: Zenity, Xdialog
Monkey 0.20.1
Kompakter und schneller Webserver
Quelle: [http:// www. monkey‐project. com]
Lizenz: GPLv2
Alternativen: Lighttpd, Nginx
Rsstail 1.8
RSS-Reader für die Konsole
Quelle: [http:// www. vanheusden. com/
rsstail]
Lizenz: GPLv3
Alternativen: Snownews, Newsbeuter
Eigene Programme mit grafischen Oberflächen
auszustatten ist dank Gtkdialog
äußerst komfortabel. Das Werkzeug erlaubt
es, das GUI in einer einfachen XMLartigen
Syntax zu beschreiben, und arbeitet
mit allen Interpretern zusammen, die
Dateien, Standard-I/​O oder Umgebungsvariablen
unterstützen.
Über zwanzig vordefinierte Fensterstrukturen
stehen bereit, darunter einfache
Auswahlmenüs und Fortschrittsbalken.
Gtkdialog setzt auf die GTK-Bibliotheken,
um die Fenster in einer X-Umgebung darzustellen.
Die Archivdatei enthält eine
Reihe von Anwendungsbeispielen für
unterschiedliche Fenstertypen, die anschaulich
beschreiben, welche Einsatzmöglichkeiten
das jeweilige Element bietet.
Enthalten sind ebenfalls Anleitungen
für die Zusammenarbeit mit der Bash
und Awk. Eine Manpage besitzt Gtkdialog
nicht, dafür eine Infoseite und ein
»doc«-Verzeichnis mit HTML-Referenzen
für alle Fenstertypen.
★★★★★ Mit Gtkdialog peppen Entwickler
ihre Programme auf und erstellen ohne
viel Aufwand schicke grafische Oberflächen.
Davon profitieren besonders Awkund
Shellskripte, die über kein eigenes
API für GUIs verfügen.
n
Monkey ist ein schlanker und leistungsfähiger
HTTP/​1.1-kompatibler Webserver
und besticht vor allem durch seine
Geschwindigkeit. Der Fokus liegt auf
der Auslieferung statischer Seiten. Zum
Darstellen dynamischer Inhalte greift
Monkey auf das Palm-Plugin zurück.
Der Server beherrscht feste Threads und
den asynchronen Modus, der die Nutzung
nicht geblockter Sockets erlaubt.
Auf diese Weise kann Monkey extrem
viele Anfragen bearbeiten, ohne dabei
Verbindungen zu blockieren.
Jede Site ist ein virtueller Host mit einer
eigenen Konfigurationsdatei. Hier definiert
der Admin außer dem Namen oder
der IP-Adresse ein Dokumentenverzeichnis
und den Aufenthaltsort der Logdateien.
Die mitgelieferten Beispiele sind
gut strukturiert und enthalten aussagekräftige
Kommentare, sodass sich erfahrene
Admins sofort zurechtfinden.
Die Haupteinrichtungsdatei enthält den
Port, auf dem Monkey eingehende Verbindungen
erwartet, sowie die Anzahl
der Threads, die der Server startet. Weitere
Parameter legen das Keep-alive-
Verhalten, die Request-Größe und den
Indexdateityp fest.
★★★★★ Monkey ist ein performanter
Webserver, der sich gut zur Darstellung
statischer Sites eignet. Wer dynamische
Inhalte anbieten will, greift besser zu
einer anderen Lösung.
n
Wie der Name ahnen lässt, handelt es
sich bei diesem Tool um einen RSS-Reader
für die Konsole. Er beobachtet Feeds
und aktualisiert die Anzeige, wenn er einen
neuen Artikel entdeckt – ähnlich wie
»tail ‐f«. Dazu ruft der Anwender »rsstail
‐u« zusammen mit einer oder mehreren
URLs auf. Darf es etwas detaillierter sein,
geben Parameter wie »‐a«, »‐p«, »‐t« oder
»‐d« Informationen über Autor, Veröffentlichungsdatum,
Zeitstempel und eine Beschreibung
des Feed aus.
In der Voreinstellung überprüft Rsstail
alle 15 Minuten, ob es neue Artikel gibt.
Alternativ definiert der Anwender hinter
»‐i« ein eigenes Intervall in Sekunden. Für
oft aktualisierte Feeds besteht die Möglichkeit,
nur Einträge der letzten Minuten
oder Stunden anzuzeigen. Filteroptionen
sorgen für mehr Übersicht. So reduziert
der Anwender mit »‐b« lange Beschreibungen
auf eine Bytezahl seiner Wahl.
Über »‐n« schränkt er die Zahl der Feeds
ein, mit »‐H« entfernt Rsstail alle HTML-
Tags. Das Tool kann laut Manpage auch
mit Proxyservern umgehen; auf einem
Testsystem klappte die Zusammenarbeit
mit Squid jedoch nicht.
★★★★★ Rsstail ist ein sehr praktisches
Tool für alle Anwender, die oft auf der
Konsole arbeiten und dabei ihre abonnierten
Newsfeeds im Auge behalten
möchten.
n

Procmeter 3.5d
Monitor für das »/proc«-Verzeichnis
Quelle: [http:// www. gedanken. demon. co. uk/​
procmeter3]
Lizenz: GPLv2
Alternativen: Gkrellm, Conky
Fdupe 1.7
Dateidubletten aufspüren
Quelle: [http:// neaptide. org/ projects/ fdupe]
Lizenz: Free for non-commercial Purpose
Alternativen: Dupseek, Dupeguru
Snarsshe 11.10.12
Remotesysteme mit Rsync archivieren
Quelle: [http:// www. cogent‐it. com/​
software/ snarsshe]
Lizenz: GPLv2
Alternativen: Synbak, Burp
Tooltipps 01/2012
Software
www.linux-magazin.de
75
Ein Blick ins Verzeichnis »/proc« offenbart
aktuelle Informationen zum Zustand
des eigenen Systems. Allerdings gleicht
manche Suche der nach der berühmten
Nadel im Heuhaufen. Procmeter beobachtet
die Kernel-Informationen und bereitet
sie grafisch auf. Das Tool präsentiert
die gesammelten Daten wahlweise
interaktiv in einer grafischen Oberfläche
oder schreibt sie in eine Protokolldatei.
Für den GUI-Einsatz bietet Procmeter verschiedene
Looks an: GTK 1, GTK 2 oder
Xaw. Dabei ist ebenfalls eine Variante für
kleine LCD-Displays.
Das Programmfenster ist in so genannte
Panels gegliedert. Diese stellen die ermittelten
Werte der einzelnen Module als
Text, Graph oder Balken dar. Procmeter
bietet unter anderem Module für »acpi«,
»biff«, »cpuinfo«, »loadavg«, »netdev«,
»meminfo« und »vmstat« an, die der Anwender
nur aktivieren muss. Dazu bedient
er sich der rechten Maustaste und
wählt die Komponenten im Kontextmenü
aus. Über die linke Maustaste positioniert
und konfiguriert er die Module.
Alle so vorgenommenen Einstellungen
sind nur temporär. Um Procmeter immer
mit derselben Ansicht zu starten, legt der
Nutzer eine Konfigurationsdatei namens
»~/.procmeterrc« an. Informationen zu
deren Syntax und eine Beispieldatei enthält
die Manpage zu »procmeterrc«.
★★★★★ Procmeter ist ein flexibler Systemmonitor,
den Anwender ganz nach
ihren Bedürfnissen einrichten. Das Tool
passt sein Look & Feel an gängige Oberflächen
an und macht sogar auf LCDs
eine gute Figur, was es für den Einsatz
auf Embedded Devices prädestiniert. n
Fdupe ist ein kleines und kompaktes
Perl-Skript, das den Anwender dabei unterstützt,
Dateidubletten zu finden. Das
Tool untersucht und vergleicht dazu den
Inhalt, nicht die Dateinamen. Zusätzliche
Perl-Module sind nicht erforderlich
– ein Aufruf von »/usr/bin/perl fdupe.
pl« genügt.
Beim Start definiert der Nutzer mehrere
Dateien oder Verzeichnisse, die Fdupe
dann rekursiv scannt. Im ersten Schritt
erstellt das Skript eine Liste aller dort enthaltenen
Dateien und sortiert diese absteigend
nach ihrer Größe. Danach prüft
und vergleicht Fdupe alle Fundstücke, die
gleich groß sind. Dazu zerlegt das Tool
sie in 32-Byte-Segmente und gleicht diese
jeweils miteinander ab.
Die gefundenen Dublette gibt Fdupe
übersichtlich gegliedert auf Stdout aus,
identische Dateien erscheinen dabei als
Block. Jeder Abschnitt beginnt mit der
Größenangabe, gefolgt vom Dateinamen
und dem vollständigen Pfad. Der Programmierer
empfiehlt auf der Projekthomepage,
die Ausgabe in eine Datei
umzuleiten, möchte der Nutzer die Ergebnisse
mit einem Skript oder anderen
Tools weiterverarbeiten.
Während die Entwicklung in den letzten
neun Jahren ruhte, gibt es seit Ende
2011 wieder Neuerungen. Neben einigen
Fehlerkorrekturen implementierte
der Macher das oft gewünschte Feature,
auch Dateien und nicht nur Verzeichnisse
beim Start angeben zu dürfen.
★★★★★ Zugegeben, für die Jagd auf
Dateidubletten gibt es unter Linux komfortablere
und effizientere Tools. Wer
aber nach einem kleinen Programm ohne
große Abhängigkeiten sucht, der findet in
Fdupe einen praktischen Helfer. n
Snapshots via Rsync in a simple Shell Environment
– so der lange Name – ist eine
Skriptsammlung, die bei der regelmäßigen
Datenarchivierung hilft. Dazu sichert
Snarsshe Momentaufnahmen entfernter
Systeme in regelmäßigen Abständen und
speichert sie in einem lokalen Repository.
Im Hintergrund arbeiten GNU-Tools wie
»sed«, »grep« und »find«.
Für die eigentliche Übermittlung der Daten
nutzt Snarsshe Rsync via SSH. Dabei
überträgt Rsync genau den Zustand, in
dem sich das Remotesystem befindet.
Der Admin muss also selbst dafür sorgen,
dass alle Dateien oder Datenbanken
geschlossen sind, oder entsprechende
Sicherungstools verwenden. Die lokale
Kopie landet im Verzeichnis »/backup/
snapshots«. Dieser Pfad lässt sich nicht
ändern. Der Entwickler empfiehlt, dem
Verzeichnis eine eigene Partition zu
spendieren. Über Umgebungsvariablen
ist einstellbar, wie viele Snapshots immer
vorhanden sein sollen, wann eine Kopie
als veraltet gilt und wie viel Plattenplatz
im Repository existieren muss.
Sichert das Tool Daten zum ersten Mal,
erstellt es das Backupverzeichnis eigenständig
und baut danach die Rsync-Verbindung
auf. Zu jedem Snapshot gehört
eine Logdatei auf dem lokalen Rechner.
Der Link »latest« zeigt auf den neuesten
Snapshot – so muss der Nutzer nicht
lange suchen.
★★★★★ Snarsshe ist eine interessante
Skriptsammlung, die sich um die regelmäßige
Sicherung entfernter Systeme
kümmert. Da es kaum Abhängigkeiten
aufweist, ist es fast überall lauffähig.
(U. Vollbracht/​hej)
n

Linux-Magazin
ACADEMY
LPIC-1
All-in-One Solution
✓
✓
✓
Stellen Sie Ihr Linux-Wissen mit
einer Zertifizierung unter Beweis!
Nutzen Sie die volle Flexibilität bei
der Zeiteinteilung Ihrer Schulung!
Holen Sie sich alles, was Sie
benötigen, in einem Paket!
LPIC-1 Komplettpaket* nur € 1.249
*Zertifizierung als „Junior Level Linux Professional“
(zzgl. MwSt.)
100% flexibel!
Weitere Infos: academy.linux-magazin.de/solution

Aus dem Alltag eines Sysadmin: Open Rhein Ruhr
Großer Regionalbahnhof
Einführung 01/2012
Sysadmin
Die beste Bildung findet, laut Goethe, ein gescheiter Mensch auf Reisen. Magazin-Kolumnist Charly hat das
letzte Wochenende in Oberhausen verbracht. Charly Kühnast
Inhalt
78 Google Authenticator
Quelloffene und flexible Zwei-Faktor-
PAM-Authentifizierung, die sogar zwei
Kommunikationskanäle nutzt.
84 Suse Cloud
Open-Stack-Produkt, das Kunden mit
grafischer Konfiguration und einer Android-App
gewinnen will.
90 Fog
Festplattenkopien von PCs anfertigen,
verwalten, administrieren und über einen
ganzen PC-Pool verteilen.
Ich mag offene Linux-Messen, also solche,
bei denen sich sowohl Unternehmen
als auch Vereine, Usergroups und andere
nicht kommerziellen Aussteller treffen.
Die größte der Art ist der Linuxtag, aber
es gibt regionale Nacheiferer. In Oberhausen,
eine halbe Autostunde von meiner
Haustür entfernt, verleiht das Rheinische
Industriemuseum eine Ausstellungshalle
für die Open Rhein Ruhr [1].
Die erste Open Rhein Ruhr 2009 war ein
Familientreffen der üblichen Verdächtigen.
Es gab gute Vorträge, Pizza und
Stände Linux-affiner Unternehmen. Wer
fehlte, waren die Normalos. Letzte Woche
bei meinem Besuch der dritten Auflage
der offenen Messe sehe ich in den Hallen
viele Normale, auch der veranstaltende
Verein hat die Organisation im Griff – das
unter der Last ächzende Messe-WLAN
treibt niemanden mehr in den Wahnsinn,
Dect und Pizza-Proxy funktionieren dafür
umso besser.
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
Den Samstag verbringe
ich damit, Admin- und
Programmierer-Bekanntschaften
aufzufrischen
und den einen oder anderen
Vortrag zu hören.
Am Sonntag dann wuseln
Anwender und Gewerbetreibende
durch
die Gänge und informieren
sich über Homebanking,
Abrechnungssoftware
und freie Telefonanlagen.
Der Myth-TV-
Stand ist dicht umlagert.
Das mag an der laufenden
Formel-1-Übertragung
liegen, aber das
schicke Linux-Mediencenter allein macht
auch schon genug Eindruck.
So mancher, ich beispielsweise, bleibt
nach dem Studieren des Programms noch
ein wenig länger als geplant. In gleich
vier Räumen laufen an beiden Tagen Vorträge.
Stärker besetzt als in den vergangenen
Jahren ist der „Enduser“-Track.
Hier geht es beispielsweise um Libre
Office, überwiegend richtet sich dieser
Track aber an kleine und mittelständische
Unternehmen. Rechnungseingangs-
Workflow, Groupware, Clouddienste,
Zeitmanagement und Office-Automation
sind gefragte Themen. Angehende Selbstständige
lernen in „Gründen mit freier
Software“ einen Fehlstart zu vermeiden.
Nase zu und durch
Linux-Profis brüten nebenan über ihren
LPI-, BSD-Cert- und Typo3-Prüfungen.
Eine Tür weiter laufen die Admin-Vorträge,
in denen ich mich zu Bind 10 und
Git auf den neuesten Stand bringen lasse.
Als begeisterter, aber lötkolbenscheuer
Bastler setzt mich der „Open Hardware“-
Abbildung 1: Bei Bahnchef Jörg Pleumann geht’s mit einem Arduino-
Grundmodul, CAN-Bus und Railuino-Hack den ganzen Tag rund.
Track auf die richtige Schiene, die ins
Land der Arduino-Programmierung führt.
Nach einer Einführung in die einzelnen
Derivate und deren Erweiterungen zeigt
Jörg Pleumann seinen Railuino-Hack. Er
koppelt ein Arduino-Grundmodul mit einem
CAN-Bus-Shield und steuert damit
eine Märklin-Bahn (Abbildung 1).
An der Eisenbahn wird’s wohl nicht liegen,
dass die Luft in den Vortragsräumen
zum Schneiden ist – eigentlich mein einziger
Kritikpunkt an der Veranstaltung.
Im Gehen drehe ich, gewissermaßen zum
Luft holen, noch eine Runde durch die
reguläre Ausstellung des Industriemuseums,
denn der Eintritt ist für Besucher der
Open Rhein Ruhr frei. Den Organisatoren
ist es gelungen, eine Veranstaltung für
Linux-Anwender, ‐Profis und ‐Neulinge
zu etablieren. Der Linuxtag wirbt mit
dem Slogan „Where .com meets .org“,
der regional ausgerichteten Open Rhein
Ruhr gelingt das Kunststück auch. (jk)n
Infos
[1] Open Rhein Ruhr: [http:// openrheinruhr. de]
www.linux-magazin.de
77

Sysadmin
www.linux-magazin.de Google Authenticator 01/2012
78
Zwei-Faktor-Authentifizierung mit Android-Telefon
Zweifach gesichert
Zwei-Faktor-Authentifizierung gilt als teuer und exotisch. Doch mit Googles Authenticator existiert eine flexible
und quelloffene Lösung, die sogar zwei Kommunikationskanäle nutzt. Über ein Android-Telefon und ohne
Verbindung zum Datenkraken Google lassen sich so Linux-Server und -Dienste absichern. Philipp Neuhaus
führt einen Zähler mit, der bei Benutzer
und Dienst stets auf dem aktuellen Stand
gehalten sein will. TOTP dagegen steht
für Time-based OTP und befindet sich
derzeit noch in der Spezifizierungsphase
[3]. Bei diesem Algorithmus sorgt kein
Zähler dafür, dass sich der Wert ändert,
sondern schlicht die Zeit. Diese Abhängigkeit
von der aktuellen Uhrzeit macht
das OTP vergänglich, es ist nur für eine
kurze Zeitspanne nutzbar.
Initiali­sierung mit QR-Code
© Ralf Herschbach, Fotolia
Wissen und Besitz gelten als hervorragendes
Paar, wenn es darum geht,
sichere Authentifizierung zu bewerkstelligen.
Weder der erfolgreiche Brute-
Force-Angriff auf ein Passwort noch der
Diebstahl des Token allein ermöglichen
das unbefugte Eindringen ins System. Gelangt
dann ein One-Time-Passwort auch
noch über einen getrennten Kanal zum
Anwender, steht einem sicheren Login
nichts im Wege.
Google und Onlinebanking
Der Internetriese Google zeigt derzeit
mit einer Smartphone-App und einem
PAM-Modul, wie das funktionieren kann.
Weil Letzteres als RFC standardisiert ist
und sich nach dem flexiblen Standard
der Pluggable Authentication Modules
(PAM) richtet, können Admins ohne
großen Aufwand einzelnen Usern und
Diensten unterschiedliche Authentifizierungsmethoden
verordnen.
Geldhäuser nutzen seit den Anfängen
des Onlinebankings ähnliche Systeme,
lange Jahre mit Hilfe von papierenen
TAN-Listen, mittlerweile überwiegend
über dynamisch per Smartcard erzeugte
TANs oder mit per SMS versandten One-
Time-TANs. Für die Fernwartung gibt
es Hardware-Tokens, die eine von fest
verbauter Kryptohardware erzeugte Zahlenfolge
zum Abtippen präsentieren oder
sich über USB als Tastatur ausgeben, auf
der der Anwender sein Geheimnis direkt
eingibt, oder Zertifikate und Keys für den
Zugriff sicher verwahren [1].
TOTP und HOTP
Experten unterscheiden grob zwischen
Systemen auf TOTP- und auf HOTP-Basis.
HOTP steht für HMAC-based OTP (Onetime
Password) und nutzt einen in RFC
4226 [2] spezifizierten Algorithmus auf
Basis eines Hashwerts, der sich bei jeder
Benutzung ändert. Der Algorithmus
Auch die Anmeldung bei Google erlaubt
es, das Konto mit einer Zwei-Faktor-Authentifikation
abzusichern [4]. Dabei hat
der Benutzer die Wahl zwischen dem
Empfang einer SMS mit der TAN oder
dem Einsatz einer Smartphone-App, die
Google über die Webseite für Android,
I-OS und Blackberry bereitstellt.
Nach dem Scan eines QR-Codes auf der
Webseite erhält die Anwendung einen
Initialisierungswert und kann ab sofort
aktuelle TANs zum Login berechnen.
Der Quelltext [5] unterliegt der Apache
License 2.0 und steht frei zum Download.
Die App unterscheidet den Google
Authenticator auch im Wesentlichen von
Projekten wie Lin OTP [6], denen kein
zweiter Kommunikationskanal für die
Authentifizierung zur Verfügung steht.
DELUG-DVD
Auf der DELUG-DVD dieses Magazins
finden Admins ein virtuelles Image
DELUG-DVD
eines Ubuntu-Servers, in das sie sich mit Hilfe
der Google-Authenticator-App als Anwender
»gatekeeper« einloggen. Dazu nutzen sie
den SSH-Key von der DELUG-DVD oder das
Passwort »linux-magazin« und den QR-Code
aus Abbildung 3.

www.linux-magazin.de
Google Authenticator 01/2012
Sysadmin
79
Abbildung 2: Eine Anmeldung an der SSH mit Googles Authenticator. Nach der Eingabe des Kennworts fordert
der Server den Benutzer zur Eingabe des Verification-Codes auf. Beim Login mit einem Private Key erfolgt
die Abfrage des Verification-Key direkt.
Abbildung 1: Die Smartphone-Applikation von Google
präsentiert sich aufgeräumt und zeigt oben eine
TOTP-Ziffer, unten das HOTP-Eingabefeld.
Weil sich im Ordner »libpam« des Mercurial-Repository
auch die Quellen eines
PAM-Moduls finden, lassen sich nahezu
beliebige Linux-Server-Dienste absichern,
auf Wunsch für einzelne User und dank
PAM mit verschiedenen Methoden.
Mathematik
Der mathematische Algorithmus zum Berechnen
des HOTP-Werts ist im RFC offen
dokumentiert und basiert auf:
Diese Formel addiert binär zum Schlüssel
K Byte-weise 0x36 und verkettet ihn
mit dem Zähler C. Aus dem Ergebnis
berechnet sich der SHA1-Hash, der an
die Byte-weise Addition des Schlüssels
mit dem Wert 0x5c angehängt ist und
von dem dann abermals der SHA1-Hash
berechnet wird.
Dieser String wäre eigentlich schon ein
geeigneter Wert, das Abtippen durch den
Benutzer erweist sich aber als zu langwierig.
Daher wählt die Truncate-Funktion
4 Bytes aus, aus denen per Modulo-
Division durch 10 6 ein rein numerischer
Wert entsteht, der auch auf Smartphones
leicht einzugeben ist.
Obwohl der Algorithmus komplex erscheint,
kann ihn selbst einfache Hardware
leicht bewerkstelligen. Alle Berechnungen
sowohl für den Client auf dem
Token als auch für den Server sind offline
möglich, eine Verbindung zu einem Authentifizierungsserver
ist nicht nötig.
Ob dieses Vorgehen angesichts der Bedrohungen
und der vergleichsweise
schlechten Administrierbarkeit moderner
Smartphones [7] in der Praxis die
Sicherheit erhöht, muss jeder Admin für
sich entscheiden. Für die Vertrauenswürdigkeit
des Endgeräts ist in fast allen Fällen
ohnehin der Benutzer zuständig, es
entzieht sich immer noch dem Einfluss
des Admin. Erfreulich für Datenschutzsensible
Anwender ist jedoch, dass sowohl
PAM-Modul als auch Smartphone-
Applikation (Abbildung 1) komplett ohne
Onlinekontakt zu Google auskommen.
Auf dem eigenen Server
Wer den Google Authenticator auf dem
eigenen Server verwenden will (Abbildung
2), muss zuerst das PAM-Modul
kompilieren. Den Quellcode hat er mit
»hg clone https://code.google.com/p/
google‐authenticator/« rasch geklont.

Sysadmin
www.linux-magazin.de Google Authenticator 01/2012
80
Jetzt finden sich im Ordner »libpam« die
Sourcen des Moduls. Fürs erfolgreiche
Kompilieren bedarf es des Distributionspakets
»libpam« mit seinen Headern. Das
optionale Paket »libqrencode« erleichtert
die Einrichtung der Smartphone-Applikation.
Der Quellcode ist recht kompakt
und daher zügig mit einem einfachen
»make« übersetzt.
Weil die Authentifizierung auch auf der
aktuellen Zeit basiert, sollten sowohl Server
als auch Smartphone die Uhrzeit aus
dem Netz beziehen, über NTP oder aus
dem Mobilfunknetz.
Makefile-Anpassungen für
Ubuntu
Auf Ubuntu-Systemen muss der Admin
eventuell noch das Makefile anpassen.
Es benötigt meist noch ein »‐ldl« als zusätzliche
Option in der Zeile:
DEF_LDFLAGS := $(shell [ `uname` = SunOS ] &&U
echo ' ‐mimpure‐text') $$ $(LDFLAGS) ‐ldl
Sind alle Abhängigkeiten erfüllt, sollte
das Übersetzen sauber durchlaufen und
den Weg für die Installation mittels »make
install« frei machen, die das PAM-Modul
»pam_google_authenticator.so« und die
ausführbare Datei »google‐authenticator«
an ihren Bestimmungsort kopiert.
Deren Pfade sind leider nicht immer korrekt,
bei Ubuntu Server (32 Bit) muss
der Administrator danach beispielsweise
noch manuell einen entsprechenden
Symlink mit »ln ‐s /usr/lib/pam_google_
authenticator.so /lib/i386‐linux‐gnu/
security/« setzen.
Google Authenticator zeigt
den QR-Code am Terminal
Das Programm Google Authenticator
übernimmt jetzt die Rolle des Konfigurationstools,
das dem Benutzer die komplexe
Einrichtung und Erzeugung seines
Schlüssels und der Parameter abnimmt.
Jeder Benutzer muss vor dem Aktivieren
einmal »google‐authenticator« aufrufen,
weil es den Schlüssel erzeugt, den es
dem User Base32-kodiert anzeigt und den
dieser in die Google-Authenticator-App
auf dem Smartphone eingibt.
Ist das Modul mit der QR-Bibliothek kompiliert,
dann wird es (auch in textbasierten
Terminals, Abbildung 3) einen
QR-Code generieren, den der Anwender
mit der Smartphone-App abfotografieren
kann. Außerdem zeigt der Authenticator
noch fünf Notfallcodes an, die bei Verlust
des Smartphones dafür sorgen, dass der
Benutzer sich anmelden kann, um einen
neuen Key zu erzeugen.
Um den SSH-Daemon nach der Eingabe
des Kennworts noch das One-Time-Passwort
abfragen zu lassen, muss der Admin
die PAM-Konfiguration in der Datei
»/etc/pam.d/sshd« anpassen. Je nachdem,
ob er vor oder nach dem Benutzerkennwort
das One-Time-Passwort verlangen
will, muss er die Zeile »auth required
pam_google_authenticator.so« vor oder
hinter der Standardzeile einfügen, bei
Ubuntu beispielsweise »@include common‐account«.
SSH-Server konfigurieren
Den Open-SSH-Server weist eine Änderung
in der »/etc/ssh/sshd_config« an,
Challenge-Response-Authentifikation zu
erlauben. Dazu ändert der Admin einfach
den Wert von »ChallengeResponseAuthentication«
von »no« auf »yes«.
Jetzt ist die Zwei-Faktor-Authentifikation
aktiviert. Ab diesem Moment sollte sich
der Tester, der die Authentifikation per
SSH auf einem entfernten Rechner konfiguriert,
immer eine Rootshell zur Sicherung
offen halten und die Anmeldung
nur an einem zweiten Terminal testen.
Anderenfalls läuft er Gefahr, sich dauerhaft
aus seinem Server auszusperren.
Wenn alles richtig eingerichtet ist, fragt
die SSH nach dem Kennwort nun den
Listing 1: »pam_proxy.c«
01 /*
02 This script was altered to work with an SSH‐Gatekeeper by
03 Philipp Neuhaus. The original program check_user.c was
04 contributed by Shane Watts.
05 [Modifications by AGM and kukuk]
06 */
07
08 #include
09 #include
10 #include
11
12 static struct pam_conv conv = {
13 misc_conv,
14 NULL
15 };
16
17 int main(int argc, char *argv[])
18 {
19 pam_handle_t *pamh=NULL;
20 int retval;
21 const char *user="nobody";
22 if(argc == 2) {
23 user = argv[1];
24 }
25 if(argc > 2) {
26 fprintf(stderr, "Usage: pam_proxy [username]\n");
27 exit(1);
28 }
29
30 retval = pam_start("pam_proxy", user, &conv, &pamh);
31 if (retval == PAM_SUCCESS)
32 retval = pam_authenticate(pamh, 0); /* is user really user? */
33 if (retval == PAM_SUCCESS)
34 retval = pam_acct_mgmt(pamh, 0); /* permitted access? */
35
36 /* This is where we have been authorized or not. */
37
38 if (retval == PAM_SUCCESS) {
39 fprintf(stdout, "Authenticated\n");
40 } else {
41 fprintf(stdout, "Not Authenticated\n");
42 }
43 if (pam_end(pamh,retval) != PAM_SUCCESS) { /* close Linux‐PAM */
44 pamh = NULL;
45 fprintf(stderr, "check_user: failed to release authenticator\n");
46 exit(1);
47 }
48
49 return ( retval == PAM_SUCCESS ? 0:1 ); /* indicate success */
50 }

Verification-Code ab und gibt nach der
korrekten Eingabe die Shell frei.
Ist dies trotz korrektem Code nicht der
Fall, findet der Admin in den SSH- oder
Auth-Logs, etwa in »/var/log/auth.log«,
nützliche Hinweise auf den Fehler. Eine
häufige Ursache ist, dass ein Anwender
»google‐authenticator« noch nicht oder
nicht richtig aufgerufen hat. Ebenfalls
hilfreich kann es sein, mit der richtigen
PAM-Konfiguration den Einsatz auf wenige
User zu beschränken. Alternativ
liegt unter [8] ein Patch bereit, das vor
allem in der Migrationsphase dienlich ist:
Es sorgt dafür, dass das PAM-Modul den
Verification-Code nur abfragt, wenn eine
Konfigurationsdatei namens ».google‐authenticator«
im Homeverzeichnis des Benutzers
vorhanden ist.
Leider funktioniert die Anmeldung mit
Public Key und Zwei-Faktor-Authentifizierung
nur, wenn sich der Benutzer mit
einem Kennwort anmeldet.
Kniffliges Zusammenspiel
mit Public Keys
Beim Anmelden über den öffentlichen
Schlüssel übergeht der Open-SSH-Daemon
die PAM-Konfiguration komplett
und gibt die Shell ohne Abfrage des
zusätzlichen Codes frei. Dies ist jedoch
kein Fehler, sondern liegt daran, dass die
Public-Key-Authentifizierung per Definition
das eigentliche Standardverfahren
ist. Durch die Absicherung der Clientseitigen
privaten Schlüssel mit einer Passphrase
ist dieses Verfahren bereits sehr
sicher, allerdings ist es nicht möglich,
diese Verschlüsselung für den Client zu
erzwingen. Auch hier kann die Zwei-Faktor-Authentifizierung
hilfreich sein.
Um auch bei der Anmeldung mit dem
Public Key den Verification-Code abfragen
zu können, bedienen sich Admins
eines Tricks: Sie zwingen die SSH dazu,
statt der Shell des Benutzers einen Gatekeeper
zu starten, der wiederum eine
PAM-Abfrage startet. Nach erfolgreichem
Login startet der Gatekeeper die eigentliche
Shell, sonst beendet er die Sitzung.
Gatekeeper
Ein solcher Gatekeeper findet sich unter
[9], doch benötigt er für den Einsatz
mit dem PAM-Modul von Google noch
ein paar Modifikationen. Eine angepasste
Version findet sich im Git-Repository
[10], auf der virtuellen Ubuntu-Server-
Maschine der DELUG-DVD ist sie für
einen User (»gatekeeper«) beispielhaft
eingerichtet. Das Gatekeeper-Skript ruft
Google Authenticator 01/2012
Sysadmin
www.linux-magazin.de
81
Listing 2: »ssh_gatekeeper.sh«
01 #/bin/bash
02 ## Calomel.org ssh_gatekeeper.sh
03 #
04 ## This script is run by the ForceCommand directive in the sshd_config.
05 ## It expects the user SSH'ing to the box to answer the $QUERY question
06 ## before being allowed a shell. Permissions of this script should be
07 ## owned by root and executable by all other users (chmod 755)". Rsync,
08 ## sftp and sshfs are allowed through, but scp is denied.
09
10 ## Disconnect clients who try to quit the script (Ctrl‐c)
11 trap jail INT
12 jail()
13 {
14 kill ‐9 $PPID
15 exit 0
16 }
17
18 ## Allow SSH. Clients can ssh to the box and then answer the $QUERY
question.
19 if [ ‐z "$SSH_ORIGINAL_COMMAND" ];
20 then
21 ## This is the question the client needs to know the answer to. Here we
22 ## are asking for the current minute, day of the month and hour
23 ## (24‐hour time). If the date is "Mon Jan 10 13:25:00 EST 2020"
24 ## then the answer is "251013"
25 QUERY=`date +%M%d%H`
26
27 ### The welcome message. This can be helpful or completely arbitrary
28 ### depending on your user. Here we use a random quote as we are
29 ### expecting the user to already know the question.
30 echo ""
31 echo " All truths are easy to understand once they are"
32 echo " discovered; the point is to discover them."
33 echo " ‐Galileo Galilei"
34 echo ""
35
36 ### The Decision
37 ### If the answer is correct give the user their shell.
38 ### If the answer is wrong, log the attempt and kill the connection.
39 pam=`pam_proxy $USER`
40 if [ $? ‐eq 0 ];
41 then
42 echo 'Authenticated'
43 $SHELL ‐l
44 exit 0
45 else
46 logger "ssh_gatekeeper $USER login failed from $SSH_CLIENT"
47 echo 'Authentication falied'
48 kill ‐9 $PPID
49 exit 0
50 fi
51 fi
52
53 ## Allow RSYNC. Rsync can not be used with the question above.
54 ## We need to let the command though so our shell environment is clean.
55 if [ `echo $SSH_ORIGINAL_COMMAND | awk '{print $1}'` = rsync ];
56 then
57 $SHELL ‐c "$SSH_ORIGINAL_COMMAND"
58 exit 0
59 fi
60
61 ## Allow sftp and sshfs. Make sure the path to your sftp‐server binary
62 ## is correctly expressed below. We need to let the command though so
63 ## our shell environment is clean.
64 if [ `echo $SSH_ORIGINAL_COMMAND | awk '{print $1}'` =
"/usr/lib/openssh/sftp‐server" ];
65 then
66 $SHELL ‐c "$SSH_ORIGINAL_COMMAND"
67 exit 0
68 fi
69
70 ## Default deny. This is the last command to catch all other command
71 ## input. If the client tries to use anything other than ssh or rsync
72 ## the connection is dropped. SCP is denied.
73 kill ‐9 $PPID
74 exit 0

Sysadmin
www.linux-magazin.de Google Authenticator 01/2012
82
Abbildung 3: Vor der ersten Anmeldung muss ein Anwender das
Programm Google Authenticator einmal starten und den QR-Code
einscannen. Ab dann ermöglichen die von der Android-App erzeugten
Ziffern das Login.
das Programm »pam_proxy« auf, das mit
dem PAM-Backend kommuniziert.
Übersetzen
Die Datei »pam_proxy.c« aus Listing 1
lässt sich einfach mit »gcc ‐o pam_proxy
pam_proxy.c ‐lpam ‐lpam_misc« übersetzen.
Das Kompilat »pam_proxy« und
die »ssh_gatekeeper.sh« sollte der Admin
nach »/usr/sbin« oder »/usr/local/sbin«
kopieren, wo es für Root verfügbar ist.
Auch für »pam_proxy« muss in »/etc/
pam.d« eine funktionierende Konfiguration
vorliegen. Im einfachsten Fall enthält
sie nur die Zeile »auth required pam_
google_authenticator.so«.
Mit den richtigen PAM-Einstellungen
kann ein Benutzer »pam_proxy« an der
Konsole aufrufen und nach der Aufforderung
das aktuelle TOTP eingeben. Ist die
Konfiguration korrekt, gibt der Rechner
»Authenticated« aus, bei falscher Konfiguration
oder falschem TOTP ein wenig
überraschendes »Not authenticated«.
Für die Zusammenarbeit
des Gatekeeper mit Diensten
wie der SSH gibt es
zwei Möglichkeiten: Eine
wäre es, den SSH-Gatekeeper
als »ForceCommand«
in der »sshd_config« anzugeben.
Dann ist jeder Benutzer
– systemweit – dazu
gezwungen, bei der Anmeldung
TOTPs anzugeben.
Sollen sich auch Backupoder
andere Skripte von anderen
Rechnern automatisiert
anmelden können, ist
die Pam-Konfiguration in
»pam_ proxy« so zu ändern,
dass sie diese Benutzer von
der erzwungenen erweiterten
Authentifikation ausnimmt.
Alternativ lässt sich der
Zwang zur Zwei-Faktor-
Authentifizierung auch
noch in einer benutzerspezifischen
»authorized_
keys«-Datei konfigurieren.
Ausnahmen
Um dies zu erreichen, platziert
der Administrator in
»~/.ssh/authorized_keys« des gewünschten
Benutzers vor dem SSH-Pub-
Key das auszuführende Kommando
»COMMAND="/usr/local/bin/ssh_gatekeeper.sh"
ssh‐rsa AAAAB3 [...]«. Das
sorgt dafür, dass der Daemon statt der
eigentlichen Shell des Benutzers zuerst
das Gatekeeper-Skript startet. Ist die
PAM-Authentifizierung erfolgreich, startet
die Shell, andernfalls kappt der SSH-
Server die Verbindung. Listing 2 zeigt
das ganze Skript.
Neben der Anmeldung an der Shell sind
aber auch andere Anwendungen besonders
schützenswert. Dazu zählen zum
Beispiel Fernwartungswerkzeuge wie
PHP My Admin, aber auch Benutzerkonten
bei Foren oder anderen Webanwendungen.
Dank der Standardisierung in
zwei RFCs existieren mehrere Bibliotheken,
die das ermöglichen.
Für Java liefert das RFC den nötigen
Code als Referenzimplementation bereits
mit. Dabei ist darauf zu achten, dass
die Smartphone-Applikation von Google
den Key als Base32-kodierten String erwartet,
die Java-Bibliothek ihn aber als
Hex-String verarbeitet. Auch für PHP gibt
es bereits eine funktionierende Implementierung.
Ein richtiger Schritt
Obwohl alle Grundlagen vollständig
frei verfügbar sind, nutzen bisher nur
wenige Admins die Möglichkeiten einer
erweiterten Authentifizierung. Komplexität
und Preismodelle der kommerziellen
Produkte schrecken wahrscheinlich
viele von ihnen noch ab. Für das Unix-
Umfeld hat Google mit seinem flexiblen
und standardkonformen PAM-Modul und
den zugehörigen Apps aber schon einen
wichtigen ersten Schritt in die richtige
Richtung getan. (mfe)
n
Infos
[1] Felix Kronlage, Markus Feilner, „Magisches
Leuchten“: Linux-Magazin 12/​10, S. 40
[2] RFC 4226:
[http:// tools. ietf. org/ html/ rfc4226]
[3] Draft zum TOTP-Algorithmus:
[http:// tools. ietf. org/ id/​
draft‐mraihi‐totp‐timebased‐06. txt]
[4] Google-Hilfe: [http:// www. google. com/
support/ accounts/ bin/ static. py? page=
guide. cs& guide=1056283& topic=1056284]
[5] Google Code Repository: [http:// code.​
google. com/ p/ google‐authenticator/]
[6] Michael Kromer, „Doppelt gesichert“:
Linux-Magazin 02/​10, S. 68
[7] Markus Feilner, „Schwächstes Glied“:
Linux-Magazin 10/​11, S. 54
[8] Patch fürs PAM-Modul:
[http:// code. google. com/ p/​
google‐authenticator/ issues/ detail? id=32]
[9] SSH-Gatekeeper-Skript:
[https:// calomel. org/ openssh. html]
[10] GIT-Repository mit dem modifizierten
Gatekeeper- und PAM-Skript: [https://​
github. com/ TeGuy/ 2‐Factor‐Auth]
Der Autor
Philipp Neuhaus arbeitet
gegenwärtig in der medizinischen
Informatik und ist
nebenbei seit zehn Jahren in
der Open-Source-Community
unterwegs. Neben offenen
Softwareprojekten interessiert er sich auch für
offene Hardware.

Ein Roboter,
der was macht?!
Zitter doch
nicht so!
Wenn ich das
nur früher
gewusst hätte...
Gut zu wissen!
Und das geht
wirklich?
Das beste
Betriebssystem
So sieht die
Zukunft aus!

Sysadmin
www.linux-magazin.de Suse Cloud 01/2012
84
Suses neues Cloud-Produkt im Kurztest
Grünes Erwachen
Auch Suse springt auf den Cloud-Zug auf und bietet mit der Suse Cloud ein Open-Stack-basiertes Produkt an,
das Kunden mit grafischen Konfigurationstools und einer Admin-App für Android ködern soll. Ob es sich lohnt,
die Wolke im typischen Nürnberger Grün anzuschaffen, zeigt dieser Artikel. Martin Gerhard Loschwitz
© Sergiy Trofimov, 123RF
Kein Thema dominiert die IT-Landschaft
derzeit so stark wie das Cloud Computing.
Neue Produkte fürs Wolkenmanagement
schießen wie Pilze aus dem Boden,
immer umfassender werden die Cloudlösungen
auf dem Markt. Suse nutzte seine
hausinterne Konferenz Brainshare 2011
[1] in Salt Lake City, um sein wolkiges
Engagement zu verkünden. Michael Miller,
bei Suse sowohl für den Bereich der
Partnerschaften wie auch für das Marketing
verantwortlich, erläuterte eine umfassende
Strategie, mit der das Unternehmen
den Rechenzentren das Einrichten
von Clouds erleichtern will.
Durchaus ernst gemeint
Und um gar nicht erst den Eindruck entstehen
zu lassen, Suse meine es mit dem
Thema nicht wirklich ernst, lieferte Miller
Handfestes: Images mit einer Testversion
von Suses Cloud standen schon während
der Ankündigung im Suse Studio bereit
[2]. Das Preisgefüge ist dagegen noch
unklar. Natürlich will kein Hersteller den
Wolken-Hype verschlafen. Das gilt umso
mehr für die Produzenten von Betriebssystemen
– besonders im Enterprise-Segment,
also in einem Teich, in dem Suse
traditionell gerne fischt.
Andererseits ist die zunehmende Verwolkung
der IT für die Hersteller von
Linux-Systemen und deren klassische
Supportmodelle aber auch eine nicht
zu unterschätzende Gefahr. Bisher galt:
Wer Systeme mit Linux betreibt, schließt
meist einen Supportvertrag ab, um im
Falle eines Problems Hilfe zu bekommen.
In der Regel waren das vor allem Probleme,
die aus der Kombination von Linux
mit bestimmter Hardware folgten.
In der Cloud müssen sich Unternehmen
aber mit diesen klassischen Problemen
von IT-Setups nur mehr am Rande befassen.
Die Umgebungen, die KVM und
Xen auf Linux bieten, sind wohlbekannt
und verfügen über eine ausgezeichnete
Linux-Unterstützung. Wer seine Dienste
in die Cloud migriert, entscheidet sich daher
zunehmend für ein System ohne Supportvertrag
(meist Debian oder Ubuntu),
dafür aber mit regelmäßigen Updates
ohne Zusatzkosten.
Für Probleme auf Hardware- und Hostsystem-Ebene
ist dann der Cloudanbieter
zuständig. So geht den etablierten
Distributoren einiger Umsatz durch die
Lappen, denn statt etlicher Subscriptions
gehen nur noch ein paar Abos für die
Hostsysteme über die Ladentheke. Es ist
insofern nicht verwunderlich, dass die
Systemintegratoren verstärkt um Cloudanbieter
werben und probieren, hier den
Fuß in die Türe zu kriegen.
SLES 11 als Grundlage
Wie macht ein Distributor einem Unternehmen
aber den Aufbau einer Cloud
schmackhaft? Das Stichwort heißt Integration.
Was für die Cloudbenutzer mit
scheinbar spielerischer Leichtigkeit funktioniert,
setzt auf Systemebene einiges an
Arbeit voraus: Das Anlegen neuer Images
und virtueller Maschinen, das Buchen
zusätzlicher Rechenpower und die Erweiterung
von Plattenplatz per Webinterface
bedingen diverse Arbeitsschritte
im Hintergrund.
Schafft es der Distributor, der IT-Abteilung
einer Firma diese Arbeit abnehmen,
dann bringt er sich gut in Stellung. Und
genau hier setzt Suses neues Produkt an:
die Suse Cloud. Als Grundsystem dient

Abbildung 1: Tenants (Kunden) und User, also Benutzer, lassen sich mit Suses Cloud zentral verwalten.
der Suse Linux Enterprise Server (SLES).
Das ist für den Distributor nützlich, weil
er so nicht noch ein zusätzliches Basissystem
pflegen muss und sich auch kein
neues Konkurrenzprodukt im eigenen
Haus schafft.
Das Herzstück der Suse Cloud und somit
das eigentliche Killer-Feature ist Open
Stack [3]. Das Cloud-Framework, das aus
der Kooperation des Webhosters Rackspace
mit der Weltraumbehörde Nasa entstand,
bietet die Infrastruktur, um Cloudtypische
Aufgaben zu erledigen [4].
Open Stack
Open Stack besteht aus drei Komponenten,
aus denen sich Kunden schnell eine
neue virtuelle Instanz zusammenklicken,
und beinhaltet die Verwaltung für Imagefiles
namens Glance. Dazu kommen Swift
und Nova, die die Verwaltung der vorhandenen
Ressourcen zusammen abwickeln.
Ersteres sorgt für redundanten
Datenspeicher in der Wolke, das zweite
kümmert sich um das Verteilen der virtuellen
Maschinen auf die Hardware, die
der Cloud zur Verfügung stehen.
Der Haken: Die einzelnen Open-Stack-
Dienste erfordern eine umfangreiche
Konfiguration. Eine im Netz kursierende
Installationsanleitung für Ubuntu [5] erstreckt
sich über mehrere Bildschirmseiten.
Der Aufbau einer Cloud ist mit Open
Stack also alles andere als leicht.
Die Suse Cloud dagegen soll laut Hersteller
die Open-Stack-Komponenten in SLES
nahtlos integrieren und den Administratoren
von SLES-Systemen einen großen
Teil der Setup-Arbeit abnehmen. Mit dem
Versprechen „Cloud-Stack installieren
und loslegen“ will Suse Unternehmen
in die Wolke locken. Um auch die letzten
kritischen Stimmen verstummen zu
lassen, setzt Suse auf die Open-Stack-
Version Diablo, die erst kürzlich erschien
und ein renoviertes Webinterface mit vielen
neuen Funktionen bringt [6].
Erste Eindrücke
Wer sich einen Überblick über die auf
der Brainshare vorgestellte Vorschau verschaffen
will, hat mehrere Optionen. Alle
für den Betrieb der Cloudumgebung notwendigen
Pakete finden sich einerseits im
Build Service von Open Suse unter [7].
Sie lassen sich auf SLES 11 SP1 oder auch
Open Suse 11.4 installieren, bequemer
sind aber die vorgefertigten Images. Nach
der Anmeldung im Suse Studio steht eine
».img«-Datei für USB-Sticks sowie eine
bootbares ISO-Datei bereit.
Für die Installation auf einem Computer
ist das ISO-File wohl die einfachste
Variante. Es bringt einen sehr schlanken
SLES, der im Textmodus durch die Installation
führt und schließlich ein lauffähiges
Suse-Cloud-System erzeugt. Der
Yast-Installer kommt ohne Partitionierer
daher und überschreibt stets den Inhalt
der ersten Platte, die er findet, etwas
Vorsicht ist also geboten.
Das Preview-Image installiert keine grafische
Oberfläche, sodass im Anschluss an
die Installation nur der Login als Root am
Terminal möglich ist. Zuvor prangt auf
dem Bootscreen gut sichtbar ein »Powered
by Open-Stack«-Logo, das auch auf
der Kommandozeile den ansonsten typischen
Pinguin oben links verdrängt. Das
Passwort für »root« lautet »openstack«.
Das Login am System ist für den Admin
aber letztlich nur von wenig Interesse,
denn der zentrale Dreh- und Angelpunkt
für Sysadmins bei Cloudlösungen ist
das Webinterface, das Open Stack Dashboard.
Es ist mit jedem Standardbrowser
nach der Installation unter der IP des
Testsystems zu erreichen. (Logindaten:
»admin« und »openstack«).
Open Stack Dashboard
Nach dem Anmelden grüßt freundlich
das Open Stack Dashboard, das Suse in
der aktuellen Version optisch gründlich
überarbeitet hat und das nun wesentlich
mehr Optionen unter seiner Oberfläche
vereint. Mit grundlegenden Modifikationen
hat sich Suse dagegen bisher zurück-
Abbildung 2: Fünf Flavors sind ab Werk definiert, neue fügt der Admin per Mausklick im Dashboard hinzu.
Suse Cloud 01/2012
Sysadmin
www.linux-magazin.de
85

Sysadmin
www.linux-magazin.de Suse Cloud 01/2012
86
gehalten, das Dashboard ist technisch
praktisch unverändert. Damit bleibt es
allerdings auch hinter der Version zurück,
die die Keynote präsentierte.
Ansichten, Flavors, Tenants,
Kunden und Verwaltung
Das jetzt erhältliche Dashboard kennt
zwei Ansichtsarten, nämlich das »User
Dashboard« und das »System
Panel«. Mit dem zweiten legen
Administratoren neue Cloudbenutzer
an, verwalten vorhandene
Images und schaffen neue
VM-Instanzen. Hinzu kommen
noch statistische (Monitoring-)
Funktionen, mit deren Hilfe die
Cloudverwalter den Überblick
behalten.
In Open Stack gibt es Kunden
(Tenants, Abbildung 1) und
Benutzer (User), die einzelnen
Tenants zugeordnet sind. Für jeden
Benutzer kann der Admin
einstellen, welche Rolle ihm
zukommen soll und welche Berechtigungen
ihm zustehen. So
wird es möglich, dass Kunden
ihre virtuellen Maschinen selbst
verwalten, ohne dass ein Cloud-
Admin sich um die Details kümmern
muss.
Images und CLI
Das Open-Stack-Imagesystem
bildet die Grundlage für den Betrieb
von virtuellen Maschinen.
Über den Menüpunkt »Images«
sehen die Admins der Wolke,
welche Abbilddateien verfügbar
sind. Eine Funktion, um aus dem
Webinterface heraus neue Images
hinzuzufügen, existiert im
Augenblick noch nicht, da hilft
nur der Rückgriff auf die Kommandozeile.
Aus der Menge vorhandener
Images können Benutzer eines
wählen, um es in einer neuen
Instanz zu starten. Hier kommen
die Flavors ins Spiel, also
vorgefertigte Hardwareprofile
für virtuelle Maschinen (Abbildung
2). Die Nutzer haben beim
Starten einer neuen Instanz die
Möglichkeit, im Dashboard einen Flavor
auszuwählen, der die Hardware für ihre
neue Instanz definiert.
Der Suse Manager
Auch für Benutzer hält das Dashboard
einige interessante Funktionen bereit. Die
»Image«-Seite listet auf, welche Images
die Wolke bereitstellt. Über »Instances«
lässt sich eine neue virtuelle Maschine
starten, die eines der Images verwendet.
Per Klick ist von hier aus die Konsole des
virtuellen Systems erreichbar, was dessen
Konfiguration auch ohne SSH-Verbindung
möglich macht.
Notwendig ist das in der Regel jedoch
nicht: Generiert ein Benutzer im Dashboard
beim Punkt »Keys« (Abbildung 3)
einen neuen Schlüssel oder fügt er mit
Der perfekte Auftritt macht
unseren Erfolg: auf dem Laufsteg
und im Web.
STRATO Hosting
Für Anwender mit hohen Ansprüchen
Ihre Website mit echten Profi-Features
Bis zu 12 Domains und 10.000 MB Speicher
Unlimited Traffic und 20 MySQL-Datenbanken
Profi-Features: PHP, Perl, Python und Ruby 8
Erfolgreicher durch einzigartige Website-Gestaltungtaltung
Persönliche
Website-Designs
Individuelle
Texte
Stefan Klos
Professionelle
Videos
* Alle PowerPlus-Pakete 3 Monate 0 €/mtl., danach PowerPlus 6,90 € mtl., PowerPlus L 14,90 €/mtl. und PowerPlus XL
24,90 €/mtl. Einrichtungsgebühr 14,90 €. Mindestvertragslaufzeit 6 Monate. Preise inkl. MwSt.
STR1211_DE_AZ_PowerHosting_270x190,5_v2 1

»Import« einen neuen Key hinzu, so wird
dieser beim Booten der neuen Instanz
von Open Stack automatisch in der virtuellen
Maschine installiert. Wenn das
Image selbst einen SSH-Server enthält,
ist nach dem Start der VM also auch ein
SSH-Login möglich.
Die Freitags-Keynote zur Brainshare
enthielt noch eine weitere Überraschung:
eine Android-App (Abbildung 4) für den
mobilen Zugriff auf den Suse Manager.
Suses Manager-Produkt (Abbildung 5,
[8]) soll es Admins insgesamt leichter
machen, die vorhandenen Systeme zu
warten. Besonders die ferngesteuerten
Updates und das Sammeln von Laufzeitinformationen
sind die Aufgabe von
Suse Manager. Am ehesten lässt sich der
Funktionsumfang mit dem des Red Hat
Network Satellite vergleichen. Auch die
Stefan Klos
www.famepr.de
Erstellt mit dem PowerPlus-Paket
Power Hosting
schon ab
AKTION BIS
31.12.2011!
Jetzt bestellen unter: strato.de / hosting
Servicetelefon: 0 18 05 - 055 055
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
*
€/Mon.*
für 3 Monate
Suse Cloud besitzt eine Anbindung an
den Manager; eine neue Instanz in der
Cloud erscheint als System automatisch
auch im Suse Manager.
Eine Android-App steuert
den Suse Manager
Komplett macht das geplante Portfolio
aber erst besagte Android-App [9]), die
der Entwickler James Tan während
der Brainshare erstmals
öffentlich vorführte. Mit ihr lassen
sich vom Smartphone aus
System-Updates über den Suse
Manager einspielen und zusätzliche
Statusinformationen
herausfinden. Suse verspricht
Admins damit, dass sie immer
und überall einsatzbereit sein
können.
Dass Suse das noch recht junge
Manager-Produkt mit seinen
anderen Diensten vernetzen
will, ist nur konsequent. Allerdings
dürfte der Einstiegspreis
viele mögliche Kunden abschrecken:
Die Manager-Lizenz allein
schlägt mit über 13 000 Euro zu
Buche und für jeden Virtualisierungsknoten
kommen noch mal
knapp 200 Euro hinzu.
Fazit
Die vorgestellte Preview für
die Suse Cloud vermittelt einen
Einruck davon, wie Suse
Unternehmen die eigene Cloud
schmackhaft machen will. Der
Kern der Idee ist offensichtlich,
die Installation von Open Stack
so einfach und komfortabel wie
möglich zu gestalten.
Bis das so weit ist, wird allerdings
noch einige Zeit vergehen
– Suse erhebt nicht den Anspruch,
dass die jetzt vorgestellten
Pakete in irgendeiner Form
alltagstauglich wären. Letztlich
handelt es sich bisher um kaum
mehr als für Suse vorbereitete
Open-Stack-Pakete.
Die finale Version soll auf Open
Stack Essex basieren, das am 5.
April 2012 verfügbar sein soll.
Für die Fertigstellung der Suse
Suse Cloud 01/2012
Sysadmin
www.linux-magazin.de
87
14.11.11 19:17

Sysadmin
www.linux-magazin.de Suse Cloud 01/2012
88
Abbildung 3: Schlüsselerzeugung leicht gemacht mit Suses Cloud: Im Webinterface gibt der Admin den
Key ein, mit dem er später per SSH auf die neue virtuelle Maschine zugreifen will.
Cloud kursieren verschiedene Daten, vor
dem nächsten Frühjahr dürfte aber nicht
damit zu rechnen sein.
Denn einerseits hält Suse die aktuelle
Diablo-Version nicht für marktreif – man
habe nur jetzt schon Pakete veröffentlicht,
um die Unterstützung für Open
Stack deutlich zu zeigen, so heißt es. Andererseits
ist die Liste von Features, die
bis dahin noch ihren Weg in das Produkt
finden sollen, beträchtlich. Die Cloudumgebung
soll zum Beispiel vollkommen
Infos
[1] Brainshare 2011:
[http:// www.​novell.com/brainshare/suse]
[2] Download-Website im Suse Studio:
[http:// susestudio. com/ a/ vszMWq/​
suse‐cloud‐powered‐by‐openstacktm]
[3] Open Stack: [http:// www. openstack. org]
[4] Stefan Seyfried, Christian Berendt, „Cactus
im Anmarsch“: Linux-Magazin 05/​11, S. 72
[5] Open Stack Bexar auf Ubuntu: [http:// docs.​
openstack. org/ bexar/ openstack‐compute/​
admin/ content/ ch03s02. html]
[6] Martin Loschwitz, „Dunkle Wolken“:
Linux-Magazin 12/​11, S. 22
[7] Pakete für andere Systeme:
[http:// download. opensuse. org/​
repositories/ Virtualization:/ Cloud:/​
Open%20Stack:/ Diablo/]
[8] Markus Feilner, „Cebit 2011: Suse Manager
– Spacewalk für SLES“:
[http:// www. linux‐magazin. de/ NEWS/ Cebit‐
2011‐Suse‐Manager‐Spacewalk‐fuer‐SLES]
[9] Videos zur Android-App für den Suse Manager:
[http:// www. youtube. com/ watch?​
v=_L2NHF5SVm0# t=7m20s]
App bei Redaktionsschluss
noch nicht
verfügbar. Suse will
sich noch nicht in
die Karten schauen
lassen.
Völlig unklar ist
bisher auch, in welcher
Weise Suse das
neue Produkt nach
seiner Fertigstellung
vermarkten möchte.
Abbildung 4: Suse arbeitet Denkbar wäre, dass
an einer Android-App, mit es als Extension
der sich der Suse Manager
von überall aus einsetzen
lassen soll.
firmiert, so wie es
schon jetzt die High-
Availability-Erweiterung
vormacht. Gut
agnostisch im Hinblick auf den verwendeten
Hypervisor sein, also sowohl KVM
als auch Xen unterstützen – und auch diverse
proprietäre Produkte wie VMwares
Virtualisierungsplatzhirsch V-Sphere.
möglich ist aber auch, dass Novell ein
fertiges Paket schnürt, das zwar auf SLES
basiert, aber separat vermarktet wird. Die
Details wollen die Franken erst nächstes
Jahr bekanntgeben. Wer eine grüne
Wolke auf Suse-Basis plant, darf also gespannt
sein. (mfe)
n
Vorreiter dank Android
Die angepriesene Android-App, mit der
Administratoren Suse-Instanzen in der
Cloud fernsteuern können, ist zweifellos
interessant. Zwar ist der Suse Manager
nicht Cloud-spezifisch. Die Möglichkeit,
virtuelle SLES-Instanzen per Handy aus
der Ferne zu steuern, könnte aber dennoch
ein guter Grund dafür sein, auch in
der Wolke auf SLES zu setzen – zumindest
für liquide Kunden. Leider war die
Der Autor
Martin Gerhard Loschwitz
arbeitet als Principal Consultant
bei der Firma Hastexo.
Er beschäftigt sich dort
unter anderem intensiv mit
Lösungen für Hochverfügbarkeit.
In seiner Freizeit pflegt er den Linux-
Cluster-Stack für Debian GNU/​Linux.
Abbildung 5: Der Suse Manager dient zur zentralen Steuerung der eigenen Serverlandschaft. Mit ihm spielen
Admins Updates ein, ähnlich wie bei Red Hats Satellite-Servern.

Entdecken Sie Open Source auf der CeBIT 2012
Open Source Forum, Park und Project Lounge
Besuchen Sie das größte Business-Event Europas für freie Software
Profitieren Sie von internationalen Kontakten und qualifizierten Fachgesprächen
Informieren Sie sich über aktuelle Trends und Themen im Open Source Forum
6.–10. MÄRZ 2012 • HANNOVER
Heart of the digital world
Deutsche Messe AG • Messegelände • Hannover, Germany • Tel. +49 511 89-0
cebit.com

Sysadmin
www.linux-magazin.de Fog 01/2012
90
Im Test: Zentrales PC-Deployment mit Fog
Nebel – gut fürs Image
Fog nennt sich ein Admin-System, das auf Zuruf Festplattenkopien von PCs anfertigt, verwaltet, administrieren
hilft und über einen ganzen PC-Pool verteilt. Das Ganze gehört nicht in den Dunstkreis der Virtualisierung,
sondern schaltet per PXE ein Menü vor das Betriebssystem auf der lokalen Festplatte. Konstantin Agouros
© no more lookism, photocase.com
An Software zum Erzeugen und Wiedereinspielen
einer ganzen Festplatte oder
einzelner Partitionen herrscht eigentlich
kein Mangel: von Norton Ghost [1] über
True Image [2] bis zu Clonzilla [3], Partimage
[4] und einige mehr. Auch die
freie Linux-Software Fog [5] zieht Abbilder
über das Netz und verteilt sie an
andere Systeme. Es handelt sich also um
kein klassisches Backup-, sondern um
ein Deployment-Tool. Denn das System
besitzt einige praktische Funktionen wie
das automatische Anlegen von Benutzern
oder das Anmelden eines Host im
Active Directory nach Neuinstallation.
Es ist eher mit Snap Deploy [6] aus der
Windows-Schiene zu vergleichen.
Administratoren, die Verantwortung für
viele Clients tragen, versuchen so viel
wie möglich zu automatisieren. Windows
selbst bietet eine unbeaufsichtigte
Installation, ähnlich zu Kickstart [7] bei
Red-Hat-Systemen. Neben der Grundinstallation
gehören zu einem System gewöhnlich
weitere Software und Treiber.
Es bietet sich an, für Gruppen gleichartiger
Hosts einen Abzug eines fertig
installierten Systems anzulegen und ihn
auf die anderen PCs zu verteilen – genau
dies tut Fog. Grundlage des folgenden
Artikels ist die Version 0.32, also eine
neuere als die 0.27, die noch mit der
DELUG-DVD im Linux-Magazin 11/​2011
unter die Linux-Menschheit kam.
Die Architektur
Die Basis des Systems bildet ein DHCP-
Server, der auf PXE-Bootrequests von
Clients reagiert und ihnen entweder ein
Bootmenü oder gleich einen Netzboot
anbietet. Der Fog-Server stellt die Startdaten
per TFTP und NFS bereit. Eine
LAMP-Kombination und einige selbst
geschriebene Tools verwalten das ganze
Ensemble. Normalerweise liegen die PC-
Images auf den Festplatten des Servers.
Reicht der Platz bei vielen Clients nicht
aus oder erweist sich der Datendurchsatz
als ungenügend, kann Fog auch die
Dienste von Storage Nodes in Anspruch
nehmen. Die bieten nicht nur den Platz
für viele Images, sondern stehen möglicherweise
auch netztopologisch näher an
den Clients als der Fog-Server.
Die verwalteten PCs sollten das Netzwerk
als erste Bootquelle haben, damit Fog sie
fernsteuern kann. Ein Fog-Client zeigt
nach dem Start das per Syslinux erzeugte
Menü in Abbildung 1 an. Der erste Eintrag
initiiert das Booten von der lokalen
Festplatte, er startet auch nach einem
Time out. Über die anderen Einträge registriert
der Bediener den PC in der Fog-
Datenbank, startet Memtest, fertigt ein
Plattenimage an oder lässt sich Informationen
über den Host anzeigen.
Bei allen Menüpunkten außer dem ersten
bootet ein Linux-Kernel, der über Bootparameter
erfährt, was der Benutzer ausgewählt
hat. Das regulär star tende Betriebssystem
darf eine Linux-Dis tribution
sein, Fog ist Client-seitig aber auf Windows
XP, Vista und 7 optimiert.
Um einen PC zu einer Fog-Aktion zu veranlassen,
ohne dass ein Bediener vor dem
Gerät sitzt, läuft auf Windows-Clients ein
Service, der in Intervallen beim Server
nachfragt, ob eine Aufgabe ansteht. Ist
dies der Fall und kein Benutzer eingeloggt,
startet der Service den Rechner
neu. Der sich anschließende Netzwerkboot
nimmt die vorgesehene Konfiguration
vor und erledigt übertragene Aufgaben
wie das Anfertigen eines Abbilds.
Walten im Nebel
Fog stattet den Arbeitsplatz des Administrators
mit einer optisch sehr ansprechenden
Weboberfläche aus, die die

Abbildung 1: Der Bootscreen eines Fog-Clients nach dem Start übers Netz.
Arbeitsschritte gut gegliedert präsentiert
(Abbildung 2). Im Zentrum der Verwaltungsaufgaben
stehen die Hosts: Ihre
Daten gelangen entweder durch das Registrieren
im PC-Bootmenü, manuell per
Web-GUI oder durch das Hochladen einer
CSV-Datei in die Datenbank (Abbildung
3). Als logische Abstraktionsebene kann
Fog Hosts in Gruppen ordnen. Jede Aktion,
die der Server auf einem Host anzustoßen
vermag, darf der Admin auch auf
eine Gruppe anwenden.
Im nächste Schritt widmet sich der Admin
den Abbildern. Er legt eines an, indem er
einen Namen, den Dateinamen (auch
wenn die Datei noch nicht existiert), einen
Typ und die so genannte Speichergruppe
angibt. Der Typ darf das Image
einer NTFS-Partition sein, das sich auch
verkleinern lässt, um
Speicherplatz zu sparen,
oder ein Image
mit mehreren Partitionen
oder das einer
ganzen Festplatte. Bei
den letz ten beiden
Methoden ist Resizing
nicht möglich. Ein Test
ergab, dass bei geklonten
Linux-Systemen
die Partitionsgrößen
ebenfalls fix bleiben,
auch wenn im Zielsystem
eine größere Festplatte
ihren Dienst
verrichtet.
Der nächste Menüpunkt verwaltet die
eben erwähnten Speichergruppen. Eine
Speichergruppe bekommt die Speicherknoten
zugeordnet – so vorhanden. Der
Admin gibt für jeden Speicherknoten dessen
IP-Adresse, Usernamen und Passwort
zur Absicherung der Kommunikation an
sowie den Pfad, in dem die Images liegen,
und die maximale Anzahl an Clients, die
dieser Node bedienen kann.
Snapins und Tasks
Eine Aufgabe, die ein Client automatisch
ausführen soll, bindet der Admin über
ein so genanntes Snapin ein. Es kann
dabei um die Installation eines Softwarepakets
gehen oder das Ausführen eines
Windows-Powershell-Skripts. Leider hat
&
Abbildung 2: Fogs Weboberfläche für den Administrator – nach dem Einloggen sieht dieser zuerst das Dashboard
mit Nutzungsstatistiken.

Sysadmin
www.linux-magazin.de Fog 01/2012
92
Fog sein Snapin-Konzept nur für Windows-Clients
implementiert.
Aufgaben, die der Client auf logisch tieferer
Ebene absolvieren soll, heißen in Fog
Tasks. Die verordnet der Admin einem
oder einer Gruppe von Hosts. Die ausgewählten
Maschinen führen die Task
beim nächsten Reboot aus. Neben dem
Ausrollen oder Erstellen eines Abbilds
ermöglicht das Advanced-Menü eine
Hardware-Inventur, einen Virusscan mit
Clam AV, eine Festplattenanalyse, das
Löschen der Festplatte in verschiedenen
Güteklassen, das Retten von Dateien und
das Zurücksetzen des Passworts. Ebenfalls
als Plugin ist jene Komponente implementiert,
die auf Windows-Clients die
Snapins ausführt.
In Sachen Tasks für Linux-Clients gibt
sich Fog abermals karg: Das Klonen von
Linux-Systemen funktioniert zwar wie erwähnt.
Auch das Anlegen von Benutzern
gelingt Fog, indem es auf dem Client ein
»useradd« ausführen lässt. Einen Clientservice,
der auf Spezifika einzelner Linux-
Distributionen Rücksicht nehmen kann
und die typischen PC-Admin-Aufgaben
abdeckt, suchten die Tester allerdings
vergeblich.
Drucken, Active Directory,
Standby & Co.
Auf den Clients kann Fog noch weitere
Aktionen veranlassen, beispielsweise den
Hostnamen ändern oder bestimmte Verzeichnisse
löschen. Wer das Plugin zum
Aufräumen der Benutzer aktiviert, sollte
sich noch vor dem Klonen überlegen,
welche vorhandenen Benutzernamen er
nicht löschen darf, und diese entsprechend
in die Liste der geschützten Accounts
eintragen.
Fog kann Drucker zentral verwalten und
automatisch auf Windows-Clients verankern
oder das Anmelden im Active Directory
(Maschinenaccount) erledigen. Unter
»Green Fog« findet sich ein Plugin, das
die Rechner in den Schlafmodus ver setzt.
Eine Auto-Logout-Komponente be endet
die Sitzung bei Nicht-Aktivität. Das System
führt auch Buch über gefundene Viren
sowie das An- und Abmelden von
Benutzern – hier sollte der Admin vorher
mit dem Betriebsrat oder Datenschutzbeauftragten
reden, da solche Maßnahmen
in Deutschland und anderen europäischen
Ländern mitbestimmungspflichtig
sind. Schließlich erzeugt Fog noch umfangreiche
Reports über die Menge der
Images und Aktivitäten des Systems.
Nebel des Grauens
So ausgeklügelt das Fog-System auch
ist, darf man seinen Architekten auch
offensichtliche Unzulänglichkeiten vorhalten,
so die Robustheit: Auftretende
Fehler erkennt Fog nur teilweise. Beim
Versuch, ein Image auf eine viel zu kleine
Festplatte zurückzuspielen, bekamen die
Tester zwar eine Fehlermeldung auf dem
bootenden Clientrechner zu Gesicht, das
Web-GUI auf dem Server meldete die
Task aber als erfolgreich abgeschlossen –
genau solche Effekte schätzt der Admin
eines PC-Pools aber nicht.
Der zweite Schwachpunkt ist die Sicherheit:
Der Windows-Client kommuniziert
mit dem Fog-Server per einfachem HTTP.
Genauso verfährt das zum Absolvieren
einer Task übers Netz gestartete Linux-
System auf dem Client: Es überträgt seine
Daten zum Fog-Server im Klartext, eine
Authentisierung in irgendeiner Richtung
findet nicht statt. Angreifern bietet Fog
also genug Angriffsfläche, um Kontrolle
über die Clients zu erlangen. Dabei wäre
eine Abhilfe mit HTTPS mit Authentisierung
leicht zu schaffen.
Deployment zum Nulltarif
Die Open-Source-Software Fog ist abgesehen
von Sicherheitsproblemen und
rudimentärem Fehlerhandling gut durchdacht.
Der zentrale Server verwaltet die
auf den PCs hergestellten und geklonten
Images, stößt Tasks an und erledigt per
Snapins auf Windows-Systemen wichtige
administrative Arbeiten. Durch das
Konzept der Storage Nodes scheint die
Lösung zudem für Größeres gerüstet – in
den Benutzerforen finden sich Berichte
über Fog-Installationen, die eine vierstellige
Anzahl Clients versorgen. (jk) n
Infos
[1] Ghost: [http:// de. norton. com/ ghost/]
[2] True Image: [http:// www. acronis. de/​
homecomputing/ products/ trueimage/]
[3] Clonezilla: [http:// clonezilla. org]
[4] Partimange: [http:// www. partimage. org]
[5] Fog: [http:// www. fogproject. org]
[6] Snap Deploy: [http:// www. acronis. de/​
enterprise/ products/ snapdeploy/]
[7] Dokumentation zu Kickstart:
[http:// fedoraproject. org/ wiki/ Anaconda/​
Kickstart]
Abbildung 3: Hier dreht sich alles um einen in Fog registrierten Host. Über das Menü links kann der Admin
den betreffenden PC administrieren.
Der Autor
Konstantin Agouros arbeitet bei der N.runs AG
als Berater für Netzwerksicherheit. Dabei liegt
sein Schwerpunkt im Bereich Telekommunikationsanbieter.
Sein Buch „DNS/​DHCP“ ist bei Open
Source Press erschienen.

Open Source goes
Präsentieren auch Sie sich auf der größten Sonderausstellung
der CeBIT 2012 zum Thema Linux und freie Software –
hervorragend platziert in Halle 2!
Kleine und mittlere Unternehmen treffen hier auf hochrangige Entscheider.
Nirgendwo sonst finden Sie eine bessere Business-Umgebung für Ihre
Open-Source-Lösungen.
Ein rundum perfekter Messeauftritt ‒
maximaler Erfolg mit minimalem Aufwand:
• individuelle Standgrößen ab 4 m²
• Alles-inklusive-Service (Standbau, Catering, Konferenzräume, u.v.m.)
• direkte Ansprache zahlreicher Neukunden
• ausgewählte Fachvorträge und Keynotes im Open Source Forum
• Kontakt zur internationalen Open Source Community
Jetzt anmelden!
www.open-source-park.de
oder 0 26 1 - 20 16 902
In Kooperation mit:
Veranstalter:
pluspol.de
Marketing Kommunikation Internet

Forum
www.linux-magazin.de Winterrätsel 01/2012
94
Das große Linux-Magazin Winterrätsel für lange Abende
Winterrätsel
Haustiere, Heiß- und Kaltgetränke, Ortswechsel von Maintainern, deren Beiträge zu Science-Fiction-Romanen …
Nur, wer sich in der Geek-Geschichte der letzten tausend Jahre auskennt, hat eine Chance, das Lösungswort
zu knacken und ein HTC Sensation XL zu gewinnen. Viel Spaß beim Knobeln! Nils Magnus
1Ein Computer, der aussieht wie ein Borg-Raumschiff, diente
einem inzwischen geadelten Entwickler als Plattform für ein
Informationssystem. Der Chef des Unternehmens, das diesen
Computer herstellte, griff nicht nur auf einen Mach-Kernel, sondern
auch auf eine freie Unix-Variante zurück. Welcher Universitätsstandort
hat sich in deren Namen verewigt?
2Die Universität aus der vorangegangenen Frage brachte
eine Art eigene Distribution heraus. Ihr ursprünglicher
Maintainer ist auch der Autor eines universellen Unix-Werkzeugs,
das Eingabeströme modifiziert. Wie heißt der Entwickler?
3Den programmtechnischen Antagonisten zum Werkzeug
aus der vorangegangenen Frage entwickelte ein Visionär,
der heute viel in der Welt herum kommt. Um sich gegen
Müdigkeit zu wappnen, verlangt er regelmäßig nach einer ganz
bestimmten koffeinhaltigen Brausesorte. Noch mehr präferiert er
jedoch ein anderes Getränk. Welches?
Haustiere, Papageien und Hunde
4Die Person aus Frage 3 hat klare Vorstellungen zu Haustieren,
etwa zu Papageien und Hunden. Von einer weiteren
Spezies fordert er Freundlichkeit als Wesensmerkmal. Ein
solches Exemplar lebt offenbar mit dem Maintainer eines umfangreichen
Projektes zusammen, denn er beklagt Tippschwierigkeiten,
wenn sein tierischer Mitbewohner in der Nähe weilt. Aber ein anderes
Tier verletzte ihn down under. Welches?
5Der Titel eines in gewisser Weise preisgekrönten Science-
Fiction-Films, der ein Jahr nach der Vorstellung einer weit
verbreiteten funktionalen Programmiersprache in die Kinos
kam, inspirierte einen Ingenieur zum Betriebssystemnamen. Vorher
hatte er jedoch seinerseits eine ebenfalls wegweisende Programmiersprache
entworfen. Die beiden Entwickler starben beide kurz
hintereinander. Nach wem ist der renommierte Preis benannt, der
beiden verliehen wurde?
6Für äußerst wertvoll halten Anwender das Wort eines Buchautors
und Analysten, der sogar einen wissenschaftlichen
Beitrag für einen seitenstarken Bestsellerroman beisteuern
durfte. Derselbe Schmöker enthält sogar ein Programm in einer
bekannten Skriptsprache, auf deren neues Major Release ihre Fans
schon seit Jahren warten. Welchem Entwickler könnte der neue
Interpreter für diese Sprache gut gefallen, wenn man allein ihren
Namen zugrunde legte?
7Wer wissen will, was beispielsweise der Begriff „snarf“ bedeutet
und was er mit „slurp“ zu tun hat, greift meist zu einem
Standardwerk, das ein durchaus umstrittener Publizist
und gelegentlicher Entwickler verwaltet. Eines seiner bekanntesten
Essays inspirierte sogar eine Distribution bei der Namensgebung
einer eigenen Software. Wie heißt das Gegenstück zu diesem Tool,
das meist im Kernel zum Einsatz kommt?
Steinalt und trotzdem gut
8HTML und Browser, die es verarbeiten, hatten bislang ein
Silbentrennungs-Problem. Mit Firefox 8 soll sich das ändern,
denn Mozilla borgt sich aus einem Programmpaket
Code und Daten, um künftig Texte zu umbrechen. Die Software hat
schon ein paar Dekaden auf dem Buckel, wirkt aber jung gegenüber
einem noch älteren Werkzeug mit ähnlicher Funktion. Welcher Systemprogrammierer
entwarf das ältere Paket ursprünglich?
9Als Sprachentwickler hatte der Macher einer Austauschsoftware,
die zeitweise knapp die Hälfte der Internetkommunikation
erledigte, kein gutes Händchen. Ihre Konfigurationsdateien
waren gefürchtet. Sein Lebenspartner hingegen befasste
sich mehr mit Dateisystemen und deren Werkzeugen. Welcher Organisation
stand der Partner zweimal vor?
universelle Methode, mehrere Programme derartig
zu verbinden, dass die Ausgabe eines Werkzeugs dem
10Die
nachfolgenden als Eingabe dient, gilt als ein Schlüsselprinzip
von Unix. Ein Beispiel dafür ist das Tool »sort«, das
ursprünglich der gleiche Entwickler wie der Architekt des Prinzips
entworfen hat. Mit wem veröffentlichte er gemeinsam ein Paper für
einen Algorithmus, der heute noch die Grundlage eines wichtigen
Programms bildet?
College-Informatik-Urahnen
der ursprünglichen Unix-Entwickler schuf auch ein
Werkzeug, um andere Tools aufzurufen. Es stellte sich
11Einer
jedoch als nur begrenzt flexibel und programmierbar heraus.
Das änderte einige Jahre später ein anderer Programmierer
durch eine Neuimplementierung, die heute noch als Urahn einer
Familie von Skriptsprachen gilt. Er promovierte an einem College
160 Jahre, nachdem an gleicher Stelle welcher Hardwareentwickler
sein Studium aufgenommen hatte?

So funktioniert’s
Meist lassen sich die Fragen durch ein einzelnes Wort beantworten, sonst zählt das erste Wort,
bei Namen der Nachname. Jeweils der erste Buchstabe ist auf [http://linux-magazin.de/winter] oder in
das unten abgedruckte Diagramm einzutragen. Beide berechnen die Lösung durch die angegebene Addition. Dabei gilt:
A µ 0, B µ 1, … Ist eine Summe größer als das Äquivalent des Z, gibt es einen Überlauf zum A. Beispiel: X + D = B.
+
Q
=
+
+
I
=
+
+
S
=
+
+
U
=
+
+
M
=
+
+
J
=
+
+
+
Q :
=
+
C
=
+
+
Z
=
+
+
O
=
+
+
0
=
+
+
Y
=
+
+
T
=
+
+
A
=
+
+
D
=
+
+
L
=
+
+
C
=
+
+
K
=
+
+
M
=
Winterrätsel 01/2012
Forum
meisten Entwickler glauben an die These eines
amerikanischen Logikers, dass letztlich alle Programmiersprachen
gleich mächtig in ihrer Berechnungskraft
12Die
seien. Der helle Kopf verglich dazu mehrere Konzepte von Handlungsanweisungen
für Computer. Diese Anleitungen wiederum haben
ihren Namen von einem arabischen Weisen, der eine wichtige Ziffer
in die abendländische Wissenschaft einbrachte. Welche?
Eichhörnchen, Habichte und Hirsche
boshaftes Eichhörnchen, ein Habicht und vier Hirsche
spielen eine Rolle in der Sage, die auch namensgebend
für eine Softwaresammlung war, die sich dem
13Ein
Benutzerkomfort verschrieben hat. Welcher Kernelentwickler hat
sie ins Leben gerufen?
ist aus. Das Portal für Open-Source-Software
änderte kürzlich seinen Namen. Es ist Teil eines
14Frischfleisch
weitverzweigten Unternehmensnetzwerks, dessen
Keimzelle ursprünglich einmal Linux-Support und eigene Hardware
anbieten wollte. Ihr damaliger Chef ist heute noch als Cloud-Visionär
im Geschäft. Wie heißt er?
Entwickler diverser Telefonhard- und ‐software
und unermüdliche Pfotenklopfer gegen den Missbrauch
15Der
freier Lizenzen ist auch ein maßgeblicher Architekt
von Sicherheitskomponenten für den Linux-Kernel. Eines der Standardwerke
für den Einsatz solcher Systeme stammt vom einem
Autor, den seine Fans als Teil der Computerfolklore oft liebevoll mit
welchem Karatestar verwechseln?
zeitversetzt Aufgaben durchzuführen, nutzen Systemverwalter
ein Werkzeug, dessen ursprünglicher Autor
auch dabei half, eine Reihe weiterer nützlicher und
17Um
für Netze unverzichtbarer Services zu entwerfen, darunter zwei
elementare Auskunftsdienste. Der Dienst auf der unteren Netzwerkschicht
arbeitet dabei meist auf einem Protokoll, für den ein Unternehmer
und Kernelhacker erst einmal Treiber entwickeln musste.
Nebenher befasste er sich auch noch mit Linux-HPC. Nach welchem
sagenhaften Held benannte er seinen Supercomputer?
selbst als zänkische Eidechse bezeichnen zu
lassen, ist wohl Ausdruck der Geisteshaltung, die es
18Sich
braucht, um aus der Konkursmasse eines großen Gekabbels
ein weit verbreitetes Open-Source-Projekt zu formen. Eingeweihte
wissen, dass die Leiterin gelegentlich Sprüche aus einem
hypothetischen Buch der Bibel zitiert. Welcher Dämon tritt dort
meist als Gegenspieler auf?
Von der ersten zur letzten Aufgabe
manches Open-Source-Projekt kommt mit dem Abarbeiten
der Aufgaben in seinem Ticketsystem nicht
19So
hinterher. Seit über sieben Jahren nagt ein Projekt immer
noch an seinem ersten Eintrag, der sich auf einen späteren Top-
Zuträger zum Linux-Kernel 3.0 bezog. Von diesem Zuträger wurden
ein Tag nach welchem feierlichen Anlass vertrauliche Dokumente
publik, die sich damals noch sehr kritisch über Linux äußerten?
www.linux-magazin.de
95
sind auf einem Linux-Rechner äußerst seltene
Gäste, mit Würmern kämpfen Administratoren im Zeichen
des Pinguins jedoch von Zeit zu Zeit. Der Autor
16Viren
des ersten weiter verbreiteten Wurms im Internet konnte für seine
Missetaten auf Informationen in seinem Familienkreis zurückgreifen.
An welchem Protokollstack arbeitete sein Vater und warnte vor
dessen Implementationen?
HTC Sensation XL zu gewinnen
Die meisten Fragen lassen sich durch ein Wort beantworten. Bei Namen
zählt der Nachname, ansonsten das erste Wort. Der Lösungssatz ist ein
Zitat samt Urheber. Wer diesen korrekt zusammen mit den 19 Antworten
bis zum 8. Januar 2012 an [winter@linux‐magazin.​ de] schickt, nimmt
automatisch an einer Verlosung teil. Falls niemand auf den Satz kommt,
bestimmt die Redaktion anhand der richtigen Teillösungen den besten
Mitspieler. Das Linux-Magazin veröffentlicht voraussichtlich
in Ausgabe 03/12 den Namen des Gewinners.
Der Rechtsweg ist ausgeschlossen.
Als Preis für das nicht gerade einfache Rätsel winkt
ein Android-3.5-Smartphone, dessen Touchscreen-Diagonale
beeindruckende 11,9 Zentimeter misst: Das
HTC Sensation XL, das regulär für rund 620 Euro zu
haben ist. Auf dessen Rückseite sitzt eine 8-Megapixel-Kamera
mit 28-Millimeter-Weitwinkellinse
und f/​2.2-Blendenöffnung sowie ein BSI-Sensor für
Aufnahmen bei schwierigen Lichtverhältnissen.
Das Winterrätsel online unter:
www.linux-magazin.de/winter

Forum
www.linux-magazin.de Recht 01/2012
96
BGH-Urteil zu Hosting-Providern und Blogs
Eine Frage der Ehre
Provider sitzen in der Zwickmühle: Sie hosten Webseiten für zahlende Kunden. Tauchen dort aber ehrenrührige
Inhalte auf, drohen deftige Schadensersatzforderungen. Die Frage, auf wessen Seite Provider sich besser
stellen sollten, regelt der deutsche Bundesgerichtshof nun in einem Urteil. Fred Andresen
© Wavebreak Media Ltd, 123RF.com
Der Bundesgerichtshof (BGH) hat vor
einigen Wochen ein Urteil gesprochen, in
dem er die Haftung eines Blogproviders
konkretisiert, der für ehrverletzende Äußerungen
Dritter auf seiner Seite verantwortlich
ist [1]. Wer ein Blog auf seiner
Website betreibt, sorgt nicht nur für Traffic,
der die eigene Seite in der Community
und für Suchmaschinen bekannt macht,
er öffnet auch Tür und Tor für Trolle und
ungebeten Gäste, die die (vermeintliche)
Anonymität des Internets nutzen, um unsachlich
zu argumentieren, Flamewars
anzuzetteln und persönliche Diffamierungen
abzulassen.
Kein Wunder, dass sich dabei der eine
oder andere Betroffene auf den Schlips
getreten fühlt und im besten Fall um
Richtigstellung bemüht ist. Im schlimmsten
Fall tritt jedoch auch echter finanzieller
Schaden ein – etwa wenn die Umsätze
eines Unternehmers stark mit dem
Ruf in der Öffentlichkeit gekoppelt sind
und Umsatzeinbußen auf Rufschädigung
zurückzuführen sind. Daneben drohen
Schmerzensgeldansprüche wegen einer
erlittenen Beleidigung, die allerdings in
der Regel nicht in die Höhen von Umsatzschäden
reichen. Es geht also ums Geld
und um die Ehre!
Leicht zu beeinflussen
Der vernünftige Mensch, so ließe sich
argumentieren, gibt nichts auf anonyme
Anschuldigungen und Beleidigungen. An
dieses Ideal glaubt die Rechtsprechung
jedoch nicht, und wohl aus gutem Grund:
Eine Studie aus dem Jahr 2006 hat herausgefunden,
dass bis zu einem Drittel
der Internetnutzer den Privatkommentaren
in Blogs vertraut [2]. Seit dem Jahr
2006 dürfte der Einfluss von Blogs eher
noch gewachsen sein.
Ungerechtfertigte Schmähkritik und beleidigende
Angriffe sind aber nicht nur
verboten, sondern unter Strafe gestellt.
Die Paragrafen 185 ff. über Beleidigung,
üble Nachrede und Verleumdung füllen
einen ganzen Abschnitt des Strafgesetzbuchs
[3]. Und sie gelten unabhängig
von Ort und Art der Äußerung, was das
Internet mit einbezieht.
Daneben hält das Gesetz Vorschriften wie
Paragraf 824 BGB parat, der die Haftung
für eine Kreditschädigung durch wahrheitswidrige
Tatsachenbehauptung oder
‐verbreitung regelt [4]. Diese Kreditschädigung
ist für Unternehmen ein Pendant
zur Ehrverletzung bei natürlichen Personen.
Im Internet gelten also die gleichen
Spielregeln wie andernorts, Betroffene
können sich gegen Rufschädigung und
Ehrverletzung wehren – aber wie?
Zur klassischen Konstellation – Geschädigter
auf der einen und Schädiger auf der
anderen Seite – gesellen sich im Internet
noch weitere Akteuere, die den Content
und damit die Beleidigung nur durchleiten.
Oft sind das Blogbetreiber, die Beiträge
eines Dritten auf ihren Webseiten
veröffentlichen. Daneben kommt in der
Regel noch der Provider ins Spiel, der
auf seinen Servern das Blog hostet. Den
Grad der Verantwortung der Beteiligten
versuchen Gesetz und Rechtsprechung
seit Langem in den Griff zu bekommen,
der BGH hat nun für ein wenig mehr
Klarheit gesorgt.
Üble Nachrede
Im konkreten Fall ging es um die Klage
gegen einen großen Suchmaschinenbetreiber
auf Unterlassung der Verbreitung
eines Blogeintrags. Der Betreiber hatte
ein Blog gehostet, dessen Autor in einem
Beitrag einem in Spanien ansässigen
deutschen Unternehmer unterstellt,

Rechnungen eines Rotlicht-Clubs vom
Firmenkonto zu begleichen. Das zuerst
angerufene Landgericht hatte zugunsten
des Klägers auf Unterlassung entschieden,
die Berufung des Beklagten beim
Oberlandesgericht war erfolglos.
Daraufhin hatte er Revision beim BGH
eingelegt, der die Angelegenheit zur erneuten
Entscheidung an das Berufungsgericht
zurückverwiesen hat. In seiner
Entscheidung hat der BGH zudem bestimmt,
unter welchen Voraussetzungen
ein Provider als Störer für ehrverletzende
Äußerungen auf einem von ihm gehosteten
Blog haftet. Eine Störung ist im sachrechtlichen
Sinne die Beeinträchtigung
eines fremden Rechtsgutes.
Beim Störer unterscheidet man zwischen
dem Handlungsstörer, der die Störung
begeht, und dem Zustandsstörer, der
eine störende Sache unterhält. Die Zustandsstörung
besteht in diesem Fall im
Bereitstellen des Servers, der der Veröffentlichung
der Äußerung dient. Wer
vor Gericht einen Unterlassungsanspruch
geltend machen will, muss diesen gegen
einen Störer richten.
Haftungsfragen
Die Voraussetzungen, die der BGH für die
Inanspruchnahme des Hostproviders aufgestellt
hat, konkretisieren die bisherige
Rechtslage. Bislang galt per Gesetz eine
Haftungserleichterung. Die besagte, dass
Provider für die von ihnen gehosteten
Informationen (also Inhalte Dritter) nicht
haften, sofern sie von deren Rechtswidrigkeit
keine Kenntnis haben und für sie
auch keine Tatbestände oder Umstände
erkennbar sind, aus denen sich die
Rechtswidrigkeit erschließt. Diese Haftungsfreistellung
soll nur dann greifen,
wenn der Provider, nachdem er Kenntnis
von rechtswidrigen Informationen erlangt
hat, diese unverzüglich entfernt oder den
Zugang dazu sperrt.
Diese Regeln stammen aus der E-Commerce-Richtline
der EU aus dem Jahre
2000 [5] und sind inzwischen in allen
Mitgliedsstaaten umgesetzt, in Deutschland
etwa mit entsprechenden Bestimmungen
im Teledienstegesetz (TDG, [6]),
seit 2007 im Telemediengesetz (TMG)
[7], dem Nachfolger des TDG.
In der Praxis führen diese Regelungen zu
Schwierigkeiten, weil für Provider nicht
ohne Weiteres erkennbar
ist, ob es sich bei
den gehosteten Informationen
um eindeutig
rechtswidrige Inhalte
handelt. Zwischen
rechtlich beanstandungsfreier,
überzogener,
selbst ausfälliger
Kritik und rechtswidriger
Schmähung
zu unterscheiden, ist
auch für Juristen nicht
immer einfach. Andererseits
sind Provider Parteien zu leiten.
für die Ehrverletzten
weit einfacher zu erreichen als der möglicherweise
anonyme Poster und daher das
leichtere Angriffsziel.
Der Provider steckte damit in der Zwickmühle:
Entweder er löschte oder sperrte
die Informationen möglicherweise vorschnell,
weil ein Rechtsgutachten unwirtschaftlich
und langwierig ist, oder
er riskierte in die Haftung zu geraten
und dem Verletzten Schmerzensgeld oder
Schadenersatz leisten zu müssen.
Provider als Vermittler
Mit seinem Urteil legt der BGH eine klare
Vorgehensweise fest, die bei allen Beteiligten
zu mehr Rechtssicherheit führt
und vor allem den Providern die Sache
erleichtert. Das Gericht sagt, dass dieser
als Störer für von ihm nicht verfasste
oder gebilligte Äußerungen eines Dritten
in einem Blog auf Unterlassung in Anspruch
genommen werden kann, wenn
er folgende Pflichten verletzt hat: „Ein
Tätigwerden des Hostproviders ist nur
veranlasst, wenn der Hinweis auf die
rechtswidrigen Inhalte so konkret gefasst
ist, dass der Rechtsverstoß auf der Grundlage
der Behauptungen des Betroffenen
unschwer – das heißt ohne eingehende
rechtliche und tatsächliche Überprüfung
– bejaht werden kann.“
Regelmäßig, so der BGH, ist zunächst die
Beanstandung des Betroffenen an den
für den Blog Verantwortlichen zur Stellungnahme
weiterzuleiten. Bleibt eine
Stellungnahme innerhalb einer nach den
Umständen angemessenen Frist aus, ist
von der Berechtigung der Beanstandung
auszugehen und der beanstandete Eintrag
zu löschen. Stellt der für den Blog
Abbildung 1: Der BGH versucht virtuelle Streitigkeiten an die beteiligten
Verantwortliche die Berechtigung der Beanstandung
substanziell in Abrede und
ergeben sich deshalb berechtigte Zweifel,
ist der Provider grundsätzlich gehalten,
dem Betroffenen dies mitzuteilen und
gegebenenfalls Nachweise zu verlangen,
aus denen sich die behauptete Rechtsverletzung
ergibt.
Äußert sich der Betroffenen nicht oder
legt er erforderliche Nachweise nicht vor,
ist eine weitere Prüfung nicht veranlasst.
Ergibt sich aus der Stellungnahme des
Betroffenen oder den vorgelegten Belegen
auch unter Berücksichtigung einer
etwaigen Äußerung des für den Blog
Verantwortlichen eine rechtswidrige Verletzung
des Persönlichkeitsrechts, ist der
beanstandete Eintrag zu löschen.
Damit ist der Provider in die Rolle eines
Vermittlers versetzt, der zwar im Rahmen
dieser vorgeschriebenen Vorgehensweise
handeln muss (dies natürlich unverzüglich,
um etwaigen Schaden so gering wie
möglich zu halten), dem aber keine ungebührlichen
Prüfungspflichten hinsichtlich
der Rechtswidrigkeit auf eigene Kosten
obliegen (Abbildung 1).
Mit der Vorgabe, wann der Provider handeln
muss, konkretisiert der BGH damit
auch das Wie. Nach Eingang der Beanstandung
ist sie an den Blog-Verantwortlichen
weiterzuleiten und dessen Stellungnahme
abzuwarten. Kommt keine Reaktion, ist
der Eintrag zu löschen oder – besser –
zu sperren. Kommt eine qualifizierte Reaktion,
leitet der Provider diese an den
Betroffenen weiter und wartet, ob der die
vermeintlich rechtswidrige Information
als solche qualifizieren kann.
Der Spielball liegt dann bei dem Betroffenen:
Er muss, anders als in einem
© Scott Griessel, 123RF.com
Recht 01/2012
Forum
www.linux-magazin.de
97

Forum
www.linux-magazin.de Recht 01/2012
98
© uwy.ch, photocase.com
Abbildung 2: Rechtzeitige Reaktion soll Schlimmeres verhindern. Die angemessene
Reaktionszeit ist nicht definiert.
gerichtlichen Verfahren, gegebenenfalls
auch auf eigene Kosten ein Gutachten
beibringen, weshalb die beanstandete Information
seine Rechte verletzt, oder dies
auf andere Weise durch substanzielle
Darlegung begründen. Der Betroffene
muss also dem Provider seine Ansicht
verständlich machen.
Aufwand für Geschmähte
Im Ergebnis heißt das für den Betroffenen:
Je weniger eindeutig die Rechtswidrigkeit
ist, desto höher sind die Anforderungen
an seine Darlegung. Erkennbare
Beleidigungen wie typische Schimpfwörter
sind nach verkürzter Stellungnahmefrist
für den Blog-Verantwortlichen durch
Provider zu sperren oder zu löschen. In
zweifelhaften Fällen muss der Betroffene
wohl ein Rechtsgutachten auf eigene
Kosten beibringen – diese Kosten sind
dann als Rechtsverfolgungskosten dem
Schaden hinzuzurechnen, den er gegenüber
dem eigentlichen Schädiger geltend
machen muss. Der Provider ist dafür in
der Regel nicht haftbar.
Offen bleibt allerdings die Frage nach der
angemessenen Frist, in der die Beteiligten
gegenüber dem Provider reagieren müssen.
Vielfach sind zwei Wochen genannt.
Doch dieser Zeitraum wirkt bei ehren‐
Der Autor
RA Fred Andresen ist Mitglied
der Rechtsanwaltskammer
München und der Arbeitsgemeinschaft
Informationstechnologie
im Deutschen
Anwaltverein (DAVIT).
rührigen Informationen
und der dadurch
möglichen erheblichen
Beeinträchtigung der
Persönlichkeitsrechte
als zu lang (Abbildung
2).
Ein-Tages-Fristen geben
den Blog-Verantwortlichen
aber zu
wenig Zeit, um auf
nicht triviale Fälle reagieren
zu können.
Eine Drei-Tages-Frist
für relativ eindeutige
Fälle der Rechtswidrigkeit
scheint angemessen, zumal der
Blog-Verantwortliche innerhalb dieser
Zeit die Stellungnahme eines Rechtsanwalts
einholen kann, in der dieser etwa
darlegt, dass für seine abschließende Beurteilung
und Stellungnahme ein längerer
Zeitraum nötig ist.
Örtliche Zuständigkeit
In einem Aufwasch hat das Gericht zwei
weitere Fragen entschieden: Die Zuständigkeit
deutscher Gerichte und die Anwendbarkeit
deutschen Rechts für Fälle,
in denen der Provider im Ausland sitzt.
Im Gleichklang mit einem Urteil des Europäischen
Gerichtshofs (EuGH, [8]) hat
der BGH entschieden, dass die deutschen
Gerichte zuständig seien, weil die rechtswidrige
Verbreitung auch in Deutschland
erfolgt sei und der Betroffene überdies in
Deutschland seinen gewöhnlichen Aufenthalt
habe. Auch wenn er in Spanien
sein Unternehmen betreibt, ist demnach
der Wohnsitz ausschlaggebend.
Liegt also der Ort der Beeinträchtigung
innerhalb Deutschlands, insbesondere
wenn die rechtswidrigen Informationen
auf einer Seite stehen, die sich an deutsche
User richtet, dann dürfen deutsche
Gerichte entscheiden.
Der EuGH hat gleichermaßen argumentiert:
Weil wegen der weltumspannenden
Verbreitung des Internets der Schadensort
schwer zu bestimmen sei, seien jene
Gerichte zuständig, in deren Sprengel der
Betroffene seinen Wohnsitz beziehungsweise
gewöhnlichen Aufenthalt hat. Außerdem,
so der europäische Gerichtshof,
dürfe künftig über den gesamten innerhalb
der EU eingetretenen Schaden entschieden
werden – der Betroffene müsse
daher nicht in jedem Mitgliedsstaat gesondert
klagen.
Der EuGH meint allerdings auch, dass
das angerufene Gericht keine strengeren
Bestimmungen anwenden dürfe, als in
dem Land gelten, in dem der Herausgeber
des Internetportals ansässig ist. In
diesem Fall wäre das einfach, weil der
Blog-Verantwortliche (nicht der Provider)
ebenfalls in Deutschland sitzt. Es bleibt
aber offen, ob und welche US-amerikanischen
Vorschriften gegenüber einem dort
ansässigen Provider heranzuziehen wären.
Die Entscheidung des EuGH bindet
nämlich auch die deutschen Gerichte,
wenn auch nicht streng formal.
Deutsche Provider müssen künftig verstärkt
mit Klagen wegen ehrverletzender
Äußerungen auf gehosteten Seiten rechnen.
Sie bekommen aber gleichzeitig eine
konkrete Vorgehensweise an die Hand,
mit der sie sich weitgehend aus der Haftung
befreien können. (uba) n
Infos
[1] BGH, Urteil aus 2011, VI ZR 93/​10:
[http:// juris. bundesgerichtshof. de/​
cgi‐bin/ rechtsprechung/ document. py?​
Gericht=bgh& Art=pm& Datum=2011&​
Sort=3& anz=169& pos=0& nr=57959&​
linked=urt& Blank=1& file=dokument. pdf]
[2] Hotwire-Ipsos-Studie:
[http:// knowledgecenter. ipsos. de/​
downloads/ KnowledgeCenter/ 3BFE85EF‐
713A‐4358‐AD23‐16AAE9876879/ Ipsos%
20White%20Paper%20Blogging. pdf]
[3] StGB:
[http:// www. gesetze‐im‐internet. de/ stgb/]
[4] BGB:
[http:// www. gesetze‐im‐internet. de/ bgb/]
[5] Richtlinie 2000/​31/​EG über den elektronischen
Geschäftsverkehr: [http://​
www. internet4jurists. at/ gesetze/​
rl_e‐commerce01. htm]
[6] Wikipedia zum Teledienstegesetz:
[http:// de. wikipedia. org/ wiki/​
Teledienstegesetz]
[7] Telemediengesetz:
[http:// www. gesetze‐im‐internet. de/ tmg/]
[8] Urteil des EuGH aus 2011, C-509/​09 und
C-161/​10:
[http:// curia. europa. eu/ jurisp/​
cgi‐bin/ gettext. pl? lang=de&​
num=79888974C19100161& doc=T&​
ouvert=T& seance=ARRET]

JETZT
MiT dVd!
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
GEwinnEn SiE... EinEn ClASSMATE PC
ConVErTiblE TouChSCrEEn iM wErT Von 399 Euro!
Einsendeschluss ist der 15.03.2012
zur Verfügung gestellt von
www.1edu.de

Forum
www.linux-magazin.de Bücher 01/2012
100
Bücher über Android-Forensik und zur C++-Praxis
Tux liest
Passend zum Titelthema „Web“ bespricht das Linux-Magazin ein Buch über die Sicherheit von Webanwendungen.
Der zweite Band behandelt Penetrationstests mit dem Ruby-Framework Metasploit. Mathias Huber, Mark Vogelsberger
Einbrüche in Websites samt Diebstahl
von Benutzer- und Kreditkartendaten
tauchen mittlerweile regelmäßig in den
Nachrichten auf. Das Buch „Web-Sicherheit“
aus dem Mitp-Verlag erläutert, was
Webanwendungen verletzbar macht und
wie man sie schützt.
Web-Sicherheit
Der EDV-Berater und Autor Sebastian
Kübeck beginnt mit einem einführenden
Abschnitt. Auf die Historie der Computerkriminalität
hätte er zwar verzichten
dürfen, doch gleich danach vermittelt
er wichtige Grundkenntnisse, etwa über
Brute-Force-Attacken, Authentifizierung
mit Passwörtern und Tokens sowie symmetrische
und asymmetrische Verschlüsselungsverfahren.
Der zweite Abschnitt – rund 90 Seiten
– widmet sich den häufigsten Schwachstellen
von Webanwendungen im Detail.
Hier erklärt Kübeck, wie SQL- und
Command-Injection, Cross-Site-Scripting
und Clickjacking funktionieren und was
der Anwendungsentwickler dagegen tun
kann. Leicht verständliche Codebeispiele
in SQL, Java und Javascript begleiten
die Ausführungen. Weitere Problemfelder
sind Authentifizierung, Session-Management,
Pufferüberläufe und unsichere
Konfigurationen. Die Kapitel schließen
mit praktischen Übungsaufgaben.
Info
Sebastian Kübeck:
Web-Sicherheit
Mitp, 2011
340 Seiten
30 Euro
ISBN 978-3-8266-9024-2
Der letzte Teil dieses Buches widmet sich
dem Testen und Absichern von Webanwendungen.
Dabei kommen spezielle
Scanner wie der OWASP-Webscarab oder
Nikto zum Einsatz – selbstverständlich
mit der Warnung, fremde oder produktive
Systeme zu verschonen. Anschließend
gibt der Autor einige praktische
Ratschläge zur sicheren Webentwicklung
mit JSP-Seiten und Java-Servlets.
Dieser Band eignet sich für Leser, die einen
Einstieg in die Sicherheitstechnik von
Webanwendungen suchen. Den ersten
Abschnitt können Junior-Programmierer
genauso mit Gewinn lesen wie Projektleiter,
danach wird der Text kleinteiliger und
sprachspezifischer, aber auch konkreter
und anschaulicher. Vor allem Entwickler
sollten die Lektüre noch durch ein gutes
Programmierbuch zur Sprache ihrer Wahl
ergänzen.
Penetrationstests
Das englischsprachige Buch „Metasploit“
aus dem Verlag No Starch Press richtet
sich an Penetration-Tester, die mit
dem gleichnamigen Framework arbeiten
möchten. Nach einer kurzen Vermittlung
von Grundlagen erfährt der Leser, wie
er mit gängigen Werkzeugen wie Whois
und Nmap Informationen über das zu
prüfende System sammelt. Darauf folgen
zwei Kapitel über das Scannen nach
Sicherheitslücken, die auch schildern,
wie Metasploit diese ausnutzen kann.
Hierbei kommen hauptsächlich Nexpose
und Nessus im Zusammenspiel mit dem
Framework zum Einsatz.
Danach beschreiben die Autoren, wie
man mit der Programmiersprache Ruby
eigene Erweiterungen für Metasploit
schreibt. Anhand des Moduls »mssql_
exec« für Microsofts SQL Server erklären
sie zunächst den generellen Aufbau eines
Moduls. Im nächsten Schritt entwickeln
sie anspruchsvollen Shellcode für die
Windows Powershell als neues Modul.
Ein Kapitel über den Meterpreter erläutert
die Grundlagen zur Automatisierung von
Metasploit mit Skripten. Dort ist auch
das API genau beschrieben, inklusive der
Ruby-Mixins. Das letzte Kapitel präsentiert
einen kompletten Penetrationstest
mit Metasploit im Detail.
Dieses Buch erklärt ausführlich, meist in
Form von Schritt-für-Schritt-Anleitungen,
wie Metasploit-Benutzer Scans und Attacken
durchführen. Damit ist es sehr
nützlich für Leser, die das Framework
kennenlernen möchten. Auch Metasploit-
Profis finden in diesem Buch das eine
oder andere versteckte Feature, insbesondere
wenn es um das Erweitern der
Software geht.
Leider verfallen die Autoren oft in die aus
der Windows-Welt bekannte „Klick hier,
klick dort“-Schreibweise, die für professionelle
Linux-Anwender unangenehm
oberflächlich wirkt. Daneben demonstriert
das Buch zwar zahlreiche Attacken,
erklärt aber nur selten die technischen
Hintergründe. Ein an Security-Know-how
interessierter Leser wird damit also wenig
glücklich werden. Zusammenfassend hält
das Buch aber, was es verspricht: Es ist
eine detaillierte Metasploit-Dokumentation
für Anwender.
n
Info
David Kennedy, Jim
O’Gorman, Devon Kearns,
Mati Aharoni:
Metasploit
No Starch Press, 2011
330 Seiten
40 Euro
ISBN: 978-1-59327-288-3

Admin-mAGAZin
im JAhres-Abo
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
15 % sparen
Jetzt bestellen unter:
www.admin-magazin.de/abo
sichern sie sich ihr
GrAtis Admin t-shirt!
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis von E 49,90 * statt E 58,80 *
(Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 82,32; Österreich: E 54,90; anderes Europa: E 59,90

Forum
www.linux-magazin.de Leserbriefe 01/2012
102
Auf den Punkt gebracht
Leserbriefe
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Nagios lebt
11/​11, S. 6: Ich lese in den News des Linux-Magazins,
dass Sie Icinga als Nagios-
Nachfolger bezeichnen. Das ist falsch!
Nagios befindet sich in aktiver Entwicklung.
Gerade ist die Nagios World Conference
in den USA zu Ende gegangen.
Dort wurden viele Neuerungen rund um
Nagios XI und Nagios Core vorgestellt.
Daher finde ich es nicht fair, wenn Sie bei
Icinga von einem Nachfolger sprechen,
denn Nagios ist nicht tot. Vielmehr ist
Icinga ein Fork von Nagios, nicht mehr
und nicht weniger.
Christian Mies, per E-Mail
Wir wissen, dass das originale Nagios
weiter existiert und dass Entwickler daran
arbeiten. Dass es Software gibt, die
einem Vorbild nachfolgt, bedeutet ja nicht
zwangsläufig, dass der Vorgänger tot ist.
Wenn man es so interpretiert, wirkt unsere
Formulierung auch nicht unfair. (jcb)
Summa cum laude
11/​11, S. 85: Mit großem Interesse habe
ich den Beitrag über vier Literaturverwaltungen
gelesen. Bei uns an der Universi-
Errata
11/​11, S. 72: Im Beitrag über Init-Systeme ist
Listing 3 nicht vollkommen LSB-konform. Es
fehlt die Festlegung der Rückgabewerte. Eine
korrigierte Fassung ist unter [http:// www.​
linux‐magazin. de/ static/ listings/ magazin/​
2011/ 11/ Init‐Systeme/] zu finden.
11/​11, S. 85: Die Abbildung 3 im Trusted-Boot-
Artikel ist falsch gekennzeichnet. Richtig ist:
Die rot dargestellten Komponenten sind
unverschlüsselt, die grünen dagegen sind
verschlüsselt.
tät Kassel entstand die Software Bibsonomy
[http://​­www.​­bibsonomy.​­org] . Sie
ist Open Source und hat inzwischen über
500 000 aktive Nutzer.
Sie bietet Social Bookmarking und Literaturverwaltung
in einem. Daneben importiert
sie Daten aus vielen wissenschaftlichen
Datenbanken. Der Anwender kann
mit der Software Literaturlisten online
teilen oder auf Internetseiten publizieren.
Ein Beispiel für eine solche Publikationsliste
ist unter [http://​­www.​­kde.​­cs.​
­uni‐kassel.​­de/​­pub] zu finden.
An der Unibibliothek in Kassel haben wir
zudem das Bibsonomy-Derivat PUMA als
Online-Service für Studenten und Wissenschaftler
entwickelt: Forscher können
damit ihre Publikationen auf dem Dokumentenserver
veröffentlichen. Dissertationen,
Tagungsbände und vieles mehr ist
somit im Open-Access-Modell verfügbar
und auch bei Google Scholar sichtbar.
Stefan Drößler per E-Mail
Unterschätzte
Skriptsprachen
11/​11, S. 88: Im Rechtsartikel „Einer für
alle“ finde ich einige Zeilen sehr salopp
formuliert, teilweise sogar falsch. Python-
Programme etwa muss der Entwickler
nicht immer im Quelltext ausliefern. Der
Interpreter gibt sich auch mit dem Bytecode,
also den »*.pyc«-Dateien zufrieden.
Doch dieser Bytecode lässt sich wieder
zu Quelltext dekompilieren. Das gilt für
Java genauso.
Daneben verwendet der Autor Fred Andresen
den Begriff „klartext-interpretierte
Skriptsprachen“ und schreibt über diese:
„Zudem ist die Ausführungsgeschwindigkeit
so langsam, dass man bei umfangreichen
Applikationen selbst auf neuesten
Rechner-Boliden nicht guten Gewissens
darauf setzen kann.“ Was darf man unter
klartext-interpretierten Skriptsprachen
verstehen? Tcl und Shell sicherlich. Python
und Ruby sind es nicht, denn sie
verwenden Bytecode. Beim Leser bleibt
leicht hängen: „Richtige Programme
schreibt man mit C oder C++“. Das ist
ein Vorurteil, mit dem man als moderner
Programmierer immer wieder konfrontiert
ist. Diese Ansicht ist jedoch veraltet:
Skriptsprachen machen die Entwicklung
um einiges schneller. Wird die Laufzeit
der Software zu lange, hilft meist gezieltes
Auswerten der Ausführungsgeschwindigkeit
und anschließendes Optimieren
weniger Codezeilen.
Thomas Güttler, per E-Mail
Eintönig
12/​11, S. 60: Ich frage mich, warum Ihr
Source-Highlight in den Tooltipps fünf
Sterne gebt, aber Eurem eigenen Tipp
nicht folgt. Der einzige, der sich teilweise
die Mühe macht, Syntaxhervorhebung in
seine Artikel zu bringen, ist Perlmeister
Mike. Ansonsten gibt sich aller Quelltext
im spröden Charme der 70er Jahre.
Daniel Pfeiffer, per E-Mail
Die Redaktion hat sich vor ein paar Jahren
mit dem Thema Syntaxhighlighting in
den Listingkästen befasst. Dabei erwies
sich die Sache aber als nicht so einfach:
Der Kastenhintergrund ist in einem blassen
Blau-grau und die Listingschrift ist
aus Platzgründen nicht allzu groß. Unsere
Experimente haben ergeben, dass wir
nicht genügend viele, gute unterscheidbare
und gut lesbare Farben zusammenbekommen,
um alle denkbaren Syntax-
Fälle abzudecken. (jk)
n

Digitales aBO
linuxUser: Das Monatsmagazin für die Praxis
DigisUB *
nur 56,10 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
Jetzt Bestellen Unter:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
Fax: 07131 / 2707 78 601
E-Mail: abo@linux-user.de
Lesen Sie News und Artikel
fast 1 Woche vor dem Kiosk!
Sparen Sie im Abo 15% im
Vergleich zum PDF-Einzelkauf!
Nutzbar auf Notebook und
PC, Tablet oder Smartphone!

Know-how
www.linux-magazin.de Kern-Technik 01/2012
104
Kernel- und Treiberprogrammierung mit dem Linux-Kernel – Folge 60
Kern-Technik
Den Kern eines laufenden Betriebssystems zu debuggen war und ist problematisch. Doch der Emulator Qemu
ermöglicht plattformunabhängiges Kernel- und Modul-Debugging auf Hochsprachen-Niveau. Dank der virtuellen
Maschine braucht der Kernelhacker noch nicht einmal einen zweiten Rechner. Jürgen Quade, Eva-Katharina Kunst
© psdesign1, Fotolia
60
Zu den Basisoperationen eines Debuggers
zählt das Einfrieren von Codesequenzen
und das nachfolgende Analysieren
von Speicherinhalten. Gehören
die Codesequenzen zu einer Applikation,
ist Debugging vergleichsweise unproblematisch.
Wird aber der Kernel selbst
eingefroren, steht keine Ablaufumgebung
mehr zur Verfügung, die Tastatureingaben
entgegennimmt, Daten auf
den Monitor zaubert, auf Speicherinhalte
zugreift oder die den Kernel später weiterarbeiten
lässt. Kernel-Debugging hat
etwas von einem Arzt, der sich selbst
operieren möchte.
Technisch ist das Problem einfach zu lösen,
indem man komplexe Funktionen
auf ein zweites System auslagert. Das
hat ja üblicherweise ein funktionierendes
Speicher- und Dateimanagement und
übernimmt das Durchwühlen des Quellcodes
nach Variablen,
Datenstrukturen,
Funktionen und Codezeilen.
Für den zu
debuggenden Kernel
wird nur noch ein so
genannter Debugserver
benötigt, der nur
einfache Kommandos
wie etwa Speicherzellen
lesen und schreiben
oder Breakpoints
setzen in dem zu untersuchenden
System
ausführt.
Der in der vorigen
Kern-Technik [1] vorgestellte
Emulator
Qemu enthält einen
solchen Debugserver
(siehe Kasten „Varianten
des Kernel-
Debugging“). Kommt zudem wieder die
Systemgenerierungs-Software Buildroot
[2] zum Einsatz, ist Kernel-Debugging
vergleichsweise leicht umzusetzen – Voraussetzung
ist ein mit Symbolinformationen
ausgestatteter Kernel.
Dank Buildroot ist das aber kein Problem:
Binnen Kurzem stellt das Tool ein übersichtliches
Userland und einen schlanken
Kernel zur Verfügung, der sich rasch umkonfigurieren
und bearbeiten lässt. Alle
Schritte sind in dem Kasten „Kurzanleitung“
zusammengefasst. Zunächst lädt
der Anwender Buildroot herunter und
entpackt das Archiv. Danach erstellt er
die Default-Konfiguration – diesmal am
besten für ein x86-System – mit »make
qemu_x86_defconfig«.
Vier Optionen sind nach dem anschließenden
Aufruf von »make menuconfig«
anzupassen: Unter »Toolchain« aktiviert
der Anwender die Option »Build gdb for
the Host«, unter »Kernel | Kernel version«
gibt er »3.1« ein, unter »System Configuration
| Port to run getty (login prompt)
on« trägt er »tty1« ein und unter »Build
options | Number of jobs to run simultaneously«,
die Anzahl der Prozessorkerne
der Generierungsmaschine.
Ein weiteres »make« stößt den ersten
Generierungslauf an, er installiert unter
anderem die Kernelquellen, deren Konfiguration
der Benutzer allerdings später
noch einmal bezüglich Kernel-Debugging
anpassen muss.
Debugging-Kernel
Dazu ruft der Anwender im Buildroot-
Hauptverzeichnis »make linux‐menuconfig«
auf. Die relevanten Einstellungen im
daraufhin angezeigten Menü »Optionen«
befinden sich unterhalb des Punktes
»Kernel hacking« (siehe Abbildung 1).
Erforderlich sind die Optionen »Kernel
debugging« und »Compile the kernel with
debug info«. Ein weiteres »make« generiert
einen Kernel mit der angepassten
Konfiguration.
Das Ergebnis sind im Wesentlichen zwei
Dateien: Im Hauptverzeichnis findet sich
die Datei »vmlinux«, die nicht nur den
Code, sondern auch die zugehörigen Debuginfos
enthält. Im Architektur-Unterverzeichnis
– für die x86-Plattform ist das
beispielsweise »arch/​x86/​boot/​« – liegt
der komprimierte Kernel als »bzImage«.
Auf anderen Plattformen heißt der Kernel
schon mal »zImage«.
Bootloader wie beispielsweise Grub
brauchen den komprimierten Kernel
(»bzIma ge«), der Debugger selbst benötigt
zwar ebenfalls das Image des Kernels,
greift jedoch auf das unkomprimierte und

mit Debuginfo versehene Pendant »vmlinux«
zurück. Selbstverständlich benötigt
der Debugger auch Zugriff auf den
Quellcode.
Wer mit Buildroot Kernel und Root-Filesystem
generiert hat, sollte beides zunächst
ohne Debugging ausprobieren:
qemu ‐kernel output/images/bzImageU
‐hda output/images/rootfs.ext2U
‐append "root=/dev/sda rw"
Kurzanleitung
Funktioniert alles, kann das Debuggen
durch Anhängen von »‐s« und »‐S« beginnen.
Die Option »‐s« startet den Debugserver
(»gdbserver«), »‐S« hält den Kernel
gleich zu Beginn an:
qemu ‐kernel output/images/bzImageU
‐hda output/images/rootfs.ext2 ‐appendU
"root=/dev/sda rw" ‐s ‐S
Damit der GNU-Debugger (GDB) die zum
Kernel gehörenden C- und Headerdateien
findet, startet der Anwender das Tool aus
dem Quellcodeverzeichnis des Linux-Kernels
heraus (siehe Abbildung 2). Wer
ein x86-System gebaut hat, kann den auf
Kernelquellen und GCC sowie Buildroot, Qemu und GDB sind die Zutaten für erfolgreiches Kernel-
Debugging. Die folgende Anleitung fasst wie ein Kochrezept alle Arbeitsschritte für das richtige
Setup zusammen. Die Feinheiten beschreibt der Artikel.
1. Buildroot herunterladen und auspacken
wget http://buildroot.uclibc.org/download/buildroot‐2011.08.tar.bz2
tar xvfj buildroot‐2011.08.tar.bz2
2. Buildroot konfigurieren und System generieren
cd buildroot‐2011.08
make qemu_x86_defconfig
make menuconfig
[build‐option, Kernel‐Version 3.1, gdb, tty1]
make
make linux‐menuconfig
[debug info]
make
3. Modul kompilieren und ins Rootverzeichnis kopieren
cd driver
export CROSS_COMPILE=...
export ARCH=...
make
cp module.ko .../output/target/root/
4. Root-Dateisystem neu generieren
cd buildroot‐2011.08
make
5. System mit Qemu und Debugserver starten
qemu ‐kernel output/images/bzImage ‐hda output/images/rootfs.ext2 ‐append "root=/dev/
sda rw" ‐s ‐S &
6. Debugger starten
gdb
file vmlinux
target remote :1234
continue
7. Einloggen, Treiber laden und Speicheradressen identifizieren
insmod Modul.ko
cat /sys/module/hello/sections/.text
cat /sys/module/hello/sections/.data
cat /sys/module/hello/sections/.bss
8. Modul-Symbolinformationen laden
add‐symbol‐file Modul.ko Addr_text
‐s .data Addr_data
‐s .bss Addr_bss
9. Debuggen: Breakpoints setzen etc.
dem Entwicklungsrechner vorinstallierten
GNU-Debugger einsetzen, ansonsten
kommt der für das Hostsystem gebaute
und unterhalb des Buildroot-Verzeichnisses
»output/host/usr/bin/« abgelegte
GDB zur Verwendung:
cd output/build/linux‐3.1/
gdb
Das Kommando »gdb« startet die Debugger-Sitzung.
Als Erstes lädt der Benutzer
Code und Symbole des Kernels mit Hilfe
des Befehls »file vmlinux«. Wer nun die
Meldung »no debug‐symbols found« zu
sehen bekommt, muss die Kernelkonfiguration
bezüglich der Debug-Optionen
überprüfen und gegebenenfalls den Linux-Kernel
neu kompilieren. Inklusive
der Symbole ist »vmlinux« mehr als 40
MByte groß.
Stopp und Start
Die Verbindung zum Debugserver stellt
das Kommando »target remote :1234«
her (Abbildung 2). Danach kontrolliert
»gdb« die weitere Ausführung. Ein »continue«
aktiviert das Linux-Gastsystem,
das Tastenkürzel [Strg]+[C] unterbricht
Tabelle 1: Die wichtigsten GDB-
Kommandos
Kommando
add-symbol-file
break
bt
continue
del
detach
file
help
info
next
print
quit
step
target
Bedeutung
Zusätzliche Symboldatei
laden
Breakpoint setzen
Aufrufreihenfolge der Funktionen
ausgeben
Programm fortsetzen
Breakpoint löschen
Debugger vom Debugserver
abmelden
Code (Programm) laden
Informationen zu den implementierten
Funktionen
ausgeben
Diverse Informationen
anzeigen
Codezeile abarbeiten
Ausgabe von Variablen,
Datenstrukturen und Speicherzellen
GDB beenden
Bei der Abarbeitung Unterfunktionen
mit debuggen
Verbindung zum Debugserver
herstellen
Kern-Technik 01/2012
Know-how
www.linux-magazin.de
105

Know-how
www.linux-magazin.de Kern-Technik 01/2012
106
Auch Kernelmodule »Makefile«, der von Listing 2 als »hello.c«
lassen sich auf Hochsprachen-Niveau
mit
Qemu debuggen. Doch
muss dafür die Unterstützung
für Module
in der Kernelkonfiguration
aktiviert sein
(»Enable loadable module
in einem eigenen Ordner unterhalb des
Buildroot-Verzeichnisses liegen. Eventuell
ist noch der Pfad zu den in der Variablen
»KDIR« abgelegten Linux-Quellen zu
korrigieren. Das angepasste Makefile
baut das Modul »hello.ko«, das der Anwender
anschließend in das Root-Filesystem
kopiert, etwa mit dem Kommando:
support« mit dem
Abbildung 1: Die zum Debugging notwendigen Kerneloptionen finden sich
unter dem Menüpunkt »Kernel hacking«.
Unterpunkt »Module
unloading«). Bei dem
von Buildroot erzeugten
Kernel ist hier also
eine Neukonfiguration
und Neugenerierung
erforderlich.
Da zudem die Adresse
des Modulcodes im
Hauptspeicher nicht
im Vorhinein bekannt
ist, muss der Anwender
sie nach dem Laden
cp hello.ko ../output/target/root/
Der Aufruf von »make« im Buildroot-
Verzeichnis erzeugt das Root-Filesytem
neu. Damit steht das Modul im System
nach dem Booten im Homeverzeichnis
des Superusers zur Verfügung. Am einfachsten
ist es, bei dem Aufruf von Qemu
die Option »‐S« wegzulassen, »‐s« aber zu
verwenden. Dadurch ist zwar der Debugserver
aktiviert, Linux fährt aber dennoch
direkt hoch.
Nach dem Einloggen mit dem Login-Namen
»root« lädt der Anwender das Modul
die Abarbeitung. Abbildung 2 zeigt, wie
das GDB-Kommando »break vfs_mknod«
einen Breakpoint auf die Funktion »vfs_
mknod« setzt.
Ausgang
Sobald der Anwender auf dem Linux-System
des Moduls identifizieren und dem
Debugger mitteilen. Er findet sie in den
Einträgen des »/sys«-
Dateisystems.
Vor dem Debuggen
steht zunächst noch
das Übersetzen des
Moduls für den von
per »insmod hello.ko« (Abbildung 3). Die
folgenden Befehle ermitteln die Adressen
das Kommando »mknod /dev/hello Buildroot erzeugten
254 0« aufruft, stoppt die Ausführung
und Variablen lassen sich untersuchen.
Kernel. Am einfachsten
geschieht das mit
Um den Programmablauf fortzusetzen, einem angepassten
gibt er das Kommando »continue« ein.
Um den Debugger vom Linux-System zu
trennen, drückt er zunächst [Strg]+[C].
Makefile. Dabei muss
die Variable »KDIR«
auf den Pfad der zu
Anschließend löst das GDB-Kommando verwendenden Kernelquellen
»detach« die Verbindung zum Server,
»quit« beendet den Debugger (weitere zeigen, der
sich im vorliegenden
Kommandos siehe Tabelle 1).
Fall unterhalb des
Buildroot-Verzeichnisses
Listing 1: Makefile
befindet.
Sollte das zu debuggende
Linux-System
im Qemu nicht für
eine x86-Architektur
Abbildung 2: Der GDB wird aus dem Linux-Quellcodeverzeichnis gestartet,
damit hat er Zugriff auf die C-Dateien.
sein, sind wie in [1]
beschrieben zusätzlich
die Environment-Variablen
»CROSS _COM-
PILE« und »ARCH« zu
setzen.
Zum Debuggen des
Moduls muss der Inhalt
von Listing 1 als
Abbildung 3: Nach dem Einloggen als Root lädt der Anwender unter Qemu das
Kernelmodul und ermittelt die Adressen von Code- und Datensegmenten.
01 ifneq ($(KERNELRELEASE),)
02 obj‐m := hello.o
03
04 else
05 PWD := $(shell pwd)
06 KDIR := ~/buildroot‐2011.08/output/build/linux‐3.1/
07
08 default:
09 $(MAKE) ‐C $(KDIR) M=$(PWD) modules
10 endif
11
12 clean:
13 rm ‐rf *.ko *.o *.mod.c *.mod.o modules.order
14 rm ‐rf Module.symvers .*.cmd .tmp_versions

des Code- sowie der beiden Daten-Segmente
des Kernelmoduls:
cat /sys/module/hello/sections/.text
cat /sys/module/hello/sections/.data
cat /sys/module/hello/sections/.bss
Da das mit Buildroot erzeugte Linux-
System keinen Udev-Support bietet, ist
außerdem mit dem Kommando »mknod
/dev/hello c 254 0« die Gerätedatei anzulegen,
über die eine Applikation Zugriff
auf den Beispieltreiber erhält. Ob
auf dem System die Major-Nummer 254
verwendet wird, ermittelt die Befehlszeile
»cat /proc/devices | grep Hello«.
Den Debugger auf dem Hostsystem startet
der Benutzer wie gehabt aus dem Quellcodeverzeichnis
des Linux-Kernels. Nach
Eingabe der Kommandos »file vmlinux«
und »target remote :1234« hält Qemu das
Linux-System an.
Das Kommando »add-symbol-file« teilt
dem System die zuvor im Sys-FS ermittelten
hexadezimalen Adressen des
Code- und der beiden Daten-Segmente
des Moduls mit:
add‐symbol‐file Pfad/hello.ko 0xd8817000U
‐s .data 0xd88170e0 ‐s .bss 0xd8817294
Jetzt kann der Anwender bereits einen
Breakpoint setzen, etwa auf die Funktion
»driver_read()«. Ein »continue« lässt das
Linux-System weiterarbeiten.
Gibt er nun das Kommando »cat /dev/
hello« ein, aktiviert sich die Modulfunktion
»driver_read()« und GDB hält den
Kern-Technik 01/2012
Know-how
www.linux-magazin.de
107
Varianten des Kernel-Debugging
Linux bietet mit Qemu, dem KGDB und dem KDB
drei Möglichkeiten, Kernel- und Modul-Code zu
debuggen (Abbildung 4). Während Qemu seinen
Debuggingserver selbst mitbringt und keine
besondere Kernelunterstützung benötigt, hat
Linus Torvalds vor drei Jahren zähneknirschend
den In-Kernel-Debugserver »kgdb« akzeptiert.
Wie bei der Qemu-Lösung läuft der eigentliche
Debugger auf einem zweiten Rechner, dem Debughost.
Die Kommunikation zwischen Server
und Debugger findet über eine serielle Verbindung
statt. Steht weder ein zweiter Rechner
noch die serielle Verbindung zur Verfügung,
kann mit ein paar Tricks eine Virtualisierungslösung
wie Virtualbox aushelfen und das gewünschte
Interface emulieren.
Ansonsten hat Torvalds in Version 2.6.35 mit
dem »kdb« ein Frontend für den »kgdb« in
den Standardkernel integriert, das einfache
Operationen wie Lesen und Setzen von Speicherstellen
sowie das Anzeigen der im System
instanzierten Rechenprozesse ermöglicht – und
das auf demselben System. Der »kdb« wird bei
entsprechender Konfiguration aktiv, sobald der
Linux-Kernel abstürzt. Alternativ lässt er sich
über die Tastenkombination [Alt]+[S-Abf]+[G]
aufrufen. Hochsprachen-Debugging ist damit
jedoch nicht möglich.
Diese In-Kernel-Debugger stellt eine der nächsten
Kern-Technik-Folgen ausführlicher vor.
das magazin für ubuntu-anwender!
digisub-mini * : 2 digitale ausgaben ubuntu user!
5€
FÜR 2 AUSGABEN
iHre VOrteiLe
● Hilfe für ein- und umsteiger
bei den ersten schritten mit ubuntu
● zusatzwissen rund um ubuntu
und seine derivate
● 2x testen ohne risiko, das digisub-mini
ist jederzeit kündbar!
● nutzbar auf notebook und PC,
tablet oder smartphone!
Jetzt gLeiCH besteLLen!
● tel.: 07131 / 2707 274 ● fax: 07131 / 2707 78 601
● urL: www.ubuntu-user.de/abo ● e-mail: abo@ubuntu-user.de
*geht ohne Kündigung in ein digitales Jahresabo mit 4 ausgaben pro Jahr über und ist jederzeit kündbar!

Know-how
www.linux-magazin.de Kern-Technik 01/2012
108
GDB (Debugger)
Qemu KGDB KDB
LinuxLLinux
Qemu
Debugserver
Kernel- Tastatur Bildschirm Executable (Kernel)
Quellcode
Debug-Host
GDB (Debugger)
Remote-Target
KGDB
Linux
KDB
Linux
Kernel- Tastatur Bildschirm Executable (Kernel) Tastatur Bildschirm
Quellcode
Abbildung 4: Mit dem Emulator Qemu, mit KGDB und KDB offeriert Linux mehrere Möglichkeiten, Kernel- und Modul-Code zu debuggen.
KGDB
Kernel wegen des gesetzten Breakpoints
an. Jetzt lassen sich Speicherzellen des
Moduls untersuchen und die Bearbeitung
schrittweise durchspielen.
Allerdings ist verwirrend, dass der Debugger
scheinbar unmotiviert zwischen
den Zeilen hin und her springt. Der Zugriff
auf lokale Variablen weist auf die
Ursache hin: »value optimized out« – der
Compiler hat den Kernelcode optimiert.
Dadurch sind einige der definierten
Variablen im Debugger nicht sichtbar,
Codefragmente sind umgemodelt. Dass
innerhalb des Kernels einige Makros im
Einsatz sind, vereinfacht die Fehlersuche
ebenfalls nicht. Nicht selten entpuppt
Die Autoren
Eva-Katharina Kunst, Journalistin, und Jürgen
Quade, Professor an der Hochschule Niederrhein,
sind seit den Anfängen von Linux Fans von Open
Source. Mittlerweile ist die dritte Auflage ihres
Buches „Linux-Treiber entwickeln“ erschienen.
sich im Linux-Kernel eine Variable als
ausgefuchstes Makro. Kernel-Debugging
bleibt also eine Herausforderung, der
man sich mit viel Geduld und Übung
stellen muss. (mhu)
n
Infos:
[1] Quade, Kunst, „Kern-Technik“, Folge 59:
Linux-Magazin 11/​11, S. 96
[2] Downloadadresse von Buildroot: [http://​
buildroot. uclibc. org/ download. html]
Listing 2: Modul »hello.c«
01 #include
02 #include
03 #include
04 #include
05
06 static char hello_world[]="Hello World\n";
07
08 static dev_t hello_dev_number;
09 static struct cdev *driver_object;
10 static struct class *hello_class;
11 static struct device *hello_dev;
12
13 static ssize_t driver_read( struct file *instanz,
14 char __user *user, size_t count, loff_t *offset )
15 {
16 unsigned long not_copied, to_copy;
17
18 to_copy = min( count, strlen(hello_world)+1 );
19 not_copied=copy_to_user(user,hello_world,to_copy);
20 return to_copy‐not_copied;
21 }
22
23 static struct file_operations fops = {
24 .owner= THIS_MODULE,
25 .read= driver_read,
26 };
27
28 static int __init mod_init( void )
29 {
30 if (alloc_chrdev_region(&hello_dev_number,0,1,"Hello")owner = THIS_MODULE;
36 driver_object‐>ops = &fops;
37 if (cdev_add(driver_object,hello_dev_number,1))
38 goto free_cdev;
39 hello_class = class_create( THIS_MODULE, "Hello" );
40 if (IS_ERR( hello_class )) {
41 pr_err( "hello: no udev support\n");
42 goto free_cdev;
43 }
44 hello_dev = device_create( hello_class, NULL,
45 hello_dev_number, NULL, "%s", "hello" );
46 return 0;
47 free_cdev:
48 kobject_put( &driver_object‐>kobj );
49 free_device_number:
50 unregister_chrdev_region( hello_dev_number, 1 );
51 return ‐EIO;
52 }
53
54 static void __exit mod_exit( void )
55 {
56 device_destroy( hello_class, hello_dev_number );
57 class_destroy( hello_class );
58 cdev_del( driver_object );
59 unregister_chrdev_region( hello_dev_number, 1 );
60 return;
61 }
62
63 module_init( mod_init );
64 module_exit( mod_exit );
65 MODULE_LICENSE("GPL");

STARTER KIT 22
mit 2 x 4,7 GByte
Software und
36-seitigem
Begleitheft!
JETZT AM KIOSK!
oder per per Mail: order@linuxnewmedia.de,
Telefon: 089-99 34 11 - 0, Fax: 089-99 34 11 - 99
www.easylinux.de/StarterKit22

Programmieren
www.linux-magazin.de Bash Bashing 01/2012
110
Shellskripte aus der Stümper-Liga – Folge 18: Bash Completion
Bash Bashing
Über Klicki-Bunti und grafische Oberflächen sollten Kommandozeilen-Fans gerechterweise nur dann die Nase
rümpfen, wenn sie die Effizienz steigernden Bedienungstricks der interaktiven Shell auch wirklich kennen und
benutzen. Diesmal: Bash Completion. Bernhard Bablok
Das Zauberwort, um einerseits die Anzahl
der Tastendrücke zu reduzieren und
andererseits eventuell folgenreiche Vertipper
zu vermeiden, heißt Vervollständigung
(Completion). Die [Tab]-Taste schätzt vermutlich
jeder Konsolenbenutzer: Sie ergänzt
Kommandos am Zeilenanfang sowie
Verzeichnis- oder Dateinamen. Die
Doppel-[Tab]-Folge kennt mancher nicht,
namentlich Linuxer, die solitären Leuchttürmen
gleich in einem Meer von Windows-Benutzern
stehen. Denen schaut
nie ein Gleichgesinnter über die Schulter
und sagt: „Spar dir »ls«-»cd«-»ls«…-Orgien,
und tippe einfach »cd [Tab][Tab]«,
dann zeigt die Shell eine Liste!“
Vervollständigung ist keine Kernfunktionalität
der Bash, sondern der Readline-
Bibliothek. Die Readline-Funktion »complete()«
löst das automatische Erweitern
eines Textes aus. Sie ist normalerweise
an die [Tab]-Taste gebunden. Viele Programme
nutzen die Readline-Bibliothek,
weshalb der Completion-Mechanismus
auch solchen Tools zur
Verfügung steht.
Auf der Kommandozeile
entscheidend ist der
Text vor dem Cursor.
Fängt er mit einem Dollarzeichen
an, sucht
Readline in der Liste
der Variablen, bei einer
Tilde unter den in »/etc
/passwd« definierten
Benutzern und beim
Klammeraffen in der
Lis te der Hosts. Einen
Text ohne Sonderzeichen
interpretiert die
Vervollständigung am
Zeilenanfang als Beginn
eines Kommandos – inklusive Aliase
und Shellfunktionen. Wenn nichts zutrifft,
dann versucht die Bash Filename-Completion,
das heißt »complete()« ergänzt
den Text durch Datei- oder Verzeichnisnamen
im aktuellen Verzeichnis.
Im Hintergrund werkeln für alle diese
Vervollständigungen eigene Readline-
Funktionen (»complete‐command«, »complete‐filename«,
»complete‐into‐braces«,
»complete‐username«, »complete‐hostname«,
»complete‐variable«). Mit
bind ‐p | grep complete
bekommen Bash-Benutzer zu sehen, an
welche Tasten diese Sonderfunktionen
auf ihrem System gebunden sind. [Tab]
ist nämlich nicht die einzige Taste, die
Vervollständigung auslöst. Hostname-
Ergänzung erweist sich zum Beispiel als
nützlich, wenn man die Hostnamen-Vervollständigung
ohne den Klammeraffen
benötigt, etwa:
scp Datei Zielr[Esc][Alt Gr]+[Q]
Das ergänzt die Bash dann zu
scp Datei Zielrechner
Die Tastenkombination [Esc][Alt Gr]+[Q],
also [Meta][@], ist normalerweise mit
»complete‐hostname« verknüpft und ergänzt
den Anfang des eingegebenen
Hostnamens. Diese Kombination liegt –
wie auch ein paar andere – für deutsche
Tastaturen recht ungünstig. Profis tragen
deshalb in ihre »~/.bashrc« die Zeile
bind '"\eh": complete‐hostname'
ein und nutzen anschließend das leichter
erreichbare [Esc][H], was sogar einen
Tastenanschlag spart.
Manual führt aufs Glatteis
Sowohl Hostname-Completion als auch
User-Completion halten für den Benutzer
ein paar Fallstricke bereit. Beispielsweise
liest die Bash die Hostnamen aus der
Datei, auf die die Variable »HOSTFILE«
zeigt. Laut Bash-Manual bedeutet eine
gesetzte, aber leere »HOSTFILE«-Variable,
dass die Bash die »/etc/hosts« liest. Wenn
die Variable nicht gesetzt ist, so ist die
Liste für die Vervollständigung leer.
Doch hier irrt das Bash-Manual, genau
das Gegenteil ist der Fall: Die Variable
muss entweder ungesetzt oder zumindest
mit irgendwas gefüllt sein – die »HOST‐
FILE«-Datei braucht nicht zu existieren,
damit »/etc/hosts« als Quelle dient. In
größeren Umgebungen ist »/etc/hosts«
sowieso meist leer. Hier kann sich jeder
Nutzer ein eigenes »HOSTFILE« mit Favoriten
anlegen und die gleichnamige Variable
in der »~/.bashrc« setzen.
User-Completion wertet normalerweise
die »/etc/passwd« aus. In Netzen, die die

Benutzernamen in einem Verzeichnisdienst
hinterlegen und NSS-LDAP nutzen,
löst die Bash bei User-Completion
eine LDAP-Anfrage aus. Das kann quälend
lange dauern, die Bash scheint einzufrieren.
Und: Je nach Größe der Organisation
liefert so eine Anfrage sehr viele
Benutzernamen zurück, [~][Tab][Tab]
beispielsweise fragt alle Nutzer im LDAP
ab! Leider gibt es keine zu »HOSTFILE«
äquivanente Umgebungsvariable für die
Benutzervervollständigung.
Die eigene Completion
Das Bash-eigene System für die Vervollständigung
kann der Benutzer selbst erweitern.
Dazu dient unter anderem das
Bash-interne Kommando »complete«.
Die Funktion ist nicht ganz trivial, was
sich schon an der Ausführlichkeit des
Manpage-Abschnittes ablesen lässt. Am
einfachsten ist Word-Completion: Ein
kleines Synchronisationsskript des Autors
nimmt als einziges Argument ein
Profil entgegen. Das Kommando
complete ‐W "home data images baw" syncfiles
sorgt dafür, dass die Bash die möglichen
Profilnamen für das Kommando »syncfiles«
automatisch per [Tab] ergänzt.
Mächtiger als »‐W« ist die Option »‐F«,
die als Argument eine Shellfunktion erwartet.
Diese berechnet aus der aktuellen
Kommandozeile die möglichen Vervollständigungen
und legt sie in dem Array
»COMPREPLY« ab. Das Listing 1 zeigt ein
aufs Nötigste reduziertes Beispiel.
Die vorliegende Complete-Spezifikation
sorgt dafür, dass Bash für das »oocalc«-
Kommando nur Verzeichnisse und ODS-
Dateien vervollständigt. Zuerst erzeugt die
Shellfunktion in den
Zeilen 8 bis 12 eine
Liste mit allen Dateien
und Verzeichnissen,
die eine normale Vervollständigung
erfassen
würde. Danach
filtert das Skript alle
Verzeichnisse und unpassenden
Dateien heraus.
Gültige Vervollständigungen
landen
in Zeile 22 im Array
»COMPREPLY«. Solche
Klimmzüge sind leider
notwendig, da die »complete«-Standardoptionen
»‐X« und »‐G« leider nur fürs
Filtern von Dateinamen gedacht sind und
nicht mit der Autovervollständigung von
Verzeichnisnamen zusammenspielen.
Selbst ist der Basher
Zum Glück muss der User für die Standardkommandos
nicht selbst in die Tasten
greifen und »complete«-Definitionen
schreiben. Open Suse zum Beispiel installiert
ein ganzes Complete-Framework.
Eine Alternative ist das umfangreiche
»Bash‐Completion«-Paket, das beispielsweise
für GNU-kompatible Tools alle
CLI-Optionen komplettiert (Abbildung
1), gültige Paketnamen für das RPM-
Kommando vervollständigt oder die Module
in CVS intus hat. Wer selbst tunen
möchte, findet im Bash-Completion-Paket
genug Anwendungsbeispiele Funktion.
Fazit
Dass die Bash dem Anwender als Programmiersprache
ein ausgeklügeltes (und
Abbildung 1: Completion vervollständigt die Programmoptionen von »grep«.
nicht immer selbsterklärendes) Werkzeug
in die Hand drückt, hatten frühere „Bash
Bashing“-Folgen bereits bewiesen.
Die diesmal beschriebene Auto-Vervollständigung
legt nahe, dass auch der interaktive
Modus der Shell sehr mächtige
Funktionen bereithält. Wer ein kleines
Cheat-Sheet [1] mit den wichtigsten
Funktionstasten neben den PC legt, kann
nach und nach das Klappern der Tastatur
reduzieren. (jk)
n
Infos
[1] Tastatur-Belegung mit wichtigen Bash-
Kommandos: [http:// weblog. topopardo.​
com/ others/ bash_cheat_sheet. pdf]
Der Autor
Bernhard Bablok betreut bei Allianz Managed
& Operations Services SE ein großes Datawarehouse
mit technischen Performancemessdaten
von Mainframes bis zu Servern. Wenn er
nicht Musik hört, mit dem Fahrrad oder zu Fuß
unterwegs ist, beschäftigt er sich mit Themen
rund um Linux und Objektorientierung. Er ist unter
[mail@bablokb. de] zu erreichen.
Bash Bashing 01/2012
Programmieren
www.linux-magazin.de
111
Listing 1: Vervollständigung per Shellfunktion
001 #!/bin/bash
002
003 oocalc_complete() {
004 local ext="ods"
005 local word="$2"
006
007 # Standard‐Vervollständigung (filename‐completion)
008 local i=0 line
009 declare ‐a liste
010 while read line; do
011 liste[i++]="$line"
012 done <

Programmieren
www.linux-magazin.de Java 01/2012
112
Programmieren mit der Java-SE-Security-Bibliothek
Schloss und Siegel
Die Vorbeugung gegen Datendiebstahl und illegale Zugriffe spielt bei der Anwendungsentwicklung eine immer
größere Rolle. Der Java-Programmierer findet in der Java-SE-Security-Bibliothek, was er braucht, um Daten zu
ver- und entschlüsseln sowie Prüfsummen und Signaturen einzusetzen. Carsten Zerbst
det sich in den Beispiel-Quelltexten zu
diesem Artikel [3].
Es liegt nahe, sensible Daten durch Verschlüsseln
zu schützen. Symmetrische
Verfahren wie der Advanced-Encryption-
Algorithmus (AES) verwenden dabei
zweimal den gleichen Schlüssel: Um die
Originaldaten in eine unlesbare Form zu
verwandeln und um sie wieder zu entschlüsseln
(Abbildung 2).
Geheim!
© Pavel Ignatov, 123RF.com
Sicherheitsaspekte werden bei der Produktion
von Software immer wichtiger.
Inzwischen stehen sie gleichberechtigt
neben den funktionalen Anforderungen
und bestimmen nicht selten die Software-
Architektur. Sicherheitsfragen umfassen
ein weites Feld, sei es der unberechtigte
Zugriff Dritter auf Daten, unbemerkte
Änderungen daran oder das Ausführen
ungewollter Fremdprogramme.
Um dies zu verhindern, bietet Java in
der Security-Bibliothek eine Reihe von
Funktionalitäten an. Das reicht von der
klassischen Verschlüsselung über digitale
Signaturen bis hin zu eingeschränkten
Rechten für Java-Programme selbst. Dies
ist Teil der normalen Java-Distributionen
(Open JDK und Oracle-Java) und in den
Paketen und »javax.security« und »javax.
crypto« zu finden.
Den Aufbau der Pakete gibt die Java Cryptography
Architecture (JCA, [1]) vor. Den
Kern bildet eine Handvoll Klassen für
Sicherheitsaufgaben wie etwa Verschlüsselung
oder Signatur. Die Klasseninstanzen
erzeugt der Programmierer nicht wie
üblich mit »new«, sondern er ruft sie
bei einer Factory-Methode für den gewünschten
Algorithmus ab. Dadurch ist
pro Aufgabe unabhängig von der Anzahl
verfügbarer Algorithmen nur noch eine
Klasse erforderlich.
Krypto-Alternative
Diese Flexibilität reicht über die Algorithmen
hinaus bis hin zur verwendeten
Implementierung. So steht als Alternative
zu Oracles Umsetzung unter anderem die
umfangreichere und MIT-lizenzierte Ausgabe
der Programmierergruppe Legion of
the Bouncy Castle [2] zur Verfügung. Der
Preis für diese Flexibilität liegt auf der
Hand: Anfragen mit falschen Namen bestraft
Java mit der Ausnahme »NoSuchAlgorithmException«.
Abbildung 1 zeigt die
in der JDK-Version 7 verfügbaren Algorithmen,
das zugehörige Programm fin-
Den typischen Aufbau für Ver- und Entschlüsselprogramme
in Java zeigt Listing
1. Es führt die Operationen über ein
»Cipher«-Objekt durch, das es für den
gewünschten Algorithmus über die »get-
Instance()«-Methode erzeugt (Zeile 1).
Das Beispiel nutzt AES mit einer Schlüssellänge
von 128 Bit. Passend zu »Cipher«
erzeugt der »Keygenerator« einen Schlüssel,
entweder – wie im Listing – als zufälligen
Einmalschlüssel oder basierend
auf einem Passwort. Vor der Verwendung
muss der Programmierer das Cipher-Objekt
mit dem Schlüssel für die gewünschte
Richtung initialisieren (Zeile 8).
Alle kryptographischen Methoden arbeiten
auf der Basis von Byte-Arrays, Texte
muss ein Programm daher wie in Zeile 13
konvertieren. Zur eigentlichen Verschlüsselung
nutzt der Java-Entwickler bei
kleinen Mengen direkt die »doFinal()«-
Methode der Cipher-Klasse (Zeile 15).
Für größere Mengen bietet sich das Verschlüsseln
mit »CipherOutputStream«
beziehungsweise »CipherInputStream«
an. Der durchgeleitete Datenstrom wird
dann im Stream mit dem »Cipher«-Objekt
ver- oder entschlüsselt.
Möchte der Entwickler die verschlüsselten
Daten wieder als Text übertragen,

sind Byte-Arrays sehr unhandlich. Hier
hat sich das Kodieren als Base64 bewährt.
Die Bytes (-128 bis 127) werden dabei
auf die in allen Systemen übertragbaren
Buchstaben des englischen Alphabets
abgebildet (Zeile 17). Leider enthält Java
keinen Base64-Encoder im öffentlichen
API, das Beispiel verwendet deshalb die
Base64-Klasse aus der Apache-Commons-
Codec-Bibliothek [4].
Die Entschlüsselung durchläuft die
Schritte in umgekehrter Reihenfolge: Das
Programm dekodiert zunächst Base64 in
ein Byte-Array und entschlüsselt dieses
per Cipher-Objekt. Das Cipher-Objekt
muss der Java-Entwickler für beide Richtungen
mit den gleichen Parametern und
Schlüsseln erstellen, ansonsten schlägt
die Entschlüsselung fehl.
Schlüsselfrage
Wichtig für die sichere Nutzung symmetrischer
Verfahren ist die Geheimhaltung
des Schlüssels. Gerät dieser in die falschen
Hände, wird die Verschlüsselung
nutzlos. Für den sicheren Transport bietet
sich eine asymmetrische Verschlüsselung
des Schlüssels an, bei Passwort-basierter
Verschlüsselung reicht oft das Gedächtnis
des Anwenders aus.
Das Entwickeln wirklich sicherer Verschlüsselungsalgorithmen
ist ein aufwändiges
Geschäft. Verschlüsselungsverfahren
zu brechen ist sowohl im akademischen
Umfeld wie bei den „bösen
Buben“ ein beliebter Sport. Vor diesem
Hintergrund sollte man sich deshalb auf
bekannte und gut untersuchte Algorithmen
verlassen. AES und der Passwortbasierte
Algorithmus decken die meisten
Anwendungen ab, mit Hilfe spezieller Policy
Files [5] lassen sich in Java Schlüssellängen
bis zu 512 Byte nutzen. Ältere
Verfahren wie DES oder Triple-DES sind
hingegen mit schnellen Rechnern inzwischen
leicht zu knacken und sollten nicht
mehr eingesetzt werden.
Häufig soll Software sicherstellen, dass
die Daten beim Übermitteln und Speichern
nicht verändert wurden. Dies betrifft
nicht nur absichtliche Änderungen
in Dateien, auch Übertragungsfehler lassen
sich so entdecken. Zu diesem Zweck
kommen Hash-Algorithmen zum Einsatz,
die aus beliebigen Daten einen wesentlich
kleineren Fingerabdruck (Hash) berechnen.
Schon kleinste Änderungen an
den Daten führen zu einem anderen Fingerabdruck
und lassen sich so entdecken.
Der Hashwert wird dafür einmal beim Erzeuger
und dann beim Nutzer der Daten
berechnet, nur bei gleichen Werten sind
die Daten identisch (Abbildung 3).
Hash mich
Listing 2 ermittelt einen Hash für eine
ganze Datei. Die eigentliche Hash-Erzeugung
findet mit dem »MessageDigest«-
Objekts statt, das der Beispielcode über
die Factory-Methode der Klasse erzeugt
(Zeile 1). Den Hashwert berechnet ein
»DigestInputStream« (Zeile 4) oder »DigestOutputStream«,
der zwischen Datenquelle
und ‐senke geschaltet ist. Dies
ändert die Daten selbst nicht, aktualisiert
aber das »MessageDigest«-Objekt. Von
diesem ist nach abgeschlossener Übertragung
der Hashwert mit der »digest()«-
Methode zu erfragen (Zeile 13).
Hashwerte sind Byte-Arrays und lassen
sich Base64-kodiert über beliebige Kanäle
übertragen. Viele Linux-Distributionen
stellen zum Beispiel die Hashwerte für
ihre DVD-Images auf ihren Webseiten bereit,
Brennprogramme wie K3B berech-
Java 01/2012
Programmieren
www.linux-magazin.de
113
Listing 1: Symmetrische Verschlüsselung mit AES
01 Cipher cipher = Cipher.getInstance("AES‐128");
02
03 KeyGenerator kgen = KeyGenerator.getInstance("AES‐128");
04 kgen.init(128);
05
06 SecretKey skey = kgen.generateKey();
07
08 cipher.init(Cipher.ENCRYPT_MODE, skey);
09
10 String klartext = "Die Botschaft";
11 System.out.println("Klartext " + klartext );
12
13 byte[] zuVerschluesseln =klartext.getBytes();
14 // Die Verschlüesselung
15 byte[] verschluesselt = cipher.doFinal( zuVerschluesseln );
16 // Kodieren für einen sicheren Texttransport
17 String verschluesseltB64 = new String( Base64.encodeBase64( verschluesselt ) );
18 System.out.println( "Verschlüsselt " + verschluesseltB64 );
19
20 // Dekodieren
21 byte[] verschluesselt2 = Base64.decodeBase64( verschluesseltB64.getBytes() );
22
23 // Die Entschlüsselung mit dem gleichen Schlüssel
24 cipher.init(Cipher.DECRYPT_MODE, skey);
Abbildung 1: Schon die normale Java-VM ermöglicht
die Auswahl unter 40 verschiedenen Algorithmen
und Schlüsselformaten.
25
26 byte[] entschluesselt = cipher.doFinal(verschluesselt2);
27 System.out.println("Entschlüsselt " + new String(entschluesselt) );

Programmieren
www.linux-magazin.de Java 01/2012
114
Symmetrische
Verschlüsselung
Verschlüsseln
Übertragung
+ +
Abbildung 2: Bei symmetrischen Verfahren kommt zum Ver- und Entschlüsseln der gleiche Schlüssel zur Anwendung.
Hashberechnung
Übertragung
Hashberechnung
Entschlüsseln
Hashvergleich
Hashberechnung
Abbildung 3: Anhand von Hashwerten lässt sich feststellen, ob eine Datei verändert wurde.
+
==
?
nen ebenfalls Fingerabdrücke und ermöglichen
es, sie zu vergleichen. Dabei sind
die Hashwerte genauso schutzbedürftig
wie die symmetrische Schlüssel. Ansonsten
könnte ein Angreifer sowohl die übertragenen
Daten als auch den Hashwert
ändern und den Test sinnlos machen. Für
neue Anwendungen empfiehlt sich der
SHA-256- oder SHA-512-Algorithmus, die
älteren MD5 und SHA-1 sind jedoch auch
noch weit verbreitet.
Paarweise
Sowohl die symmetrische Verschlüsselung
als auch die Hashwerte funktionieren
in der Praxis nur, wenn Schlüssel
oder Hashes sicher übertragen werden.
01 MessageDigest msgDigest = MessageDigest.getInstance("SHA‐256");
02
03 InputStream fis = new FileInputStream(datei);
04 DigestInputStream dis = new DigestInputStream(fis, msgDigest);
05
06 byte[] buffer = new byte[1024];
07 int read;
08 while ((read = dis.read(buffer)) > 0) {
Dieses Problem umgehen die asymmetrischen
Verfahren, denn sie nutzen zum
Ver- und Entschlüsseln unterschiedliche
Teile eines Schlüsselpaars: Der öffentliche
Schlüssel darf über beliebige, ungesicherte
Kanäle verfügbar sein, der private
Schlüssel muss sicher bei seinem Besitzer
verwahrt bleiben (Abbildung 4). Für
den verschlüsselten Transport werden
die Daten dabei mit dem öffentlichen
Schlüssel des Empfängers verschlüsselt,
nur der dazu passende private Schlüssel
eignet sich zur Entschlüsselung (RSA-
Algorithmus).
Neben der reinen Verschlüsselung ermöglichen
asymmetrische Verfahren auch digitale
Signaturen (Abbildung 5). Diese
errechnen sich aus dem Hashwert der
09 // Einlesen der ganzen Datei durch den DigestInputStream ohne sie weiter zu verwenden
10 }
11 dis.close();
12
13 byte[] digest = msgDigest.digest();
14 String digestB64 = new String(Base64.encodeBase64Chunked(digest));
15
Listing 2: Berechnung eines Hash mit SHA
16 System.out.println(digestB64);
Daten und dem privaten Schlüssel. Der
Empfänger kann mit dem öffentlichen
Schlüssel überprüfen, ob die Signatur
dem Absender gehört und ob die Daten
unverändert sind (RSA- und DSA-Algorithmus).
Da die asymmetrischen Verfahren vergleichsweise
langsam arbeiten, kommen
sie selten als Ersatz für symmetrische
Verfahren in Betracht. Stattdessen werden
sie für kleine Datenmengen wie den
symmetrischen Schlüssel oder Hashwerte
genutzt und schließen genau diese Lücke
in der sicheren Übertragung. Die
bekannteste Implementierung dürfte das
HTTPS-Protokoll sein: Beim Aushandeln
des (symmetrischen) Sitzungsschlüssels
zwischen Webbrowser und Server kommen
asymmetrische Verfahren zum Tragen,
die eigentlichen Nutzdaten schützt
dann die schnellere symmetrische Verschlüsselung.
Zertifikate
Damit sich der öffentliche Schlüssel einfach
seinem Besitzer zuordnen lässt, ist
er meist in ein digitales Zertifikat eingebettet.
Es enthält neben dem öffentlichen
Schlüssel noch weitere Angaben über den
Besitzer wie Name, Organisation und E-
Mail-Adresse. Zum Anfertigen und Verwalten
selbst signierter Zertifikate bietet
sich das Programm »keytool« an (siehe
Kasten „Keytool und Jarsigner“).

Asymmetrische
Verschlüsselung
Verschlüsseln
Übertragung
Entschlüsseln
Java 01/2012
Programmieren
+ +
Öffentlicher Schlüssel des Empfängers
Privater Schlüssel des Empfängers
Abbildung 4: Bei der symmetrischen Verschlüsselung dient der öffentliche Schlüssel zum Kodieren, der private zum Dekodieren.
Signatur
Übertragung
Signatur prüfen
www.linux-magazin.de
115
Digitale
Signatur
+
+ +
+
Privater Schlüssel des Empfängers
Öffentlicher Schlüssel des Empfängers
Abbildung 5: Digitale Signaturen belegen nicht nur die Unversehrtheit, sondern auch die Herkunft von Dateien.
Listing 3 zeigt das Erstellen und Prüfen
einer digitalen Signatur. Es nutzt über
die Klasse »Keystore« die laut Kasten
„Keytool und Jarsigner“ erstellten Zertifikate.
Der Aufbau des Programms ähnelt
der Hashberechnung aus Listing 2,
nur kommt hier ein »Signature«-Objekt
zum Einsatz. Es wird mit dem passwortgeschützten
privaten Schlüssel aus dem
Keystore initialisiert. Zur Prüfung initialisiert
das Programm das »Signature«-
Objekt mit dem Zertifikat (und damit mit
dem öffentlichen Schlüssel) und berechnet
den Hash neu. Die Methode »verify()«
prüft anschließend die übertragene Signatur.
Nur wenn die Signatur sowohl zu
den Daten als auch dem Zertifikat passt,
gilt die Prüfung als bestanden.
Signierte Programme
Signaturen kommen bei vielen verschiedenen
Datei-Arten zum Einsatz, am bekanntesten
dürften signierte E-Mails, Of-
Keytool und Jarsigner
Zum Java Developer Kit (JDK) gehört mit Keytool ein einfaches Programm,
das Schlüsselpaare und Zertifikate erzeugt und verwaltet. Diese sind
normalerweise in einer passwortgeschützten Keystore-Datei gespeichert,
in der sie über einen Aliasnamen ansprechbar sind. Die folgende Kommandozeile
erstellt ein Schlüsselpaar zum Verschlüsseln sowie ein selbst
signiertes Zertifikat:
keytool ‐genkeypair ‐storepass noMoreSecrets ‐keystore U
rincewind.keystore ‐keyalg RSA ‐alias rincewind U
‐dname "CN=rincewind, O=Unseen University, C=Ankh Mopork"
Der öffentliche Schlüssel lässt sich exportieren und an Kommunikationspartner
senden:
keytool ‐exportcert ‐rfc ‐storepass noMoreSecrets U
‐keystore rincewind.keystore ‐alias rincewind ‐file rincewind.cer
Die Partner importieren den öffentlichen Schlüssel folgendermaßen in
ihren eigenen Keystore:
keytool ‐importcert ‐storepass noMoreSecrets U
‐keystore beispiel.keystore ‐alias rincewind ‐file rincewind.cer
Den Inhalt eines Keystore zeigt die Option »‐list« an:
keytool ‐list ‐v ‐storepass noMoreSecrets U
‐keystore rincewind.keystore ‐alias rincewind
Listing 3 zeigt, wie Java-Programme Schlüssel und Zertifikate aus dem
Keystore verwenden. Sind nur digitale Signaturen geplant, reicht für das
Schlüsselpaar der DSA- statt des RSA-Algorithmus aus. Ebenso zum JDK
gehört das Jarsigner-Programm. Es kann als Jar-Archive verpackte Java-
Programme signieren. Daneben prüft es signierte Archive auf Unversehrtheit
und Herkunft. Das asymmetrische Schlüsselpaar liest Jarsigner aus
dem oben erzeugten Keystore. Zum Signieren gibt der Anwender neben
der Jar-Datei den Aliasnamen des gewünschten Schlüsselpaars an:
jarsigner ‐storepass noMoreSecrets ‐keystore rincewind.keystore
test.jar rincewind
Die »‐verify«-Option dient zum Prüfen der Jar-Datei:
jarsigner ‐verify ‐verbose ‐storepass noMoreSecrets U
‐keystore rincewind.keystore test.jar
Im privaten Bereich oder für Entwicklungszwecke sind die selbst signierten
Zertifikate von Keytool vielleicht akzeptabel. Mehr Sicherheit
verspricht aber das gemeinnützige Cacert-Project [10]. Wer hingegen
Dutzende oder gar Hunderte von Anwendern mit Zertifikaten ausstattet,
kommt um eine eigene Zertifikatsinfrastruktur, etwa mit EJBCA [11]
umgesetzt, oder kommerzielle Anbieter nicht herum.
Unter keinen Umständen darf der privaten Schlüssel in die Händen Dritter
gelangen. Geschieht dies unbemerkt, hat der Anwender keine Chance,
Datenverlust oder -änderung mitzubekommen. Fällt der Schlüsseldiebstahl
aber auf, kann eine funktionsfähige Zertifikatsverwaltung einzelne
Zertifikate mit einer Revocation-List vor ihrem regulären Ablauf zurückrufen.
Dazu müssen die Anwendungen allerdings einen Check gegen die
Zertifikatsverwaltung implementieren.

Programmieren
www.linux-magazin.de Java 01/2012
116
fice- [6] und PDF-Dokumente [7] sein.
Eine besondere Dokumentart sind Java-
Programme selbst: Mit Hilfe des Jarsigners
lässt sich die Authentizität von Jar-
Archiven sicherstellen. Bei Applet- oder
Webstart-Anwendungen ist dies sogar
Pflicht, sobald sie Zugriff auf das lokale
System anfordern (Abbildung 6).
Alles gut?
Mit den in Java enthaltenen Techniken
lassen sich viele Security-Probleme lösen.
Von diesen einfachen Beispielen bis hin
zu einem akzeptablen Sicherheitsniveau
ist der Weg jedoch weit. Das fängt natürlich
beim eigenen Java-Code an, daher
empfiehlt sich das Studium der Secure
Coding Guidelines [8]. Für Standardaufgaben
wie sicheren HTTP-Transfer oder
XML-Signatur [9] gibt es inzwischen fertig
spezifizierte und implementierte Lösungen
auf Basis der oben beschriebenen
Techniken. Sie ersparen nicht nur Arbeit
– die Verfahren sind mit großer Sicherheit
auch besser als selbst erfundene.
Aber auch beim Einsatz
bekannter Standards
sollte der Entwickler
recherchieren,
ob nicht inzwischen
Schwachstellen bekannt
sind und wie sie
sich beheben lassen.
Daneben spielt auch
die Infrastruktur eine
Rolle: Symmetrische
und private Schlüssel
bedürfen eines wirksamen
Schutzes. Zertifikate
muss man vor
der Verwendung auf ihre Gültigkeit prüfen,
selbst die Online-Abfrage nach zurückgezogenen
Zertifikaten gehört zum
Java-Lieferumfang.
Neben der Anwendung ist die Implementierung
der Java-VM ein viel kleineres,
aber dennoch reales Problem. Erst im
September 2011 wurde ein Implementationsfehler
bei der Klasse Java-Applet
entdeckt, der eine Hintertür bei der HT-
TPS-Übertragung öffnet. Außerhalb der
Abbildung 6: Java-Webstart-Anwendungen brauchen eine gültige Signatur.
Programmierwelt verbleibt immer noch
die größte Unsicherheit: der Anwender.
Sicherheit und Benutzbarkeit dürfen sich
nicht gegenseitig ausschließen. Wer die
Anwender jedoch mit komplizierten Prozeduren
oder wüsten Passwörtern quält,
muss sich über Klebezettel unter der
Tastatur nicht wundern. Dann hilft auch
die fortschrittlichste Kryptographie nicht
mehr gegen den simplen Einbruch durch
das Reinigungsteam. (mhu) n
Listing 3: Digitale Signatur
01 // Die Signatur
02 Signature signature = Signature.getInstance( "SHA256WITHRSA");
03
04 // Lade des privaten Schlüssels und Zertifikats
05 char[] keystorePasswort = new char[] {'n', 'o', 'M', 'o', 'r', 'e', 'S', 'e', 'c', 'r', 'e', 't',
's'};
06 FileInputStream fis = new FileInputStream("../rincewind.keystore");
07 KeyStore keystore = KeyStore.getInstance("JKS") ;
08 keystore.load(fis, keystorePasswort);
09
10 KeyStore.PrivateKeyEntry entry = (KeyStore.PrivateKeyEntry) keystore.getEntry("rincewind",
new KeyStore.PasswordProtection(keystorePasswort));
11
12 PrivateKey privateKey = entry.getPrivateKey();
13 signature.initSign(privateKey );
14
15 // Der Inhalt
16 String klartext = "Die Botschaft";
17
18 // Signature berechnen
19 signature.update( klartext.getBytes());
20 byte[] sig = signature.sign();
21
22 String sigB64 = new String(Base64.encodeBase64(sig));
23 System.out.println( "Signatur " + sigB64);
24
25 // Signatur prüfen
26 Certificate cert = entry.getCertificate();
27 signature.initVerify( cert);
28 signature.update(klartext.getBytes());
29 System.out.println("Wert unverändert " + signature.verify(sig));
Infos
[1] JCA: [http:// download. oracle. com/ javase/​
6/ docs/ technotes/ guides/ security/ crypto/​
CryptoSpec. html]
[2] Bouncy Castle:
[http:// www. bouncycastle. org/ java. html]
[3] Quellcode zum Artikel:
[http:// www. linux‐magazin. de/ static/​
listings/ magazin/ 2012/ 01/ java/]
[4] Commons Codec:
[http:// commons. apache. org/ codec/]
[5] JCE Unlimited Strength Jurisdiction
Policy Files: [http:// www. oracle. com/​
technetwork/ java/ javasebusiness/​
downloads/ index. html]
[6] Florian Effenberger, „Digitale
Signaturen mit Open Office“: [http://​
www. linux‐magazin. de/ Online‐Artikel/
Digitale‐Signaturen‐mit‐Open‐Office]
[7] PDF, Signatur: [http:// itextpdf.​
sourceforge. net/ howtosign. html]
[8] Secure Coding Guidelines:
[http:// www. oracle. com/ technetwork/​
java/ seccodeguide‐139067. html]
[9] XML-Signatur:
[http:// java. sun. com/ developer/​
technicalArticles/ xml/ dig_signature_api/]
[10] Cacert: [https:// www. cacert. org]
[11] EJBCA: [http:// www. ejbca. org]

Linux-Magazin
ACADEMY
20% Rabattaktion
Jahresendverkauf*
IT Trainings Online
Linux und Open Source
Nutzen Sie die Vorteile
der Linux-Magazin Academy!
✓
✓
✓
✓
✓
Kompetent: Unsere Dozenten sind ausge wiesene
Profis mit lang jähriger Schulungserfahrung.
Flexibel: Der Schulungsteilnehmer lernt, wann,
wo und sooft er möchte.
Kosteneffizient: Nutzen Sie Einsparungen
gegenüber Vor-Ort-Schulungen.
Übersichtlich: Die komfortable Web- Oberfläche
zeigt gleich zeitig den Trainer und dessen
Arbeitsfläche
Individuell: Jeder Teilnehmer folgt seinem eigenen
Lerntempo.
Trainingspakete:
Monitoring mit Nagios
•
LPIC-1 All-in-One Solution
LPIC-1 / LPIC-2 Training
IT-Sicherheit Grundlagentraining
• WordPress 3.0 / OpenOffice Vorlagen *Rabattaktion läuft bis einschließlich 31.12.2012
Was Teilnehmer über die
Linux-Magazin Academy sagen:
„Super, bin sehr zufrieden! Habe mir die Videos
immer wieder angesehen, was bei einer Präsenzschulung
gar nicht ginge!“
„Die Kurse sind sehr gut strukturiert,
die Trainer sehr kompetent!“
Testen Sie unsere Demovideos:
academy.linux-magazin.de/demo
Präsentiert von:
www.linux-magazin.de
www.lpi.org
Menschen www.gfn.de
- Bildung - Erfolg
Weitere Infos: academy.linux-magazin.de

Programmieren
www.linux-magazin.de Perl-Snapshot 01/2012
118
API des Productivity-Tools Evernote ausreizen
Zettels Trauma
Ein kräftiger Windstoß genügt, um das System der Notizzettel vom Schreibtisch zu fegen. Evernote, eine Art
hochstrukturierter digitaler Notizblock, zeigt dem User seine Aufzeichnungen unabhängig von Ort und Endgerät.
Ein API erlaubt programmatischen Zugriff mit Facebooks Thrift-Library. Michael Schilli
© Benis Arapovic, 123RF.com
Ideen entstehen oft an ungewöhnlichen
Orten. Erfahrungsgemäß verschwinden
sie aber auch schnell wieder, wenn man
sie nicht sofort zu Papier bringt. Statt auf
Notizzettel vertraut der Kreative heute
aufs Internet, dort sind Daten haltbarer
als auf losen Zetteln und ein Dokumentenhaufen
ist mit maschineller Hilfe in
Sekunden durchsucht.
Nadel im Heuhaufen
Die kommerzielle Applikation Evernote,
in der für Normalverbraucher ausreichenden
Basisversion kostenlos [2], bietet ein
Browserinterface und Apps für mobile
Endgeräte wie iPhone oder iPad für virtuelle
Zettelkästen. Die so genannten Notes
Online PLUS
In einem Screencast demonstriert Michael
Schilli das Beispiel: [http://​www.
linux-magazin.de/​plus/​2012/01]
– formatierter Text mit Bildern,
Audiodateien oder per
Screenshot oder Cut & Paste
eingefangene Webseiten –
fasst der User thematisch in
„Notebooks“ zusammen, die
sich wiederum in Unterordnern
(Stacks) organisieren
lassen.
Der Clou an Evernote ist die
laufend und unauffällig stattfindende
Synchronisierung
zwischen Endgeräten. Eine
auf dem PC mit dem Browser
vorgenommene Änderung
erscheint binnen Sekunden
im Browser auf dem Laptop,
wenn der im Evernote-Konto
eingeloggt ist. Auf Endgeräten
wie iPad oder Macbook speichern die
Evernote-Apps die Daten sogar lokal, was
den Offlinebetrieb zulässt.
Das simple Strukturierungsmodell der
Notes in Evernotes lädt zu kreativen
Basteleien ein. Aus den rudimentären
Gestaltungselementen ist rasch ein
maßgeschneidertes Produktivitäts-Tool
gezimmert. Manche User berichten auf
ihren Blogs [3], dass sie sich Kalenderfunktionen
eingerichtet haben und ihren
Tagesablauf im „Getting Things Done“-
Verfahren [4] organisieren.
Abbildung 1 zeigt die Evernote-Notizen
zur Entstehung dieses Artikels. Auf
Stackoverflow.com stieß ich auf ein Anwendungsbeispiel
für das Evernote-API
mit dem Thrift-Framework und archivierte
es flugs mit Evernotes Web-Clipper
als Einstiegspunkt für spätere Recherchen.
Weiter fand ich ein PDF mit dem
Whitepaper des Thrift-Framework sowie
einige Perl-Beispiele auf Apache.org. Mit
dieser Sammlung bewaffnet war es später
leicht, offene Fragen mit den geclippten
Texten oder mit Hilfe der ebenfalls gespeicherten
Weblinks zu beantworten.
API statt GUI
Doch nicht immer hat man ein GUI parat,
wenn Ideen auftauchen, und deswegen
suchte ich nach einem Kommandozeilen-
Tool. Evernote bietet zum Glück ein API
und hat für die Kommunikation zwischen
Clients und dem Server das von Facebook
erfundene Thrift-Protokoll [5] gewählt.
Die Entscheidung fiel wohl aus Performancegründen,
denn das Binärprotokoll
ist schlanker als die Kommunikation mit
XML-Objekten.
Schlank mit Thrift
Entwickler beschreiben die zwischen
Client und Server ausgetauschten Datenstrukturen
in einer Datei mit der Endung
».thrift« im leicht lesbaren Thrift-Format.
Der Thrift-Compiler erzeugt daraus Bibliotheksfunktionen
für eine Vielzahl
von Programmiersprachen (Abbildung
2), angefangen bei C++ und Java, aber
auch für Skriptsprachen wie Perl, Ruby,
Python, PHP, Javascript und sogar Exoten
wie Erlang. Ziel dieser Zwischenschicht
ist es, den Applikationsprogrammierer
gänzlich von der ätzenden Fummelei bei
der plattformübergreifenden Datenübertragung
abzuschirmen.
Als Beispiel zeigt Listing 1 mit der Datei
»image_process.thrift« die Datenstrukturen
und Servicedefinitionen für einen Server,
der Bilddateien um 90 Grad rotiert.
Der Client schickt die Binärdaten einer
JPG-Datei an den Server, der nutzt das
Tool »convert« des Imagemagick-Pakets,
führt die Rotation durch und schickt das

Abbildung 1: In den Notebooks von Evernote abgelegte Web-Clippings während
der Entstehung dieses Artikels.
Ergebnis – ebenfalls im Binärformat –
an den Client zurück. Dieser speichert
die JPG-Daten dann auf der Festplatte
ab und meldet dem User die erfolgreiche
Konvertierung oder druckt eine Fehlermeldung
aus.
Klasse statt Masse
Thrift unterstützt wenige, aber mächtige
und portable Datentypen. Neben einfachen
32- oder 64-Bit-Integern darf der
User Daten in Structs verpacken oder
Maps nutzen, die Perls Hashtypen ähneln.
So definiert Listing 1 eine Struktur
»Rotation«, die einen Integer mit dem
gewünschten Rotationswinkel und einen
String mit den Binärdaten des zu drehenden
Bildes aufnimmt. Der ab Zeile 12
definierte Service »Rotator« definiert die
Funktion »rotate()«, die als nummerierten
ersten Parameter eine »Rotation«-Struktur
entgegennimmt und einen String mit den
veränderten Bilddaten
zum Client gibt.
Thrift wirft Exceptions,
falls etwas
schief geht, und Zeile
8 definiert eine Exception
vom Typ »Failed«,
die einen String »why«
mit einer Erklärung
für die verpatzte Aktion
bereithält. Wer
die Thrift-Distribution
von Apache.org [6]
herunterlädt und diese
mit »sh ./configure«
und »make« kompiliert, erhält ein Executable
namens »thrift«. Falls der Build
fehlschlägt, weil Pakete für exotische
Sprachen fehlen, kann man diese mit
der »configure«-Option »‐‐disable‐xxx«
eliminierten. Der Aufruf
thrift ‐r ‐‐gen perl image_process.thrift
erzeugt den nötigen Perl-Kleister für den
reibungslosen Datenaustausch zwischen
Client und Server im Unterverzeichnis
»gen‐perl/image_process«.
Der Client in Listing 2 holt sich die so
generierten Thrift-Wrapper in Zeile 10
herein. Er definiert mit »Thrift::Socket«,
»Thrift::BufferedTransport« und »Thrift:
:BinaryProtocol«, die der Thrift-Distribution
im Verzeichnis »perl/lib« beiliegen,
einen Kommunikationskanal über
einen Unix-Socket auf Port 9001 von
»localhost«, auf dem der Server später
lauscht. Die Zeile 22 instanziert mit dem
vorher definierten Binärprotokoll ein
»RotatorClient«-Objekt, dessen Perl-Code
»thrift« ebenfalls autogeneriert hat.
Thrift wirft Exceptions
Der Eval-Block ab Zeile 28 fängt etwaige
Exceptions ab, die nachfolgende Prüfung
im If-Konstrukt ab Zeile 47 druckt vom
Server stammende Exceptions-Objekte
mit den in ihnen schlummernden Fehlertexten
aus. Nach dem Öffnen des Transports
in Zeile 29 liest der Client die auf
der Kommandozeile angegebene Bilddatei
mit der Funktion »slurp« aus dem CPAN-
Modul Sysadm::Install von der Festplatte.
Das in Zeile 34 instanzierte Objekt vom
Typ »image_process::Rotation« baut mit
den Methoden »image()« und »angle()«
die zu übertragende Datenstruktur zusammen.
Fehlt nur noch, in Zeile 39 die Methode
»rotate()« mit der Struktur aufzurufen und
Listing 1: »image_process.thrift«
namespace perl image_process
02
03 struct Rotation {
04 1: i32 angle,
05 2: string image,
06 }
07
08 exception Failed {
09 1: string why
10 }
11
12 service Rotator {
13 string rotate( 1:Rotation r)
14 throws ( 1:Failed oops )
15 }
Perl-Snapshot 01/2012
Programmieren
www.linux-magazin.de
119
Listing 2: »rotate-client«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Sysadm::Install qw(slurp blurt);
04 use Thrift;
05 use Thrift::BinaryProtocol;
06 use Thrift::Socket;
07 use Thrift::BufferedTransport;
08
09 use lib 'gen‐perl';
10 use image_process::Rotator;
11
12 my $socket =
13 Thrift::Socket‐>new( "localhost", 9001 );
14
15 my $transport =
16 Thrift::BufferedTransport‐>new( $socket,
17 1024, 1024 );
18
19 my $protocol =
20 Thrift::BinaryProtocol‐>new($transport);
21 my $client =
22 image_process::RotatorClient‐>new(
23 $protocol);
24
25 my ($image) = @ARGV;
26 die "usage: $0 image" if !defined $image;
27
28 eval {
29 $transport‐>open();
30
31 my $image_data = slurp $image;
32
33 my $action =
34 image_process::Rotation‐>new();
35 $action‐>image($image_data);
36 $action‐>angle(90);
37
38 my $rotated_image_data =
39 $client‐>rotate($action);
40
41 blurt $rotated_image_data,
42 "rotated‐$image";
43
44 $transport‐>close();
45 };
46
47 if ($@ =~ m/image_process/ and
48 exists $@‐>{why}) {
49 die $@‐>{why};
50 } elsif( $@ ) {
51 die $@;
52 }

Programmieren
www.linux-magazin.de Perl-Snapshot 01/2012
120
Abbildung 2: Der Thrift-Compiler generiert aus der
Thrift-Definition Perl-Code.
das Ergebnis im zurückgelieferten String
aufzuschnappen. Die Funktion »blurt()«,
auch aus dem Modul Sysadm::Install
vom CPAN, schreibt die rotierten Imagedaten
in eine neue Datei, deren Name mit
»rotated‐*« beginnt.
Der zugehörige Server in Listing 3 definiert
das Package »RotateHandler«
zum Abarbeiten der Clientrequests, das
auf der autogenerierten Klasse »image_
process::RotatorIf« fußt. In seiner Methode
»rotate()«, die der Server dank
Thrift-Magie anspringt, falls der Client
mit »rotate()« einen Request abgesetzt
hat, legt er zwei temporäre Dateien an,
extrahiert die Bilddaten aus dem hereingereichte
Rotation-Objekt und pumpt sie
in die erste Datei. Der in Zeile 36 abgesetzte
»tap«-Befehl ruft die Imagemagick-
Utility »convert« mit der Option »‐rotate«
auf, was die rotierte Ergebnisdatei in die
zweite temporäre Datei schreibt.
Schlägt dies fehl, bastelt Zeile 40 ein
Exception-Objekt, das Zeile 42 dann auswirft.
Thrift-Magie fängt die Exception
ab und überträgt sie zum Client, der sie
wiederum wirft. »rotate()« gibt in Zeile 45
die Bilddaten zurück, die der Thrift-Layer
aufschnappt, eintütet und dem Client
schickt, ohne dass die Applikationslogik
einen Finger rühren muss.
Das Hauptprogramm ab Zeile 49 nutzt
lediglich das vordefinierte Thrift-Modul
und fährt mit »Thrift::ForkingServer« einen
Server hoch, der auf Port 9001 auf
Clientanfragen lauscht und jedes Mal
einen Parallelprozess startet, um eingehende
Requests abzuarbeiten. Nach dem
Starten des Servers in einem anderen Terminal
ruft der User auf Client-Seite
./rotate‐client image.jpg
auf, worauf das Kommando nach kurzer
Verzögerung zurückkehrt und die Datei
»rotated‐image.jpg« im aktuellen Verzeichnis
zurücklässt.
API zum Zettelkasten
Um das erwähnte Evernote-API mit dem
Thrift-Framework anzusprechen, muss
der Entwickler von [2] zunächst einen
API-Key abholen. Da es sich beim neuen
Utility um ein Kommandozeilenskript
und keine Webapplikation handelt, ist
in Abbildung 3 »Client Application« zu
wählen. Der Entwickler erhält dann einen
»Consumer Key« und ein »Consumer
Secret«, mit dem er zunächst auf [http://
www.sandbox.evernote.com] herumspielen
kann, bevor es nach abgeschlossener
Testphase auf [http://www.evernote.com] in
die Vollen geht.
Auf der Developer-Seite findet sich ein
Link zu einem SDK im Zip-Format, das
weitere Sprachanbindungen und vorkompilierte
Thrift-Wrapper für Perl enthält.
Um die Thrift-Definitionen mit »thrift« in
Abbildung 3: Auf der Evernote-Developer-Seite
erhalten Entwickler den erforderlichen API-Key.
Listing 3: »rotate-server«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Thrift::Socket;
04 use Thrift::Server;
05
06 use lib 'gen‐perl';
07 use image_process::Rotator;
08
09 ###########################################
10 package RotateHandler;
11 ###########################################
12 use base qw(image_process::RotatorIf);
13 use Sysadm::Install qw(slurp blurt tap);
14 use File::Temp qw(tempfile);
15
16 ###########################################
17 sub new {
18 ###########################################
19 my( $class ) = @_;
20
21 return bless {}, $class;
22 }
23
24 ###########################################
25 sub rotate {
26 ###########################################
27 my ( $self, $rotation ) = @_;
28
29 my ( $fh1, $infile ) =
30 tempfile( UNLINK => 1 );
31 my ( $fh2, $outfile ) =
32 tempfile( UNLINK => 1 );
33
34 blurt $rotation‐>{image}, $infile;
35 my ( $stdout, $stderr, $rc ) =
36 tap "convert", "‐rotate",
37 $rotation‐>{angle}, $infile, $outfile;
38
39 if ( $rc != 0 ) {
40 my $x = image_process::Failed‐>new();
41 $x‐>why($stderr);
42 die $x;
43 }
44
45 return slurp $outfile;
46 }
47
48 ###########################################
49 package main;
50 ###########################################
51 use Log::Log4perl qw(:easy);
52 Log::Log4perl‐>easy_init($DEBUG);
53
54 my $port = 9001;
55 my $handler = RotateHandler‐>new();
56 my $processor =
57 image_process::RotatorProcessor‐>new(
58 $handler);
59 my $serversocket =
60 Thrift::ServerSocket‐>new($port);
61 my $forkingserver =
62 Thrift::ForkingServer‐>new( $processor,
63 $serversocket );
64
65 DEBUG "Server starting on port $port";
66 $forkingserver‐>serve();

Perl-Code umzuwandeln, ruft der Zettelkasten-Programmierer
thrift ‐r ‐‐gen perl evernote‐api‐1.19/U
thrift/UserStore.thrift
thrift ‐r ‐‐gen perl evernote‐api‐1.19/U
thrift/NoteStore.thrift
auf, wenn das SDK in »evernote‐api‐1.19«
entpackt ist. Anschließend liegen die
».pm«-Dateien unter »gen‐perl«.
Aus Alt mach Neu
Leider nutzt Thrift beim Erzeugen des
Perl-Codes die veraltete Notation »new
Class()«, was Perl-5.10.1 nicht verdaut.
Ein beherzt aufgerufenes
find gen‐perl ‐name '*.pm' ‐exec perl ‐pU
‐i ‐e 's/\bnew (.*?)\(/$1‐>new(/g;' {} \;
durchstöbert alle autogenerierten ».pm«-
Dateien und ersetzt die alte Syntax durch
»Class‐>new()«. Nun sollte das Skript in
Listing 4 ohne Murren laufen.
In den Zeilen 14 bis 17 stehen die für den
Zugriff nötigen Credentials. Produktionsskripte
sollten diese aus Sicherheitsgründen
natürlich auslagern, am besten in
einem Passwort-Safe.
Noch kompatibel?
Zeile 19 nimmt ein einziges Kommandozeilenelement
als Note-Titel entgegen,
für Merkzettel mit mehreren Worten verwendet
man Anführungszeichen:
evernote‐add "Milch einkaufen"
Das Kommando kontaktiert den Evernote-Server,
legt eine neue Note mit
dem Titel „Milch einkaufen“ an, lässt
den Body leer und fügt sie in ein vorher
angelegtes Notebook namens Inbox ein.
Anders als der zuvor erzeugte Testclient
nutzt das Skript »Thrift::HttpClient«, der
mit der Evernote-Website mittels HTTP
kommuniziert. In dem Thrift-Kleister ist
»EDAMUserStore::UserStoreClient« definiert,
und Listing 4 instanziert dieses
Clientobjekt für die User-Authentisierung
auf Evernote in Zeile 34.
Die in Zeile 38 aufgerufene Methode
»checkVersion ()« prüft mit den aus dem
autogenerierten Code hervorgeholten
Konstanten »EDAM_VERSION_MAJOR«
und »EDAM_VERSION_MINOR«, ob die
Version des SDK noch mit der Evernote-
Website kompatibel ist.
»EDAM« steht für „Evernote Data Access
and Management“ und stellt zwei verschiedene
Kommunikationsklassen
für die
Interaktion mit dem
Evernote-Service bereit.
»EDAMUserStore:
:UserStoreClient« hilft
bei der Authentisierung
des Users mit seinem
Kürzel, dem Passwort, dem Consumer-Key
und dem Consumer-Secret. Akzeptiert
der Evernote-Server die Kombination,
schickt er einen Authorisierungstoken
zurück, den die Applikation über
einen begrenzten Zeitraum für Requests
mit dem »EDAMNoteStore::NoteStore-
Client« verwenden darf. Letzterer dient
zum Herumorgeln auf dem Evernote-
Notizblock des Users.
Die in Zeile 48 aufgerufene Methode
»authenticate()« liefert im Erfolgsfall ein
Objekt zurück, dessen Methode »user()«
ein User-Objekt bereitstellt. Dessen Methode
»shardId()« gibt die User-Partition
auf Evernote zurück, in die der Benutzer
fällt und deren Kürzel bei Requests an
die Basis-URL des Web-API anzuhängen
ist. Die Methode »authenticationToken()«
gibt den Token an, den die Applikation
den folgenden Requests beilegen muss.
Orgeln durch Notizen
So setzt Zeile 69 mit »listNotebooks()«
den Befehl zum Auslesen aller Notebook-
Abbildung 4: Per Perl-Skript eingeschleuste Notiz im »Inbox«-Ordner.
Perl-Snapshot 01/2012
Programmieren
www.linux-magazin.de
121
OnLine
Neu!
Das Portal für Android-Fans,
Smartphone-und Tablet Nutzer
+ Tests aktueller Tablets und
Smartphones
+ Informationen zu Apps und
Systemtools
+ Tipps & Tricks
+ und vieles mehr!
www.android-user.de

Programmieren
www.linux-magazin.de Perl-Snapshot 01/2012
122
Ordner des Users auf dem Evernote-Server
ab. Zurück kommt eine Referenz auf einen
Perl-Array, über den die For-Schleife
ab Zeile 74 iteriert. Jedes Notebook-
Objekt gibt mit der Methode »name()«
den Ordnernamen und mit »guid()« eine
eindeutige ID an, mit der sich eine neu
erzeugte Note in den Ordner verfrachten
lässt. Zeile 75 prüft nun bei jedem aufgelisteten
Notebook, ob es sich um »Inbox«
handelt, und bricht die Schleife ab, nachdem
es dessen GUID in der Variablen
»$inbox_guid« abgelegt hat.
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
Er hat „Goto Perl
5“ (auf Deutsch) und „Perl
Power“ (auf Englisch)
für Addison-Wesley geschrieben und ist unter
[mschilli@perlmeister. com] zu erreichen. Seine
Homepage ist [http:// perlmeister. com].
Ein neues Note-Objekt mit dem auf der
Kommandozeile hereingereichten Titel
legt Zeile 85 mit dem Konstruktor der
Klasse »EDAMTypes::Note« an. Der Aufruf
von »content()« lässt den Inhalt der
Note bewusst leer. Die Methode »createNote()«
des »NoteStoreClient«-Objekts
schickt die neue Note in den Zeilen 90
und 91 samt Auth-Token an den Server,
der im Erfolgsfall in der Variablen
»$created« ein Note-Objekt zurückgibt,
dessen Methode »guid()« die GUID der
neu angelegten Note ausgibt. Damit die
neue Note im Notebook »Inbox« landet,
muss Zeile 94 sie mit der Methode »copy-
Note()« unter Angabe des Auth-Tokens,
der aktuellen GUID der neuen Note und
der GUID des vorher ermittelten »Inbox«-
Notebooks dorthin verfrachten.
Grenzenlose Vielfalt
Mit dem Evernote-API lassen sich weitere
praktische Applikationen zaubern.
Da die Applikation den User nur einzelne
Notebooks exportieren lässt, böte sich
ein Backupskript an, das sich durch alle
Notebooks hangelt, den Inhalt der Notes
extrahiert und in einem XML-Format in
einer Backupdatei speichert. Wer Evernote
täglich nutzt, weiß zusätzliche Maßnahmen
zur Sicherung brillanter Ideen
sicher zu schätzen. (uba)
n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2012/ 01/ Perl]
[2] Evernote: [http:// evernote. com]
[3] David Pierce, „9 Ways I Use Evernote“:
[http:// www. digitizd. com/ 2009/ 04/ 23/​
9‐ways‐i‐use‐evernote/]
[4] David Allen, „Getting Things Done: The Art
of Stress-Free Productivity“: [http:// www.​
amazon. com/ dp/ 0142000280]
[5] Thrift, Scalable Cross-Language Services
Implementation: [http:// thrift. apache. org/​
static/ thrift‐20070401. pdf]
[6] Thrift-Projekt: [http:// thrift. apache. org]
Listing 4: »evernote-add«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Thrift;
04 use Thrift::HttpClient;
05 use Thrift::BinaryProtocol;
06
07 use lib 'gen‐perl';
08 use EDAMUserStore::Constants;
09 use EDAMUserStore::UserStore;
10 use EDAMNoteStore::NoteStore;
11 use EDAMErrors::Types;
12 use EDAMTypes::Types;
13
14 my $username
= "perlsnapshot";
15 my $password = "*******";
16 my $consumer_key = "perlsnapshot";
17 my $consumer_secret = "****************";
18
19 my( $message ) = @ARGV;
20 die "usage: $0 note" if !defined $message;
21
22 my $evernote_host = "evernote.com";
23 my $user_store_uri =
24 "https://$evernote_host/edam/user";
25 my $note_store_uri_base =
26 "https://$evernote_host/edam/note/";
27
28 my $http_client =
29 Thrift::HttpClient‐>new($user_store_uri);
30 my $protocol = Thrift::BinaryProtocol‐>new(
31 $http_client);
32
33 my $client =
34 EDAMUserStore::UserStoreClient‐>new(
35 $protocol);
36
37 my $version_ok =
38 $client‐>checkVersion( "perlsnapshot",
39 EDAMUserStore::Constants::EDAM_VERSION_MAJOR,
40 EDAMUserStore::Constants::EDAM_VERSION_MINOR,
41 );
42
43 if ( !$version_ok ) {
44 die "Version not ok";
45 }
46
47 my $result =
48 $client‐>authenticate( $username,
49 $password, $consumer_key,
50 $consumer_secret );
51
52 my $user = $result‐>user();
53
54 my $note_store_uri =
55 $note_store_uri_base . $user‐>shardId();
56
57 my $note_store_client =
58 Thrift::HttpClient‐>new($note_store_uri);
59
60 my $note_store_protocol =
61 Thrift::BinaryProtocol‐>new(
62 $note_store_client);
63
64 my $note_store =
65 EDAMNoteStore::NoteStoreClient‐>new(
66 $note_store_protocol);
67
68 my $notebooks =
69 $note_store‐>listNotebooks(
70 $result‐>authenticationToken() );
71
72 my $inbox_guid;
73
74 for my $notebook (@$notebooks) {
75 if ( $notebook‐>name() eq "Inbox" ) {
76 $inbox_guid = $notebook‐>guid();
77 last;
78 }
79 }
80
81 if ( !defined $inbox_guid ) {
82 die "No Inbox notebook found";
83 }
84
85 my $note = EDAMTypes::Note‐>new();
86 $note‐>title( $message );
87 $note‐>content();
88
89 my $created =
90 $note_store‐>createNote(
91 $result‐>authenticationToken(), $note );
92
93 # move new note to "Inbox"
94 $note_store‐>copyNote(
95 $result‐>authenticationToken(),
96 $created‐>guid(), $inbox_guid );

Jede Menge Freiraum,
um den professionellen
Mobilfunk voranzutreiben.
Rohde & Schwarz Professional Mobile Radio ist seit über 30 Jahren erfolgreich im Professionellen Mobilfunk tätig. Wir sind auf die Entwicklung und Realisierung
professioneller Mobilfunksysteme nach TETRA-Standard spezialisiert, als einziger deutscher Hersteller von TETRA-Infrastruktur sind für uns höchste
Qualität und innovative Funktechnik Grundvoraussetzung unseres Erfolges. Unsere Kunden schätzen unsere innovativen Produkte, unsere hohe Flexibilität und
die hohe Motivation unseres dynamischen Teams.
Verstärken Sie unser Team in der Region Hannover im Bereich Entwicklung zum nächstmöglichen Zeitpunkt als
Entwicklungsingenieur (m/w) für Linux-Plattformen und Treiberentwicklung
Ihre Aufgaben:
❙ Spezifikation, Integration und Pflege der Betriebssystemplattform auf Basis der hauseigenen Quellcode-basierten Linux-Distribution
❙ Erstellen von Systemkonfigurationen
❙ Einbringen von Patches bei Fehlern in Open-Source-Software
❙ Bereitstellung von Entwicklungs- und Debugging-Werkzeugen für Anwendungsentwickler der Hardwareplattform
❙ Qualifizierung und Validierung von 3rd-Party-Hardware zur Integration in die Hardwareplattform
❙ Entwicklung von Gerätetreibern für interne Hardware-Entwicklungen
❙ Durchführung von Qualitätssicherungsmaßnahmen
❙ Inbetriebnahme und Test neuer Geräte einschließlich Erstellung von Testsoftware
❙ Durchführung von Fehleranalysen und -behebung, auch beim Kunden
Ihre Qualifikationen:
❙ Abgeschlossenes Studium der Informatik oder Elektrotechnik mit Schwerpunkt Nachrichtentechnik/Technische Informatik oder vergleichbare Ausbildung mit
Berufserfahrung
❙ Kenntnisse des aktuellen Linux Kerneldesigns
❙ Sehr gute Kenntnisse in den Programmiersprachen C und C++ sowie in Shellskripten, Python-Kenntnisse von Vorteil
❙ Erfahrung mit Kernel-Treibern und hardwarenaher Programmierung (x86, PowerPC, ARM)
❙ Erfahrungen mit GNU Toolkette (gcc/gdb/make), Erfahrungen mit ptxdist sind von Vorteil
❙ Ausgeprägtes technisches Verständnis
❙ Innovationsfreude, Qualitätsbewusstsein, Eigenverantwortlicher und zielorientierter Arbeitsstil
❙ Engagierte, aktive und teamorientierte Denk- und Arbeitsweise
❙ Sehr gute Englischkenntnisse in Wort und Schrift
Interessiert? Dann schicken Sie uns bitte Ihre Bewerbung unter der Kennziffer PMR/12/008 an ROHDE & SCHWARZ Professional Mobile Radio GmbH, Bereich
Personal, Fritz-Hahne-Straße 7, 31848 Bad Münder, Telefon +49 5042 998 0 oder per E-Mail an career.pmr@rohde-schwarz.com

Service
www.linux-magazin.de IT-Profimarkt 01/2012
124
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Linux New Media AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
IT-Profimarkt – Liste sortiert nach Postleitzahl
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de 3 3 3 3
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de 3 3 3 3 3
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de 3 3 3 3 3
Hostserver GmbH 10405 Berlin, Winsstraße 70 030-47375550 www.hostserver.de 3
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de 3 3 3 3 3
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com 3 3 3 3
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de 3 3 3
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de 3 3 3 3
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de 3 3 3 3 3
iTechnology GmbH 20537 Hamburg, Normannenweg 28 0)40 20 22 62 10 www.itechnology.de 3 3 3 3
Dr. Plöger & Kollegen secom consulting GmbH 24105 Kiel, Waitzstr. 3 0431-66849700 www.secom-consulting.de 3 3 3 3 3
& Co. KG
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de 3 3 3 3
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de 3 3 3 3 3
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net 3 3 3 3 3
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net 3 3 3 3 3 3
Hostserver GmbH 35037 Marburg, Biegenstr. 20 06421-175175-0 www.hostserver.de 3
LINET Services GmbH 38122 Braunschweig, Am alten Bahnhof 4b 0531-180508-0 www.linet-services.de 3 3 3 3 3 3
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de 3 3 3 3 3
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de 3 3 3 3 3
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de 3
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de 3
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de 3 3 3 3
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de 3 3 3 3 3
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de 3 3 3 3 3
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de 3 3 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
(S.126)

Markt / Stellenanzeige
Digitales aBO
linuxUser: Das Monatsmagazin
für die Praxis
DigisUB *
nur 56,10 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
Jetzt Bestellen Unter:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
Fax: 07131 / 2707 78 601
E-Mail: abo@linux-user.de
LU_1-4DIN_Digisub_1111-2011.indd 1
11.11.2011 10:15:57 Uhr
Die Linux New Media AG ist das weltweit größte Medienunternehmen rund um Linux und Open Source. Der Verlag produziert eine umfangreiche Reihe an Monatsund
Sonderpublikationen zum Thema Linux, Open Source, Android, und anderen IT-Themen. Zielgruppenorientierte Onlineangebote kennzeichnen einen wichtigen Teil
der Zukunftsstrategie des Unternehmens. Die Linux New Media AG agiert international, ihre Print- und Online-Publikationen erscheinen in fünf Sprachen weltweit.
Wir suchen für die Weiterentwicklung unseres Online-Geschäfts zum nächstmöglichen Zeitpunkt eine/n
Webentwickler (m/w) in Vollzeit
Ihre Aufgaben:
• Weiterentwicklung der bestehenden und Umsetzung neuer Websites unter Einbringung eigener Ideen und Vorschläge.
• Support des Teams bei der Arbeit mit eZ Publish und Magento.
• Unterstützung des Anzeigenteams bei der Verwaltung und Planung von Eigen- und Kundenkampagnen in OpenX
Ihr Profil:
• Gute Kenntnisse in PHP, objektorientierter Programmierung sowie Webservices
• Sie verfügen über Kenntnisse in einem oder mehreren der folgenden Bereiche:
- Programmierung von Templates und Erweiterungen für das CMS eZ Publish,
oder die Bereitschaft sich kurzfristig und weitgehend selbständig darin einzuarbeiten. Erfahrungen
mit der Smarty Template Engine erleichtern den Einstieg.
- Entwicklung von Designs und Plug-Ins für Magento
- Kenntnisse in XML und XSLT
• Erfahrungen mit anderen PHP-basierten Content Management Systemen sind von Vorteil
• Versierter Umgang mit MySQL
• HTML-, CSS-, JavaScript-Entwicklung unter Berücksichtigung der Kompatibilität mit den wichtigen
Webbrowsern
• Versierter Umgang mit Subversion und anderen Versionskontrollsystemen sowie mit Bugtracking-
Systemen
• Von Vorteil sind Kenntnisse weiterer Webtechnologien wie Rails, Zope, Perl oder Java.
• Englischkenntnisse in Wort und Schrift werden vorausgesetzt
Ihr Arbeitsplatz ist am Verlagsstandort in München
Können Sie sich dafür begeistern, kreative
Lösungen zu suchen und im Kontakt mit einem
jungen, dynamischen Team etwas Neues
aufzubauen?
Wenn ja, bewerben Sie sich mit Beispielen
Ihrer bisherigen Tätigkeit im Bereich
Webentwicklung und Ihren Gehaltsvorstellungen
bei:
Linux New Media AG
Frau Liane Ganguin
Putzbrunner Str. 71
81739 München
Tel.: 089 / 99 34 11 -00
E-Mail: bewerbung-web@linuxnewmedia.de
Mehr Infos unter:
www.linux-magazin.de/Webentwickler

Service
www.linux-magazin.de IT-Profimarkt 01/2012
126
IT-Profimarkt
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 108)
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Seminaranbieter 5 = Software 6 = Beratung
Firma Anschrift Telefon Web 1 2 3 4 5 6
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com 3 3 3 3
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de 3 3 3 3 3
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de 3 3 3 3 3
comundus GmbH 71332 Waiblingen, Schüttelgrabenring 3 07151-5002850 www.comundus.com 3
Manfred Heubach EDV und Kommunikation 73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de 3 3 3 3
Waldmann EDV Systeme + Service 74321 Bietigheim-Bissingen, Pleidelsheimer Str. 25 07142-21516 www.waldmann-edv.de 3 3 3 3 3
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de 3 3 3 3 3 3
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de 3 3 3
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com 3 3 3 3 3
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de 3 3 3 3 3
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de 3 3 3 3 3 3
Bereos OHG 88069 Tettnang, Kalchenstraße 6 07542-9345-20 www.bereos.eu 3 3 3 3 3
OSTC Open Source Training and Consulting 90425 Nürnberg, Delsenbachweg 32 0911-3474544 www.ostc.de 3 3 3 3 3 3
GmbH
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de 3 3 3
Computersysteme Gmeiner 95643 Tirschenreuth, Fischerhüttenweg 4 09631-7000-0 www.gmeiner.de 3 3 3 3 3
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch 3 3 3
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch 3 3 3
EBP Gasser CH-4208 Nunningen, Winkel 6 0041-61793-0099 www.ebp-gasser.ch 3 3 3 3 3
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch 3 3 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
8,90€ *
124 Seiten Linux
+ DVD
Die aktuelle Ausgabe von LinuxUser Spezial
dringt in die Tiefen des Linux-Systems ein
und zeigt, wie Sie Ihren Rechner auf der
Kommandozeile administrieren.
Jetzt bestellen
unter: www.linuxuser.de/spezial
Tel.: 089-9934110, Fax: 089-99341199, E-Mail: order@linuxnewmedia.de

u
Fo
Fa
eM
Seminare/Markt
Linux-Magazin
ACADEMY
Online-Training
mit Hans-Georg Esser, Chefredakteur EasyLinux
OpenOffice -
Arbeiten mit Vorlagen
Erleichtern Sie sich Ihre
tägliche Arbeit mit (Auszug):
❚ einheitlichen Dokumentenvorlagen
❚ automatischen Formatierungen
❚ generierten Inhaltsverzeichnissen
20%
Treue-Rabatt für
Abonnenten
Mit vielen
Praxisbeispielen
Informationen und Anmeldung unter:
academy.linux-magazin.de/openoffice
DiD you
know?
Teststudium
ohne Risiko!
Fernstudium
IT-Sicherheit
Aus- und Weiterbildung zur Fachkraft für
IT-Sicherheit. Ein Beruf mit Zukunft. Kostengünstiges
und praxisgerechtes Studium
ohne Vorkenntnisse. Beginn jederzeit.
NEU:PC-Techniker, Netzwerk-Techniker,
Linux-Administrator LPI, Webmaster
Teststudium ohne Risiko.
GRATIS-Infomappe
gleich anfordern!
FERNSCHULE WEBER
-seit 1959-
Postfach 21 61
Abt. C25
26192 Großenkneten
Tel. 0 44 87 / 263
Fax 0 44 87 / 264
www.fernschule-weber.de
tl
a
ta
s
•
n
c
i
e
h
g
e
p
g
rü
Fernstudium
s
s
a
el
f
t
n
d
z
u
Seminare/Markt 01/2012
Service
www.linux-magazin.de
127
Linux-Magazin
Academy_1-9h_Anzeige_openoffice-Mike.indd 1
ACADEMY
12.04.2011 15:08:54 Uhr
OpenSource Training Ralf Spenneberg
Schulungen direkt vom Autor
Online-Training
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich Brief und
Siegel für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen
LPI 101 und 102
- Training für die Prüfungen
LPI 201 und 202
Sparen Sie mit
paketpreiSen!
20%
Treue-Rabatt für
Abonnenten
Linux System Administration / LPIC­1
5 Tage 09.01. ­ 13.01.2012
Hacking Webapplications
4 Tage 17.01. ­ 20.01.2012
Monitoring mit Nagios & Co.
5 Tage 23.01. ­ 27.01.2012
Sourcefire 3D
4 Tage 23.01. ­ 26.01.2012
Linux Netzwerk Administration / LPIC­2
5 Tage 30.01. ­ 03.02.2012
IPv6 mit Linux
3 Tage 06.02. ­ 08.02.2012
Virtualisierung mit XEN
3 Tage 13.02. ­ 15.02.2012
Apache 2.x Webserver Administration
4 Tage 21.02. ­ 24.02.2012
Virtualisierung mit KVM
3 Tage 22.02. ­ 24.02.2012
Freie Distributionswahl:
Opensuse, Fedora, Debian Squeeze,
CentOS oder Ubuntu LTS
Ergonomische Arbeitsplätze
Umfangreiche Schulungsunterlagen mit
Übungen
Informationen und Anmeldung unter:
academy.linux-magazin.de/lpic
Am Bahnhof 3­5
48565 Steinfurt
Tel.: 02552 638755
Fax: 02552 638757
Weitere Informationen unter www.os­t.de
Linux-Magazin
cademy_1-9h_Anzeige_LPIC-Mike.indd 1
©mipan, fotolia
ACADEMY
20%
Informationen und Anmeldung unter:
academy.linux-magazin.de/sicherheit
18.04.2011 11:05:38 Uhr
Treue-Rabatt für
Abonnenten
Online-Training
IT-Sicherheit
Grundlagen
mit Tobias Eggendorfer
Themen:
- physikalische Sicherheit
- logische Sicherheit
• Betriebssystem
• Netzwerk
- Sicherheitskonzepte
- Sicherheitsprüfung
Inklusive Benutzer- und
Rechteverwaltung, Authentifizierung,
ACLs sowie wichtige
Netzwerkprotokolle und mehr!
WusstEn siE’s?
Linux-Magazin und LinuxUser
haben ein englisches
Schwester magazin!
Am besten, Sie informieren gleich
Ihre Linux-Freunde in aller Welt...
Treue-Rabatt für
Abonnenten
www.linux-magazine.com
Linux-Magazin
ACADEMY
Online-Training
Erfolgreicher Einstieg in
WordPress 3
mit Hans-Georg Esser, Chefredakteur EasyLinux
Ansprechende Webseiten, Blogs und
Shops einfach selber erstellen
❚ Installation in 5 Minuten
❚ Designs ändern
❚ Optimieren für Suchmaschinen
❚ Funktionen erweitern
❚ Benutzerrechte festlegen
❚ Geld verdienen mit Werbung
❚ Besucher analysieren
❚ Sicherheit und Spam-Schutz
20%
Treue-Rabatt für
Abonnenten
Informationen und Anmeldung unter:
academy.linux-magazin.de/wordpress
Academy_1-9h_Security-Mike.indd 1
12.04.2011 14:00:35 Uhr
1-9h_Anzeige_wordpress_v02.indd 1
18.04.2011 11:18:15 Uhr
LMI_3-9h_german_091202.indd 1
24.11.2011 10:53:35 Uhr

Service
www.linux-magazin.de Inserenten 01/2012
128
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 9, 21
ADMIN http://​www.admin-magazin.de 53, 101
Android User GY http://​www.android-user.de 43, 45, 121
Bibliographisches Institut AG http://​www.bifab.de 11
Deutsche Messe AG http://​www.deutsche-messe.de 89
EasyLinux Starter Kit http://​www.easylinux.de 109
embedded projects GmbH http://​www.embedded-projects.net 125
Fernschule Weber GmbH http://​www.fernschule-weber.de 127
German Unix User Group (GUUG) e.V. http://​www.guug.de 91
Golem.de http://​www.golem.de 83
Happyware GmbH http://​www.happyware.de 15
Heinlein Professional Linux Support GmbH http://​www.heinlein-partner.de 61, 65
Hetzner Online AG http://​www.hetzner.de 132
Hostserver GmbH http://​www.hostserver.de 2
Ico Innovative Computer GmbH http://​www.ico.de 37
Kamp Netzwerkdienste GmbH http://​www.kamp.net 19
Linux Magazine http://​www.linux-magazine.com 127
Linux New Media AG http://​www.linuxnewmedia.de 125
Linux-Magazin http://​www.linux-magazin.de 41, 99
Linux-Magazin Academy
http://​www.academy.linux-magazin.de
76, 117, 127, 127, 127, 127
Linux-Magazin Online http://​www.linux-magazin.de 55
Linux-Onlineshop/​Fidu http://​www.linux-onlineshop.de 131
LinuxUser http://​www.linuxuser.de 103, 125
Mittwald CM Service GmbH & Co. KG http://​www.mittwald.de 17
Netclusive GmbH http://​www.netclusive.de 13
netways GmbH http://​www.netways.de 49
O’Reilly Verlag GmbH & Co KG http://​www.oreilly.de 73
Open Source Press GmbH http://​www.opensourcepress.de 69
OVH GmbH http://​www.ovh.de 26
Pluspol GmbH http://www.pluspol.de 93
PSW GROUP GmbH & Co. KG http://​www.psw.net 7
REINER Kartengeräte GmbH und Co. KG http://​www.reiner-sct.com 67
Rohde &Schwarz http://​rohde-schwarz.com 123
SolvetecIT Services GmbH http://​www.solvetec.de 79
Spenneberg Training & Consulting http://​www.spenneberg.com 127
Strato AG http://​www.strato.de 1, 86
Linux User Spezial http://​www.linux-user.de/​spezial 126
Linux-Hotel http://​www.linuxhotel.de 23
Thomas Krenn AG http://​www.thomas-krenn.com 47
Ubuntu User http://​www.ubuntu-user.de 107
Veranstaltungen
08.11.2011-09.04.2012
VI Concurso Universitario de Software Libre –
Desarrollo
National, Spain
http://www.concursosoftwarelibre.org/1112/
04.-09.12.2011
LISA ’11
Boston, MA USA
http://www.usenix.org/events/
27.-30.12.2011
28th Chaos Communication Congress
Berlin, Germany
http://events.ccc.de
16.-20.01.2012
linux.conf.au 2012
Ballarat, Australia
http://linux.conf.au
20.-22.01.2012
SCALE 10x
Los Angeles, CA
https://www.socallinuxexpo.org/scale10x
25.-26.01.2012
Cloud Expo Europe 2012
London, UK
http://www.cloudexpoeurope.com
28.01.2012
Install Party Colegio Ártica
Madrid, Spain
http://www.jrotero.org/index.php/artica
04.-05.02.2012
FOSDEM 2012
Brussels, Belgium
http://www.fosdem.org/2011
28.02.-01.03.2012
Strata Conference 2012
Santa Clara, CA
http://strataconf.com/strata2012
13.-14.03.2012
Droidcon 2012
Urania Berlin e. V.
10787 Berlin
http://de.droidcon.com
17.03.2012
Northeast LinuxFest
Worcester, MA
http://www.northeastlinuxfest.org
24.03.2012
ABLEConf
Tempe, AZ
http://www.ableconf.com
30.-31.03.2012
Flourish! Open Source Conference
Chicago, IL
http://www.flourishconf.com/2012/
02.-04.04.2012
Where Conference 2012
San Francisco, CA
http://whereconf.com
02.-17.04.2012
VI Concurso Universitario de Software Libre –
Evaluación
National, Spain
http://www.concursosoftwarelibre.org/1112/
12.-15.04.2012
Linux Audio Conference 2012
Palo Alto, CA, USA
http://lac.linuxaudio.org/2012
13.-15.04.2012
Indiana LinuxFest
Indianapolis, IN
http://www.indianalinux.org/cms/
17.-18.04.2012
The Mobile Show
Dubai, UAE
http://www.terrapinn.com/2012/the-mobile-show/
24.-26.04.2012
Infosecurity Europe 2012
London, UK
http://www.infosec.co.uk
27.-29.04.2012
Penguicon
Dearborn, MI
http://www.penguicon.org
28.-29.04.2012
LinuxFest Northwest
Bellingham, WA
http://linuxfestnorthwest.org
26.-29.06.2012
Open Source Bridge
Portland, OR
http://opensourcebridge.org
08.-14.07.2012
DebConf12
Managua, Nicaragua
http://debconf.org
10.-15.07.2012
Wikimania 2012
Washington, DC, USA
http://wikimania2012.wikimedia.org

Impressum
Linux-Magazin eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteure
stv. Chefredakteure
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Ulrich Bantle (Online), ubantle@linux-magazin.de (uba)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum Ulrich Bantle, ubantle@linux-magazin.de (uba)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Software, Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen (fan), Jens-Christoph Brendel (jcb),
Zack Brown, Mela Eckenfels, Hans-Georg Eßer (hge), Oliver
Frommel (ofr), Heike Jurzik (hej), Charly Kühnast, Martin
Loschwitz, Michael Schilli, Mark Vogelsberger, Uwe Vollbracht,
Britta Wülfing (bwü), Arnold Zimprich (azi)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linuxnewmedia.de
shop.linuxnewmedia.de
www.linux-magazin.de/Produkte
Lea-Maria-Schmitt
abo@linux-magazin.de
Tel.: 07131/27 07 274
Fax: 07131/27 07 78 601
CH-Tel: +41 43 816 16 27
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 5,95 4 6,70 Sfr 11,90 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 63,20 4 71,50 Sfr 99,96 4 75,40
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 5,95 4 5,95 Sfr 7,70 4 5,95
DigiSub (12 Ausgaben) 4 63,20 4 63,20 Sfr 78,50 4 63,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, anzeigen@linuxnewmedia.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Mediaberatung USA Ann Jesse, ajesse@linuxnewmedia.com
und weitere Länder Tel.: +1 785 841 8834
Eric Henry, ehenry@linuxnewmedia.com
Tel.:+1 785 917 0990
Pressevertrieb
Druck
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck und Medienservice GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2011 Linux New Media AG
Impressum 01/2012
Service
www.linux-magazin.de
129
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Konstantin Agouros Nebel – gut fürs Image 90
Fred Andresen Eine Frage der Ehre 96
Bernhard Bablok Bash Bashing 110
Jan Brinkmann Schneller Shoppen 54
Zack Brown Zacks Kernel-News 22
Mela Eckenfels Alle Macht dem Volke 68
Tobias Eggendorfer Seltener Zufall 48
Peter Kreußel Ereignisorientiert 40
Eva-Katharina Kunst Kern-Technik 104
Charly Kühnast Großer Regionalbahnhof 77
Martin Loschwitz Grünes Erwachen 84
Andreas Möller Blühende Oberflächen 28
Philipp Neuhaus Zweifach gesichert 78
Jürgen Quade Kern-Technik 104
Fritz Reichmann Runde Sache 60
Michael Schilli Zettels Trauma 118
Tim Schürmann Starker PHP-Fluss 34
Mark Vogelsberger Tux liest 100
Uwe Vollbracht Tooltipps 74
Carsten Zerbst Schloss und Siegel 112

Service
www.linux-magazin.de Vorschau 02/2012 1/2011 01/2012 12/2010
130
Vorschau
02/2012 Dachzeile
Heimatschutz gegen Einbrecher
Mobiler Vierer
Das Ende Oktober ausgewilderte Android 4.0 führt die getrennten
Entwicklungslinien 2.3 und 3.2 wieder zu einer Codebasis
zusammen. „Ice Cream Sandwich“, so der Arbeitsname, verbessert
das Multitasking und die wichtigen Apps wie Browser,
Galerie, Mail und Kalender. Neu sind Gesichtserkennung, Near
Field Communication und eine App fürs Data Tracking.
Der Schwerpunkt des Linux-Magazins 02/12 unterzieht das
Handy- und Tablet-System einer Analyse: Was ändert sich an
der Oberfläche, am API und dem Entwicklerkit? Wie schauts
mit Upgrades für ältere Modelle aus? Was tun, wenn die Prognosen
dafür schlecht stehen? Ein Artikel dokumentiert die Bemühungen,
Android-Apps auf normalen PCs lauffähig zu machen.
© Ekaterina Pokrovsky, 123Rf
MAGAZIN
Überschrift
Intrusion-Detection- und ‐Prevention-Systeme gibt es schon einige,
auch als Open Source. Aber nur eines kommt aus dem
umstrittenen Homeland-Security-Ministerium in den USA. The
Suricata Engine heiß das System und steht unter der GPL. Das
Linux-Magazin schaut sich die Software genau an – und deren
Deep Packet Inspection auf die Finger.
Lambda-Funktionen
Die Artikelreihe zum Programmieren mit dem Standard C++11
widmet ihre zweite Folge den Lambda-Funktionen. Die meisten
Programmierer, die Bekanntschaft mit den knackigen Namenlosen
schließen, wollen deren Gesellschaft nicht mehr missen.
Denn mit Lamda-Funktionen ist ein Algorithmus rasch angepasst
oder ein Thread leicht mit einem Arbeitspaket ausgestattet.
Insecurity Bulletin
Der Sicherheitsspezialist Mark Vogelsberger beschreibt in seiner
Serie aktuelle Sicherheitslücken und erklärt die programmtechnischen
Hintergründe, die dazu geführt haben.
Die Ausgabe 02/2012
erscheint am 5. Januar 2012
Ausgabe 01/2012
erscheint am 22.12.2011
© Vilijamweb, sxc.hu
Audio & Video
Ob Audio, Video oder Foto – Linux bietet
für alle Einsatzgebiete die richtigen Tools
und Frameworks an. Viele Spezialisten ermöglichen
es, alle Aufgaben eines Multimedia-Workflows
zuverlässig zu erledigen.
Einmal bearbeitet, haben Sie die Möglichkeit,
die Daten via Server ins Netzwerk zu
verteilen. Auch hier hat Linux wieder einige
Werkzeuge mit an Bord, die das erledigen.
Unsere kommende Ausgabe nimmt einige der Multimedia-Programme
genauer unter die Lupe, erläutert ihre Fähigkeiten und zeigt, wie Sie
diese Tools optimal für Ihre Zwecke einsetzen.
Karten-Editor
Das Openstreetmap-Projekt, die freie Alternative zu Google Maps,
lebt vom Mitmachen. Wer neue Wege erkundet oder per GPS Tracks
ausgezeichnet hat, dem steht der Weg offen, seinen Beitrag zu leisten:
Das Programm Merkaartor hilft, die neuen Daten zu integrieren.
Linux auf dem Mac
Die Computer von Apple bestechen kaum bestritten
durch gut aufeinander abgestimmte
Komponenten und ihr sehr schickes Design.
Wer statt des proprietären Originalsystems
jedoch lieber eine aktuelle Linux-Distribution
auf dem eleganten Unterbau aufsetzen
möchte, dem hilft unser Workshop in der
kommenden Ausgabe, eine Menge der Probleme
zu umgehen, die sich bei diesem Unterfangen
ergeben können.
Android tweaken
Mit Cyanogenmod entfesseln Sie die wahren Fähigkeiten Ihres Android-Mobilgerätes
und steigen aus dem oft zögerlichen Update-Zyklus
der Hersteller aus. Vorausgesetzt Sie besitzen ein unterstütztes Gerät,
haben Sie zudem Zugriff auf mehr Funktionen, kontrollieren die installierten
Apps besser und nutzen zusätzliche Ressourcen, die Ihnen
unter normalen Umständen nicht immer zur Verfügung stehen.